Sunteți pe pagina 1din 8

REALIZAREA UNEI POLITICI DE SECURITATE PE MODELUL UNEI FIRME I. II. III. IV. V.

Scurt descriere a firmei Clasificarea informaiilor n funcie de importana lor pentru firm Identificarea potenialelor pericole care vizeaz averile informaionale ale firmei Principalele mecanisme de aprare adoptate de ctre firm Elaborarea unei politici de securitate pentru o anumit zon a securitii

I. Scurt descriere a firmei Obiectul de activitate al Firmei X este producerea, punerea n oper i comercializarea mixturilor asfaltice. n cadrul Firmei X sunt ncadrai n munc un numr de 82 de persoane, care ocup urmtoarele funcii: Administrator Economiti - 4 persoane Administrator reea Ingineri constructori - 5 persoane Jurist Casier Laborani - 4 persoane Secretar Magazioner Director general Director producie Director mecanic Restul, sunt muncitori calificai i necalificai

Dispunerea tehnicii de calcul n cadrul firmei se prezint astfel: 1. Staii de lucru Intel 4 calculatoare Pentium D820, 3,0Ghz, 256MB DDR, HDD 120GB SATA Birou finaciar-contabil Windows XP SP2, Visual Fox 7.0, Aplicaii financiarcontabile, Corel Draw.

2. Staii de lucru 3 calculatoare AMD ATHLON 64, 3,0Ghz, 512MB DDR, 200GB HDD SATA Biroul administrativ, casierie-secretariat Windows XP SP2, Visual Fox 7.0, Win Rar, MSOffice 2003. 3. Staii de lucru 5 calculatoare Intel Celeron 2,0Ghz, 256MB DDR, HDD 80GB SATA birou tehnic + birou producie Windows XP SP2, Visual Fox 7.0, Win Rar, Win Ace, altele. 4. Staie de lucru Intel Pentium 2,4Ghz, 512MB DDR, 120 HDD + server birou administrator reea Windows server, win XP; MSOffice 2003, altele. 5. Imprimante HP Inkjet 5510, 2 - 5 la fiecare birou. II. Clasificarea informaiilor n funcie de importana lor pentru firm Resurse informaionale publice - accesibile oricrui utilizator (intern sau extern); nu produce efecte asupra instituiei, sau dac le produce acestea sunt nesemnificative. datele de identificare(nume, adres, nr. telefon i fax, CUI, pagina web) misiunea firmei; administratorul firmei; structura organizaiei (numrul i denumirea departamentelor); numrul de angajai, numele lor, funciile pe care le au); programul de funcionare al firmei; planul de evacuare n caz de incendiu; surse de venituri din vnzarea produselor i serviciilor; situaiile financiare anuale.

Aceste informaii pot aprea pe site-ul firmei. Resurse informaionale interne - informaii care circul n interiorul firmei. organigrama firmei; fia postului cu atribuiile fiecrei categorii de personal; numerele de telefon ale angajailor, adrese de e-mail; programarea concediilor i graficul zilelor libere; informri cu privire la evenimente care privesc strict firma;

Aceste informaii pot fi stocate pe CD-uri, DVD-uri, dischete, stick-uri, registre.

Resurse informaionale confideniale - cuprind informaiile care, datorit valorii economice sau sociale, nu trebuie fcute publice, deoarece ar aduce pierderi organizaiei. statul de plat al salariilor; cifra de afaceri; planul de afaceri; clieni; furnizori; conturi i parole folosite pe serverele firmei (contabilitate, gestiune etc);

Aceste informaii pot fi stocate pe CD-uri, DVD-uri, stick-uri, dischete, registre, documente electronice parolate. Utilizatorul rspunde personal deconfidenialitatea datelor ncredinate prin procedurile de acces la sistemul informaional. Resurse informaionale strict secrete - cuprind informaiile care, datorit valorii lor economice sau sociale, nu trebuie fcute publice, fiind folosite de anumite persoane. coduri de acces n caz de alarm n cadrul societii; conturi administrative de pe serverele de gestiune; planul de afaceri pe termen lung; contracte n curs de negociere; date despre pregtirea profesional i alte date personale ale angajailor;

Aceste informaii sunt stocate n documente electronice parolate, dosare confideniale, CD-uri, DVD-uri, stick-uri marcate corespunztor. III. Identificarea principalelor pericole care vizeaz averile informaionale pericole naturale; exces de cldur; praf, umiditate, mucegai; erorile salariailor prin intermediul dischetelor, cd-urilor; introducerea greit a datelor; prelucrarea greit a datelor; modificarea datelor;

tergerea datelor; funcionarea defectuoas a softului; viruii care pot aprea pe Internet;

Integritatea datelor este asigurat prin sistemul de securitate multinivel NPL Pump. Disponibilitatea se asigur prin funcionarea continu a tuturor componentelor sistemului informaional. IV. Principalele mecanisme de aprare adoptate de firm sunt: o Securitate fizic - sistem de alarm, accesul n incinta firmei se face pe baza cartelelor electronice; o Securitatea personalului - angajaii unitii sunt riguros selecionai,urmrii i supravegheai pentru evitarea incidentelor de pierdere a datelor; o Securitatea sistemelor de prelucrare automat a datelor - stabilirea unor reguli precise de folosire a datelor; V. Politica de securitate este esenial la nivelul societii, avnd ca scop stabilirea cadrului necesar pentru elaborarea regulamentelor i procedurilor de securitate. Politica de securitate a Firmei X se aplic nedescriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic a firmei. Sunt vizai n mod direct: angajaii cu contract de munc pe perioad determinat sau nedeterminat

care au acces la sistemul informaional; furnizorii care au acces la sistemul informaional; colaboratorii Firmei Xcare au acces la sistemul informaional.

Firma X i-a elaborat o politic de securitate proprie. Astfel, accesul n organizaie este admis pe baza cartelelor electronice pe care le dein doar angajaii. Tot pe baza acestor cartele se face i pontajul personalului, biroul salarizare avnd astfel evidena exact a orelor pe care le presteaz salariatul la firm. Accesul la birouri a muncitorilor este restricionat, tot pe baza cartelelor electronice avnd acces doar unele persoane (ef atelier, maistru etc.). La arhiva firmei nu are acces dect o singur persoan autorizat i responsabil cu arhivarea documentelor.

Internetul este accesibil doar biroului tehnic, departamentului contabilitate, departamentului administrativ i secretariatului. Telefoanele mobile sunt restricionate de administrator doar la numerele de telefon din aceeai reea telefonic avnd un anumit plafon de utilizare.

Reguli de utilizare ale sistemului informaional al Firmei X: Utilizarea informaiilor se face numai n interes de serviciu. Utilizatorii trebuie s anune administratorul reelei n cazul n care se observ orice problem n sistemul de securitate, ct i orice posibil ntrebuinare sau nclcare a regulamentelor n vigoare. Utilizatorii prin aciunile lor nu trebuie s ncerce s compromit protecia sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau accidental, aciuni care pot afecta confidenialitatea, integritatea i accesibilitatea informaiilor de orice tip n cadrul sistemului Firmei X. Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din Firma X pentru care nu au autorizaie. Utilizatorii nu trebuie s divulge nimnui numerele de conturi, parole, numere de identificare personal (PIN-uri) sau informaii similare utilizate n scopuri de autorizare i identificare. Utilizatorii nu trebuie s utilizeze programe de tip freeware fr aprobarea administratorului reelei. Utilizatorii care au acces la sistemul de resurse informaionale ale Firmei X au obligaia de a purta acte sau legitimaii care s ateste calitatea de utilizator autorizat n spaiile Firmei X. Reguli de utilizare ocazional a sistemului de resurse informaionale a Firmei X: n anumite situaii, cu permisiunea explicit a administratorului reelei sau a administratorului Firmei X este permis utilizarea ocazional a resurselor informaionale ale Firmei X. n aceste situaii se aplic urmtoarele restricii: Utilizarea personal, ocazional a serviciilor de pot electronic, acces Internet, telefoane, faxuri, imprimante, copiatoare etc. este restricionat la utilizatorii autorizai i nu poate fi extins la membrii familiilor sau alte persoane. Utilizarea ocazional a resurselor ocazionale nu trebuie s aib drept rezultate costuri directe pentru Firma X.

Utilizarea ocazional a resurselor ocazionale nu trebuie s afecteze activitatea normal a angajailor. Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot cauza aciuni legale mpotriva Firmei X sau prejudicierea indiferent de forma intereselor acesteia. Toate mesajele, fiierele i documentele, inclusiv mesajele, fiierele i documentele personale localizate n cadrul resurselor informaionale ale Firmei X sunt proprietatea acesteia i pot fi subiectul unor cereri de verificare, inspectare, accesare conform regulamentelor. Msuri disciplinare nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot include: rezilierea contractului de munc n cazul angajailor; ncetarea relaiilor contractuale sau de colaborare n cazul contractanilor; suspendarea i interzicerea accesului la sistemul resurselor informaionale. Toate aciunile care contravin legilor vor fi raportate organelor competente. Alte dispoziii Acest regulament are ca parte integrant urmtoarele dispoziii: ntreg personalul este responsabil privind modul de utilizare a resurselor Informaionale i de comunicaii ale Firmei X, fiecare utilizator fiind direct responsabil pentru aciunile care pot afecta securitatea acestora. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Orice informaie folosit n sistemul de resurse informaionale i de comunicaii ale Firmei X trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran. Tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia i datele trebuie protejate fiind proprietatea Firmei X. Departamentele Firmei X trebuie s ofere faciliti corespunztoare de control al accesului n scopul monitorizrii resurselor informaionale, protejrii datelor i programelor mpotriva ntrebuinrii greite, n concordan cu necesitile stabilite de acestea. Accesul trebuie s fie documentat, autorizat i controlat n mod corespunztor.

Firma X prin intermediul administratorului reelei i rezerv dreptul de a terge, de pe orice sistem, orice program sau fiier care nu are legtur cu scopul muncii respective. Exemple de astfel de programe sau fiiere, dar nu limitate la acestea: jocuri, programe de comunicare a mesajelor (AOL, Yahoo Messenger, MSN etc.), programe tip freeware i shareware, altele dect cele ale Firmei X.

Dispoziii finale Politica de Securitate a Firmei X impune dezvoltarea, gestionarea i punerea n practic de proceduri i/sau regulamente specifice. Toate procedurile i/sau regulamentele de securitate ale sistemului informaional i de comunicaii fac parte din Planul de Securitate i sunt obligatorii pentru toi utilizatorii. Responsabilul cu securitatea reelei a Firmei X are obligaia de a revizui periodic prezenta Politic de Securitate i a propune dezvoltarea, modificarea planului de securitate. Prevederile politicii de securitate vor fi incluse n contractul de munc i toate contractele cu terii (dac activitatea acestora are legtur cu sistemul informatic i de comunicaii ale Firmei X). Componentele planului de securitate vor fi elaborate de ctre responsabilul cu securitatea Firmei X i vor fi propuse pentru aprobare conducerii. Prezentul document i componentele planului de securitate vor conine informaii de identificare proprii i se va specifica data la care acestea au fost aprobate i data de la acre intr n vigoare. Modificarea prevederilor unui regulament/procedur se face cu aprobarea conducerii Firmei X. Fiecare modificare a coninutului va conduce la modificarea versiunii documentului i a informaiilor de identificare. Versiunea anterioar rmne valabil pn n momentul n care noua versiune rmne n vigoare. Planul de securitate va conine o list a tuturor regulamentelor/procedurilor aplicabile n sistemul resurselor informatice i de comunicaii.