Sunteți pe pagina 1din 36

POLITICA DE SECURITATE A SISMTEULUI

RESURSELOR INFORMATICE SI DE COMUNICATII


( RIC )
Scop
Confidenialitatea se refer la protecia datelor mpotriva accesului neautorizat.
Fiierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate
n proprietatea, administrarea sau n custodia i sub controlul Cardiv Marketing, sunt
proprietatea SC. Cardiv Marketing SRL n condiiile legilor n vigoare. Utilizatorul
rspunde personal de confidenialitatea datelor ncredinate prin procedurile de
acces la RIC ( Resurse informatice si de comunicatii )
Integritatea se refer la msurile i procedurile utilizate pentru protecia datelor
mpotriva modificrilor sau distrugerii neautorizate.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizaiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile de administrare
i utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din
punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii
respective.
Furnizor: Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de colaborare.
Atribuii i responsabiliti
Atribuiile operatorului includ:
Orice angajat trebuie s se asigure c managementul RIC respect prevederile
prezentei Politici i a regulamentelor sau procedurilor asociate.
Administratorul de reea/sistem/baze de date trebuie s asigure existena jurnalelor
i a traseelor auditrii pentru orice tip de acces n sistem conform regulamentelor
sau procedurilor asociate.
Administratorul de reea/sistem/baze de date trebuie s asigure activarea tuturor
mecanismelor de securitate.

Confidentialitate
n scopul administrrii RIC i pentru asigurarea securitii RIC personalul autorizat
poate revizui sau utiliza orice informaie stocat pe sau transportat prin sistemele
RIC n conformitate cu legile n vigoare. n aceleai scopuri, este posibil
monitorizarea activitii utilizatorilor
Utilizatorii trebuie s raporteze orice slbiciune n sistemul de securitate al
calculatoarelor din cadrul Cardiv Marketing, orice incident de posibil ntrebuinare
greit sau nclcare a acestui regulament.
Utilizatorii nu trebuie s ncerce s acceseze informaii sau programe de pe
sistemele Cardiv Marketing pentru care nu au autorizaie sau consimmnt explicit.
Nici un utilizator al RIC ale nu poate divulga informaiile la care are acces sau la
care a avut acces ca urmare a unei vulnerabiliti a sistemului RIC. Aceast regul
se extinde i dup ce utilizatorul a ncheiat relaiile cu Cardiv Marketing SRL.
Confidenialitatea informaiilor transmise prin intermediul resurselor de comunicaii
ale terilor nu poate fi asigurat. Pentru aceste situaii, confidenialitatea i
integritatea informaiilor se poate asigura folosind tehnici de criptare. Utilizatorii
sunt obligai s se asigure c toate informaiile confideniale Cardiv Marketing se
transmit n aa fel nct s se asigure confidenialitatea i integritatea acestora.
Reguli de Utilizare Acceptabil a sistemului RIC
Utilizarea sistemului RIC se face numai n interes de serviciu.
Utilizatorii trebuie s anune ARIC n cazul n care se observ orice problem/bre
n RIC din cadrul Cardiv Marketing ct i orice posibil ntrebuinare greit sau
nclcare a regulamentelor n vigoare.
Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit protecia
sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau
accidental, aciuni care pot afecta confidenialitatea, integritatea i disponibilitatea
informaiilor de orice tip n cadrul RIC al Cardiv Marketing.
Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din RIC
pentru care nu au autorizaie sau consimmnt explicit.
Utilizatorii nu trebuie s divulge sau s nstrineze nume de cont-uri, parole,
Numere de Identificare Personal (PIN-uri), Coduri numerice personale (CNP-uri),
date de contact, dispozitive pentru autentificare (ex.: Smartcard) sau orice
dispozitive i/sau informaii similare utilizate n scopuri de autorizare i identificare.
Utilizatorii nu trebuie s fac copii neautorizate sau s distribuie materiale protejate
prin legile privind proprietatea intelectual (copyright).
Utilizatorii nu trebuie s utilizeze programe de tip shareware sau freeware, fr
aprobarea ARIC, cu excepia cazului n care acestea se gsesc pe lista programelor
standard folosite n cadrul activitatii Cardiv Marketing. Aceast list va fi ntocmit
de ctre managerul Cardiv Marketing si administratorul de retea.
Utilizatorii nu trebuie: s se angajeze ntr-o activitate care ar putea hrui sau
amenina alte persoane; s degradeze performanele RIC; s mpiedice accesul unui
utilizator autorizat la RIC; s obin alte resurse n afara celor alocate; s nu ia n
considerare msurile de securitate impuse prin regulamente.
Utilizatorii nu trebuie s descarce, instaleze i s ruleze programe de securitate sau
utilitare care expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu,
utilizatorii Cardiv Marketing nu trebuie s ruleze programe de decriptare a parolelor,

de captur de trafic, de scanri ale reelei sau orice alt program nepermis de
regulamente.
Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit
materiale pe care Cardiv Marketing le poate considera ofensive, indecente sau
obscene (altele dect cele n curs de cercetare academic unde acest aspect al
cercetrii are aprobarea explicit a conducerii organizatiei).
Accesul la reeaua Internet prin intermediul RIC se supune acelorai regulamente
care se aplic utilizrii din interiorul instituiei i Regulamentului pentru Utilizare
Internet i Intranet. Angajaii nu trebuie s permit membrilor familiei sau altor
persoane accesul la RIC ale Cardiv Marketing.
Utilizatorii nu trebuie s se angajeze n aciuni mpotriva scopurilor Cardiv Marketing
folosind RIC.
Reguli de Utilizare Ocazional a RIC
Utilizarea ocazional a RIC nu trebuie s aib drept rezultate costuri directe pentru
Cardiv Marketing.
Utilizarea ocazional a RIC nu trebuie s afecteze activitatea normal a angajailor.
Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot
cauza aciuni legale mpotriva Cardiv Marketing sau prejudicierea, indiferent de
form, a intereselor Cardiv Marketing.
Stocarea mesajelor de email, a mesajelor de voce, a documentelor i fiierelor
personale din cadrul RIC trebuie s fie nominal.
Toate mesajele, fiierele i documentele incluznd mesajele personale, fiierele i
documentele localizate n cadrul RIC sunt proprietatea Cardiv Marketing i pot fi
subiectul unor cereri de verificare/inspectare/accesare conform regulamentelor.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.

Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia


i datele trebuie protejate fiind proprietatea Cardiv Marketing.

PLAN DE SECURITATE
Introducere
Regulamentele de Utilizare a Resurselor Informatice i de Comunicaii sunt
elaborate pentru a stabili un cadru corect, legal i eficient de utilizare a tehnologiei
informaiei i comunicaiilor n cadrul Cardiv Marketing.
Acestea au ca scop principal protejarea utilizatorilor, colaboratorilor mpotriva
atacurilor de orice tip (cu sau fr intenie). De asemenea acestea au ca scop
protejarea imaginii companiei i a investiiilor acesteia pentru dezvoltarea sistemul
informatic i de comunicaii.
Scop
n acord cu legislaia n vigoare n Romnia, Regulamentele de ordine interioar ale
Cardiv Marketing SRL, Resursele Informatice i de Comunicaii sunt valori ale Cardiv
Marketing care trebuie exploatate i administrate ca resurse propriii si strict
confidentiale. Scopul acestor regulamente este acela de a asigura:
1. Stabilirea unor reguli corecte, echitabile i eficiente pentru folosirea resurselor
informatice i de comunicaii n vederea confidentialitatii utilizarii datelor personale;
2. Protejarea investiiilor Cardiv Marketing pentru dezvoltarea sistemului informatic i
de comunicaii propriu;
3. Protejarea proprietii intelectuale i a tuturor informaiilor stocate i transportate
folosind Sistemul de Securitate Cardiv Marketing ale utilizatorilor autorizai.
4. Educarea utilizatorilor resurselor informatice i de comunicaii n ceea ce privete
responsabilitile asociate cu utilizarea acestora;
Audien
Regulamentele de utilizare a resurselor informatice i de comunicaii ale Cardiv
Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis
accesul la acesta.
Proceduri de elaborare, modificare i aprobare a Regulamentelor
1. Regulamentele de utilizare a Resurselor Informatice i de Comunicaii ale Cardiv

Marketing se elaboreaz pentru fiecare activitate specific domeniului.


2. Regulamentele vor fi elaborate de ctre Administratorul de sistem i vor fi propuse
pentru aprobare conducerii Cardiv Marketing.
3. Regulamentele de utilizare a sistemului Resurselor Informatice i de Comunicaii vor
fi disponibile atat n format electronic pe serverul Cardiv Marketing cat si tiparite in
sediul organizatiei. Se recomand ca aceste documente s fie disponibile oricand si
updatate ori de cate ori este nevoie.

Proceduri i Regulamente Specifice


1. Utilizare Acceptabil a Resurselor Informatice i de Comunicaii
2. Declaraii privind Confidenialitatea Serviciilor Informatice i de Comunicaii
3. Acces Administrativ
4. Accesul Fizic
5. Tratarea Incidentelor de Securitate
6. Monitorizarea Resurselor Informatice i de Comunicaii
7. Securitatea Serverelor
8. Crearea i Utilizarea Copiilor de Siguran (Backup)
9. Detectarea Tentativelor de Acces Neautorizat
10.Modificri i Modernizri ale Sistemului Resurselor Informatice i de
Comunicaii
11.Utilizare Internet i Intranet
12.Administrarea Conturilor
13.Parole de Acces

Utilizare Acceptabil a Resurselor Informatice i


de Comunicaii
Introducere
n acord cu prevederile Politicii de Securitate, Sistemul de Resurse Informatice i de
Comunicaii (SRIC) sunt bunuri strategice ale Cardiv Marketing care trebuiesc
administrate ca resurse proprii si confidentiale. Acest regulament este stabilit astfel
nct:
S fie n conformitate cu Politica de Securitate, statutul, regulamentele, legile i alte
documente oficiale n vigoare privind administrarea resurselor informatice,
S stabileasc practici prudente i acceptabile privind utilizarea SRIC ale Cardiv
Marketing
S instruiasc utilizatorii care au dreptul de folosire a SRIC privind responsabilitile
lor asociate unei astfel de utilizri.
Audien
Regulamentul de Utilizare Acceptabil a Resurselor Informatice i de Comunicaii al
Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis
accesul la orice resurs informatic i de comunicaii a Cardiv Marketing SRL.
Confidenialitate

Fiierele electronice create, trimise, primite sau stocate pe resursele informatice


proprii, nchiriate, administrate sau n custodia i sub controlul Cardiv Marketing, nu
sunt confideniale i pot fi accesate de ctre personalul responsabil cu securitatea
SRIC Cardiv Marketing, oricnd fr ntiinarea utilizatorului care are n gestiune
sistemul. Coninutul unui fiier electronic poate fi accesat de ctre personalul
autorizat n conformitate cu prevederile i normele de securitate ce se regsesc n
Regulamentul de Acces Administrativ.

Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice, incluznd si servere,
calculatoare personale, calculatoare-agend (notebook-uri), resurse de
telecomunicaii, medii de reea i alte accesorii. La acestea se adaug procedurile,
echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse
n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa,
stoca, primi, afia i transmite informaiile.
Administratorul Resurselor Informatice si de Comunicaii (ARIC): Responsabil la
nivelul companiei cu administrarea RIC ale Cardiv Marketing. Desemnarea ARIC are
ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i
aprobarea regulamentelor privind activitile de administrare i utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele Cardiv Marketing i/sau legile n vigoare, inclusiv
cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre
utilizator a aciunii respective.
Furnizor: Persoan fizic/juridic care ofer bunuri sau servicii catre Cardiv
Marketing n baza unui contract comercial sau de colaborare.
Regulament de Utilizare Acceptabil a RIC
Utilizatorii trebuie s anune ARIC ( administratorul Resurselor Informatice si de
Comunicatii ) n cazul n care se observ orice problem/bre n sistemul de
securitate a RIC din cadrul Cardiv Marketing ct i orice posibil ntrebuinare
greit sau nclcare a regulamentelor n vigoare.
Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit protecia
sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau
accidental, aciuni care pot afecta confidenialitatea, integritatea i disponibilitatea
informaiilor de orice tip n cadrul sistemului RIC al Cardiv Marketing.
Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din RIC
pentru care nu au autorizaie sau consimmnt explicit.
Utilizatorii nu trebuie s divulge sau s nstrineze nume de cont-uri, parole,
Coduri Numerice Personale ( CNP-uri ), sau orice dispozitive i/sau informaii
similare utilizate n scopuri de autorizare i identificare.
Utilizatorii nu trebuie s utilizeze programe de tip shareware sau freeware, fr
aprobarea ARIC, cu excepia cazului n care acestea se gsesc pe lista programelor

standard folosite n cadrul companiei. Aceast list va fi ntocmit de ctre


administratorul Resurselor informatice si Comunicatie impreuna cu managerul
companiei.
Utilizatorii nu trebuie: s se angajeze ntr-o activitate care ar putea hrui sau
amenina alte persoane; s degradeze performanele RIC; s mpiedice accesul unui
utilizator autorizat la RIC; s obin alte resurse n afara celor alocate; s nu ia n
considerare msurile de securitate impuse prin regulamente.
Utilizatorii nu trebuie s descarce, instaleze i s ruleze programe de securitate sau
utilitare care expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu,
utilizatorii autorizati RIC nu trebuie s ruleze programe de decriptare a parolelor, de
captur de trafic, de scanri ale reelei sau orice alt program nepermis de
regulamente.
Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit
materiale pe care politica companiei le poate considera ofensive, indecente sau
obscene.
Utilizatorii nu trebuie s se angajeze n aciuni mpotriva scopurilor Cardiv Marketing
folosind RIC.

Utilizare Ocazional
n anumite situaii este permis utilizarea ocazional a RIC. n aceste situaii
se aplic urmtoarele restricii:
Utilizarea personal ocazional a serviciilor de pot electronic, acces internet,
telefoane, fax-uri, imprimante, copiatoare, etc. este restricionat la utilizatorii
autorizai i nu poate fi extins la membrii familiilor sau alte personae fara acordul
ARIC
Utilizarea ocazional a RIC nu trebuie s afecteze activitatea normal a angajailor.
Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot
cauza aciuni legale mpotriva Cardiv Marketing sau prejudicierea, indiferent de
form, a intereselor companiei.
Este interzisa stocarea mesajelor de email, a mesajelor de voce, a documentelor i
fiierelor personale din cadrul RIC fara acordul ARIC
Toate mesajele, fiierele i documentele incluznd mesajele personale, fiierele i
documentele localizate n cadrul RIC sunt proprietatea Cardiv Marketing.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul autorizat este responsabil privind modul de utilizare a RIC; fiecare
utilizator este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic.
Administratorul de sistem si managerul sunt raspunzatori de autorizarea
utilizatorilor pentru folosirea adecvat a RIC.
Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n
siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu
schimb cu nimic obligativitatea de a le pstra confideniale i n siguran, tipul

informaiei sau chiar informaia n sine stau la baza determinrii gradului de


siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing
ARIC i rezerv dreptul de a terge, de pe orice sistem, orice program sau fiier
care nu are legtur cu scopul muncii respective. Exemple de astfel de programe
sau fiiere, dar nu limitate la: jocuri, programe de comunicare a mesajelor (AOL,
Yahoo Messenger, MSN etc.), fiiere cu muzic (mp3, wav etc.), fiiere grafice (bmp,
gif, jpg etc.), programe tip freeware i shareware.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:

Rezilierea contractului de munc n cazul angajailor;


Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.

Toate aciunile care contravin legilor vor fi raportate organelor competente.

Declaraii privind Confidenialitatea Serviciilor


Informatice i de Comunicaii

Introducere
Regulamentele de Confidenialitate sunt mecanisme utilizate pentru a stabili limite
pentru utilizatorii RIC. Utilizatorii interni nu ar trebui s se atepte la
confidenialitate n ceea ce privete utilizarea sistemului RIC. Utilizatorii externi ar
trebui s se atepte la confidenialitate total, cu excepia cazului n care se
suspecteaz un delict cu privire la sistemul RIC.
Scopul
Scopul Regulamentului privind Confidenialitatea Serviciilor Informatice i de
Comunicaii ale Cardiv Marketing SRL este acela de a comunica n mod clar
utilizatorilor la ce s se atepte n ceea ce privete confidenialitatea datelor stocate
n sistemul RIC.
Audien
Regulamentul privind Confidenialitatea Serviciilor Informatice i de Comunicaii al
Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a
permis accesul la orice resurs informatic i de comunicaii a companiei.
Drept de Proprietate
Fiierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate
n proprietatea, administrarea, sau n custodia i sub controlul Cardiv Marketing,
sunt proprietatea Companiei n condiiile legilor n vigoare.

Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Server Web: un sistem de calcul care distribuie n mod public sau difereniat
informaii folosind protocolul HTTP.
Pagin web: Un document n spaiul World Wide Web (WWW). Fiecare pagin web
este identificat printr-un URL (Uniform Resource Locator).
Security Hub: unitate de stocare securizata cu posibilitate de conectare prin
intermediul (WAN Wide Area Network si LAN Local Area Network )

Regulament privind Confidenialitatea Serviciilor Informatice i de


Comunicaii
Fiierele electronice create, trimise, primite sau stocate folosind sistemul RIC,
administrate sau n custodia i sub controlul Cardiv Marketing nu sunt confideniale
i pot fi accesate oricnd de ctre angajaii autorizai din cadrul RIC fr
ntiinarea utilizatorului conform Regulamentului de Acces Administrativ.
n scopul administrrii RIC i pentru asigurarea securitii RIC personalul autorizat
poate revizui sau utiliza orice informaie stocat pe sau transportat prin sistemele
RIC n conformitate cu legile n vigoare. n aceleai scopuri, este posibil
monitorizarea activitii utilizatorilor.
Utilizatorii trebuie s raporteze orice slbiciune n sistemul de securitate al
calculatoarelor din cadrul Cardiv Marketing, orice incident de posibil ntrebuinare
greit sau nclcare a acestui regulament ( prin contactarea ARIC )
Utilizatorii nu trebuie s ncerce s acceseze informaii sau programe de pe
sistemele Cardiv Marketing pentru care nu au autorizaie sau consimmnt explicit
din partea ARIC
Nici un utilizator al sistemului RIC al Cardiv Marketing nu poate divulga informaiile
la care are acces sau la care a avut acces ca urmare a unei vulnerabiliti a
sistemului RIC. Aceast regul se extinde i dup ce utilizatorul a ncheiat relaiile
cu Cardiv Marketing.
Regulament pentru Accesul Publicului la Informaii
Modelul de mai jos trebuie folosit pentru toate cazurile n care prin sistemul RIC se
ofer informaii publicului. Sit-urile web ale Cardiv Marketing disponibile publicului

general conin o declaraie prin care se atenioneaz vizitatorii privind


confidenialitatea aciunilor lor. Un exemplu Declaraie este urmtorul:
Urmtoarea declaraie se aplic numai publicului i este destinat atenionrii
acestuia cu privire la informaiile nregistrate cu ocazia accesrii informaiei din
sistemul Resurselor Informatice i de Comunicaii al Cardiv Marketing.
Cookie-uri: Un cookie este un fiier care conine informaie plasat de ctre un
server web pe un calculator al utilizatorului. De obicei, aceste fiiere sunt utilizate
pentru a facilita accesul la informaia oferit de sit-ul web. Orice informaie pe care
serverele web ale Cardiv Marketing o pot stoca n cookie-uri este utilizat numai n
interiorul Cardiv Marketing. Informaia din cookie-uri nu este utilizat pentru a
dezvlui, ctre teri, informaii despre vizitator dect n cazul n care Companiei i se
cere n mod legal s fac acest lucru n conformitate cu legile n vigoare sau alte
proceduri legale sau pentru depunerea documentelor necesare eliberarii diplomelor
de participare la anumite evenimente catre Colegiul Medicilor din Romania sau alte
institutii publice.
Jurnale i Monitorizare: Cardiv Marketing SRL pstreaz fiierele cu nregistrri
ale tuturor accesrilor sit-urilor sale i de asemenea monitorizeaz traficul din reea
n scopul administrrii sit-urilor. Aceast informaie este utilizat pentru a ajuta la
diagnosticarea eventualelor probleme i pentru a realiza alte sarcini administrative.
Uneltele de analiz a jurnalelor sunt de asemenea utilizate pentru statistici n scopul
determinrii informaiei cu un grad ridicat de interes pentru utilizatori sau vizitatori.
Informaiile incluse n aceste fiiere sunt:
o
o
o
o

Numele sistemului: numele sistemului i/sau adresa IP a calculatorului


care cere accesarea sit-ului.
Informatii despre utilizator: tipul browser-ului, versiunea (Mozila Firefox,
Google Chrome, Internet Explorer 8 for Windows, Safari for Macintosh,
etc.).
Referin: pagina web de unde a venit utilizatorul.
Data : data i ora accesrii.

Informaia de mai sus nu va fi folosit pe nici o cale care ar putea dezvlui


informaii de identificare personal a unei persoane din exteriorul Cardiv
Marketing, dect dac se cere n mod legal acest lucru n conformitate cu legile n
vigoare sau cu alte proceduri legale si necesare.
Informaie din mesaje electronice sau formulare: Dac un vizitator trimite un mesaj
electronic catre Cardiv Marketing sau completeaz un formular web cu o serie de
ntrebari sau comentarii ce conin informaii de identificare personal, acea
informaie va fi utilizat numai pentru a rspunde cererii i pentru a analiza
inteniile. Mesajul poate fi redirectat la alt persoan care este calificat s
rspund cererii. Astfel de informaii nu vor fi folosite pe nici o cale prin care s-ar
dezvlui informaii de identificare personal terilor, cu excepia cazului n care
Companiei se cere n mod legal acest lucru n conformitate cu legile n vigoare sau
cu alte proceduri legale.
Legturi: Sit-urile pot conine legturi catre alte sit-uri. Cardiv Marketing nu este
rspunztoare de politicile de securitate sau coninutul acestor sit-uri.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.

Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni


sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.

Acces Administrativ
Introducere
Personalul care asigur suport tehnic, administratorii de sistem i alte persoane pot
avea conturi cu drepturi de acces privilegiat n comparaie cu utilizatorii obinuii.
Datorit faptului c aceste conturi pentru acces administrativ au mai multe
privilegii, aprobarea, verificarea i monitorizarea acestora sunt extrem de
importante din punctul de vedere al securitii RIC.
Scopul
Scopul Regulamentului de Acces Administrativ al Cardiv Marketing, este de a stabili
regulile pentru crearea, utilizarea, monitorizarea, controlarea i tergerea conturilor
cu drepturi speciale de acces.
Audien

Procedura de Acces Administrativ se aplic nediscriminatoriu tuturor persoanelor


care au sau pot cere i obine drepturi speciale de acces la orice RIC a Cardiv
Marketing.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din
punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii
respective.
Furnizor: Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de colaborare.
Regulament de Acces Administrativ
Utilizatorii trebuie s cunoasc i s accepte toate regulamentele privind
securitatea RIC nainte de a li se permite accesul la un cont.
Utilizatorii care au conturi de acces administrativ trebuie sa aib instruciuni de
administrare, documentare, instruire i autorizare a conturilor. Aceste instruciuni se
vor elabora de catre managerul Companiei i vor fi incluse n fia postului.
Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie s foloseasc
n mod abuziv aceste drepturi i trebuie s fac investigaii numai sub ndrumarea
ARIC.
Cei care utilizeaz conturi de acces cu drepturi administrative sau speciale trebuie
s foloseasc tipul de privilegiu cel mai potrivit activitii pe care o desfoar.
Accesul administrativ trebuie s se conformeze Regulamentului de utilizare a
Parolelor.
Parola pentru un cont cu acces privilegiat nu va fi utilizat de mai multe persoane
dect cu acordul scris al ARIC i trebuie s fie schimbat atunci cnd persoana care
utilizeaz acest cont i schimb locul de munc din cadrul Cardiv Marketing SRL
Trebuie s existe o procedur prin care o alt persoan, n afar de administrator, s
poat avea acces la contul administratorului n caz de fora major. Aceast
procedur va fi elaborat de ctre managerul Companiei.
Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern,
pentru dezvoltare sau instalare de software sau alte operaiuni definite. Acestea
trebuie s ndeplineasc urmtoarele condiii:
o trebuie s fie autorizate;
o trebuiesc create cu dat de expirare specific;
o contul va fi ters atunci cnd nu mai este necesar.
Alte Dispoziii

Acest Regulament are ca parte integrant urmtoarele dispoziii:


Controalele de Securitate ale Resurselor Informatice nu trebuie s fie
ocolite sau dezactivate.
Accesul la schimbarea i utilizarea drepturilor de acces la RIC trebuie s
fie strict securizat. Trebuie revizuite n mod regulat modul de autorizare a
accesului la informaie, drepturile de acces precum i orice modificare a
strii postului cum ar fi: transfer, promovare, retrogradare sau terminarea
serviciului.
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare
utilizator este direct responsabil pentru aciunile care pot afecta
securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei
suspiciuni sau confirmri de nclcare a acestui regulament.
Utilizarea RIC se face numai n interes de serviciu.
Nu exist nici o asigurare a confidenialitii datelor personale sau a
accesului la informaii folosind protocoale de genul, dar nu limitate la,
mesagerie electronic, navigare Web, conversaii telefonice, transmisie
fax-uri i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor n
vigoare.
ARIC si managerul Companiei sunt responsabili privind autorizarea
utilizatorilor pentru folosirea adecvat a RIC.
Orice informaie folosit n sistemul RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi
stocate electronic nu schimb cu nimic obligativitatea de a le pstra
confideniale i n siguran; tipul informaiei sau chiar informaia n sine
stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect,
documentaia i datele trebuie protejate fiind proprietatea Companiei.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.

Accesul Fizic
Introducere
Ca parte a atribuiilor de serviciu, personalul care asigur suport tehnic,
administratorii de reea, administratorii de sistem sau alte persoane autorizate
trebuie s aib acces la echipamentele i componentele sistemului RIC. Procesul de
control i monitorizare a drepturilor de acces fizic la resursele RIC este important i

va fi reglementat conform prezentului regulament de ctre ARIC i, acolo unde este


cazul, de ctre managerul Companiei.
Scopul
Scopul Regulamentului privind Accesul Fizic la RIC este stabilirea regulilor pentru
acordarea, controlarea, monitorizarea i ntreruperea drepturilor de acces fizic la
echipamentele componente ale RIC.
Audien
Regulamentul privind Accesul Fizic la RIC se aplic tuturor persoanelor care rspund
de buna funcionare a infrastructurii, instalarea i ntreinerea unor componente
funcionale, a personalului responsabil cu securitatea RIC i utilizatori.
Definitii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din
punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii
respective.
Furnizor: Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de colaborare.
Regulament privind Accesul Fizic la RIC
Accesul fizic la toate ncperile n care sunt instalate RIC trebuie s fie documentat
i monitorizat.
Toate ncperile n care sunt instalate RIC trebuie s fie protejate fizic, n funcie de
importana acestora i tipul datelor vehiculate sau stocate.
Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face n scris
de ctre managerul Companiei sau, dup caz, de catre ARIC.
Cardurile i/sau cheile de acces care nu mai sunt folosite trebuie predate
managerului Companiei.
Pierderea sau furtul cardurilor i/sau cheilor de acces trebuie raportate imediat
managerului Companiei.
Managerul Companiei va ine o eviden a tuturor cardurilor i/sau cheilor de acces
emise, retrase, pierdute sau furate.
Pentru fiecare spaiu n care sunt instalate RIC se va pstra o eviden a accesului
pentru verificri de rutin n situaii critice.

Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Utilizarea RIC se face numai n interes de serviciu.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu limitate la, pot electronic,
navigare pe Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
ARIC si managerul Companiei sunt responsabili privind autorizarea utilizatorilor
pentru folosirea adecvat a RIC.
Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n
siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu
schimb cu nimic obligativitatea de a le pstra confideniale i n siguran; tipul
informaiei sau chiar informaia n sine stau la baza determinrii gradului de
siguran necesar.
Controalele de Securitate ale RIC nu trebuie s fie evitate sau dezactivate.
Parolele, Numerele de Identificare Personal, Cartelele de Acces precum i alte
proceduri de securitate a sistemelor de calcul sau a dispozitivelor din cadrul RIC
trebuie s fie protejate de fiecare utilizator n parte astfel nct s nu poat fi
utilizate de ali utilizatori. Orice nclcare a sistemului de securitate trebuie
raportat catre ARIC si managerul Companiei.
Accesul la RIC trebuie s fie strict securizat i s se fac pe baza unor proceduri
documentate conform prezentului regulament. Aceste proceduri trebuie revizuite n
mod regulat.
La terminarea relaiilor dintre utilizatorul RIC i Cardiv Marketing acesta trebuie s
predea toate componentele sistemului RIC de care rspunde sau le are n inventar.
Toate regulile de securitate pentru sistemul RIC se aplic si rmn n vigoare i dup
ncheierea relaiilor dintre utilizator i Cardiv Marketing.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.

Tratarea Incidentelor de Securitate


Introducere
Reeaua de comunicaii a Cardiv Marketing constituie unul din principalele mijloace
de exploatare a resurselor informatice. Aceasta include toate echipamentele,
cablurile, punctele de acces, punctele de distribuie notebook-urile si desktopurile.
Este important ca dezvoltarea reelei de comunicaii s se fac avnd n vedere att
cerinele utilizatorilor privind furnizarea de servicii avansate i difereniate ct i
cerinele privind securitatea ntregului ansamblu.
Scopul
Acest document descrie cerinele i regulile care trebuie respectate pentru a
minimiza impactul incidentelor de securitate. Acestea includ (dar nu sunt limitate
la): detectarea programelor de tip virus, vierme informatic etc., folosirea
neautorizat a conturilor de acces i a calculatoarelor n sine, precum i reclamaiile
privind folosirea improprie a RIC dup cum este subliniat n regulamente.
Audien
Regulamentul privind Tratarea Incidentelor de Securitate se aplic nediscriminatoriu
tuturor persoanelor care folosesc orice component a RIC.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Virus: Un program care se auto-ataeaz la un fiier executabil sau la o aplicaie
vulnerabil i care genereaz efecte de la cele deranjante pn la cele distructive.
Un virus se execut n momentul n care este accesat un fiier infectat. Un virus de
macro infecteaz codul executabil ncapsulat n pachetul de programe Microsoft
Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului s
genereze macro-uri.
Vierme: Un program care se auto-copiaz n oricare alt parte a unui sistem
informatic. Aceste copii pot fi create pe acelai calculator sau pot fi trimise ctre
alte calculatoare prin intermediul reelei. Prima utilizare a termenului descria un
program care s-a multiplicat ntr-o reea de calculatoare, folosind resursele sau
calculatoarele neutilizate din reea pentru a distribui aceste copii. Unii dintre aceti
viermi reprezint o ameninare la adresa securitii datorit faptului c folosesc
reeaua pentru a se mprtia, mpotriva voinei proprietarilor de sisteme de calcul,

cauznd astfel nefuncionarea sau funcionarea defectuoas a reelei. Un vierme


este asemntor unui virus prin faptul c se auto-copiaz, diferena constnd n
faptul c un vierme nu are nevoie s se ataeze la anumite fiiere pentru a se
multiplica.
Trojan: de obicei un virus sau un vierme care este ascuns sub forma unui program
atractiv sau inofensiv, cum ar fi un joc, sau program de grafic (o felicitare n format
electronic, un program tip screen-saver). Victimele pot primi un astfel de cal troian
prin email sau pe o dischet, adeseori de la o alt victim necunoscut sau pot fi
ncurajate s descarce un fiier de pe o pagin Web sau un forum.
Incident de Securitate: n termeni informatici este definit ca un eveniment prin care
se ncearc sau se realizeaz accesul la un sistem informatic, un atac asupra
integritii i/sau confidenialitii informaiei de pe un sistem informatic
automatizat. Aceasta include examinarea sau navigarea neautorizat, ntreruperea
sau anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea),
stocarea sau extragerea informaiilor, modificarea informaiilor sistemului
referitoare la caracteristicile componentelor hardware, firmware sau software cu sau
fr tiina sau intenia utilizatorului.
Regulament de Tratare a Incidentelor de Securitate
Ori de cte ori un incident de securitate este suspectat sau confirmat, precum un
virus, vierme, descoperirea unor activiti suspecte, informaii modificate etc.,
trebuie urmate procedurile standard specifice pentru micorarea riscurilor.
ARIC este responsabil de tratarea incidentului.
ARIC este responsabil cu strngerea dovezilor fizice i electronice ce vor face parte
din documentaia pentru tratarea incidentului.
Folosind resurse tehnice speciale se va monitoriza nivelul daunelor i gradul de
eliminare sau atenuare a vulnerabilitilor acolo unde este cazul.
ARIC trebuie s comunice proprietarului sau productorului resursei afectate de un
incident informaiile utile pentru eliminarea sau diminuarea vulnerabilitilor care au
cauzat incidentul.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:

Rezilierea contractului de munc n cazul angajailor;

Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;

Interzicerea accesului la RIC.


Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.

Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de


ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing.

Monitorizarea Resurselor Informatice i de Comunicaii


Introducere
Monitorizarea RIC pentru asigurarea securitii sistemului este o metod utilizat
pentru a confirma funcionalitatea i eficiena msurilor de securitate. Aceast
activitate const n urmtoarele (fr a se limita numai la aceste exemple):
Detectarea automat a intruilor prin intermediul sistemelor de nregistrare
Jurnale ale scanrilor reea
Jurnale ale aplicaiilor
Jurnale ale solicitrilor de suport tehnic
Jurnale ale erorilor din sisteme i servere
Scopul
Scopul Regulamentului de Monitorizare a RIC este stabilirea regulilor i procedurilor
pentru verificarea funcionalitii i eficienei msurilor de securitate.
De asemenea aceast activitate urmrete detectarea situaiilor de evitare sau
dezactivare a controalelor.
Unul din beneficiile monitorizrii securitii este identificarea din timp a tentativelor
de fraud sau a infraciunilor i a vulnerabilitilor sistemelor componente ale RIC.
Alte beneficii includ: rezolvarea reclamaiilor, monitorizarea serviciilor, estimarea
performanelor sistemelor n vederea ntocmirii planurilor de modernizare, etc.
Audien
Regulamentul de Monitorizare a RIC al Cardiv Marketing se aplic nediscriminatoriu
tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de
comunicaii a Cardiv Marketing.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind

crearea, modificarea i aprobarea regulamentelor privind activitile administrare i


utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din
punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii
respective.
Reea local (LAN/WAN): O reea de comunicaii de date ce este distribuit pe o
zon restrns (de regul la nivelul unui grup de lucru). Reeaua local ofer
comunicaii ntre calculatoare i periferice la o vitez de transfer mare i cu puine
erori.

Regulament de Monitorizare a RIC


Monitorizarea RIC se va face astfel nct s fie posibil detectarea n timp util a
atacurilor informatice i a situaiilor de nclcare a regulamentelor de securitate.
Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmri i
nregistra:
a) Tipul traficului (ex. structura pe protocoale i servicii) extern i coninutul
acestuia n cazurile n care acest lucru se impune sau este ordonat.
b) Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de
operare).
Fiierele jurnal vor fi examinate regulat n vederea detectrii eventualelor atacuri
informatice i abateri de la regulamentele de securitate ale Cardiv Marketing. n
aceast categorie intr urmtoarele (fr a se limita doar la acestea):
a) Jurnale ale sistemelor de detectarea automat a intruilor.
b) Jurnale ale activitii conturilor utilizator
c) Jurnale ale scanrilor reea
d) Jurnale ale aplicaiilor
e) Jurnale ale solicitrilor de suport tehnic
f) Jurnale ale erorilor din sisteme i servere.
g) Jurnale ale echipamentelor de telefonie
n mod regulat (cel puin o dat la ase luni) se vor efectua verificri, de ctre ARIC
pentru detectarea:
a) Parolelor utilizator care nu respect regulamentele
b) Echipamentelor de reea conectate neautorizat
c) Serviciilor de reea neautorizate
d) Serverelor de pagini de web neautorizate
e) Echipamentelor ce utilizeaz resurse comune nesecurizate
Orice neregul privind respectarea regulamentelor de securitate va fi raportat
catre ARIC n scopul efecturii de investigaii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;

Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;


Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing.

Securitatea Serverelor
Introducere
Serverele sunt sistemele care stocheaz i distribuie informaia ctre utilizatorii
autorizai. n acest context trebuie asigurat integritatea, confidenialitatea i
disponibilitatea datelor prin instalarea i meninerea acestora ntr-o manier care s
previn accesul neautorizat, utilizarea neautorizat i ntreruperea unor servicii.
Serverele se clasifica in doua mari categorii: locale si on-line.
Scopul
Scopul Regulamentului de Securizare a Severelor Cardiv Marketing este de a
prezenta cerinele de instalare a unui nou server si de a menine integritatea
securitii acestuia i a aplicaiilor.
Audien
Regulamentul de Securizare a Severelor Cardiv Marketing se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs
informatic i de comunicaii a Cardiv Marketing.
Definitii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.

Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de


ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Server: Un program de calculator care ofer servicii altor programe aflate pe acelai
calculator sau pe calculatoare diferite. Un calculator care ruleaz un program tip
server este denumit n mod frecvent server, cu toate c pe acelai calculator mai
pot rula i alte programe de tip client sau server.
Regulament de Securizare a Serverelor
Un server nu trebuie conectat la reeaua Cardiv Marketing pn cnd nu se afl ntro stare sigur acreditat de ctre ARIC.
Procedura de securizare a serverelor trebuie s includ obligatoriu urmtoarele:
Instalarea sistemului de operare dintr-o surs aprobat
Aplicarea patch-urilor necesare furnizate de productor
nlturarea programelor, a serviciilor sistem i a driverelor care nu sunt
necesare
Setarea/activarea parametrilor de securitate, a proteciilor pentru fiiere i
activarea jurnalelor de monitorizare
Dezactivarea sau schimbarea parolelor conturilor predefinite
ARIC va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de
instalare i aplicare regulat a patch-urilor de securitate i, prin sondaj, pentru
serverele departamentale sau a grupurilor de lucru.

Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.

Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia


i datele trebuie protejate fiind proprietatea Cardiv Marketing.

Crearea i Utilizarea Copiilor de Siguran (Backup)


Introducere
Copiile de siguran (backup) sunt necesare pentru a permite recuperarea datelor i
aplicaiilor n cazul unor evenimente cum ar fi: dezastre naturale, defeciuni ale
discurilor de sistem, spionaj, erori de introducere a datelor, erori de funcionare a
sistemului etc. Back-upul se face pe unitati externe, aflate in afara sediului
Companiei sau a punctelor de lucru, tocmai pentru a putea preveni pierderea
informatiilor. Back-ul extern se face pe unitati de stocare externe securizate si
criptate cu parole de tip md5 formate din minim 13 caractere alfanumerice.
Scopul
Scopul Regulamentului de Back-up al Cardiv Marketing este de a stabili regulile
pentru crearea copiilor de siguran (backup) i stocarea informaiilor electronice
ale Cardiv Marketing SRL.
Audien
Regulamentele de utilizare a resurselor informatice i de comunicaii ale Cardiv
Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis
accesul la acesta.

Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Copii de Siguran (backup): Copii ale fiierelor i aplicaiilor fcute pentru a evita
pierderea datelor i pentru a permite recuperarea n cazul unor evenimente care pot
conduce la pierderi de date.
Stocarea Extern (Offsite): Stocarea extern trebuie s se realizeze ntr-o zon
geografic diferit de punctual de lucru al Companiei n care este puin probabil s
se produc efecte de acelai tip n cazul unui dezastru.
Servicii
Administratorul RIC poate avea contracte pentru stocarea copiilor de siguran
(backup) n alte zone.
Regulament privind Crearea i Utilizarea Copiilor de Siguran
Procedura de creare a copiilor de siguran i de recuperare pentru fiecare sistem
din cadrul RIC trebuie s fie documentat i periodic revizuit.
Furnizorul care ofer servicii de stocare a copiilor de siguran n alte zone pentru
Cardiv Marketing trebuie s fie acreditat n acest scop.
Procedurile stabilite ntre Cardiv Marketing i furnizorii de stocare ale copiilor de
siguran n alt zon trebuie s fie revizuite cel puin anual.
Verificarea copiilor de siguran se va face dup o procedur documentat i
revizuit periodic, cel putin odata la 3 luni.
Copiile de siguran trebuie s fie periodic testate pentru a asigura faptul c
informaiile stocate sunt recuperabile.
Accesul la mediile de backup ale Cardiv Marketing stocate la furnizori externi sau n
interior se va face folosind card-urile sau proceduri specifice de acces. Acestea
trebuie revizuite periodic (anual). Accesul trebuie interzis pentru persoanele
autorizate care i schimb locul de munc.
Benzile sau mediile utilizate pentru stocarea copiilor de siguran trebuie s aib un
sistem de identificare care s conin cel puin urmtoarele date de identificare a
informaiei stocate:
o data crerii copiei;
o tipul de copie (complet, incremental etc.);
o clasificarea sensibilitii (siguranei/securitii);
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii

Acest Regulament are ca parte integrant urmtoarele dispoziii:


ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing.

Detectarea Tentativelor de Acces Neautorizat


Introducere
Detectarea tentativelor de acces neautorizat are un rol important n implementarea
i aplicarea unui regulament de securitate. Pe msur ce complexitatea sistemelor
informaionale i de comunicaii crete, sistemele de securitate trebuie s evolueze.
Odat cu creterea numrului de vulnerabiliti prin utilizarea sistemelor distribuite
este necesar un mecanism de asigurare a securitii la nivel de sistem precum i la
nivel de reea. Sistemele de detectare a accesului neautorizat pot contribui la
atingerea acestui scop.
Scopul
Detectarea tentativelor de acces neautorizat furnizeaz dou funcii importante
pentru protejarea resurselor informatice:
Feedback: informaii referitoare la eficiena componentelor din sistemul de
securitate. Dac nu se detecteaz tentative sau chiar acces neautorizat n
condiiile n care se folosete un sistem de detectare se consider c
mecanismele de aprare funcioneaz.

Trigger: un mecanism automat care determin cnd este necesar activarea


anumitor msuri specifice ca rspuns la un incident privind accesul
neautorizat.
Audien
Regulamentul privind Detectarea Tentativelor de Acces Neautorizat n sistemul RIC
al Cardiv Marketing, se aplic tuturor persoanelor responsabile de instalarea de noi
RIC precum i persoanelor care rspund de utilizarea RIC existente i persoanelor
nsrcinate cu Securitatea RIC.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Incident de Securitate: n termeni informatici, este definit ca un eveniment de
ncercare de ptrundere, o intrare neautorizat sau un atac asupra informaiei de pe
un sistem automatizat din cadrul RIC. Definiia include examinarea sau navigarea
neautorizat, ntreruperea sau anularea serviciilor, alterarea sau distrugerea
datelor, a mediilor de stocare sau a datelor de ieire, modificarea informaiilor
sistemului referitoare la caracteristicile componentelor hardware, firmware sau
software cu sau fr tirea, indicaiile sau intenia utilizatorului.
Atac informaional: O ncercare de a trece peste msurile i controalele de
securitate fizice sau informatice care protejeaz un sistem din cadrul sistemului de
RIC. Atacatorul poate altera informaiile, poate acorda sau refuza accesul la ele.
Succesul unui eventual atac depinde de gradul de vulnerabilitate al sistemului n
particular i de eficacitatea contramsurilor aplicate
Gazd (Host): Un sistem care ofer servicii pentru un anumit numr de utilizatori.
Server: Un program care ofer servicii altor programe aflate pe acelai sistem de
calcul sau pe alte sisteme conectate n reea. Un sistem de calcul care ruleaz un
program de tip server este adesea numit server, cu toate c pe acelai calculator
mai pot rula i alte programe de tip client sau server.
Firewall: Un mecanism de control al accesului care acioneaz ca o barier ntre
dou sau mai multe segmente ale unei reele de calculatoare sau ale unei
arhitecturi de tip client/server, folosit pentru a proteja reelele interne sau segmente
ale acestora mpotriva utilizatorilor sau proceselor neautorizate.
Regulament pentru Detectarea Accesului Neautorizat
Procesele de nregistrare i verificare a activitii sistemelor de operare, conturilor
utilizator i programelor trebuie s fie funcionale pe toate sistemele active (host,
server, echipamente de reea).

Trebuie activate funciile de nregistrare a evenimentelor pe dispozitivele firewall i


pe toate sistemele de control al accesului.
nregistrrile de verificare ale dispozitivelor de control al accesului trebuie
monitorizate/revizuite (examinate) saptamanal de ctre administratorul de sistem.
Verificrile privind integritatea fiecrui sistem trebuie s se fac periodic( lunar ).
Aceast activitate este obligatorie i pentru dispozitivele de tip firewall sau
dispozitive de control al accesului.
nregistrrile de verificare pentru serverele i host-urile din reeaua intern trebuie
revizuite cel puin odata la 3 luni.
Se vor verifica periodic programele utilitare pentru detectarea tentativelor de acces
neautorizat.
Toate rapoartele privind incidentele trebuie revizuite n vederea detectrii de indicii
ce ar putea implica o activitate de acces neautorizat.
Toate indiciile suspecte sau confirmate de accesri sau ncercri de accesare
neautorizate trebuie raportate imediat ctre ARIC
Utilizatorii sunt obligai s raporteze orice anomalii n performana sistemelor
utilizate ct i orice semne ale unor posibile infraciuni la ARIC.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator
este direct responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni
sau confirmri de nclcare a acestui regulament.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie electronic,
navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de
conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic
poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n
condiiile legilor n vigoare.
Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de
ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran necesar.
Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia
i datele trebuie protejate fiind proprietatea Cardiv Marketing.

Modificri i Modernizri ale Sistemului Resurselor


Informatice i de Comunicaii
Introducere
Sistemul RIC din cadrul Cardiv Marketing este n continu dezvoltare i extindere.

La anumite intervale de timp, fiecare element al sistemului RIC trebuie oprit pentru
modernizare, ntreinere sau configurare. n plus, pot apare ntreruperi neplanificate
care conduc la operaii suplimentare ce afecteaz funcionarea ansamblului RIC.
Modul de tratare a acestor modificri reprezint o parte critic n procesul de
realizare a unei infrastructuri robuste i utile a RIC
Scopul
Scopul Regulamentului pentru Modificri i Modernizri ale Sistemului RIC este de a
stabili un cadru raional i predictibil, astfel nct utilizatorii s-i poat planifica
aciunile n consecin. Aciunile de modificare i modernizare necesit o anticipare
a evenimentelor, monitorizare i evaluare a performanelor pentru a reduce
impactul negativ asupra comunitii de utilizatori i pentru a mbunti serviciile
oferite prin RIC.
Audien
Regulamentul pentru Modificri i Modernizri ale Sistemului RIC se aplic tuturor
persoanelor care instaleaz, administreaz i ntrein Resursele Informatice i de
Comunicaii.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Modificare: Orice implementare a unei noi funcionaliti (adugare de
servicii/funcii/echipamente), orice ntrerupere a unui echipament/serviciu, orice
reparaie a unui echipament/serviciu existent i orice mutare sau suprimare a unui
echipament/serviciu.
Modificare planificat: Proces de modificare a unui echipament sau serviciu anunat,
documentat, aprobat.
Modificare neplanificat: Proces de modificare a unui echipament sau serviciu n
care nu s-a reuit anunarea, documentarea i aprobarea prealabil. Aceste
modificri vor fi anunate ulterior i sunt acceptate doar n situaiile n care exist
motive ntemeiate (ex. defeciuni).
Modificare urgent: Proces de intervenie neautorizat imediat asupra unui
echipament cauzat de iminena unui eveniment critic n scopul prevenirii
distrugerilor pe arii extinse.
Controlul Modificrilor: Procesul de control al procedurilor privind modificrile
hardware, software sau firmware etc., astfel nct s se asigure protejarea RIC
mpotriva modificrilor necorespunztoare.

Regulament pentru Modificri i Modernizri ale RIC


Orice modificare asupra unei componente a RIC din cadrul Cardiv Marketing, cum ar
fi: sisteme de operare, componente hardware, echipamente i componente de
reea, aplicaii, este supus prezentului regulament i trebuie s urmeze procedurile
n vigoare.
Toate propunerile de modernizare i extindere a elementelor de infrastructur a
sistemului RIC vor fi documentate i aprobate de ctre managerul companiei. Nu
este permis modificarea de ctre utilizatori a elementelor de infrastructur a RIC.
Modificrile planificate trebuie anunate cu cel putin 48 ore nainte de a fi executate.
Cererile de modificare planificat pot fi respinse n urmtoarele cazuri, dar nu
numai: planificare inadecvat, planuri de refacere a serviciilor inadecvate, durata
modificrii poate afecta n mod negativ o activitate important a instituiei, sau
resursele corespunztoare necesare nu pot fi disponibile imediat.
Se va ntocmi un raport pentru orice modificare, indiferent dac a fost planificat
sau neplanificat, sau dac s-a realizat sau nu cu succes.
Trebuie ntreinut o baz de date care s cuprind toate modificrile. Aceasta
trebuie s conin cel puin urmtoarele informaii:
o data la care s-a fcut cererea pentru modificare i data la care s-a
fcut modificarea;
o natura modificrii;
o indicarea strii modificrii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
Infrastructura sistemului RIC se afl sub controlul ARIC. Trebuie obinut aprobarea
din partea ARIC nainte de conectarea unui echipament la reea. ARIC i rezerv
dreptul de a deconecta orice echipament de reea care nu este conform cu
standardele sau care nu este considerat a fi securizat n mod corespunztor.
Integritatea programelor de uz general, a programelor utilitare, a sistemelor de
operare, a reelelor i respectiv a fiierelor de date sunt responsabilitatea ARIC.
Toate modificrile aduse sistemelor, programelor sau datelor trebuie aprobate de
ctre Departamentul sau Facultatea care deine echipamentele sau este responsabil
de integritatea acestora.

Utilizare Internet i Intranet


Introducere
n acord cu prevederile din prezentul Regulament, Resursele Informatice i de
Comunicaii (RIC) sunt bunuri strategice ale Cardiv Marketing. Acest regulament
este stabilit pentru a atinge urmtoarele scopuri:
S fie n conformitate cu statutele, regulamentele i alte documente oficiale
n vigoare pentru administrarea resurselor informatice,
S stabileasc practici prudente i acceptabile privind utilizarea reelei
Internet,
S instruiasc utilizatorii care pot folosi reeaua Internet n ceea ce privete
responsabilitile lor asociate unei astfel de utilizri.
Audien
Regulamentul de Utilizare Internet i Intranet se aplic nediscriminatoriu tuturor
persoanelor crora li s-a permis accesul la orice resurs informatic i de
comunicaii a Cardiv Marketing SRL care are capacitatea de acces Internet i/sau
Intranet.
Definitii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice. La acestea se adaug
procedurile, echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC): Responsabil la nivelul organizatiei cu administrarea RIC .
Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind
crearea, modificarea i aprobarea regulamentelor privind activitile administrare i
utilizare a RIC.
Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de
ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Internet: Sistem global care interconecteaz calculatoare i reele de calculatoare.
Acestea sunt deinute de mai multe organizaii, agenii guvernamentale, societi,
instituii academic etc.
Intranet: Reea privat destinat comunicaiilor i partajrii informaiilor, care, ca i
reeaua Internet, folosete suita de protocoale TCP/IP, ns este accesibil doar
utilizatorilor autorizai din cadrul unei organizaii (instituii). n mod obinuit, reeaua
Intranet a unei organizaii este protejat printr-un sistem de protecie (firewall).
Drept de Proprietate
Informaia n format electronic, fiierele create, modificate, trimise, primite sau
stocate pe dispozitivele conectate la sistemul RIC, aflate sub administrare, sau n
custodia i sub controlul Cardiv Marketing SRL sunt proprietatea Cardiv Marketing,
n condiiile legilor n vigoare.

Confidenialitate
Fiierele electronice create, modificate, trimise, primite sau stocate pe Resurse
Informatice proprii, nchiriate, administrate sau n custodia i sub controlul Cardiv
Marketing, nu sunt confideniale i pot fi accesate de ctre personalul responsabil
cu securitatea RIC, fr ntiinarea utilizatorului sau a proprietarului sistemelor.
Coninutul unui fiier electronic poate fi accesat de ctre personalul autorizat n
conformitate cu prevederile i normele de securitate ce se regsesc n
Regulamentul privind Accesul Administrativ.
Regulament de Utilizare reea Internet i Intranet
Toate programele utilizate pentru acces la reeaua Internet trebuie s fac parte din
pachetul de programe aprobat de ctre D.C.D. Aceste programe trebuie s includ
toate patch-urile de securitate necesare puse la dispoziie de ctre productor.
Toate fiierele care provin din reeaua Internet trebuie s fie scanate cu un program
antivirus care s fie actualizat cel puin o dat la 72 ore.
Toate programele pentru acces Internet/Intranet trebuie s permit folosirea
sistemelor proxy i/sau firewall.
Toate informaiile accesate n reeaua Internet trebuie s se conformeze
Regulamentului de Utilizare Acceptabil a RIC.
Orice activitate a utilizatorilor folosind RIC poate fi nregistrat i ulterior examinat.
Nu se vor publica pe sit-urile web ale Cardiv Marketing materiale cu caracter ofensiv
sau de hruire.
Nu este permis utilizarea RIC ale Cardiv Marketing n scop personal sau pentru
solicitri personale ce nu au legtur cu Cardiv Marketing.
Fiierele electronice se supun acelorai reguli de pstrare ce se aplic i altor
documente i trebuie pstrate n conformitate cu regulile stabilite prin prezentele
regulamente i regulamentele proprii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.

Administrarea Conturilor
Introducere
Conturile utilizator sunt mijloacele utilizate pentru a permite accesul la RIC ale
Cardiv Marketing. Astfel, crearea, modificarea, controlul i monitorizarea conturilor
utilizator sunt operaiuni foarte importante n cadrul general al asigurrii securitii
sistemului RIC si vor fi efectuate doar de ARIC.
Regulament de Administrare a Conturilor
Toate conturile utilizator se vor crea n formatul Prenume.Nume.
Prin contractul de munc, contractul de colarizare i/sau alte documente toi
utilizatorii accept prevederile regulamentelor privind securitatea sistemului RIC.
Toi utilizatorii sunt obligai s pstreze confidenialitatea informaiilor privind contul
de acces.
Toate conturile trebuie s se poat identifica n mod unic, utiliznd numele de cont
asociat.
Toate parolele pentru conturi trebuie s fie create i folosite n conformitate cu
Regulamentul privind Parolele de Acces.
Administratorul de sistem sau alt personal autorizat:
Sunt responsabili de tergerea conturilor persoanelor (utilizatorilor) care nu mai
lucreaz n cadrul Cardiv Marketing, sau care nu mai au relaii cu Cardiv Marketing.
Trebuie s aib o documentaie de modificare a conturilor utilizator pentru se pune
de acord n situaii precum schimbri ale numelor de familie, modificri privind
contul (numele contului) modificri ale drepturilor de utilizator.
Sunt subiectul verificrii independente.
Trebuie s furnizeze o list cu toi utilizatorii (list de conturi) pentru sistemele pe
care le administreaz, la cererea conducerii autorizate a Cardiv Marketing.
Trebuie s coopereze cu utilizatorii pentru investigarea problemelor de securitate.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziii

Acest Regulament se completeaz cu urmtoarele dispoziii:


Controalele de Securitate ale RIC nu trebuie s fie evitate sau dezactivate.
Contientizarea importanei msurilor privind securitatea RIC de ctre utilizatori
trebuie s fie permanent subliniat i actualizat.
Toi utilizatorii rspund de modul n care folosesc, individual, RIC i sunt direct
rspunztori de aciunile legate de securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a
acestui regulament.
Accesul la schimbarea i utilizarea drepturilor asociate unui cont trebuie s fie strict
securizat. Trebuiesc revizuite n mod regulat autorizarea accesului la informaie
(drepturile de acces), precum i orice modificare a statutului persoanei care deine
un cont de acces cum ar fi: transfer, promovare, retrogradare sau terminarea
serviciului.
Utilizarea conturilor de acces se face numai n interes de serviciu.
Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nelimitate la, pot electronic, navigare
pe Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie
electronic. Utilizarea acestor instrumente de comunicaie electronic poate fi
monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n condiiile
legilor n vigoare.
Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n
siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu
schimb cu nimic obligativitatea de a le pstra confideniale i n siguran; tipul
informaiei sau chiar informaia n sine stau la baza determinrii gradului de
siguran necesar.
La terminarea relaiilor dintre un utilizator i Cardiv Marketing, acesta trebuie s
predea toate RIC. Toate regulile de securitate privind RIC se aplic i rmn n
vigoare n eventualitatea ncheierii relaiilor cu Cardiv Marketing pn la finalizarea
procedurii de predare. Mai mult dect att, Regulamentul rmne valabil i dup
ncheierea relaiilor de munc, colaborare etc.

Parole de Acces
Introducere
Autentificarea este necesar pentru a controla accesul utilizatorilor la RIC.
Controlul accesului este necesar deoarece accesul neautorizat poate duce la
prejudicii cauzate de afectarea confidenialitii, integritii i disponibilitii
informaiilor. Acestea pot avea ca efecte pierderi materiale i morale pentru Cardiv
Marketing.
Autentificarea utilizatorilor se poate realiza folosind diverse metode: conturi i
parole de acces, dispozitive de identificare, caracteristici biologice.
Scopul
Regulamentul pentru Parole de Acces al Cardiv Marketing din Iai stabilete reguli i
proceduri obligatorii pentru crearea i modificarea parolelor de acces la RIC.
Audien
Regulamentul pentru Parole de Acces al Cardiv Marketing se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs
informatic i de comunicaii a Cardiv Marketing din Iai.
Definiii
Resurse Informatice i de Comunicaii (RIC): toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile
asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s
recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s
transmit, stocheze, administreze date electronice, incluznd si servere,
calculatoare personale, calculatoare-agend (notebook-uri), resurse de
telecomunicaii, medii de reea i alte accesorii. La acestea se adaug procedurile,
echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse
n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa,
stoca, primi, afia i transmite informaiile.
Administratorul Resurselor Informatice si de Comunicaii (ARIC): Responsabil la
nivelul companiei cu administrarea RIC ale Cardiv Marketing. Desemnarea ARIC are
ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i
aprobarea regulamentelor privind activitile de administrare i utilizare a RIC.

Utilizator: O persoan, o aplicaie automatizat sau proces utilizator autorizat de


ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc
RIC.
Parol: ir de caractere utilizat, de regul, pentru identificarea utilizatorului unui
cont de acces, n vederea protejrii informaiilor asociate contului utilizator.
Parole complexe: O parol complex este un ir de caractere (secven de
caractere, numere i caractere speciale) care nu poate fi asociat cu informaia
public despre contul utilizator, nu este copiat dintr-un dicionar etc.
Reguli pentru Parolele de Acces
Toate parolele trebuie s ndeplineasc urmtoarele condiii:

S fie schimbate de ARIC n mod regulat, cel puin o dat la 6 luni;


S aib o lungime minim de 8 caractere;
S fie parole complexe;
Sa nu fie parole de felul numeprenume;
Parolele trebuie sa fie formate din litere / cifre dar obligatoriu trebuie sa contina o
cifra daca parola este formata doar din litere sau o litera daca parola este formata
doar din cifre;
Reutilizarea parolelor este interzis;
Parolele de cont utilizator nu trebuie divulgate nimnui, nici mcar angajailor care
rspund de securitatea sistemelor informatice.
Dac se suspecteaz c o parol a putut fi divulgat aceasta trebuie schimbat
imediat;
Administratorii de sistem nu trebuie s permit schimbarea parolelor utilizatorilor
folosind contul administrativ.
Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face excepii pentru
anumite aplicaii (precum backup automat) cu aprobarea ARIC. Pentru ca o excepie
s fie aprobat, trebuie s existe o procedur pentru schimbarea parolelor.
Dispozitivele de calcul nu trebuiesc lsate nesupravegheate fr a activa un sistem
de blocare a accesului la acestea; deblocarea trebuie s se fac folosind parol.
Reguli pentru Alegerea unei Parole

Parolele trebuiesc schimbate la cel puin 6 luni.


Parolele trebuie s aib o lungime minim de 8 caractere.
Parolele trebuie s conin litere mici i mari i s aib cel puin 1 caracter numeric.
Caracterele numerice nu trebuie s se afle la nceputul parolei. Caractere speciale
ar trebui incluse n parole acolo unde sistemul permite.Caracterele speciale sunt: (!
@#$%^&*_+=?/~`;:,<>|).
Parolele trebuie s respecte urmtoarele condiii:
o Nu trebuie s coincid sau s fie asemntoare cu numele dvs. de
utilizator (login-ul);
o Nu trebuie s coincid sau s fie asemntoare cu numele dvs.;
o Nu trebuie s coincid sau s fie asemntoare cu o eventual porecl
(nickname);
o Nu trebuie s coincid cu data naterii;
o Nu trebuie s coincid cu numrul de nmatriculare al mainii;
o Nu trebuie s coincid cu numele departamentului etc.;
o Nu trebuie s coincid cu mrci sau modele de maini;
o Nu trebuie s coincid cu informaii despre proprietarul contului care
sunt cunoscute sau uor de ghicit (mncarea, culoarea preferat,
sportul preferat etc.);
o Parolele nu trebuie s fie reutilizate pentru o perioad de un an.

o
o

Parolele nu trebuiesc divulgate n nici o situaie.


Parolele trebuiesc tratate ca informaie confidenial.

Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot
include:
Rezilierea contractului de munc n cazul angajailor;
Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor competente.