st.gr.

SI-161 Condea Liliana

Atestarea nr.1 CLSI

1.Identificați și caracterizați tipurile de informație cu acces limitat

-date cu caracter personal

Datele cu caracter personal trebuie să fie:

a) prelucrate în mod corect şi conform prevederilor legii;
b) colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod
incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice,
de cercetare istorică sau ştiinţifică nu este considerată incompatibilă cu scopul colectării dacă se
efectuează cu respectarea prevederilor prezentei legi, inclusiv privind notificarea către Centrul Naţional
pentru Protecţia Datelor cu Caracter Personal, şi cu respectarea garanţiilor privind prelucrarea datelor cu
caracter personal, prevăzute de normele ce reglementează activitatea statistică, cercetarea istorică şi cea
ştiinţifică;
c) adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau
prelucrate ulterior;
d) exacte şi, dacă este necesar, actualizate. Datele inexacte sau incomplete din punctul de vedere al
scopului pentru care sînt colectate şi ulterior prelucrate se şterg sau se rectifică;
e) stocate într-o formă care să permită identificarea subiecţilor datelor cu caracter personal pe o
perioadă care nu va depăşi durata necesară atingerii scopurilor pentru care sînt colectate şi ulterior
prelucrate. Stocarea datelor cu caracter personal pe o perioadă mai mare, în scopuri statistice, de
cercetare istorică sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu
caracter personal, prevăzute de normele ce reglementează aceste domenii, şi numai pentru perioada
necesară realizării acestor scopuri.
-secret de stat-informaţii protejate de stat în domeniul apărării naţionale, economiei, ştiinţei şi tehnicii,
relaţiilor externe, securităţii statului, asigurării ordinii de drept şi activităţii autorităţilor publice, a căror
divulgare neautorizată sau pierdere este de natură să aducă atingere intereselor şi/sau securităţii
Republicii Moldova.

La secret de stat pot fi atribuite următoarele informaţii:

1) din domeniul militar,
2) din domeniul economiei, ştiinţei şi tehnicii,
3) din domeniul politicii externe şi economiei,
4) din domeniul activităţii de recunoaştere, de contrainformaţii şi operative de investigaţii.
-secret comercial-informaţiile ce nu constituie secret de stat, care ţin de producţie, tehnologie,
administrare, de activitatea financiară şi de altă activitate a agentului economic, a căror divulgare
(transmitere, scurgere) poate să aducă atingere intereselor lui.Informaţiile ce constituie secret
comercial sînt proprietate a agentului antreprenoriatului sau se află în posesia, folosinţa sau la
dispoziţia acestuia în limitele stabilite de el în conformitate cu legislaţia.
Informaţiile ce constituie secret comercial trebuie să corespundă următoarelor cerinţe:
a) să aibă valoare reală sau potenţială pentru agentul antreprenoriatului;
b) să nu fie, conform legislaţiei, notorii sau accesibile;
c) să aibă menţiunea ce ar corespunde cu desfăşurarea de către agenţii antreprenoriatului a
măsurilor respective necesare pentru păstrarea confidenţialităţii lor prin aplicarea sistemului de
clasificare a informaţiilor date, elaborarea regulamentelor interne de secretizare, marcarea
corespunzătoare a documentelor şi altor purtători de informaţie, organizarea lucrărilor secrete de
secretatiat;
d) să nu constituie secret de stat şi să nu fie protejate de dreptul de autor, de drepturile conexe
şi de brevetul de invenţie;
e) să nu conţină informaţii despre activitatea negativă a persoanelor fizice şi juridice care ar
putea atinge interesele statului.

-informația din cadrul activității speciale de investigație reprezintă o procedură cu caracter secret şi/sau
public, efectuată de autorităţile competente, cu sau fără utilizarea echipamentelor tehnice speciale, în
scopul culegerii de informaţii necesare pentru prevenirea şi combaterea criminalităţii, asigurarea
securităţii statului, ordinii publice, apărarea drepturilor şi intereselor legitime ale persoanelor,
descoperirea şi cercetarea infracţiunilor.

-informația cu privire la invenții

Formele de protecţie a invenţiilor
Invenţiile sînt protejate prin titlurile de protecţie, conferite în condiţiile prezentei legi, precum şi prin
brevetul eurasiatic și cel european validat.
Invenţiile sînt protejate prin următoarele titluri de protecţie:
a) brevet de invenţie;
b) brevet de invenţie de scurtă durată;
c) certificat complementar de protecţie;
d) brevet eurasiatic;
e) brevet european validat.

2.Deosebiți informația cu acces limitat de informația oficială public accesibilă stabilind condițiile de care
trebuie sa țină cont specialistul responsabil de securitate informațională.

Sînt considerate informaţii de categorie specială şi nu pot face obiectul deţinerii şi prelucrării
în baze de date datele cu caracter personal privind originea rasială sau etnică, opiniile politice,
convingerile religioase sau alte convingeri, datele referitoare la sănătate sau viaţa sexuală a
persoanei, precum şi cele referitoare la antecedentele penale. Astfel de date pot fi prelucrate
şi deţinute de organe special constituite şi autorizate pentru aceasta şi care sînt obligate să ia
măsuri şi garanţii corespunzătoare de protecţie şi nedivulgare.Sînt excluse de la deţinerea şi
prelucrarea în baze de date datele ce constituie informaţii oficiale cu accesibilitate limitată ale altor
titulari care au stabilit caracterul lor, cu excepţia celor autorizate sau obligatorii pentru păstrare
potrivit legislaţiei. Datele de interes public pot fi prelucrate şi deţinute liber, fără restricţii şi obligaţii de
natură morală sau materială din partea titularilor de date, în cadrul obiectului lor de activitate. Transferul
de date cu caracter personal către utilizatori din alte ţări nu poate avea loc decît dacă aceştia asigură un
nivel de protecţie a datelor conform legislaţiei şi reglementărilor în vigoare. Persoanele juridice şi fizice au
drept de acces la datele publice, precum şi la metodologia de definire a indicatorilor utilizaţi în colectarea
şi prelucrarea informaţiei publice, a clasificatoarelor şi nomenclatoarelor utilizate.
Nu poate fi impusă nicio restricție privind dreptul la informație din motive de securitate națională, dacă
guvernul nu poate demonstra că: (1) restricția (a) este prevăzută de lege și (b) este necesară într-o
societate democratică (c) pentru a proteja un interes legitim de securitate națională; și (2) legea prevede
garanții adecvate împotriva abuzurilor, inclusiv examinare promptă, completă, accesibilă și efectivă a
valabilității restricției de către o autoritate independentă de supraveghere, precum și examinarea
completă de către instanțele de judecată.

3.Evaluați rolul responsabilului de securitate informaționala in cadrul unei instituții indicînd drepturile și
obligațiile acestuia
Persoanele care activează în cadrul sistemelor şi reţelelor informatice sînt obligate să asigure protecţia
şi confidenţialitatea datelor, cu excepţia celor care sînt determinate ca date publice.
În scopul asigurării protecţiei datelor şi evitării infracţiunilor ce ţin de domeniul informaticii, se
interzice:
a)elaborarea şi instalarea în reţelele informatice a produselor program ce pot modifica, deteriora,
distruge datele, produsele program şi echipamentele;
b) pătrunderea neautorizată în sistemele şi reţelele informatice publice sau private pentru a capta,
memora, prelucra sau difuza date şi programe ori pentru a modifica, deteriora, distruge date, programe
şi echipamente;
c) deturnarea datelor, perturbarea programelor ori falsificarea mesajelor sau transmiterea datelor
eronate în scopul deranjamentului fluxului de date sau creării unei stări de neîncredere între
participanţii la circuitul informatic;
d) pătrunderea neautorizată şi cu intenţie în sistemele şi reţelele informatice publice sau private, chiar
neurmată de ascultarea, înregistrarea sau utilizarea în interese personale ori în interesele altor persoane a
datelor culese, precum şi pentru obţinerea unui alt folos.
În scopul asigurării securităţii naţionale, organele abilitate au drept de acces la resursele informaţionale
din sistemele informatice publice sau private. În procesele penale, organele menţionate pot, în baza
mandatului emis de procuror, intercepta reţelele informatice, utilizînd aparatajul tehnic al proprietarului
sistemului informatic.
4.Identificați și caracterizați riscurile ce pot afecta funcționalitatea sistemelor și resurselor
informaționale stabilind mecanisme de prevenire

În general, riscurile asociate unui sistem informational, pe care orice auditor trebuie sa le analizeze si
evalueze (tehnica frecvent utilizata în acest caz este chestionarul), în vederea aprecierii sistemului în sine,
vizeaza:
Riscul securitatii fizice ce va fi evaluat în functie de informatiile culese, cu privire la: existenta
sistemelor de paza, detectie si alarma a incendiilor, sistemelor de protectie împotriva caderilor de
tensiune, protectia echipamentelor împotriva furturilor, protectia împotriva catastrofelor naturale
(inundatii, cutremure..), protectia fizica a suportilor de memorare, pastrarea copiilor de siguranta într-o
alta locatie decât cea în care îsi desfasoara activitatea organizatia.
Riscul de comunicatie poate lua valente diferite, în functie de disponibilitatea sistemului la reteaua
publica, situatie în care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui
firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica
(utilizarea tehnicilor de criptare, existenta unei retele virtuale private - VPN). Acest risc se poate
manifesta si la nivelul unei retele locale, atunci când configurarea acesteia lasa de dorit si prin
“ascultarea” liniilor de comunicatie, traficul acesteia poate fi compromis. Confidentialitatea informatiilor
nu vizeaza doar memorarea acestora pe statiile de lucru sau servere, ci si liniile de comunicatie.
Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea,
completitudinea si acuratetea acestora.
Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile
acestui risc sunt majore, el vizând confidentialitatea informatiilor, integritatea datelor sau bazelor de date
si disponibilitatea acestora. În acest sens, actiunile auditorului presupun o analiza a managementului
parolelor la nivelul organizatiei (altfel spus atribuirea si schimbarea parolelor de acces fac obiectul unei
aprobari formale?), o investigare a încercarilor de accesare neautorizata a sistemului (exista o jurnalizare
a acestora ?), o analiza a protectiei statiilor de lucru (sunt acestea dotate cu soft care sa blocheze accesul
la retea, atunci când utilizatorul nu se afla la statia sa ?).
Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus în entitate,
utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta
cu virusii este esentiala, dar nu usor de realizat. În ciuda numarului mare de programe antivirus existente
este necesara o analiza a caracteristicilor programului privind: scanarea în timp real a sistemului sau
monitorizarea continua a acestuia, scanarea mesajelor e-mail, scanarea manuala.
Riscul legat de documentatia sistemului informatic. Documentatia generala a unui sistem informatic
vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de alta parte, documentatia
aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru administratori, utilizatori si operatori
astfel încât sa ajute la instalarea, operarea, administrarea si utilizarea produsului. Riscurile asociate
documentatiei se pot referi la faptul ca, aceasta nu reflecta realitatea în ceea ce priveste sistemul, nu este
inteligibila, este accesibila persoanelor neautorizate, nu este actualizata.
Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:
1. Structura organizationala la nivelul departamentului IT ce va avea în vedere modul în care sunt
distribuite sarcinile si responsabilitatile în cadrul acestuia. Alocarea unui numar prea mare de
responsabilitati la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari
interne defectuoase.
2. Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si integritatea
personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei
privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor.
Riscul de infrastructura se concretizeaza în faptul ca organizatia nu detine o infrastructura efectiva a
tehnologiei informatiei (hardware, retele, software, oameni si procese) pentru a sustine nevoile acesteia.
Riscul de management al situatiilor neprevazute (risc de disponibilitate) este riscul asociat
pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi definitive ale datelor,
aplicatiilor, în absenta unor proceduri de monitorizare a activitatii, a planurilor de refacere în caz de
dezastre.
În vederea minimizarii sau eliminarii riscurilor fiecare organizatie dispune implementarea unor metode
de control tehnice sau nontehnice ce pot viza:
- mecanisme de control al accesului,
- mecanisme de identificare si autentificare,
- metode de criptare a datelor
- software de detectare a intruziunilor
- politici de securitate
- proceduri operationale si de personal.