Sunteți pe pagina 1din 33

Security Classification Internal limited

Denumire document Document name

Pagina - Page

1 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Destinatari: toti angajatii intra in vigoare la data de : __.__.2008 APROBAT, Presedinte Cezar Panait

VERIFICAT, RMSI

exemplar nr ........... ELABORAT,

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii. CUPRINS
1. Introducere.. pag 03 1.1. Definiii i termeni .pag 03 2. Politica de securitate a informaiei........................pag 03 2.1. Scop......pag 03 2.2. Obiective .....pag 04 2.3. Roluri i responsabiliti....pag 04 2.4. Standarde de securitate..pag 05 2.5. Revizuirea politicii de securitate.......................................................pag 05 3. Politicile pe domenii de securitate pag 05 3.1. Managementul securitii informaiilor...pag 05 3.1.1. Politica de evaluare a riscurilorpag 06 3.1.2. Politica de management al schimbrilor..pag 07 3.1.3. Politica de audit..pag 08 3.2. Politica de management a resurselorpag 09 3.2.1 Inventarul i managementul resurselorpag 09 3.2.2. Clasificarea informaiilorpag 11 3.2.3. Politica de licenierepag 11 3.2.4. Utilizarea acceptabil a resurselor informatice...pag 12 3.2.5. Utilizarea echipamentelor mobile. pag 14 3.2.6. Folosirea serviciului de email ...pag 15 3.2.7. Folosirea Internet-uluipag 17 3.3. Politica de securitate a personalului.. pag 18 3.4. Politica de securitate a accesului . pag 18 3.4.1. Controlul accesului fizic.. pag 18 3.4.2. Controlul accesului logic pag 19 3.4.3. Accesul terilor pag 21 3.5. Politica de management al operaiilor i comunicaiilor. pag 22 3.5.1. Managementul conturilor utilizator . pag 22 3.5.2. Managementul drepturilor privilegiate. pag 22 3.5.3. Politica de parole. pag 24 3.5.4. Protecia impotriva virusilor . pag 24 3.5.5. Politica de back-up. pag 25 3.5.6. Politica de detectare a instruilor. pag 26 3.6. Politica de dezvoltare i administrare a sistemelor. pag 27 3.7. Politica de management al incidentelor. pag 27
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

2 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

3.7.1. Monitorizarea securitii 3.7.2. Managementul incidentelor de securitate 3.8. Politica de management al continuitii afacerii ...... 3.9. Politica de conformitate ..... 3.10. Politica de relaii publice.. 3.11 Politica de securitate IT ....................................................... 3.12 Politica de securitate n relaiile cu terii ...........................

pag 27 pag 28 pag 29 pag 29 pag 29 pag 31 pag 33

1. INTRODUCERE Definiii i termeni Politica de securitate este un set de reguli, cerine i instruciuni aplicabile la nivelul ...., care st la baza infrastructurii de securitate i stabilete limitele unui comportament acceptabil n utilizarea resurselor informaionale i de comunicaii ale firmei. Sistem de Management al Securitii Informaiei (SMSI) este un element al sistemului general de management bazat pe abordarea riscului activitii. Este utilizat pentru stabilirea, implementarea, operarea, monitorizarea, meninerea i mbuntirea securitii informaiilor. Acest sistem de management cuprinde politici i structuri corporative, precum i planificarea activitilor, alocarea responsabilitilor, practici, proceduri, procese i resurse. Domeniul SMSI poate include ntreaga organizaie sau numai o parte a sa. Cuprinde activele relevante, sistemele, aplicaiile, servciile i reelele, precum i tehnologiile utilizate pentru procesarea, stocarea i comunicarea informaiilor. Resursele informatice i de comunicaii sunt toate activele firmei (informaii, documente, echipamente de calcul, de procesare sau de gestiune a informaiei, resursele de comunicaii, resursele umane etc). Administratorul resurselor informatice i de comunicaii este persoan investit cu responsabilitatea privind crearea, modificarea, dezvoltarea i administrarea infrastructurii informatice. Responsabilul cu securitatea infromaiilor este persoana numit s rspund de aplicarea politicii de securitate la nivelul . Confidenialitatea - principiul securitii informaiei, care asigur c informaia este accesibil doar acelora autorizai s aib acces. Integritatea principiul securitii informaiei, care asigur acurateea i integritatea informaiilor i ale metodelor de procesare i stocare. Disponibilitatea principiul securitii care asigur c utilizatorii au acces la informaie atunci cnd au nevoie. Utilizator este persoana crei i s-au conferit drepturi de acces la resursele informatice ale firmei. Abuz de privilegii reprezint orice aciune ntreprins n mod voit de un utilizator, contrar prevederilor regulamentelor, politicilor, procedurilor i legilor n vigoare. Conectic - cabluri UTP, BNC, mufe, prize etc. Echipament computer, hub, switch, antene, modem, dispozitiv de transfer voce, router, server etc. Reea reprezint o structur interconectat de calculatoare avnd ca scop utilizarea n comun a unor resurse software, dispozitive de intrare-ieire, date i voce. Serviciu o component care deservete un grup de utilizatori i/sau echipamente de date i voce.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

3 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

2. POLITICA DE SECURITATE A INFORMAIEI 2.1. Scop Politica de securitate adoptat i implementat n cadrul .... constituie ansamblul normelor ce trebuie cunoscute i respectate de ctre toate persoanele crora le revin responsabiliti cu privire la utilizarea, administrarea i gestiunea resurselor informaionale i de comunicaii ale unitii. Totodat, politica de securitate are un rol consultativ n analiza i implementarea tehnicilor, instrumentelor i mecanismelor de securitate, precum i n susinerea aciunilor personalului tehnic i a deciziilor factorilor de conducere n domeniul securitii informaiei din firm. Aceast politic a fost aprobat prin decizie a Presedintelui i constituie cadrul procedural i legal de aplicare a controalelor i msurilor ce vizeaz reducerea riscurilor i vulnerabilitilor de securitate manifestate n cadrul unitii. Securitatea informaiilor este un efort de echip i necesit participarea i suportul tuturor angajailor care lucreaz cu sisteme informaionale. Totodat, managerii structurilor funcionale din cadrul societii sunt responsabili de implementarea acestei politici de securitate, precum i de iniierea msurilor corective i de mbuntire, n conformitate cu mutaiile intervenite n cadrul funcional existent. Angajaii care, n mod deliberat sau din neglijen, violeaz securitatea informaiilor sau produs evenimente cu un astfel de impact vor face subiectul unor aciuni disciplinare sau chiar al concedierii. 2.2. Obiective Politica de securitate i propune urmtoarele obiective: asigurarea confidenialitii, integritii i disponibilitii datelor i informaiilor vehiculate n cadrul ....; oferirea mijloacelor de ghidare i susinere a ntregii activiti referitoare la securitatea informaiei n cadrul organizaiei; susinerea eforturilor managementului n direcia adoptrii de soluii de securitate integrate, efort convergent defurrii unei activiti de afaceri profitabile; definirea clar a drepturilor, obligaiilor i responsabilitilor utilizatorilor interni i a partenerilor externi, n ceea ce privete datele aflate n format electronic sau pe documente; armonizarea necesitilor i obiectivelor ...., cu un cadru de securitate adecvat, absolut necesar; impunerea unui echilibru ntre securitatea resurselor i productivitatea muncii cadrelor; inierea unor msuri disciplinare n cazul nclcrii cadrului normativ instituit i/sau a utilizrii inadecvate a resurselor. 2.3. Roluri i responsabiliti Grupul nsrcinat cu securitatea informaiei (GSI) este format din Responsabilul SMI, Directorul Resurse Umane, eful Serviciului Juridic, Responsabilul cu securitatea informaiilor/manager IT, Inspector cu situaiile de urgen. Acestui grup i revin responsabiliti privind realizarea i meninerea politicilor de securitate a informaiei la nivelul societii, stabilirea standardelor, directivelor, procedurilor i ntregului cadru normativ ce va fi implementat. Ducerea la ndeplinire a planificrii i elaborrii politicii de securitate este urmat de: consolidarea i mbuntirea permanent a acesteia; integrarea aciunilor de securitate la nivel departamental; analiza
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

4 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

i monitorizarea incidentelor de securitate; evaluarea periodic i raportarea strii de securitate la nivelul firmei; adaptarea politicii i asigurarea actualizrii i conformitii cu cerinele legale; popularizarea politicii n rndul angajailor; asistarea managerilor structurilor funcionale pentru formularea planurilor proprii de securitate a informaiilor. GSI trebuie s asigure conformitatea deplin a tehnologiei informaiei cu politicile, procesele i orice legislaie aplicabil. Responsabilul pe linie de resurse umane se va ngriji de selectarea i angajarea de personal bine pregtit i cu trasturi comportamentale adecvate, caliti absolut necesare punerii n aplicare a politicii de securitate. La acelai nivel vor fi investigate i eventualele abateri de la prevederile cadrului normativ aprobat, precum i punerea n micare a proceselor disciplinare. O responsabilitate foarte mare revine tuturor angajailor ...., n calitate de utilizatori, funcie de nivelurile de securitate primite de fiecare n parte pentru acces la resurse, precum i personalului extern care desfoar activiti n folosul unitii. Tuturor acestora le revine obligaia de a proteja datele i informaii cu care vin n contact, precum i resursele tehnologice alocate spre folosin, ntr-o manier eficient, etic i legal. Manipularea, violarea, rspndirea sau abuzarea neregulamentar a informaiilor i resurselor aferente constituie abateri grave care pot atrage, dup caz, aplicarea unor sanciuni administrative, disciplinare, contractuale i legale. 2.4. Standarde de securitate ntreg cadrul normativ intern adoptat n domeniul securitii informaiei este elaborat n conformitate cu standardul internaional SR ISO/CEI 27001:2006 Tehnologia Informaiei. Cerine pentru managementul securitii informaiei. 2.5. Revizuirea politicii de securitate Politica de securitate a informaiilor dup ce a fost implementat va fi analizat i revizuit ori de cte ori se produc mutaii importante n procesele de baz ale .... (revizii ordinare) i obligatoriu o dat pe an (revizie extraordinar), ocazie cu care vor fi avute n vedere oportunitile de mbuntire a politicii, a modului de abordare a securitii i a obiectivelor i msurilor de securitate. Procesul de revizie ordinar are n vedere componentele SMSI, respectiv politicile, procedurile, normele, regulamentele, instruciunile i alte componente. Acestea documente vor conine pe prima pagin data ultimei i urmtoarei revizii ordinare. Revizuirea ordinar a politicii de securitate este realizat ori de cte ori n urma auditrii proceselor .... au fost evideniate dovezi care atest c strategia de securitate este neadecvat sau nu este n conformitate cu politicile de securitate, managementul trebuie s aib n vedere aciuni corective. Reviziile extraordinare sunt independente de revizia ordinar i nu influeneaz periodicitatea reviziilor ordinare i se face n urma unor incidente de securitate, cu scopul de a preveni apariia altora n viitor, ca urmare a implementrii unor controale sau msuri specifice de prevenire i contracarare. Dac n urma unor revizii apar modificri n documentul politicii, acestea vor fi efectuate conform PG423-Controlul documentelor. Responsabilitatea revizuirii politicii de securitate a .... revine managerilor de procese, sub coordonarea responsabilului cu securitatea informaiilor. Revizuirea politicii de securitate a informaiilor trebuie s in cont de rezultatele analizei de management n acest domeniu, respectiv de toate deciziile i aciunile referitoare la: mbuntirea abordrii de ctre organizaie a managementului securitii informaiilor i a proceselor aferente;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

5 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

mbuntirea obiectivelor i msurilor de securitate; mbuntirea alocrii de resurse i/sau responsabiliti. Propunerile de modificare a politicilor de securitate sunt avizate de Grupul de Securitate a informaiilor i aprobate de catre Presedinte. 3. POLITICILE PE DOMENII DE SECURITATE 3.1. Politica de management al securitii informaiilor Managementul securitii informaiei este asumat, att de managementul la cel mai nalt nivel, ct i de managerii structurilor funcionale ale ..... Tuturor acestora le revine obligaia de a desemna responsabilitile cerute de manualul i procedurile securitii, de a aloca i utiliza eficient resursele necesare, astfel nct s se asigure o protecie real a datelor i informaiilor, precum i un control adecvat al serviciilor. Responsabilitatea pentru protecia i securitatea bunurilor companiei revine nemijlocit proprietarilor acestor resurse. n contractele cu terii vor fi prevzute msuri i responsabiliti privind modul n care se realizeaz accesul la informaie, astfel nct s fie angajat responsabilitatea acestora n legtur cu pstrarea confidenialitii datelor i informaiilor cu care intr n contact. 3.1.1. Politica de evaluare a riscurilor Procesul de management al riscului este destinat s protejeze confidenialitatea, disponibilitatea i integritatea resurselor informaionale ale ...., ca i integritatea procesrii acestora. Aceste riscuri trebuie evaluate periodic, printr-un proces formal, n conformitate cu Procedura de analiz i evaluare a riscurilor. Scopul acestei politici este de a da autorizare si autoritate responsabilului cu securitatea informaiei de a face analize i evaluri de risc periodice, n vederea determinrii zonelor vulnerabile i de a iniia aciuni corective adecvate. Politica urmarete s protejeze .... mpotriva incidentelor de securitate i expunerilor legale. Riscul este impactul negativ net al exploatrii unei vulnerabiliti, considernd probabilitatea i impactul producerii lui. Managementul riscului este procesul identificrii i evalurii riscului, precum i aciunile concrete de a-l reduce la un nivel acceptabil. Scopul final este de a ajuta departamentele organziaiei s gestioneze mai bine riscurile cu impact asupra atingerii obiectivelor lor. Politica de evaluare a riscului se aplic tuturor managerilor de departamente a cror responsabilitate este de a evalua riscurile. GSI-ul .... este responsabil pentru gestionarea riscurilor si pentru asigurarea de planuri de tratare a riscului. Obiectivul evaluarii riscului este de a ajuta .... s ii ating misiunea de business prin: securitate sporita a sistemelor IT care lucreaz cu informaiile ....; obinerea de informaii relevante pentru ca managementul .... s ia decizii fundamentate i s justifice bugetele alocate; asistarea managementului n autorizarea/acreditarea proceselor de business pe baza informaiilor rezultate dintr-o analiz de riscuri. GSI trebuie s dezvolte, s implementeze i s menin un program de evaluare i gestionare a riscurilor care s permit asigurarea c sunt luate msurile de securizare adecvate pentru a proteja resursele .....
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

6 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Evaluarea riscului este folosit pentru identificarea riscurilor de securitate, examinarea vulnerabilitilor i ameninrilor asupra sistemelor, determinarea importanei riscului i identificrii zonelor care necesit protecie. Evaluarea riscului este necesar i pentru evaluarea adecvrii controalelor de securitate existente, planificate i pentru identificarea celor care lipsesc. Evaluarea riscurilor furnizeaz managementului de vrf informaii pe care acesta s ii fundamenteze decizii, respectiv prevenirea unui eveniment nedorit sau reducerea efectelor acestuia. Pentru a determina probabilitatea producerii unui eveniment neplcut, sistemele IT i procesele vor fi analizate n corelaie cu vulnerabilitile poteniale i controalele implementate. Nivelul impactului este guvernat de impactul asupra obiectivelor de business i la randul lui stabilete o valoare relativ a sistemelor i resurselor IT. Evaluarea riscurilor este folosit pentru a furniza sprijin pentru dou funciuni: acceptarea riscului i selectarea controalelor de securitate adecvate. Reprezentantul managementului pentru SI va coordona echipe de auditori interni pentru meninerea un proces de evaluare periodic a riscurilor pentru protejarea informaiilor i infrastructurii de sisteme informatice n faa unui mediu de ameninri informatice n permanent evoluie. Tuturor responsabililor de procese li se cere s aprobe desfurarea unei evaluri anuale a riscurilor, cu o verificare la 6 luni asupra modului n care s-a acionat asupra riscurilor identificate. 3.1.2. Politica de management al schimbrilor Resursele informaionale ale .... necesit ntreruperi n cazul actualizrilor planificate, lucrrilor de ntreinere sau schimbrii configuraiilor. Managementul acestor modificri reprezint un aspect critic al furnizrii unei infrastructuri de resurse informaionale robuste i valoroase. Obiectivul politicii de management al schimbarii este de a gestiona modificrile ntr-o manier raional i predictibil, astfel nct personalul i clienii s-i poat face planurile n acord cu acestea. Modificrile necesit o serioas pregatire, o atent monitorizare i o continu evaluare pentru a reduce impactul negativ asupra comunitii utilizatorilor i a crete valoarea resurselor informaiei. Fiecare modificare ntreprins asupra unei resurse informatice a .... (sisteme de operare, echipamente, reele i aplicaii) reprezint obiectul politicii de management al schimbarii i trebuie s urmreasc procedurile de management al schimbarii, astfel: - toate modificrile care afecteaz facilitile de procesare (ca de exemplu, aerul condiionat, apa, cldur, evi, electricitatea i alarme) trebuie s fie raportate sau coordonate de ctre persoana care conduce procesul de management al schimbarii; - un comitet de management al schimbrii, numit de ctre GSI, se va ntruni n mod regulat pentru revizuirea necesitilor privind schimbrile i pentru asigurarea faptului c revizuirile i comunicarea lor sunt ndeplinite n mod satisfctor; - o cerere formal n scris pentru modificare trebuie s fie ntocmit pentru fiecare modificare, att pentru cele programate, ct i pentru cele neprogramate; - toate cererile pentru modificri programate trebuie s fie naintate n conformitate cu procedurile de managementul schimbrii, astfel nct comitetul de management al schimbarii s aib timp s evalueze aceast cerere, s determine i s revizuiasc potenialele cderi ale resurselor informaionale i s ia decizia de aprobare sau amnare a cererii; - fiecare cerere pentru modificri programate trebuie s primeasc aprobarea formal a comitetului de management al schimbarii, nainte de a proceda la respectiva modificare; - persoana numit de ctre comitetul de management al schimbarii poate contesta o modificare programat sau neprogramat din motive ce includ, dar nu se limiteaz la planificare neadecvat, planuri
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

7 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

de restaurare neadecvate, suprapunerea modificrii peste procese importante de afaceri cum ar fi contabilitatea de sfrit de an, sau n cazul n care resursele adecvate nu pot fi disponibile imediat. Resursele adecvate pot deveni o problem n weekenduri, concedii sau n timpul unor evenimente speciale; - o notificare ctre clieni trebuie ntocmit n cazul fiecrei modificri programate sau neprogramate care ii poate afecta, urmrind paii coninui n procedurile de management al schimbrii. Pentru fiecare modificare trebuie sa se faca o revizuire, indiferent dac aceasta modificare a fost programat sau nu si indiferent dac s-a soldat sau nu cu succes. Pentru orice modificare trebuie sa se faca o nregistrare n registrul de modificari. Aceasta intrare trebuie s conin, fr a se limita la: - data nregistrarii i data modificrii efectuate; - informaii de contact despre proprietar i custode; - natura modificrii; - indicaii privind succesul sau eecul operaiunii; - toate sistemele informatice ale .... trebuie s fie n conformitate cu un proces de management al schimbarii resurselor informationale. Modificrile de urgen sunt necesare periodic pentru a corecta problemele de software sau a restabili rapid operaiile de procesare. Dei modificrile trebuie fcute rapid, ele trebuie s fie implementate ntr-o manier controlat. Modificrile de urgen includ proceduri similare acelora privind controalele schimbrilor de rutin, cereri de modificri, evaluare i aprobare pentru asigurarea faptului c vor fi fcute rapid. De asemenea, managementul se va asigura de faptul c evalurile i documentaia detaliat ale modificrii de urgen vor fi efectuate ct mai repede posibil, dup implementare. n situaiile cnd este posibil, modificrile de urgen trebuie s fie testate nainte de a fi implementate. Dac managementul nu poate s testeze n amnunt schimbrile urgente nainte de instalare, este necesar ca el s realizeze backup-uri dup fiierele i programele respective i s stabileasc dinainte proceduri de restaurare. Backup-urile specifice, procedurile de restaurare dinainte stabilite i documentaia detaliat sporesc capacitatea managementului de a reface situaia dinainte de modificri, n cazul n care acestea provoac ntreruperi de sistem. Documentaia detaliat sporete n plus capacitatea managementului de a analiza impactul oricrei modificri, pe durata proceselor de evaluare care urmeaz modificrii. Procedurile de modificare de urgen trebuie s conin, ca minim necesar: - revizuiri i autorizri nainte de modificare; - testri nainte de modificare (n medii de testare separate); - proceduri de backup/restaurare; - documentaie care s includ: descrieri ale modificrii, motive privind implementarea sau respingerea unei modificri propuse, numele persoanei care a fcut modificarea, o copie a documentaiei modificate, data i ora la care s-au fcut modificarea i evalurile post-modificare. 3.1.3. Politica de audit Are ca scop s furnizeze autoritate echipei de auditori interni/ auditorilor externi, s conduc un audit de securitate asupra oricrui sistem al ...., s maximizeze eficacitatea auditurilor sistemelor i s reduc la minimum amestecul n procesele de afaceri. Obiectivele politicii de audit sunt: asigura integritatea, confidenialitatea i disponibilitatea informaiei i resurselor; investigarea posibilelor incidente de securitate i asigurarea conformitii cu
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

8 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

politicile de securitate ale ....; monitorizarea activitii utilizatorului sau a sistemului atunci cand este cazul. Aceast politic acoper toate dispozitivele/sistemele de calcul i comunicaii deinute sau operate de ctre ..... Politica mai acoper orice dispozitiv/sistem de calcul i comunicaii care este prezent n locaiile ...., dar care e posibil s nu fie deinut sau operat de ctre ..... Atunci cnd se cere, n scopul ndeplinirii unui audit, orice acces de care este nevoie va fi furnizat echipei de audit n regim temporar, drepturile de acces retragandu-se la terminarea auditului. Acest audit poate include: acces la nivel de utilizator i/sau nivel de sistem pentru orice dispozitiv/sistem de calcul sau comunicaii; acces la informaii (format electronic, copii pe suport dur, etc.) care pot produse, transmise sau stocate pe echipamentele sau in locaii ale ....; acces la zonele de lucru (laboratoare, birouri, cuburi, zone de stocare, etc.); acces la monitorizarea interactiv i jurnalizarea traficului de pe reelele ..... Auditurile sistemelor operaionale vor fi planificate minuios de ctre management pentru a reduce la minimum riscul ntreruperilor operaiunilor zilnice de afaceri. Accesul la instrumentele de audit va fi protejat, pentru a se preveni orice posibil atac sau compromitere. Integritatea datelor de testare ale sistemului va fi protejat i validat pentru a se asigura faptul c este corect i adecvat, nainte de a fi ntreprins auditul. Auditorul nu va ndeplini activiti de tipul Denial of Service. 3.2. Politica de management al resurselor 3.2.1 Inventarul i managementul resurselor Aceast politic guverneaz identificarea i clasificarea resurselor i sistemelor informaionale ale ..... Ea specific care resurse trebuie s fie clasificate i identificate i ofer o metod standard pentru clasificarea acelor resurse. Aceast clasificare a resurselor informationale este utilizat mpreun cu alte politici i standarde de securitate ale .... pentru a se asigura c acele controale de securitate implementate n scopul protejrii resurselor informatice ale .... sunt adecvate valorii acestor resurse. Obiectivul politicii este de a stabili un cadru pentru managementul i controlul resurselor ...., cadru ce include recunoaterea, evaluarea, protejarea i disponibilizarea (casarea) corect a acestora prin pstrarea de rapoarte exacte ale tuturor resurselor. Aceast politic se aplic ntregii proprieti, indiferent dac este vorba de resurse i sisteme tangibile sau intangibile deinute sau managerizate de ctre departamentele/ageniile ..... Bunurile deinute de ctre alte agenii constituie subiectul acestei politici. Politica se adreseaza tuturor persoanelor desemnate de ctre GSI, responsabile cu pstrarea, actualizarea i reevaluarea bazei de date a inventarului resurselor. Politica furnizeaz un cadru de practici utile de managementul resurselor, astfel nct s fie incluse toate resursele ...., att cele prezente, ct i cele viitoare, indiferent de formatul media (suportul) n care au fost dobndite, ca de exemplu hrtie, dischet, CD, band magnetic, etc., precum i alte resurse fizice. Stabilirea unui cadru comun pentru calcularea, managerizarea, raportarea i reducerea costurilor totale de proprietate ale tuturor resurselor (costurile duratei de viata) se va face n revizuirile ulterioare ale acestei politici sau printr-o politic separat. n plus, este de ateptat c alte programe destinate instrumentelor financiare, informaiile furnizate prin implementarea acestei politici de inventar si management al resurselor s fie stabilite.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

9 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Inventarul const n articolele din magazie sau cele deinute n stoc, articole care vor fi folosite n operaii de afaceri. Inventarul mai include materialul i aprovizionrile necesare articolelor respective la o dat ulterioar. Inventarul trebuie s fie protejat de punctul de achiziionare, de la recepionarea resurselor pana la utilizarea acestora. Politica ofer direcia pentru asigurarea faptului c: resursele fizice ale .... sunt protejate; persoanele responsabile managerizeaz n mod eficace resursele fizice; managerii sunt contieni de responsabilitatea securitii resurselor utilizate de ctre/pentru ei i a securitii echipamentului aflat n posesia lor; Departamentul de servicii administrative, prin GSI, va revizui i analiza informaia vast cu privire la inventarul/managementul resurselor IT ale .... naintat de fiecare departament/ agenie pentru eficienta si efectivitatea in: a. depistarea i raportarea resurselor .... n baza unei rutine; b. furnizarea unui ghid general de managerizare a tipurilor importante de resurse departamentelor/ageniilor (inclusiv hardware, software, sisteme de afaceri i date) c. furnizarea unui ghid general de calculare i raportare a costurilor totale de proprietate a resurselor IT pe ntreaga durata de viata - departamentelor; d. stabilirea puterii de achiziionare a .... prin cunoaterea necesitilor ...., a volumului i planificarilor necesitilor de achiziii viitoare de hardware i programe IT; e. asigurarea optimizrii i conformitii licenierii programelor; f. stabilirea unei valori iniiale, currente i casare pentru resursele ....; g. planificarea unei infrastructuri intinse, omogene, partajate de tehnologie a informaiei a ....; h. achiziionarea informaiilor necesare lurii de decizii de ctre managementul resurselor informatice a ....; Rapoartele electronice trebuie s fie migrate prin actualizri succesive ale hardware-ului i programelor. Politicile/procedurile, pentru a prezerva accesul la rapoartele electronice, trebuie s ia n considerare cum s protejeze integritatea i funcionabilitatea acestor rapoarte i s fie revizuite i modificate periodic, pentru a reflecta cele mai bune practici curente la acel moment. Funcia managementului resurselor este specific personalului desemnat cu responsabilitate privind pstrarea i conservarea resurselor .... pentru perioada cerut. n cazul n care o resurs a fost declarat parte a resurselor ...., nregistrarea i utilizarea acesteia vor fi sub incidena politicii de pstrare i conservare. Resursele considerate a avea valoare istoric vor fi transferate la sfritul vieii lor curente n arhivele .... pentru conservarea permanent. n cazul nregistrrilor electronice cu valoare istoric trebuie s se fac o copie pe suport dur - hartie, pn cnd problemele legate de migrarea programului sau hardware-ului au fost rezolvate. Politica trebuie s ia n considerare conservarea, si de asemenea, condiiile mediului de stocare i schimbrile ne-tehnologice. 3.2.2. Politica de clasificare a informaiilor Aceast politic asigur faptul c resursele informaionale ale .... primesc un nivel adecvat de protecie n conformitate cu importana i cu confidenialitatea lor. Obiectivul politicii de clasificare a datelor i informaiilor este de a ajuta personalul s determine ce informaii pot fi dezvluite persoanelor care nu fac parte din personalul ...., precum i sensibilitatea relativ a informaiei care nu trebuie dezvluit n afara .... fr autorizare specific.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

10 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Informaiile acoperite de aceast politic includ, dar nu se limiteaz la informaii care sunt fie stocate, fie partajate prin orice mijloace. Acestea includ: informaii stocate electronic, informaii pe hrtie i informaii partajate pe cale oral sau vizual. Politica de clasificarea informaiilor/datelor se aplic proprietarilor, custozilor i utilizatorilor informaiilor care se afl pe sau sunt procesate n orice fel de ctre resursele informatice ale ...., n timpul utilizrii resurselor de procesare sau reea ale ..... Toi utilizatorii trebuie s ia la cunotin i s se conformeze acestei politici. Informaiile i datele trebuie s fie clasificate n funcie de propriile cerine privind controlul accesului. Proprietarul oricrei resurse informaionale este responsabil de clasificarea informaiei stocate sau procesate de ctre resursele informationale, pe baza standardelor de evaluare a riscului securitii informatiei, prin cerinte specifice de control al accesului i de manevrare. Toate datele .... i datele ncredinate .... sunt clasificate dup cum este descris n Ghidul de clasificare. Daca nu este specificat altfel, nivelul de clasificare implicit este Internal Limited. Toate datele trebuie s fie pstrate n conformitate cu Regulament de Securitate a Datelor-IT06. Informaiile i datele vor fi clasificate conform cerinelor de manevrare astfel: - Informaii confidentiale informaii considerate ca fiind eseniale pentru activitile ...., o unitate .... sau un proiect oficial de cercetare al ..... - Informaii de uz intern informaii care se refera la controlul accesului, date privind managementul conturilor, proceduri, documentaia privind securitatea resurselor informaionale sau oricare alte informaii desemnate astfel de catre ..... - Informaii publice informaii care nu sunt desemnate n mod specific ca fiind de confideniale sau de uz intern i, de asemenea, nu sunt desemnate a fi confideniale. 3.2.3. Politica de liceniere Politica de liceniere subliniaz cerinele .... pentru adoptarea procedurilor necesare pentru prevenirea violrilor de drepturi de autor i ale proprietii intelectuale (copyright). Pentru a-i proteja valorile referitoare la proprietatea intelectual i drepturile de autor, companiile producatoare de software i companiile IT folosesc licene de tip End User Licence Agreement, care avizeaz utilizatorii despre drepturile i obligaiile lor privind pstrarea drepturilor de proprietate intelectual i despre legile aplicabile care protejeaza aceast proprietate. Scopul acestei politici este de a asigura faptul c .... asigur msurile necesare pentru alinierea la legislaie i pstrarea drepturilor de proprietate intelectual pentru produsele software folosite n cadrul ..... Politica de licene software stabilete regulile pentru utilizarea produselor software liceniate n cadrul ..... Aceasta politica se adreseaza ntregului personal care foloseste resurse informaionale .... prin intermediul echipamentelor IT proprietate ...., respectiv celor care opereaz, gestioneaz sau folosesc servicii i echipamente IT pentru a asigura suportul necesar de business pentru ..... .... furnizeaza un numr suficient de copii liceniate ale produselor software liceniate pentru a facilita desfurarea activitii angajatilor si de o maniera eficient i rapid. Managementul trebuie s asigure relaiile contractuale adecvate cu furnizorii de software pentru obinerea de copii suplimentare ale produselor software atunci cnd necesitatea de business o cere.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

11 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Informaiile supuse copyright-ului i produsele software aparinnd unor tere pri sau pentru care .... nu are aprobarea specific de stocare i/sau de utilizare nu vor fi stocate sau folosite pe echipamentele ..... Administratorii de sistem vor fi responsabili de nlturarea acestor informaii i/sau produse software n toate cazurile n care utilizatorii acestora nu pot prezenta dovezi clare de asigurare a acestor drepturi de la productorii respectivi. Produsele software aparinnd unor tere pri care sunt n posesia .... nu trebuie copiate dect n condiiile prevzute de contractele de liceniere i numai cu aprobarea formal a managementului, sau numai n scop de asigurare a planului de continuitate a afacerii. .... va stabili proceduri care sa asigure utilizarea produselor software doar n condiiile legii. Aceste proceduri pot include: - realizarea de inventare a produselor software instalate/prezente pe echipamentele ....; - determinarea produselor software pentru care exist drepturi de utilizare; - dezvoltarea i meninerea de sisteme de nregistrare i management al licenelor. Structurile funcionale ale .... vor coopera ntre ele pentru schimbul de informaii ce pot fi adecvate pentru combaterea folosirii ilegale de produse software. GSI-ul .... va fi responsabil de asigurarea urmtoarelor: - folosirea i achiziionarea numai de software autorizat pe echipamentele IT ale ....; - educarea i avertizarea personalului privind drepturile de copyright i proprietate intelectual, precum i promovarea politicilor i procedurilor existente n acest sens n ....; - asigurarea existenei i adecvrii politicilor i procedurilor pentru protejarea copyright-ului; - implementarea i efectivitatea acestor politici i proceduri.

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

12 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

3.2.4. Politica de utilizare acceptabil a resurselor informatice Resursele informatice sunt bunuri strategice ale ...., care trebuie s fie managerizate ca resurse valoroase, iar scopul acestei politici este de a contura utilizarea acceptabil a computerelor, sistemelor de calcul, reelelor de calculatoare i altor resurse aflate fizic i/sau virtual la toate locaiile, deinute i/sau controlate fizic i/sau virtual de ctre ..... Obiectivul politicii este protejarea .... i a angajailor, consultanilor, licenelor, deintorilor, francizelor, furnizorilor, clienilor i membrilor afiliai ai acesteia de vulnerabiliti precum utilizarea neadecvat acestora i generarea de riscuri care pot include atacuri ale viruilor, cailor troiani i viermilor, atacuri de tipul denial of service, distrugerea sistemelor i serviciilor i a problemelor juridice, chestiunilor legitime. Aceast politic privete toi utilizatorii de computere i resurse de comunicaii electronice, precum i echipamente nchiriate de ctre ..... Aceast politic este ntocmit pentru a fi obinute urmtoarele: asigurarea conformitii cu statuturile, regulamentele i dispoziiile care se aplic managementului resurselor informaiei. stabilirea de practici prudente i acceptabile privind utilizarea resurselor informaiei. instruirea persoanelor care pot utiliza resursele informaiei pentru respectarea responsabilitilor acestora, asociate respectivei utilizri. protejarea integritii computerelor, reelelor i datelor aflate fie la sediul ...., fie n alt parte; asigurarea de faptul c utilizarea comunicaiilor electronice se face n conformitate cu politica ....; protejarea .... de eventuale consecine legale care ar putea duna acesteia. Politica .... asigur faptul c resursele informaiei sunt utilizate ntr-o manier eficace, etic i legal. Utilizatorii trebuie s respecte intimitatea i privilegiile de utilizare ale celorlali, att la locaia ...., ct i la toate sediile .... accesibile prin conexiuni de reea. Utilizatorii nu trebuie, pe de alt parte, s se angajeze n acte care s fie mpotriva scopurilor i direciilor ...., dup cum este specificat n documentele de conducere ale acesteia sau n regulile, regulamentele i procedurile adoptate. Utilizatorii trebuie s respecte integritatea sistemelor i reelelor de computere n toate sediile .... accesibile prin conexiuni de reea. Utilizatorii nu vor ncerca, sub nici un motiv, s se infiltreze (de exemplu, s obin acces fr o autorizaie adecvat) la vreun sistem sau reea de computere aflate fie la sediul ...., fie n alt parte. Utilizatorii nu vor ncerca s produc daune sau s altereze componentele hardware i software ale unui sistem sau reea de computere aflate fie la sediul ...., fie n alt parte. Utilizatorii conexiunilor externe de reea ale .... se vor conforma politicilor de "Utilizare acceptabila" stabilite de ctre organismele de conducere ale reelelor externe. Utilizatorii trebuie s raporteze orice slbiciune a securitii computerelor ...., orice incident privind eventuale pierderi sau violri ale acestui acord autoritilor specifice prin contactarea managementului corespunztor. Utilizatorii nu trebuie s ncerce accesarea oricror date sau programe coninute pe sistemele .... pentru care nu au autorizaie sau permisiunea explicit.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

13 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Utilizatorii nu trebuie s divulge nimnui numerele de telefon Dialup sau Dialback ale modemurilor. Utilizatorii nu trebuie s-i dezvaluie conturile ...., parolele, numerele personale de identificare (PIN), tokenurile de securitate (de exemplu, Smartcard) sau alte informaii similare sau dispozitive folosite n scopuri de identificare i autorizare. Utilizatorii nu trebuie s fac copii neautorizate ale programelor care sunt protejate prin legea referitoare la drepturile de autor. Utilizatorii nu trebuie s utilizeze programe non-standard, cu licena limitat sau gratuite fr aprobarea managementului resurselor informatice al ...., cu excepia celor aflate pe lista .... a programelor standard. Utilizatorii nu trebuie s se angajeze cu premeditare n activiti care pot: duna, amenina sau provoca abuzuri altora; nruti activitatea resurselor informatice; bloca accesul autorizat al unui utilizator .... la o resurs ....; obine alte resurse n afara celor alocate; contraveni msurilor .... privind securitatea computerelor. Utilizatorii nu trebuie s descarce, s instaleze sau s ruleze programe sau utiliti de securitate care s divulge sau s exploateze slbiciunile din securitatea unui sistem. De exemplu, utilizatorii .... nu trebuie s ruleze programe cu parole sparte, packet sniffers, ori port scanners sau orice alte programe neaprobate n cadrul resuselor informatice ale ..... Resursele informaionale ale .... nu trebuie s fie utilizate n scopuri personale. Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit n mod intenionat materiale pe care .... le-ar putea considera jignitoare, indecente sau obscene. Accesul la Internet de la un computer de acas proprietate a .... trebuie s fie n conformitate cu politicile care se aplic i n cazul utilizrii computerelor aflate n sediul ..... Angajaii nu trebuie s permit membrilor familiei sau altor persoane din afara .... accesul la sistemele de computere ale ..... Utilizatorii nu trebuie s se angajeze n acte care s fie mpotriva scopurilor i direciilor ...., dup cum este specificat n documentele de conducere ale acesteia sau n regulile, regulamentele i procedurile adoptate. In general, utilizarea ocazional n interes personal a resurselor informaiei este permis. Se aplic ns urmtoarele restricii: Utilizarea ocazional n scop personal a potei electronice, Internetului, faxului, imprimantelor, copiatoarelor i a altor dispozitive este restricionat doar la utilizatorii aprobai de ctre ..... Accesul nu este permis membrilor familiei sau altor persoane; Utilizarea ocazional nu trebuie s aib drept consecin suportarea de costuri directe de ctre ....; Utilizarea ocazional nu trebuie s interfereze cu ndatoririle normale de munc ale angajatului. Nu pot fi trimise sau primite fiiere sau documente care pot conduce la aciuni legale mpotriva .... sau care pot duna acesteia; Stocarea postei potei electronice, mesajelor vocale, fiierelor i documentelor personale in cadrul resursele informaiei a .... trebuie s fie nominal. Toate mesajele, fiierele i documentele - inclusiv mesajele, fiierele i documentele personale localizate in cadrul resurselor informatice ale .... sunt proprietatea ...., putnd fi supuse cererilor de acces (spre a fi controlate), i pot fi accesate n conformitate cu aceast politic.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

14 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

3.2.5. Politica de utilizare a echipamentelor mobile Prin aceast politic sunt stabilite reguli destinate celor care folosesc echipamente mobile in diverse locaii ale .... sau care lucreaz acas (fie folosind echipamentele .... sau echipamente proprii), sau folosesc informaii pe suport fizic (hartie, suport magnetic etc.) acas sau n diverse locaii n afara sediilor ....; aceste reguli urmresc s asigure deplina contientizare i avertizare a riscurilor de securitate induse de aceste condiii de lucru. n vederea protejrii personalului i a altor persoane, resursele i echipamentele organizaiei, personalul care lucreaz acas sau la distan trebuie s asigure msuri adecvate de securitate. Scopul politicii este de a reglementa felul n care cei care folosesc echipamente mobile sau lucreaz de la distan, precum i cei care folosesc informaii stocate pe diverse medii n afara companiei utilizeaz aceste resurse ntr-un mod care s asigure securitatea informaiei i s nu pericliteze echipamentele i reeaua ..... Politica de securitate pentru echipamentele mobile i pentru cei care se conecteaza de la distana stabilete restriciile i condiiile de conectare pentru accesul i utilizarea echipamentelor portabile deinute de .... (computere mobile, echipamente mobile de reea, echipamente de comunicaii i alte echipamente mobile) folosite pentru a stoca i procesa informaii, precum i produsele software aferente utilizate de personalul ..... Aceasta politica se adreseaza oricarui angajat .... care folosete sau transport resurse informaionale sau echipamente .... n afara locaiilor ..... Pentru a accesa resurse informaionale aparinnd .... vor fi folosite numai echipamentele mobile aprobate n mod formal i explicit de ..... Echipamentele mobile trebuie sa fie protejate adecvat, prin folosirea parolelor si codurilor. Informaiile aparinnd .... nu trebuie s fie stocate n nici un fel pe echipamentele mobile. Totui, n cazurile n care nu exista alternative la stocarea local, toate informaiile .... trebuie s fie criptate folosind tehnologiile de criptare aprobate de ..... Nu este permisa transmiterea informaiilor .... folosind tehnologia wireless ctre sau dinspre un echipament mobil, n afara cazurilor n care aceast transmisiune este aprobat i este securizat folosind tehnologiile de criptare aprobate de ..... Toate conexiunile la distan (servicii de tip dial in) trebuie s se fac fie folosind un modem din pool-ul aprobat de ...., fie folosind un Internet Service Provider (ISP) aprobat. Sistemele care nu aparin .... i pentru care se cere conectarea n reeaua .... trebuie s fie conforme cu Standardele IS ale ...., iar conectarea trebuie s fie aprobata n scris de GSI-ul ..... Responsabilul pentru o resursa informaional trebuie s identifice i s evidenieze riscurile pentru companie n cazul pierderii i furtului resursei respective i s estimeze impactul pe care aceste evenimente l pot avea asupra activitii sale i a departamentului. Utilizatorii acestor resurse trebuie s: reduca folosirea lor la minimum n zone publice; foloseasc aceste resurse n afara companiei numai n scopuri legate de activitatea de serviciu; asigure securitatea acestor resurse atunci cnd le folosesc n afara companiei; s nu foloseasc n reeaua .... alte echipamente mobile (cum ar fi laptopurile) dect cele autorizate de ....; n cazul folosirii PDA-urilor, fie proprii sau apartinand ...., s nu transfere pe acestea dect informaii referitoare la calendar, task-uri, contacte i note, cu excepia cazurilor n care au produse software de protecie a acestor echipamente instalate pe ele i actualizate n mod regulat;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

15 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

s nu foloseasc informaii ce pot identifica clieni sau personal ...., informaii marcate drept confideniale (cum ar fi plngeri, reclamaii, aprecieri sau msuri disciplinare) pe echipamente mobile care nu sunt autorizate formal de ....; scaneze de virui i malware orice mediu de stocare utilizat pentru a transfera informatii pe / de pe resursele companiei; s nu transmit informaii ce pot identifica clieni si angajai .... pe adrese personale sau pe echipamentele de acasa; s pstreze echipamentele i fiierele blocate i ascunse (camuflate) atunci cand transport echipamente pe care nu le pot avea sub observaie (n cazul deplasrilor etc.); s se asigure c echipamentele i documentele ce urmeaz a fi transportate sunt mpachetate i ambalate n mod corespunzator pentru a preveni distrugerea sau alterarea lor; s nu depoziteze off-site nici un fel de support de stocare care conine informaii confideniale (inclusiv pe suport de hartie); sa nu lase nesupravegheat nici un echipament mobil fara a lua masuri de securitate corespunzatoare (cum ar fi legarea de birou cu cabluri de securitate, incuierea intr-un dulap sau incuierea camerei etc.). 3.2.6. Politica de utilizare a serviciului de email Aceast politic este stabilit pentru a implementa practici preventive i acceptabile pentru folosirea serviciului de e-mail i a educa personalul n folosirea serviciului de e-mail respectand responsabilitatile associate cu acesta. Obiectivul politicii este de a descrie modul de folosire acceptabila a serviciului de e-mail i a celor asociate, a sistemelor de calcul i a facilitilor i de a stabili regulile de transmitere, primire i stocare a mesajelor electronice. Aceasta politica trebuie aplicat de toi utilizatorii care folosesc serviciul de e-mail, servicii asociate i faciliti de procesare. De asemenea, aceasta politic va fi revizuit periodic, iar atunci cnd este necesar va fi modificat. Acest lucru este necesar innd cont de dezvoltarea planificat de aplicaii, utilizarea operaional a sistemelor de calcul i a celor mai bune practici general recunoscute. Aceasta politica este aplicabil tuturor angajailor care au privilegii de acces la orice resurs informatic a ...., cu capacitatea de a trimite, primi sau stoca mesaje electronice. Numai utilizatorii autorizai ai sistemelor de calcul .... sunt ndreptii a folosi facilitile serviciului de e-mail. Implementarea acestei politici va asigura inteligibilitatea, consistenta, disponibilitatea, accesul i calitatea datelor n beneficial utilizatorilor i clienilor deopotriv. Scopul politicii de utilizare a serviciului de e-mail este de a defini i sublinia utilizarea acceptabila a acestui serviciu, precum i a resurselor associate n cadrul ..... Serviciile de e-mail, resursele asociate i conturile de utilizator sunt proprietatea ..... Aceste resurse sunt folosite pentru ndeplinirea scopului afacerii servind interesele ...., angajailor i clienilor n condiiile operaiunilor de afaceri uzuale. Politica de utilizare a serviciului de e-mail cuprinde un set de reguli i recomandri care trebuiesc urmate atunci cnd se folosesc reelele .... sau oricare alta reea care este conectat al reeaua ...., inclusiv serviciile de internet i e-mail. In conformitate cu regulamentele .... i aceasta politica, angajaii .... sunt ncurajai n folosirea serviciilor de internet si e-mail la potential maxim pentru: - a urma misiunea ....;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

16 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

a furniza servicii de cea mai nalt calitate clienilor; a descoperi noi ci de utilizare a resurselor pentru mbuntirea acestor servicii; a promova dezvoltarea profesionala a personalului.

Obligaii: - toate informaiile importante ale .... trebuiesc transmise n forma criptat; - toate activitile legate de resursele informatice sunt nregistrate i supuse revizuirii n mod periodic. Urmatoarele activiti sunt interzise de aceast politic: - trimiterea de mesaje electronice cu caracter de intimidare sau hruire; - folosirea serviciului de e-mail pentru a conduce afaceri personale; - folosirea serviciului de e-mail n scopuri politice lobby, campanii; - ncalcarea legilor de copyright prin distribuirea neadecvat a lucrrilor proprietare i protejate; - pozarea ca alt identitate atunci cnd trimite mesaje electronice exceptnd situaia cnd este autorizat s trimit mesaje pentru altcineva i prestnd un serviciu administrativ de suport; - folosirea de software neautorizat pentru serviciul de e-mail. Urmatoarele activiti sunt interzise pentru a preveni ngreunarea comunicaiilor i folosirea eficient a sistemelor i serviciilor de e-mail: - trimiterea de mesaje electronice multiple (chain-letters); - trimiterea de mesaje electronice nesolicitate ctre grupuri mari de utilizatori exceptand cele care sunt necesare pentru a conduce organizaia sau departamantul; - trimiterea de mesaje excesiv de mari; - trimiterea sau naintarea de mesaje care par a conine virusi. Orice mod de folosire accidental n scop personal a serviciilor de internet sau e-mail trebuie s respecte urmatoarele limitri: - folosirea accidentala n interes personal a serviciilor de internet i e-mail este permis, dar nu ncurajat; - s nu implice cheltuieli suplimentare pentru ....; - s fie sumar i cu grad de frecven redus; - s nu aib vreun impact negativ asupra productivitii angajatului; - s nu interfereze cu activitile normale ale departamentului n care acesta lucreaz; - trebuie s nu compromit n nici un fel angajaii ....; - utilizarea trebuie s fie etic i responsabil. 3.2.7. Politica de utilizare a Internet-ului Aceasta politic definete utilizarea serviciului de Internet n scopul: - asigurrii conformitii cu statutele, regulamentele aplicabile i managementul resurselor informatice; - stabilirii de practici preventive i acceptabile referitoare la folosirea serviciului de Internet; - educrii utilizatorilor care folosesc servicii de Internet, Intranet ori ambele n a respecta rspunderile asociate cu aceast utilizare.

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

17 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Politica de acces la Internet se aplic tuturor utilizatorilor de Internet (utilizatori din interiorul companiei, contractori, parteneri de afaceri, teri) care au acces la Internet prin intermediul resurselor informatice. Utilizatorii de Internet din interiorul companiei sunt obligai a cunoate i a se conforma acestei politici i, de asemenea, li se cere s foloseasc reguli de bun-sim i responsabilitate cnd folosesc aceste servicii. .... stabilete aceast politic pentru utilizarea n mod responsabil, eficient, etic i n conformitate cu legislaia n vigoare a reelei i accesului la Internet i n concordan cu misiunea companiei. Utilizatorii trebuie s-i nsueasc aceasta politic, Regulament de Utilizare al Internetului i celelate regulamente conexe ca o condiie a folosirii serviciului de Internet. Refuzul poate determina restricionarea accesului sau revocarea acestuia. Mai mult, se pot lua masuri disciplinare sau/i legale. Utilizarea reelei .... trebuie s fie conform cu regulile impuse, reglementrile n vigoare i politicile ..... Toate sistemele din reea i informaiile create, stocate sau transferate pe alt tip de suport sunt i vor rmane proprietatea ....: - router-ele, switch-urile, wireless access points si hub-urile sunt puncte vulnerabile i trebuie controlate centralizat pentru a asigura controlul, securitatea i buna funcionare a lor; - echipamentele non-standard (altele decat calculatoarele de birou sau portabile) trebuiesc aprobate de .... nainte de a fi conectate la reea n orice locaie sau orice extensie; - .... poate bloca, restriciona sau limita traficul generat de aplicaii att ct este nevoie pentru a asigura limea de band adecvat pentru aplicaiile prioritare; - numai firewall-urile controlate de .... vor fi acceptate pentru a securiza conexiunile ntre subnet-uri (VLANs) ; - ncercrile intenionate i deliberate de a obine informaii despre calculatoare nepublicate n reea sunt interzise; - toate programele utilizate pentru accesarea Internet-ului trebuie s fac parte din suita de programe standard sau aprobate de conducerea ....; aceste programe trebuie s conin pachetele de securitate aferente; - informaiile senzitive transmise n retele externe trebuie criptate; Utilizarea n interes personal a Internetului este interzisa, dar se accepta utilizarea in mod accidental numai daca: - nu rezulta costuri directe din partea ....; - nu trebuie s atenueze performanele profesionale ale sarcinilor utilizatorului; - nu se trimit fiiere sau documente care pot provoca implicaii legale sau impact negativ asupra ....; - toate fiierele i documentele inclusiv cele personale sunt proprietatea .... i pot fi supuse nregistrarilor, accesate n conformitate cu aceast politic. 3.3. Politica de securitate a personalului Msurile de protecie a personalului au drept scop prevenirea accesului neautorizat la informaiile companiei i garantarea c informaiile sunt distribuite numai acelor persoane care au dreptul s le primeasc, cu respectarea principiului de a cunoate. Totodat, prin normele de control instituite se urmrete identificarea acelor persoane care pot pune n pericol securitatea informaiilor ori bunurilor firmei.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

18 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Cerinele de securitate a personalului vor fi avute n vedere att nainte de angajare, pe timpul anagajrii, ct i la ncheierea, sub orice motiv, a activitii n cadrul societii. Drepturile i responsabilitile ce revin cadrelor n domeniul securitii informaiei sunt incluse, att n contractele de munc, ct i n fiele postului. ntreg personalul va fi instruit permanent n domeniul securitii informaiilor, iar prin sistemul de monitorizare a sistemului de management al securitii informaiei va fi nregistrat i investigat orice abatere de la cadrul normativ instituit, precum i orice bre de securitate aprut (incidente n funcionarea sistemelor, ntreruperi anormale, nclcri ale drepturilor de acces etc). Politicile si procedurile de securitatea informatiei ale .... vor fi comunicate tuturor angajailor ...., ele fiind disponibile pentru toi cei care pot avea impact asupra securitii i integritii resurselor informaionale ale ..... Va fi disponibil un program de meninere la zi a cunostinelor despre politicile, procedurile i practicile acceptate de asigurare a securitii informaiei. Persoanele responsabile pentru resursele IT ale .... vor urma traininguri adecvate pentru implementarea specific a controalelor de securitate pentru echipamente, software si reelele de care sunt responsabili. Politicile i standardele de securitate trebuie respectate pentru a se putea atinge nivelul dorit de securitate a informatiei, control i integritate a ei. O reluare continu i o ntrire n sens pozitiv a necesitii politicilor i standardelor de securitatea informaiei furnizeaz cunotinte si o atitudine pozitiv care ncurajeaz practicarea i aplicarea procedurilor stabilite. Fr aceast ntrire, politicile i standardele pot fi percepute ca nerelevante, nenecesare, sau lipsite de valoare i nu vor fi aplicate sau vor fi aplicate de o maniera inefectiva. 3.4. Politica de securitate a accesului 3.4.1. Controlul accesului fizic Protecia resurselor informaionale ale .... este realizat n condiii adecvate fizice i de mediu, iar politica de securitate n acest domeniu are ca obiectiv prevenirea accesului neautorizat la aceste bunuri. Astfel, informaiile, bunurile i resursele importante vor fi meninute n zone protejate, ntr-un perimetru de securitate definit i controlat sub aspectul accesului, micrii, riscurilor i interferenelor de mediu. Sectoarele, camerele i locurile n care sunt gestionate informaiile sensibile ale societii se stabilesc de ctre conducerea firmei, n funcie de volumul acestora i caracteristicile cldirii. Camerele n care funcioneaz serverele vor avea implementate msuri de protecie fizic (ncuietori la u, sisteme automate de supraveghere i control acces, dispozitiv de alarm i mijloace pentru detectarea prezenei), iar accesul va fi permis numai cadrelor autorizate de ctre managerul general. Predarea primirea informaiilor sensibile se va face n mod controlat, numai ntre persoanele care au dreptul de a le accesa. Accesul persoanelor din afara societii (pentru activiti de colaborare n cadrul contractelor comerciale sau asisten; angajaii agenilor economici care efectueaz lucrri de construcii, reparaii i intreinere a cldirilor, instalaiilor sau utilitilor; persoane aflate n documentare ori schimb de experien; solicitani de audiene etc ) este permis doar cu aprobarea conducerii firmei, pe baza permisului de acces temporar (care se va retrage la terminarea activitilor) i numai n locurile destinate scopului declarat. Aceste persoane vor fi supravegheate pe toat perioada lucrrilor de ctre persoane anume desemnate.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

19 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Evidena permiselor de acces temporar se ine de ctre funcionarul de securitate, ntr-un registru de eviden special, iar pierderea unui astfel de permis va fi consemnat i va antrena msurile necesare de prevenire a folosirii lui de persoane neautorizate. n situaiile care impun accesul persoanelor strine n locurile unde se gestioneaz informaii sensibile ale companiei, acesta se va face numai cu aprobarea prealabil a unui cadru din conducerea firmei i nsoite de persoane anume desemnate. Cheile de la birourile i fietele unde se concentreaz date i informaii sensibile ale firmei nu vor fi scoase din zona societii. n afara orelor de program aceste ui se vor sigila, iar cheile vor fi pstrate de ctre personalul care asigur paza i aprarea. n situaii de urgen i n absena titularului sigiliului i cheilor de la birourile sau fietele unde sunt depozitate informaii sensibile ale firmei, accesul la acestea este permis doar unei comisii formate din dou persoane, desemnat de conducerea societii, care va ntocmi un proces verbal despre producerea evenimentului. Copiatoarele i dispozitivele telefax care pot multiplica sau transmite informaii sensibile se vor folosi numai de ctre persoane autorizate. n zonele n care se poart discuii confideniale (tratative; negocieri etc) i care sunt asigurate din punct de vedere tehnic, nu se vor instala telefoane, iar dac instalarea acestora este absolut necesar, acestea trebuie prevzute cu un dispozitiv de deconectare pasiv. Card-urile de acces i cheile care nu mai sunt folosite trebuie returnate persoanei responsabile de securitatea locatiei respective. Acestea nu trebuie re-alocate altei persoane dect prin intermediul procedurii specifice. Card-urile i cheile pierdute sau furate trebuie s fie anunate persoanei responsabile de securitatea locaiei respective. Card-urile i cheile nu trebuie s conina informaii de identificare altele dect adresa de returnare n caz de gsire accidental. Toate locaiile care permit accesul vizitatorilor vor nregistra accesul acestora printr-un registru de intrare/iesire. Registrele de acces cu card sau de acces al vizitatorilor vor fi pastrate pentru verificri de rutin asupra accesului. Persoana responsabil de accesul la locaie trebuie sa elimine drepturile de acces persoanelor care se mut din locaie sau nu mai lucreaz n cadrul ..... In zonele cu acces prin card vizitatorii trebuie s se deplaseze numai nsoii. Persoana responsabil pentru securitatea locaiei trebuie s fac o examinare periodic a registrelor de acces i s investigheze orice acces i se poate parea suspect. Persoana responsabil pentru securitatea locaiei trebuie s revizuiasc periodic drepturile de acces prin card/cheie i s nlature drepturile de acces ale celor care nu mai au nevoie de acestea. 3.4.2. Controlul accesului logic Pentru prevenirea accesului neautorizat la datele i informaiile stocate electronic, au fost elaborate i implementate proceduri i controale pentru securizarea accesului la nivel logic la aceste resurse. Accesul la informaiile, serviciile de reea, sistemele i aplicaiile .... va fi controlat pe baza unor criterii de securitate specificate pentru fiecare sistem n parte. Totodat, pentru fiecare sistem i aplicaie n parte au fost proiectate i implementate proceduri, parole, privilegii i controale care, n ansamblu asigur un cadru normativ intern adecvat managementului utilizatorilor i serviciilor.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

20 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Toate conexiunile la sisteme i aplicaii sunt controlate i validate, iar msurile pentru acest control al accesului se face i dup ntreruperea temporar a activitii la terminal. Toate activitile executate n cadrul sistemelor funcionale aflate n exploatare la nivelul firmei sunt auditate, ocazie cu care se produc i nregistreaz dovezi ale unor eventuale nclcri ale politicilor i standardelor de acces. Aceast politic se aplic tuturor angajailor .... (personalului, contractorilor, consultanilor, colaboratorilor, vizitatorilor, etc.) pe durata utilizrii resurselor de pe sistemele sau reelele de computere ale ..... Toi utilizatorii trebuie s ia la cunotin i s se conformeze acestei politici conform regulilor stabilite pentru acordarea, controlarea, monitorizarea i terminarea accesului fizic la facilitile resurselor informatice. Resursele informatice ale .... trebuie s fie utilizate doar n scopuri de afaceri, autorizate n mod expres de ctre management i trebuie s se foloseasc controale de acces i alte msuri de securitate pentru a proteja confidenialitatea, integritatea i disponibilitatea informaiei manevrate de computere i sisteme de comunicaii. n vederea obinerii acestor obiective, managementul i pstreaz dreptul de a: - restriciona sau revoca oricare dintre privilegiile utilizatorilor; - inspecta, copia, transfera sau distruge orice dat, program sau resurs de sistem care ar putea submina aceste obiective; - lua oricare alte msuri necesare managementului i protejrii sistemelor informatice proprii. Aceast autoritate poate fi exercitat cu sau fr ntiinarea utilizatorilor implicai. .... i declin orice responsabilitate privind pierderea sau deteriorarea datelor sau software-urilor, pagube care rezult din eforturile acesteia de ndeplinire a obiectivelor de securitate. Angajailor care utilizeaz sistemele informatice ale .... li se interzice obinerea de acces neautorizat la oricare alte sisteme informatice i deteriorarea, alterarea sau ntreruperea operaiilor acestor sisteme. Privilegiile tuturor utilizatorilor privind computerele i sistemele de comunicaii, sistemele i programele trebuie s fie restricionate pe baza necesitatii de a ti (need to know). Accesul la informaiile valoroase sau sensibile ale .... trebuie s fie permis doar dup ce s-a obinut autorizarea expres a managementului. Accesul la informaiile secrete trebuie s fie permis doar persoanelor specifice, nu grupurilor de persoane. Ori de cte ori .... deschide un cont nou pentru un client, trebuie mai nti s autentifice identitatea acestui client ntr-un mod definitiv. Orice privilegiu privind sistemul informatic care nu a fost permis n mod specific de ctre GSI este interzis. Aceste privilegii nu pot fi folosite, indiferent de scopul de afaceri al ...., pn cnd nu au fost aprobate n scris. Accesul la informaiile .... trebuie s fie ntotdeauna autorizat de ctre un proprietar desemnat al acestor informaii i trebuie s fie limitat in baza necesitatii de a ti (need to know) la un numr restricionat de persoane. Politica stabilete regulile privind accesarea sistemelor, aplicaiilor i datelor pentru fiecare utilizator sau grup de utilizatori, astfel: - drepturile de accesare a fiierelor pentru un utilizator sau un grup trebuie s fie stabilite n conformitate cu cerinele de afaceri i cu principiul "need to know.

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

21 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

procedurile formale trebuie s controleze cum este acordat accesul la serviciile sistemului informatic sau cum acest acces este, pentru a se preveni astfel accesul neautorizat la date sau la resursele sistemului. - profilul utilizrii, detalierea privilegiilor i drepturile de acces trebuie s fie desemnate pentru fiecare utilizator n parte. - trebuie s fie controlate nivelele de acces care pot fi permise. - trebuie s se ntocmeasc i s se actualizeze rapoarte formale privind utilizatorii. - trebuie asigurat faptul c toate conturile redundante ale utilizatorilor sunt terse. - trebuie s fie revizuite, n mod regulat, privilegiile utilizatorilor. Regulile privind controlul accesului: - procedurile Secure logon trebuie s controleze accesul la sistemele informatice gazd; - procedurile de log-on trebuie s dezvluie informaii minime despre sistem, pentru a fi constatat utilizarea neautorizat; - autorizarea celui mai mic privilegiu ("Need to Know"). 3.4.3. Accesul terilor Ocazional, .... primete cereri pentru conexiune direct la reeaua proprie din partea unor tere pri (firme care furnizeaz servicii suport pentru .... sau furnizori de produse i/sau servicii, care ofer soluii de access la distan sau mentenan). Scopul acestei politici este de a stabili regulile prin care se acord unui furnizor/ter parte accesul la resursele IT i serviciile suport ale ...., n scopul protejrii bunurilor i informaiilor ...., precum i de a furniza o metoda formal de a cere, aproba i a urmari astfel de conexiuni. Conexiunile externe de reea ctre .... pot crea poteniale expuneri de securitate dac nu sunt administrate i conduse corect i consecvent. Aceste expuneri pot include modaliti neaprobate de conexiune la reeaua ...., incapacitatea de a pune capat accesului n cazul unei bree de securitate i expunerea la ncercri de atac. Aceasta politic se adreseaz tuturor terelor pri care cer accesul i celor pentru care exist deja o conexiune extern aprobat. In cazul n care o ter parte cu drept de conexiune extern existent nu a luat la cunotinta cu privire la toate ndrumrile i cerinele subliniate n acest document, va primi ndrumare att ct este nevoie n vederea conformrii. Nivelul de acces acordat unui furnizor/tere prti va fi limitat numai la resursele informaionale ale .... necesare pentru ndeplinirea sarcinilor de afaceri n interesul ..... Accesul trebuie permis numai pentru ndeplinirea sarcinilor specifice i limitat la persoanele desemnate i pentru perioadele de timp necesare pentru ndeplinirea sarcinilor aprobate. Accesul furnizorilor/terelor pari trebuie s fie unic identificabil iar managementul parolelor s se fac n conformitate cu Politica de Securitate a Parolelor ..... n funcie de importana informaiilor la care tera parte va avea acces trebuie luate n considerare acorduri de confidenialitate. La ncetarea relaiei contractuale sau la ncheierea lucrrii contractate trebuie respectate procedurile specifice de nlaturare a accesului. Firmele externe care desfaoara relaii de afaceri cu .... i au nevoie de conectare extern la reeaua .... trebuie n mod normal s poat folosi conexiunea existenta la Internet a ..... Contractele si acordurile .... cu aceste tere pri trebuie s conin: - informaiile .... la care tera parte va avea acces; - informaiile .... pe care tera parte trebuie s le protejeze;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

22 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

metodele acceptabile de returnare, distrugere sau casare a informaiilor .... ajunse n posesia terei pri la ncetarea contractului; - faptul ca tera parte trebuie s foloseasc accesul la informaiile i resursele .... numai n scopurile cuprinse n contract; - faptul c orice informaie de care tera parte va lua cunotiin n cadrul contractului nu trebuie s fie folosit de ctre tera parte n interes propriu sau dezvluita altora; - .... va furniza un punct de contact pentru securitatea informaiei pentru fiecare tera parte. Acest punct de contact va colabora cu tera parte pentru a se asigura ca aceasta respecta i se conformeaza acestor politici de securitate. Fiecare furnizor/ter parte trebuie s furnizeze .... o lista a angajailor implicai n derularea contractului. Lista trebuie s fie actualizat n permanen i orice modificare trebuie s fie notificat ctre .... n termen de 24 de ore. Personalul angajat al terei pari trebuie s raporteze orice incident de securitate observat ctre persoana desemnat de .... n acest sens. Daca tera parte este implicat n vreun fel n Managementul incidentelor de securitate, responsabilitile acesteia trebuie s fie clar definite i detaliate n contract. Furnizorii/terele pri trebuie s respecte toate procesele i procedurile de management al schimbrii ale ..... Contractul trebuie s specifice programul de lucru i ndatoririle. Orice activitate n afara acestora trebuie s fie aprobat n scris de ctre managementul desemnat al ..... 3.5. Politica de management al operaiilor i comunicaiilor 3.5.1. Managementul conturilor utilizator Aceast politic se refer la administrarea conturilor pentru toi utilizatorii autorizai ai facilitilor IT din .... i se aplic tuturor deintorilor de conturi pentru exploatarea facilitilor informatice ale ..... Obiectivul politicii este de a stabili regulile privind crearea, monitorizarea, controlul i desfiinarea conturilor utlizatorului, astfel: - toate conturile vor fi avea asociate o cerere i o aprobare adecvate sistemului sau serviciului ....; - toi utilizatorii vor semna acordul de luare la cunotin despre regulile privind securitatea resurselor informatice ale .... i acordul de nedezvluire a informaiilor, nainte de a le fi permis accesul la un cont; - toate conturile trebuie s fie identificabile n mod unic, folosindu-se numele utilizatorului titular; - toate parolele implicite pentru conturi trebuie s fie create n conformitate cu politica de creeare a parolelor a ....; - toate conturile trebuie s aib un termen de expirare a parolei care s fie n conformitate cu politica parolei a ....; - conturile persoanelor plecate un timp ndelungat (mai mult de 30 zile) vor fi nchise; - toate conturile noi ale utilizatorilor care nu au fost accesate n termen de 30 zile de la creare vor fi nchise; Administratorii de sistem au urmtoarele responsabiliti: - s desfiineze conturile persoanelor care i schimb funcia n cadrul .... sau care au ntrerupt relaiile cu ....;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

23 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

s aib un procedeu documentat cu privire la modificarea contului unui utilizator n cazul unor situaii, cum ar fi schimbarea de nume, schimbarea asupra conturilor i schimbarea permisiunilor; s instituie un procedeu documentat cu privire la revizuirea n mod periodic a conturilor existente, n scopul validrii acestora; s revizuiasc periodic conturile create; s furnizeze o list a conturilor pentru sistemele pe care le administreaz, atunci cnd acest lucru le este cerut de ctre managementul autorizat al ....; s coopereze cu managementul autorizat al .... la investigarea incidentelor de securitate.

3.5.2. Politica de management al drepturilor privilegiate Personalul de suport tehnic, administratorii de securitate, administratorii de sistem i alii pot avea nevoi speciale privind privilegiile accesului la conturi, comparativ cu utilizatorii obinuii sau cei zilnici. Obiectivul politicii .... de management al drepturilor privilegiate este de a stablili regulile privind crearea, utilizarea, monitorizarea, controlul i desfiinarea conturilor cu privilegii de acces special. Aceast politic se aplic n mod egal tuturor persoanelor care au sau pot pot avea nevoie de privilegii speciale de acces la oricare dintre resursele informatice ale ..... Departamentele .... trebuie s propun GSI o list cu contactele administrative pentru sistemele proprii, sisteme care sunt conectate la resursele informatice ale ....; Toi utilizatorii trebuie s semneze ntiintarea referitoare la protejarea securitii resurselor informatice ale .... i acordul de nedezvluire, nainte de a li se permite accesul la vreun cont. Toi utilizatorii conturilor de acces administrativ/special trebuie s aib instruciuni de management al conturilor, documentaie, instruire i autorizare. Fiecare persoan care utilizeaz conturi de acces administrativ/special trebuie s nu abuzeze de privilegiu i s fac doar investigaii sub ndrumarea ISO. Fiecare persoan care utilizeaz conturi de acces administrativ/special trebuie s foloseasc privilegiul de cont cel mai adecvat muncii prestate (de exemplu, cont de utilizator vs. cont de administrator). Fiecare cont folosit pentru acces administrativ/special trebuie s fie n conformitate cu politica parolei a ..... Parola pentru un cont partajat de acces administrativ/special trebuie s fie schimbat atunci cnd una dintre persoanele care cunosc parola prsete departamentul sau ...., sau la fiecare schimbare in cadrul personalului tertilor alocati in contracte cu ....; n cazul n care un sistem are doar un singur administrator, trebuie s existe o procedur de escrow a parolei astfel nct o alt persoan, i nu administratorul, s poat obine acces la contul administratorului ntr-o situaie de urgen. Cnd este nevoie de conturi de acces special pentru audit intern sau extern, perfecionare i instalare de programe sau alte cerine definite, acestea trebuie s fie autorizate, s fie create cu dat specific de expirare i s fie desfiinate cnd procesul respectiv a luat sfrit. 3.5.3. Politica de parole Accesul dobandit de o persoan ne-autorizata poate conduce la pierderea integritatii, confidentialitatii i disponibilitii informaiei i poate produce pierderi financiare, de ncredere, expunere legala sau situaii delicate pentru .....
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

24 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Politica de parole are ca scop restricionarea accesului logic la sisteme, echipamente i informaii aparinnd ...., prin limitarea dreptului de acces, respectiv folosirea de parole. Domeniul de aplicabilitate al acestei politici include tot personalul care este responsabil de un cont de sistem (sau de orice alt form de acces care necesit o parol de acces) pe un echipament dispus n locaii ...., are acces la reeaua .... sau stocheaza orice informaie ne-public aparinnd ..... Toate parolele, inclusiv cele iniiale, trebuie s fie construite i implementate conform urmatoarelor reglementri ....: - trebuie s fie schimbate periodic; - trebuie s aib lungimea minim conform cu cea stabilit n procedura ....; - trebuie s fie o combinaie de caractere alfa-numerice i numerice; - nu trebuie s fie n vreun fel legat de deinatorul contului, cum ar fi: numele, CNP-ul, porecla, numele rudelor, data naterii etc.; - nu trebuie s fie bazat pe vreun cuvant din dicionar, sau acronim al acestuia; - trebuie pstrat un istoric al parolelor pentru a preveni reutilizarea. Parolele stocate trebuie pstrate n form criptat. Parolele de acces ale utilizatorilor nu trebuie divulgate nimnui. .... i contractorii lor nu au dreptul s cear utilizatorilor s divulge parola lor. Token-urile de securitate (ex smartcard-urile) trebuie returnate la cerere sau la ncetarea relaiei contractuale cu ..... Dac exist dubii asupra siguranei vreunei parole, aceasta va fi schimbata imediat. Administratorii nu trebuie s se abat de la aceast politic de parole de dragul usurinei n utilizare. Utilizatorii nu trebuie s evite introducerea parolei prin folosirea de auto-logon, facilitti de memorare, script-uri sau parole hard-codate n soft-ul client. Excepiile se vor face doar pentru aplicaii autorizate de catre GSI-ul .... ( de ex back-up automat). Pentru aprobarea unei excepii trebuie s existe o procedur de schimbare a parolei. Sistemele informatice nu trebuie lsate nesupravegheate fr folosirea unui screen-saver protejat de parol sau blocarea sistemului. Politicile de schimbare a parolelor de ctre helpdesk trebuie s cuprind urmatoarele reguli: - autentificarea utilizatorului la help-desk nainte de schimbarea parolei; - schimbarea ctre o parol complex; - utilizatorul va trebui s i schimbe parola la prima iniializare de sesiune. In cazul descoperirii parolelor, trebuie urmai pai: - punerea controlului asupra parolei i protejarea ei; - raportarea descoperirii la helpdesk-ul ....; - transferarea parolei ctre persoana autorizat la ndrumarea GSI ..... 3.5.4. Politica privind protecia mpotriva viruilor Aceast politic se aplic tuturor echipamentelor care sunt conectate la reeaua .... prin conexiunea LAN i are ca scopuri: - protecia computerelor deinute de .... care se ataeaza la reea; - protecia computerelor de acas, care aparin sau sunt folosite de personalul .... /sau partenerii de afaceri, care se conecteaz la reeaua ....-ului prin modem.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

25 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Politica .... de protecie mpotriva viruilor se adreseaz n mod egal tuturor persoanelor care folosesc oricare din resursele informaionale ale ..... Computerele deinute de .... vor folosi un produs software anti-virus, care va fi inut activ tot timpul. Utilizatorul principal al sistemului este responsabil de meninerea sistemului n conformitate cu aceast politic. Daca un computer are mai muti utilizatori, fr a putea fi identificat un utilizator principal, directorul de department sau o persoana desemnat de acesta, este responsabil de aceasta conformitate. Daca utilizatorul principal nu poate fi identificat, directorul departamentului sau persoana desemnata trebuie s-i asume responsabilitile identificate pentru end-useri. Computerele care furnizeaza servicii (e.g., email, Web hosting, FTP), sunt considerate sub aceasta politic ca i computere end user: - toate statiile de lucru, fie conectate la reteaua ...., fie de sine-statatoare, trebuie s foloseasc protecia software mpotriva viruilor i configuraia aprobat de ....; - protecia software mpotriva viruilor nu trebuie dezactivat sau ocolit; - setrile pentru protecia software mpotriva viruilor nu trebuie modificate n aa fel nct s reduc eficiena software-ului; - frecvena actualizrilor automate de protecie software mpotriva viruilor nu trebuie modificate prin reducerea numarului lor; - fiecare server de fiiere din reeaua .... trebuie s utilizeze protecia software mpotriva viruilor aprobat de .... i instalat pentru a detecta i curaa viruii din fiierele partajate; - fiecare server de e-mail trebuie s utilizeze protecie software mpotriva viruilor de e-mail i trebuie s fie conform regulilor pentru instalarea i folosirea unui astfel de software; - acei virui care nu sunt automat eliminai de protecia software mpotriva viruilor constituie un incident de securitate care trebuie raportat la Help Desk. 3.5.5. Politica de back-up Backup-urile electronice sunt o cerin de afaceri tocmai pentru a fi permis recuperarea datelor i aplicaiilor n cazul unor evenimente, cum ar fi dezastre naturale, cderi ale discului dur (disk drive) al sistemului, spionaj, erori de introducere a datelor sau erori ale operaiilor de sistem. Aceast politic stabilete regulile pentru backup-ul i stocarea informaiilor electronice i se aplic tuturor persoanelor din cadrul .... care sunt responsabile de instalarea i suportul resurselor informatice, persoanelor nsrcinate cu securitatea resurselor informatice i proprietarilor de date. Frecvena i extinderea backup-urilor trebuie s fie n acord cu importana informaiilor i cu riscul acceptabil, aa dup cum a fost determinat de ctre proprietarul de date. Backup-ul resurselor informaiei ale .... i procesul de recuperare pentru fiecare sistem trebuie s fie documentate i revizuite periodic. Stocarea datelor de back-up n afara locaiei .... trebuie s fie capabil s manevreze informaii stocate de cel mai nalt nivel. Controalele de acces fizic implementate la locaiile de stocare ale backup-urilor n afara locaiilor .... trebuie s fie cel puin la fel de multe ca celelalte controale de acces fizic ale sistemelor surs. n plus, media de backup trebuie s fie protejat n conformitate cu nivelul de sensibilitate cel mai nalt al .... pentru informaiile stocate. Trebuie s fie implementat un proces privind verificarea reuitei de realizare a backup-urilor electronice ale informaiilor ..... Backup-urile trebuie s fie testate periodic pentru a se asigura faptul c sunt recuperabile;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

26 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Cardurile cu semntur deinute de ctre terii din afara locaiilor ...., privind accesul la media de backup a .... trebuie s fie revizuite anual sau n situaiile n care o persoan autorizat prsete ..... Procedurile dintre .... i terii care furnizeaza servicii de back-up n afara locaiilor .... trebuie s fie revizuite cel puin o dat pe an Benzile cu backup-urile trebuie s aib cel puin un criteriu de identificare dintre cele menionate mai jos, criteriu care s poat fi identificat prin etichete i/sau sisteme de cod de bare: 1) denumire sistem 2) dat de creare 3) clasificare sensibilitate (pe baza retentiei electronice de inregistrari aplicabila) 4) informaii de contact 3.5.6. Politica de detectare a instrusilor Detectarea intruilor trebuie s joace un rol important n implementarea i impunerea politicii de securitate n cadrul ...., dat fiind necesitatea asigurrii securitii sistemelor i reelelor asupra crora se efectueaz mentenan de la distan. Politica furnizeaza doua funciuni importante pentru protejarea resurselor informationale: - Feedback: informaii despre eficiena altor componente ale sistemului de securitate. Dac se implementeaz un sistem robust i efectiv de detectare a intruilor, lipsa de intruziuni detectate e un semn ca celelalte controale sunt eficiente. - Declanator: un mecanism care determin cnd s fie activate rspunsurile planificate la un incident de tip intruziune. Politica .... de detectare a intruilor se aplic tuturor responsabililor de instalarea de noi sisteme informatice, mentenana i operarea celor existente, precum i personalului responsabil de securitatea informaiei. Procesele de auditare a sistemelor de operare, a conturilor de utilizator i a aplicaiilor software trebuie sa fie activate pe toate sistemele client sau server. Funciunile de alertare a firewall-urilor i a oricaror altor sisteme de control al accesului la perimetrul de retea trebuie s fie activate. Jurnalizarea (nregistrarea evenimentelor) la sistemele firewall i la orice alte sisteme de control al accesului la perimetrul de retea trebuie s fie activat. Jurnalele (log-urile) pentru firewall-uri i sistemele de control al accesului la perimetrul de reea trebuie s fie monitorizate / revizuite zilnic de ctre administratorul de sistem. Periodic trebuie fcute verificri de integritate pentru firewall-uri i alte sisteme de control al accesului la perimetrul de reea. Log-urile pentru servere i host-uri din reeaua intern trebuie s fie verificate sptmnal. Administratorul de sistem trebuie s furnizeze aceste log-uri ori de cate ori i se cere de catre CSO. Produsele IDS pentru sisteme host vor fi verificate periodic. Orice raportare a unei probleme trebuie investigata pentru a vedea daca nu se datoreaza vreunei intruziuni. Toate instanele suspecte sau confirmate de tentative reuite sau nu de intruziuni trebuie raportate conform Procedurii de gestionare a incidentelor. Utilizatorii vor fi educai pentru a raporta orice anomalii ale performanelor sistemului i semne de practici greite ctre Help Desk; Securitate Proactiv: Principiile de securitate IDS implementeaz msuri proactive de securitate care pot ajuta s se menin continuitatea afacerii i performanele infrastructurii.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

27 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Tendinele intruziunilor: Prin analiza datelor furnizate de IDS i nregistrate n log-uri se pot evalua tendinele atacurilor de tip intruziune i se pot trage concluzii utile pentru mbuntirea politicilor de securitate. 3.6. Politica de dezvoltare i administrare a sistemelor Proiectarea i realizarea unor sisteme informatice i de comunicaii noi, precum i a unor modificri la cele existente vor fi precedate de evaluarea conformitii acestora cu cerinele de securitate adoptate prin prezenta politic. Aceste cerine de securitate vor fi identificate, specificate i aprobate ntotdeauna nainte de a fi operate. Modificrile aduse mediilor de design i suport tehnic, sistemelor de operare i pachetelor de software vor fi strict controlate n privina cerinelor de securitate, pe platforme separate de mediul de producie. Transferul acestor sisteme i programe pentru a fi date n execuie va fi fcut numai dup aprobarea oficial a testelor i documentaiei tehnice de utilizare. Dezvoltarea, administrarea i achiziionarea de software vor fi nsoite obligatoriu de documentaia de utilizare, care trebuie s fie explicit n legtur cu modul de instalare, de funcionare, de operare, asupra datelor de intrare i ieire, precum i alte componente i controale de securitate utilizate. 3.7. Politica de management al incidentelor 3.7.1. Monitorizarea securitii Monitorizarea securitii informaiei este folosit pentru a confirma faptul c practicile i controalele de securitate implementate sunt nsuite, respectate i sunt efective. Scopul Politicii de monitorizare a securitii informaiei este de a asigura faptul c masurilecontroalele de securitate a resurselor informaionale sunt implementate, sunt efective i nu sunt depite. Unul din beneficiile monitorizrii securitii informaiei este identificarea proactiv a practicilor greite sau a noilor vulnerabiliti de securitate. Aceast identificare proactiv permite prevenirea practicilor greite sau a vulnerabilitilor nainte de producerea unor pierderi i reducerea impactului potenial. n plus, asigur monitorizarea calitii serviciilor, msurarea performanelor, limitarea expunerii juridice i dimensionarea capacitii necesare. Politica de monitorizare a securitii informaiei se aplica tuturor responsabililor de instalarea de echipamente sau producerea de noi resurse informaionale, de operarea resurselor existente i personalului responsabil de asigurarea securitii informaiei din ..... Pentru detectarea n timp real a practicilor greite i a exploatrii vulnerabilitilor de securitate, se vor folosi tehnologiile automate. Acolo unde este posibil va fi implementat un cadru minim de asigurare a securitii informatiei iar tehnologiile folosite vor detecta abaterile de la acest cadru. Aceste tehnologii vor fi implementate pentru a monitoriza: - traficul Internet; - traficul de mesagerie electronic; - traficul de reea din interiorul companiei, protocoalele i echipamentele; - parametrii de securitate a sistemelor de operare folosite. Urmtoarele tipuri de fiiere vor trebui sa fie verificate pentru identificarea practicilor greite i a exploatrii vulnerabilittilor de securitate, la un interval n concordan cu gradul de risc specific: - jurnalele de tip log ale sistemelor automate de detecie a intruilor; - jurnalele de tip log ale firewall-urilor;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

28 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

jurnalele referitoare la conturile de utilizator; inregistrarile scanrilor de reea; jurnalele de mesaje de eroare; jurnalele de tip log ale aplicaiilor; inregistrarile de back-up i restaurare; tichetele deschise la sistemul de Help Desk; comunicaiile telefonice listele detaliate de apeluri; jurnalele de tip log ale imprimantelor de reea i fax-urilor.

Cel putin o data pe an, responsabilii desemnai vor face urmtoarele verificri: - nivelul de complexitate a parolelor; - echipamente de reea neautorizate; - servere web personale neautorizate; - partajarea nesecurizat a echipamentelor; - folosirea neautorizat a echipamentelor de tip modem; - folosirea licenelor pentru sistemele de operare si pentru produsele software Orice abatere sau problema de securitate a informatiei descoperita va fi raportata catre GSI pentru investigare ulterioar. 3.7.2. Politica de management a incidentelor Aceasta politic ofer ndrumare n determinarea rspunsului potrivit n cazul utilizrii greite a resurselor informatice din interiorul sau exteriorul .... sau apariiei de incidente de securitate a informaiei. Aceast politic acoper incidentele de securitate i solicitrile pentru asistena primite de la personalul .... din toate departamentele. Aceasta poate include ntreruperile serviciilor notificate de alertele din sistemul de monitorizare i cele anunate de utilizatorii facilitilor IT. Incidentele de securitate includ, dar nu sunt limitate la: virui, worms, troieni, utilizarea neautorizat a conturilor de acces i a sistemelor de calcul, precum i utilizarea necorespunzatoare a resurselor informatice. Politica de management a incidentelor se aplic de ctre ntregul personal .... care utilizeaz resurse informaionale, precum i terelor pari care au acces la reeaua .... sau la facilitile de procesare a informaiei din ..... ntregul personal este responsabil pentru modul n care utilizeaz resursele informatice i rspunztor pentru aciunile referitoare la securitatea resurselor informaionale. ntregul personal este responsabil n aceeai msur pentru raportarea oricror nclcri suspectate sau confirmate a acestei politici ctre personalul desemnat n acest sens. Utilizarea resurselor informatice trebuie autorizat n mod oficial numai pentru a indeplini scopurile de business ale ..... Nu exist nici o garanie asupra secretului personal sau accesului la asemenea unelte cum ar fi serviciile de e-mail, web i alte unelte de comunicaie electronic. Utilizarea acestor mijloace electronice de comunicaie poate fi monitorizat pentru a indeplini cerinele de investigare sau verificare de conformitate. Departamentele responsabile pentru custodia i operarea sistemelor de calcul vor fi responsabile i pentru autorizarea potrivita a resurselor informatice si raportarea performanelor ctre management. Membrii Incident Response Team au roluri i responsabiliti predefinite care pot deveni prioritare fa de sarcinile normale de serviciu.

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

29 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

n cazul unui eveniment de securitate suspectat sau confirmat cum ar fi virus, worm, hoax email, descoperirea de hacking tools, date alterate, etc, procedurile potrivite de Incident Management trebuiesc aplicate intocmai. RMSI este responsabil pentru notificarea ctre GSI si responsabilul cu securitatea i de iniiererea aciunilor potrivite de incident management incluznd aciuni de colectare de dovezi i aciuni de repunere n funciune (restoration). RMSI este responsabil pentru determinarea evidenelor fizice i electronice care trebuiesc obinute n cadrul investigrilor incidentelor; Resusele tehnice potrivite din IRT sunt responsabile pentru monitorizare astfel nct orice daun survenit din incidente de securitate s fie reparat sau redus i acea vulnerabilitate s fie eliminat sau minimizat pe cat posibil. RMSI, mpreun cu responsabilul cu securitatea, vor determina dac este necesar comunicarea extins (ctre toate persoanele), coninutul acesteia i modul de distribuire. Resursele tehnice desemnate din cadrul IRT sunt responsabile pentru comunicarea problemelor nou aparute sau vulnerabilitilor ctre furnizorul sistemului i mpreun cu acesta, vor lucra pentru eliminarea sau minimizarea vulnerabilitilor. RMSI este rspunztor pentru iniierea, completarea i documentarea investigrii incidentelor, asistat de IRT. RMSI este rspunzator pentru coordonarea comunicaiilor cu organizaiile din afara .... i impunerea respectarii prevederilor legale. n cazul n care prevederile legale nu au aplicabilitate, RMSI va recomanda aciuni disciplinare dupa caz, ctre GSI. n cazul n care se aplica prevederi legale, RMSI va aciona ca element de legatura ntre autoritatea juridica i ..... 3.8. Politica de management al continuitii afacerii Activitile de baz ale .... dispun de alternative tehnologice, materiale i de resurse umane ce pot fi activate n cazul producerii unor situaii de criz, cum ar fi ntreruperea temporar a activitii ca urmare a unor dezastre, calamiti naturale etc. Astfel, pentru astfel de situaii este prevzut un Plan de aciune n situaii de urgen care are ca scop asigurarea disponibilitii i recuperrii integrale a activitilor de baz. Planul de aciune n situaii de urgen specific locaia de rezerv n care firma i va organiza activitatea n eventualitatea imposibilitii folosirii normale a actualei locaii. 3.9 Politica de conformitate ntreaga activitate desfurat de .... este circumscris reglementrilor legale i normative, ca o condiie esenial a serviciilor oferite. La realizarea sau achiziionarea sistemelor informaionale i de comunicaii, precum i la definirea controalelor i stabilirea responsabilitilor de securitate, s-a avut n vedere conformitatea acestora cu reglementrile legale i ale standardelor n vigoare. Astfel, termenii i condiiile legale i contractuale privitoare la drepturile de autor i licenele asupra software-ului au fost riguros respectate. Pentru controlul documentelor i a nregistrrilor firmei au fost prevzute msuri adecvate mpotriva pierderii, distrugerii i falsificrii, astfel c, oricnd, poate fi asigurat trasabilitatea acestora.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

30 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

Aplicaiile coninnd date i informaii sensibile, inclusiv cele aparinnd partenerilor sau clienilor sunt protejate n conformitate cu principiile i legislaia de protecie a datelor cu caracter personal. Periodic vor fi executate controale asupra zonelor i sistemelor informaionale i de comunicaii, n scopul evalurii strii de securitate i conformitii acestora cu politica de securitate a informaiei adoptate. 3.10. Politica de relaii publice Fluxul intern de informaii, ca i cel direcionat ctre publicul extern va constitui obiectul unei permanente monitorizri n privina coninutului i formei, avnd ca scop asigurarea integritii i confidenialitii informaiei n conformitate cu prezenta politic. Aciunile legate de relaiile cu presa, relaiile cu publicul, publicitatea i reclama vor fi coordonate nemijlocit de ctre un membru al conducerii firmei. Dezvluirea de informaii prin canalele de relaii publice i prin orice mijloace (documente scrise, interviuri, scrisori, declaraii etc) va fi monitorizat astfel nct s fie asigurat conformitatea deplin cu Politica de securitate adoptat i evitate eventuale prejudicii aduse imaginii firmei. Prin aceast procedur vor fi definite: - autoritatea i responsabilitatea pentru transmiterea sau punerea la dispoziia public a unor informaii; - identitatea i autentificarea celor ce transmit i primesc informaii; - informaiile ce vor fi schimbate ntr-o asemenea manier; - nregistrarea i documentarea schimbului de informaii. 3.11. POLITICA DE SECURITATE A ECHIPAMENTELOR IT 3.11.1. Scop Pentru a asigura utilizarea n condiii de securitate a echipamentelor IT (infrastructura IT, echipamentele de comunicaii, etc), acestea trebuie protejate fizic mpotriva ameninrilor externe i de mediu, astfel nct s se reduc riscul accesului neautorizat la date, precum i pierderea ori alterarea informaiilor gestionate pe aceste echipamente. Pentru realizarea acestor obiective, n cadrul .... vor fi implementate msuri adecvate de protecie a echipamentelor de baz, precum i a facilitilor suport. a) Amplasarea i protejarea echipamentelor IT Echipamentele vor fi amplasate i protejate n mod corespunztor pentru a reduce riscurile cauzate de ameninrile externe i de mediu, sens n care vor fi aplicate urmtoarele msuri de control: echipamentele critice existente n sediile .... (servere de baze de date i aplicaii, controlerele de domenii, unitile de memorie extern, serverele de backup etc) vor fi izolate n cabinete distincte (data center-uri), la care accesul personalului este restricionat, fiind permis pe baz de card, numai administratorilor sistemului IT. Accesul altor persoane trebuie controlat, prin nregistrarea acestor ntr-un registru de acces; echipamentele de prelucrare curent (staiile de lucru) i facilitile de memorare vor fi poziionate astfel nct s nu fie posibil vizualizarea ecranelor de ctre persoane neautorizate;
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

31 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

vor fi avute n vedere msuri de control pentru minimizarea riscului unor ameninri poteniale cum ar fi: furt, foc, explozivi, fum, ap, praf, vibraii, efecte chimice, infirltraii, interferene electrice, radiaii electromagnetice; sunt interzise mncatul i butul n proximitatea echipamentelor de calcul; condiiile de mediu vor fi monitorizate pentru controlul factorilor ce ar putea influena negativ facilitile de prelucrare, inclusiv condiiile de mediu din exteriorul unitii. b) Alimentarea cu energie electric Alimentarea cu energie electric a echipamentelor trebuie s respecte cu strictee recomandrile productorului de echipamente. Toate echipamentele vor fi protejate mpotriva ntreruperilor accidentale ale alimentrii cu energie electric sau alte anomalii, prin: asigurarea unor surse multiple de alimentare cu energie electric, pentru a se evita situaiile de cdere a unei singure surse; surse nentreruptibile de curent electric (UPS), pentru toate echipamentele critice. Aceste faciliti suport vor fi verificate periodic pentru adecvarea acestora n conformitate recomandrile productorului; un generator de curent electric, disponibil la orice or, care intr n funciune automat la cderea curentului electric. Acesta va fi testat periodic, n acord cu recomandrile productorului. Combustibilul necesar funcionrii acestui generator va fi asigurat pentru o perioad ndelungat. ntreruptoare de energie pentru ntreaga reea de curent electric a sediului, amplasate lng ieirile de urgen, n camere destinate acestui scop. c) Securitatea cablrii Pentru securizarea resurselor ce in de comunicaii, energie electric i telecomunicaii, toate tipurile de cablaje vor fi protejate corespunztor mpotriva interceptrii sau distrugerii, fiind aplicate urmtoarele msuri: transmiterea datelor i informaiilor aferente sistemului de telecontorizare folosind reeaua de fibr optic proprie, care este protejat; separarea cablajelor pentru curent electric de cele pentru telecomunicaii; cablajul reelei este protejat mpotriva interceptrii neautorizate, prin evitarea zonelor publice sau aparinnd altor uniti; administratorul IT va iniia controale periodice pentru depistarea modificrilor neautorizate ale cablajelor sau conectrilor neautorizate de dispozitive; d) Mentenana echipamentelor Echipamentele vor fi corect ntreinute pentru a asigura disponibilitatea i integritatea acestora, sens n care vor fi respectate urmtoarele msuri: echipamentele vor fi ntreinute n conformitate cu recomandrile productorilor; interveniile pentru service i ntreinere curent vor fi realizate numai de ctre personal autorizat, pe baza unui program aprobat de conducerea .... i conducerile unitilor care asigur mentenana; pentru orice intervenie legat de mentenana echipamentelor vor fi pstrate nregistrri; scoaterea din unitate a echipamentelor pentru service i reparaii se va face cu respectarea strict a procedurii, sub aspectul tergerii datelor confideniale.
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

32 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

d) Securitatea echipamentelor scoase din unitate Indiferent de proprietar, scoaterea i folosirea unui echipament n afara unitii se fac numai cu aprobarea scris a conducerii .... i cu aplicarea acelorai reguli ca i n interiorul unitii. n plus, vor fi respectate urmtoarele reguli: echipamentele i suporturile de memorie scoase din unitate nu vor fi folosite n locuri publice; calculatoarele portabile vor fi transportate numai n echipamentele de protecie adecvate; recomandrile productorilor privind protecia echipamentelor vor fi respectate cu strictee, pe toat perioad ct echipamentul se afl n afara unitii; msurile privind lucrul la domiciliu vor fi cele rezultate din evaluarea de risc, iar aplicarea lor se va face n concordan cu politicile aprobate (politica biroului i ecranului curate, controlul accesului, autentificarea utilizatorilor etc); proprietarii echipamentelor scoase n afara unitii rspund disciplinar i material pentru situaiile de furt, distrugere, pierdere a echipamentelor i a datelor prelucrate. e) Disponibilizarea i refolosirea n condiii de securitate a echipamentelor Disponibilizarea unor echipamente, fr luarea unor msuri de securitate, poate conduce la apariia unor riscuri de compromitere a unor informaii senzitive ale ..... Pentru evitarea unor astfel de situaii cu impact negativ asupra activitii i imaginii ...., unitile de memorie aferente unor echipamente disponibilizate vor fi fie distruse, fie terse prin suprascriere. Toate suporturile de memorie disponibilizate vor fi verificate de ctre proprietar, pentru a se asigura c nu conin date sau informaii senzitive sau software liceniat. 3.12. POLITICA DE SECURITATE N RELATIILE CU TERII 3.12.1. Scop Politica de securitate n raport cu terii (clienii=participanii la piaa engros de energie electric, furnizorii sistemului IT, ali furnizorii de servicii) i propune s asigure cadrul normativ general care trebuie respectat pentru asigurarea securitii echipamentelor, precum i a datelor i informaiilor gestionate de .... n cadrul sistemului informaional specific, de ctre toate prile implicate. Msurile concrete de securitate vor fi cuprinse n acorduri ncheiate cu fiecare dintre terele pri i ele vor include: a) Dreptul terelor pri de a folosi infrastructura .... Infrastructura IT specific IT poate fi folosit de ctre terele pri numai pentru executarea activitilor de mentena a echipamentelor, pentru dezvoltarea i testarea unor soluii noi ori pentru eliminarea unor incidente n funcionarea sistemului, cu respectarea strict a condiiilor i termenelor cuprinse n acordurile contractuale ncheiate cu ..... b) Condiiile de utilizare a echipamentelor proprietare .... Terele pri pot folosi, n sediul .... sau de la distan, echipamentele .... i-sau software-ul liceniat instalat pe acestea pentru diversele activiti desfurate n folosul ...., numai cu respectarea urmtoarelor termeni i condiii: terii nu pot modifica configurarea echipamentelor fr notificarea scris i aprobarea acestor modificri de ctre personalul autorizat al .... (propritarii echipamentelor);
Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.

Security Classification Internal limited


Denumire document Document name

Pagina - Page

33 / 33
Nume fisier File name Rev. Dosar nr. - Binder no.

MANUALUL POLITICILOR DE SECURITATE A INFORMAIILOR


Tip document document type Cod document

MANUAL

MPSI-01

terele pri nu pot modifica sau terge parolele setate pe echipamentele ...., fr obinerea aprobrii prealabile din partea personalului ....; accesul la resursele .... este permis numai personalului terelor pri nominalizat pentru executarea activitilor la sediul ...., sau pentru executarea unor activiti de la distan, acestea fiind singurele responsabile pentru securitatea echipamentelor i eventualele riscuri create; terele pri vor anuna, dendat, .... cu privire la orice modificare produs n situaia personalului care a primit aprobare pentru a executa servicii externalizate n folosul .... (prsirea companiei, crearea de incompatibiliti, nclcarea acordurilor ntre pri etc); terele pri sunt responsabile de elaborarea, implementarea i mentenana unor politici i proceduri de securitate, pentru asigurarea securitii reelei i sistemului IT, proteciei datelor i informaiilor mpotriva accesului neautorizat, pierderii ori alterrii unor informaii proprietate ....; terele pri sunt responsabile de costurile generate de activitile desfurate la sediul .... (costul telefoanelor, echipamentelor de telecomunicaii) ori create de producerea unor riscuri operaionale cu impact asupra activitii .....

Drept de proprietate: ...., i rezerv dreptul de proprietate absolut asupra prezentului document mpreun cu toate anexele. Orice modificare, copiere parial sau total, difuzare sau utilizare a acestui document de/sau ctre tere persoane este permis numai cu acordul scris al conducerii societii.