Documente Academic
Documente Profesional
Documente Cultură
Ghid - Indrumare Aplicare Norma - 6-2015
Ghid - Indrumare Aplicare Norma - 6-2015
sistemelor, iar acest lucrul include drepturile de acces (sau privilegiile) acordate care trebuie
nregistrate n Listele de Control a Accesului (Access Control List). Toate privilegiile de acces la
sistemele informatice trebuie revocate imediat n momentul n care un angajat i nceteaz
activitatea n cadrul organizaiei.
B.2.3) Privilegiile acordate utilizatorilor trebuie revizuite periodic pentru a determina dac acestea
continu s fie necesare pentru ca utilizatorul s-i poat ndeplini sarcinile ce i revin. Dac nu,
aceste privilegii trebuie revocate imediat. Pentru orice conexiuni la distanta se va impune o durata
maxima de viata a conexiunii inactive.
B.2.4) Modulele de conectare n sistem trebuie configurate astfel nct s limiteze numrul de
ncercri de conectare nereuite nainte de a bloca accesul pentru utilizatorul respectiv. Pentru
deblocarea accesului, utilizatorul trebuie s ia legtura personal cu administratorul de sistem.
B.2.5) Entitile dispun de mecanisme privind gestionarea adecvat a accesului la
sistemele/programele informatice importante, care vor ine cont cel puin de urmtoarele:
1. Aplicaiile din producie la care au acces mai muli utilizatori trebuie s dispun de o
politic de control a accesului;
2. Controlul accesului la aplicaii trebuie configurat astfel nct s minimizeze riscurile
cu privire la securitatea informaiei i s permit desfurarea n bune condiii a
activitilor din cadrul organizatiei;
3. Utilizatorilor li se va permite accesul numai la comenzile i funciile sistem pe care au
dreptul s le foloseasc;
4. Accesul la informaiile cu caracter personal trebuie permis numai angajailor care au
nevoie de acest lucru pentru ndeplinirea sarcinilor ce le revin;
5. Accesul la sisteme trebuie jurnalizat i monitorizat pentru a putea identifica aciunile
de folosire necorespunztoare a acestora. Toate sistemele de calcul din producie trebuie
s dispun de jurnale de audit care s nregistreze cel puin activitile desfurate pe
parcursul unei sesiuni utilizator: ID-ul utilizatorului, data i timpul conectrii n sistem,
data i timpul deconectrii, aplicaiile apelate, modificrile efectuate asupra fiierelor
critice din sistem, adugarea sau modificarea de privilegii ale utilizatorului, precum i
momentele n care sistemul a fost pornit sau oprit.
B.2.6) Sistemele de calcul ce manipuleaz informaii confidentiale trebuie s jurnalizeze toate
evenimentele relevante din punct de vedere al securitii cum ar fi: ncercrile de conectare la
sistem, ncercrile de a folosi privilegii neautorizate, modificarea privilegiilor utilizatorilor,
modificarea aplicaiilor software din producie i modificarea software-ului de sistem.
B.2.7) Securitatea jurnalelor trebuie s fie suficient de ridicat pentru a evita dezactivarea,
modificarea, tergerea sau suprascrierea acestora. Accesul la jurnale trebuie permis numai
persoanelor autorizate.
3) Managementul incidentelor
B.3.1) Entitile implementeaz un proces documentat de management al incidentelor n vederea
identificarii, colectrii, analizrii i rezolvrii incidentelor care afecteaz buna funcionare a
activitii personalului propriu, a sistemelor informatice i de comunicaii, a asigurrii serviciilor
ctre clieni, a raportrilor ctre A.S.F..
4) Managementul schimbrii
B.4.1) Entitile implementeaz un proces documentat de management al schimbrii n vederea
asigurrii controlului asupra implementrii modificrilor/schimbrilor solicitate de planurile de
afaceri i operaionale, la nivelul organizaiei, al personalului, al proceselor, al sistemelor, al
3
este de dou ore. Pentru entitile ncadrate n categoria de risc important intervalul de timp optim
este de dou zile. Pentru entitile ncadrate n categoria de risc mediu intervalul de timp optim
este de patru zile. Pentru entitile ncadrate n categoria de risc sczut intervalul de timp optim
este de cinci zile.
B.9.4) Entitile urmresc urmtoarele caracteristici ale centrului de date i ale planului de
recuperare:
a) este permanent operaional, pe perioada de definire a serviciilor (numr zile pe
sptmn, numr ore pe zi) i asigur serviciile IT susinute de sistemele informatice importante
i definite n planul de recuperare, n timpul angajat prin registrul riscurilor i comunicat ctre
A.S.F.;
b) este sincronizat cu sistemul principal pentru a se asigura acelai nivel sau un nivel de
servicii cu o scdere acceptabil de servicii pentru serviciile replicate;
c) asigur comutarea i continuarea activitii n locaia alternativ, n intervalul de timp
prevzut n profilul de risc al entitii, evaluat i comunicat ctre A.S.F. Entitile urmresc
ncadrarea n intervalul de timp optim prevzut la pct. B. 8.3).
B.9.5) Entitile definesc un proces de control al incidentului n cadrul planului de continuare a
activitii, prin intermediul unui plan de urgen pentru administrarea situaiei de criz.
C) Puncte de control i msurare
C.1) Entitile implementeaz urmtoarele tipuri de controaleca urmare a evalurilor proprii i,
cnd este cazul:
a) controale preventive;
b) controale de avertizare.
C.2) Entitile controleaz riscurile generate de utilizarea sistemelor informatice prin:
a) stabilirea de obiective de control;
b) implementarea de puncte de control de ctre entitate sau de furnizorul extern de
servicii;
c) monitorizarea punctelor de control i a indicatorilor cheie de risc.
n acest scop, se implementeaz att controale generale la nivelul sistemului informatic, ct i
controale specifice la nivelul fiecrei componente a acestuia, dup caz. Informaiile din punctele
de control vor fi colectate periodic la alegerea entitii sau cnd este cazul i vor fi pstrate la
dispoziia entitii i raportate ctre A.S.F. pe baza cerinelor de raportare.
C.3) Entitile aplic proceduri operaionale n domeniul combaterii splrii banilor i finanrii
terorismului, precum i regimului de sanciuni internaionale ca parte integrat a reglementrilor
emise de A.S.F..
a) Controale generale
Controalele generale la nivelul entitilor sau al furnizorilor externi de servicii sunt proiectate
nct informaiile financiare generate de sistemele informatice ale entitii s fie de ncredere,
reale i corecte. Controalele generale includ:
a) controale referitoare la sincronizarea de timp la o referin recunoscut naional sau
internaional;
b) controale asupra operrii centrului de date;
c) controale asupra sistemelor de aplicaii;
d) controale asupra securitii accesului;
e) controale asupra dezvoltrii, administrrii i ntreinerii programelor informatice.
Controalele generale includ i verificarea existenei i aplicrii unei strategii de informatizare, a
politicilor de aprobare i efectuare a achiziiilor, a externalizrilor serviciilor informatice, inclusiv
prevenirea riscului sistemic datorat criminalitii informatice.
6
1. Msuri organizatorice
(1) Entitile definesc i implementeaz urmtoarelor activiti, proceduri i
responsabiliti:
a) politica de securitate;
b) obiectivele de securitate;
c) desemnarea responsabilului cu securitatea informaiei;
d) desemnarea n cadrul entitii a personalului responsabil cu:
(i) intervenia n caz de incidente;
(ii) mentenana programelor informatice i a echipamentelor;
(iii) recuperarea datelor n caz de dezastre;
(iv) formularea propunerilor privind modificarea regulamentelor interioare i a
procedurilor de lucru, astfel nct s se asigure ndeplinirea obiectivelor de securitate.
(2) Entitile se nregistreaz obligatoriu ca operatori de date cu caracter personal conform
legii.
(3) Entitile instruiesc periodic personalul angajat, inclusiv angajaii cheie, n vederea
cunoaterii riscurilor generale i specifice generate de oameni, procese, sisteme i mediul extern,
riscurile aferente criminalitii i a obligaiilor ce decurg din setul de msuri prevzut n prezentul
ghid.
2. Proceduri de securitate
(1) Entitile dein proceduri de securitate care descriu activitile sau procesele specificate
n Norma A.S.F. nr. 6/2015, conform ncadrrii n categoria de risc, care se desfoar la nivelul
tuturor departamentelor.
(2) Toate documentele referitoare la procedurile de sistem vor face parte integrant din
procedurile de securitate.
3. Evaluarea intern de securitate
Entitile evalueaz intern anual, sau de cte ori este nevoie, rezultatele sistemului de
securitate, revizia rezultatelor i aciunile corective pentru determinarea nivelului de maturitate
intern a controalelor de securitate ale entitii, conform tabelului de mai jos, care este parte
integrant din evaluarea intern a riscurilor entitii respective.
Evaluare intern a maturitii controalelor de securitate
Domenii ale
Securitii
Informaiei
I. Politici de
securitate
II. Securitatea
organizaional
a
III. Controlul
i clasificarea
activelor
0 - Ne
existent
Nu au fost
stabilite
politici prin
care s se
defineasc
securitatea
informaional
Nu au fost
definite
principiile
care stau la
baza
management
ului
securitii
Nu au fost
definite
proceduri de
securitate i
4 - Controlat i
msurabil
5 - Optimizat
Politicile i
procedurile
nu au fost
formalizate
Personalul
responsabil a fost
informat si instruit
cu privire la
politicile si
obiectivele
stabilite
Se aplic
proceduri de
verificare a
realizrii
obiectivelor
stabilite prin
politici
Exist principii
la nivel
informal
Intreg personalul
responsabil a fost
informat si instruit
in legatura cu
principiile
aprobate de
conducere
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Politicile
corespund
exigentelor
sporite, sunt
revizuite periodic,
inclusiv in cazul
aparitiei riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile de
securitate i
siguran a
activelor sunt
Persoanele
responsabile au
fost informate in
raport cu
Persoanele
responsabile
aplic adecvat
procedurile de
Procedurile de
securitate i
siguran a
activelor sunt
Domenii ale
Securitii
Informaiei
0 - Ne
existent
4 - Controlat i
msurabil
5 - Optimizat
procedurile de
securitate i
siguran a
activelor
securitate i
siguran a
activelor
revizuite i
modificate
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
siguran a
activelor
aplicate
informal
Nu au fost
definite
principiile
care stau la
baza
management
ului
securitii si
incidentelor
Nu au fost
definite
planuri/
proceduri de
securiate
Exist principii
la doar la nivel
informal
Asupra principiilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Exist politici
si proceduri
doar la nivel
informal
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
VI.
Securitatea
echipamentelo
r
Nu au fost
definite
planuri/
proceduri de
securiate
Exist politici
si proceduri
doar la nivel
informal
VII. Controale
generale
Nu au fost
definite
controalele
generale
pentru
gestionarea
activitii
Exist politici
si proceduri
doar la nivel
informal
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
VIII.
Managementu
l operaiunilor
i a
comunicaiilor
Nu au fost
definite
obiectivele
specifice
Exist politici
si proceduri
doar la nivel
informal
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
IX. Controlul
accesului
Nu au fost
definite
controalele
pentru
verificarea
accesului
Exist politici
si proceduri
doar la nivel
informal
X.
ntreinerea i
dezvoltarea
sistemelor
Nu au fost
definite
instrumente
i proceduri
Exist politici
si proceduri
doar la nivel
informal
Principiile care
guverneaz
accesul securizat
la informaii au
fost aduse la
cunostinta
personalului
responsabil, care a
fost instruit in
consecinta
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Se aplic
proceduri de
verificare
stabilite si
aprobate de
conducere, se
respecta
indicatiile privind
controalele
generale
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate de
conducere
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate de
conducere
IV.
Securitatea
personalului
V. Securitatea
fizica i de
mediului de
lucru
Au fost
respectate
cerintele legate
de securitate ce
trebuie avute in
vedere in fiecare
etapa a ciclului
de viata a
sistemelor
Procedurile sunt
revizuite periodic,
si sunt avute in
vedere concluziile
controalelor
generale
implementate in
cadrul entitatilor
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Domenii ale
Securitii
Informaiei
XI.
Continuitatea
afacerii
XII.
Conformitate
0 - Ne
existent
Nu au fost
definite
controalele
de
management
al
continuitatii
Nu au fost
definite
controalele
privind
asigurarea
conformitii
Exist politici
si proceduri
doar la nivel
informal
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
Asupra
procedurilor
aprobate de
conducere a fost
informat si instruit
ntreg personalul
responsabil
4 - Controlat i
msurabil
5 - Optimizat
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Se aplic
proceduri de
verificare a
respectrii
principiilor
stabilite i
aprobate
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
Procedurile sunt
revizuite si
imbunatatite
periodic, inclusiv
in cazul aparitiei
riscurilor
semnificative
4. Plan de cooperare
a) Entitile coopereaz n cadrul unui Plan de cooperare n domeniul securitii sistemelor
i a informaiei care va fi stabilit de ctre A.S.F. itransmit date i informaii relevante n acest
sens privind ameninrile, vulnerabilitile i incidentele generatoare de riscuri majore i crize,
proprii sau ale furnizorilor externi, inclusiv cele de securitate cibernetic, tehnici i tehnologii
folosite n rezolvarea incidentelor/crizelor, precum i bune practici pentru protecia
infrastructurilor proprii, inclusiv cibernetice.
b) Entitile particip, la solicitarea A.S.F., i susin schimbul de informaii anonimizate
dintre diverse echipe de rspuns la situaii de urgen, precum echipele tip CERT, utilizatori,
autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de
servicii informatice i comunicaii.
c) Entitile nfiineaz puncte de contact pentru colectarea sesizrilor i a informaiilor
despre incidente de securitate att automatizat, ct i prin comunicare direct securizat, dup caz.
10