Documente Academic
Documente Profesional
Documente Cultură
responsabilitatea TA !
INSTRUIRE
SECURITATEA INFORMATIEI & BCP
2019
9 December 2019
Obiectivele instruirii:
A cunoaste:
• Prevederile politicilor si standardelor de securitate a informatiei
• Amenintarile si riscurile la care suntem expusi
• Modalitatile de protectie
2
Classification: VISTA BANK Internal Use Only
9 December 2019
Introducere
3
Classification: VISTA BANK Internal Use Only
9 December 2019
Incident de securitate: un eveniment sau serie de evenimente actuale sau potentiale care
pot ameninta confidentialitatea, integritatea sau disponibilitatea informatiei.
5
Classification: VISTA BANK Internal Use Only
9 December 2019
Clasificarea informatiilor
Nivel de Eticheta necesara Criteriu de decizie
clasificare
Public (nu este necesara etichetarea) Accesul neautorizat nu conduce la pierderi economice.
Se aplica informatiilor destinate publicului.
Exemple: brosuri de marketing, rate de schimb, adresele sucursalelor, etc.
Uz Intern VISTA BANK Internal Use Only Accesul neautorizat poate conduce la pierderi economice sau de imagine.
Se aplica informatiilor care sunt semnificative pentru business.
Informatie destinata doar angajatilor Bancii, si unor parteneri de afacere ai Bancii.
Exemple: politici, circulare sau proceduri interne, ghiduri, cursuri interne, planificari
sedinte, numele aplicatiilor IT, etc.
Acces VISTA BANK Restricted Access Accesul neautorizat poate conduce la pierderi economice insemnate.
Restrictionat Se aplica informatiilor sensibile care sunt extrem de semnificative pentru business.
Informatie destinata unui numar restrans de utilizatori.
Exemple: liste clienti,, date personale date financiare (tranzactii, depozite, preturi),
contracte semnate, indicatori de risc, vulnerabilitati, arhitectura IT, Memo, etc.
Secret VISTA BANK Secret Accesul neautorizat poate rezulta in distrugeri economice majore pentru Banca.
Aceasta informatie este de maxima importanta pentru strategia Bancii.
Informatie destinata exclusiv pentru un grup foarte precis definit de persoane.
Exemple: planuri strategice, bugete, informatii protejate de relatia avocat/client, etc.
Sa autorizeze accesul la informatie pe baza principiului “Need-to-know”1 Cititi “Standardul de Clasificare si Procesare
Sa asigure confidentialitatea, integritatea si disponibilitatea informatiei. a Informatiilor” pentru mai multe detalii despre
1Need-to-know = Nevoia de a cunoaste Distribuire, Stocare si Distrugere a
diferitelor tipuri de informatii clasificate!
6
Classification: VISTA BANK Internal Use Only
9 December 2019
Divulgarea neautorizata a informatiilor cu “Acces Restrictionat” sau “Secret” este pedepsita extrem
de sever potrivit Regulamentului Intern.
Vista Bank este operator de date cu caracter personal, astfel incat noi suntem obligati sa asiguram
protectia acestor date! (din 25 Mai 2018 conform regulamentului UE “GDPR”)
• Banca isi rezerva dreptul de a monitoriza activitatile angajatilor care folosesc echipamentele IT ale
companiei;
• Incalcarea politicii si/sau a standardelor de securitate poate atrage masuri disciplinare si poate fi de
asemenea raportata catre autoritati.
7
Classification: VISTA BANK Internal Use Only
9 December 2019
“Nevoia de a sti”
Dati informatii numai persoanelor autorizate DOAR pe baza
principiului “Need to know” (“Nevoia de a sti”).
Divulgarea informatiilor sensibile ale Bancii reprezinta o amenintare serioasa la
adresa companiei, dar si pentru locul Dvs. de munca.
DA:
Divulgati informatiile sensibile doar acelora autorizati care au nevoie de ele pentru a indeplini sarcinile
de serviciu.
Acordati atentie deosebita distribuirii de informatii partenerilor de afaceri, consultantilor si clientilor.
Atentie la NDA (“non-disclosure agreement”) valid !
NU:
Nu divulgati informatii sensibile colegilor daca nu au nevoie de ele la
serviciu.
Nu divulgati informatii sensibile prietenilor, familiei sau altora care nu
au nevoie sa cunoasca acele informatii.
Nu vorbiti in public (taxi, autobuz, cafenea, spatiu de fumat, etc.) despre
activitatile de la serviciu pentru ca cineva neautorizat v-ar putea auzi.
8
Classification: VISTA BANK Internal Use Only
9 December 2019
Siguranta Parolelor
• Folositi numai parole puternice:
Contin cel putin 8 caractere alfanumerice
Satisfac cel putin 3 din 4 constrangeri:
• Caractere mici (a-z)
• Caractere mari (A-Z)
• Cifre (0-9)
• Caractere de punctuatie (!@#$%^&*)
• NU REFOLOSITI PAROLELE, in special cand este vorba de site-uri care contin informatii importante
si/sau date personale!! Nu folositi la serviciu aceleasi parole pe care le folositi in interes personal!
(Astfel, in cazul in care o parola de-a dvs. este compromisa, nu veti expune informatiile Bancii la un risc suplimentar.)
• NU COMUNICATI parolele altor persoane, fie ei chiar sefi directi, colegi, subalterni sau Suport IT. Tineti cont ca parola
de AD (Active Directory) este utilizata pentru a permite accesul la statia de lucru si la contul de mail, ori la alte informatii
sensibile de pe PC ori din aplicatiile interne care au fost integrate cu AD pentru autentificarea userilor.
9
Classification: VISTA BANK Internal Use Only
9 December 2019
10
Classification: VISTA BANK Internal Use Only
9 December 2019
11
Classification: VISTA BANK Internal Use Only
9 December 2019
Utilizatorii pot detecta incidente de securitate in desfasurarea activitatii lor, iar raportarea
incidentelor imediat cum au fost constatate este foarte importanta.
Un incident de securitate poate fi inclus, in general, in una din categoriile de mai jos:
intreruperea serviciilor (cunoscut ca Denial of Service – DoS sau Distributed Denial of
Service - DDoS);
infectarea cu malware (ex.: troieni, rootkit, keylogger, virusi);
accesul neautorizat (in cladire, la calculator, in aplicatii);
utilizarea necorespunzatoare a serviciului, sistemelor sau informatiilor;
incident cu componente multiple.
12
Classification: VISTA BANK Internal Use Only
9 December 2019
Ingineria Sociala nu implica neaparat tehnologie; ea se refera la tehnici folosite de infractori care incearca sa obtina in
mod ilicit informatii confidentiale prin exploatarea anumitor trasaturi ale personalitatii angajatilor: serviabilitatea,
credulitatea, tendinta de cedare la presiune, teama, nevoia de recunoastere, curiozitatea, respectul fata de autoritate.
Cateva instrumente si metode folosite pentru Ingineria Sociala: telefoane, e-mail-uri (inclusiv cu malware), site-uri web
contrafacute, retele sociale, cautarea prin documentele aruncate la gunoi, stick-uri USB infectate, accesul odata cu
angajatii in zonele protejate ale companiei, spionaj in timpul discutiilor in public.
Phishing:
primiti mail-uri trimise in numele unor companii “de incredere” cu link-uri catre formulare in
care sunteti rugat sa introduceti date personale.
primiti un mail de la un presupus client / partener - potential sau existent – mesajul pare
real si contine un atasament, dar este doar o incercare de a va infecta calculatorul, sau de a
va fura datele.
Tailgating: cand intrati intr-o cladire a companiei, pana se inchide usa, mai intra dupa dvs. si alte
persoane neautorizate.
Impersonare:
patrunderea in spatiul de birouri a unor persoane neautorizate, dar care imita persoane autorizate;
o persoana va suna la telefon si pretinde ca este de la IT si va cere numele de utilizator si parola;
cineva pretinde ca ati fost colegi la scoala si vrea sa devina prietenul dvs. intr-o retea sociala;
13
Classification: VISTA BANK Internal Use Only
9 December 2019
Atacatorii folosesc de obicei evenimente notabile mondiale sau mondene. Sa nu aveti incredere intr-un
link/atasament primit prin e-mail, printr-o retea sociala sau prin mesageria instant; verificati mai intai din
surse sigure.
Nu aveti incredere in link-uri prescurtate trimise prin metodele exemplificate mai sus (ex.:
http://bit.ly/4TzSq2).
Verificati intotdeauna autenticitatea persoanei cu care stati de vorba la telefon sau de la care ati primit
un email important/urgent!
14
Classification: VISTA BANK Internal Use Only
Mailuri de Phishing
(exemple si metode de recunoastere)
Exemplu:
21
Classification: VISTA BANK Internal Use Only
9 December 2019
Retelele de socializare
Sfaturi pentru protectia dvs. si a contactelor dvs.:
Inscrierea:
• Folositi un pseudonim si o adresa de e-mail dedicata acestui scop;
• Nu utilizati aceleasi parole folosite pentru a accesa alte servicii (ex: e-mail);
• Controlati accesul aplicatiilor la datele dvs. si reduceti utilizarea acestora.
• Utilizati inteligent setarile de privacy disponibile;
22
Classification: VISTA BANK Internal Use Only
PSD2 – SCA (Strong Customer Authentication) 9 December 2019
In Romania (si in UE), incepand din 14 Septembrie 2019, se aplica obligatoriu REGULAMENTUL DELEGAT (UE) 2018/389 de
completare a Directivei PSD2, cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților (SCA) și
standardele deschise, comune și sigure de comunicare.
Autentificarea strictă a clienţilor (SCA) = autentificare care se bazează pe utilizarea a 2 (doua) sau mai multe elemente incluse în:
1) - categoria cunoştinţelor deţinute / “knowledge” (ceva ce doar utilizatorul cunoaşte) exemple: Parola, cod PIN, etc.
2) - categoria posesiei (ceva ce doar utilizatorul posedă) ex: Token fizic, software eToken instalat pe smartphone, card
introdus intr-un card-reader, card cu CVV dinamic, etc.
3) - categoria inerenţei (ceva ce reprezintă utilizatorul) ex: Fingerpint, recunoastere faciala, recunoasterea stilului de
tastare (keystroke dynamics), recunoastere vocala, etc
Proprietati necesare si obligatorii ale elementelor de autentificare alese:
- sunt independente;
- compromiterea unui element nu conduce la compromiterea fiabilităţii celorlalte elemente;
- sunt concepute în aşa fel încât să protejeze confidenţialitatea datelor de autentificare.
Conform Legii 209/2019 (transpunerea PSD2 in Romania) publicata in Monitorul Oficial (Sect.2/Autentificarea - ART. 220):
(1) Banca aplică autentificarea strictă a clienţilor atunci când plătitorul:
a) îşi accesează online contul de plăţi;
b) iniţiază o operaţiune de plată electronică;
c) întreprinde orice acţiune, printr-un canal la distanţă, care poate implica un risc de fraudare a plăţii sau alte abuzuri.
(2) Atunci când se iniţiază o operaţiune de plată electronică în condiţiile prevăzute la alin. (1) lit. b), Banca aplică autentificarea
strictă a clienţilor, incluzând elemente care asigură o legătură dinamică (“dynamic linking”) între operaţiune, o sumă specifică
şi un beneficiar al plăţii specific, în cazul în care operaţiunile de plată electronică sunt iniţiate la distanţă.
(3) În cazul prevăzut la alin. (1), Banca instituie măsuri de securitate adecvate în vederea protejării confidenţialităţii şi a
integrităţii elementelor de securitate personalizate ale utilizatorilor serviciilor de plată.
(4) Dispoziţiile alin. (2) şi (3) se aplică în cazul în care plăţile sunt iniţiate prin intermediul unui prestator de servicii de iniţiere a
plăţii (PISP), iar dispoziţiile alin. (1) şi (3) se aplică şi în cazul în care informaţiile sunt solicitate prin intermediul unui prestator de
servicii de informare cu privire la conturi (AISP).
23
Classification: VISTA BANK Internal Use Only
9 December 2019
1. Banca, trebuie sa notifice catre BNR orice incident operational sau de securitate major, fara intarzieri nejustificate si in forma
solicitata de BNR (conform Ghidului EBA de raportare a incidentelor operationale sau de securitate majore - Raportarea initiala
catre BNR trebuie sa se realizeze in 4 ore de la identificarea incidentului Major).
2. In cazul în care incidentul are sau poate avea un impact asupra intereselor financiare ale utilizatorilor de servicii de plata, Banca
trebuie sa informeaze fara intarzieri nejustificate utilizatorii respectivi cu privire la incident si la toate masurile pe care
utilizatorii le pot lua pentru a atenua efectele negative ale acestuia.
Clasificarea incidentelor (majore sau minore) conform PSD2:
Procesul de clasificare a incidentelor se bazează pe criteriile de impact “Major”
sau “Minor”. Severitatea incidentului se determina conform diagramei alaturate:
24
Classification: VISTA BANK Internal Use Only
9 December 2019
Capacitatea organizatiei de a continua desfasurarea activitatii, livrand produse si asigurand servicii, la un nivel
acceptat, in timpul si dupa producerea unui incident.
Scop:
Identifica potentialele amenintari la adresa unei organizatii precum si impactul asupra activitatii operationale, in
cazul in care acestea s-ar produce,
Asigura un cadru adecvat in vederea construirii unei organizatii puternice, capabile sa protejeze eficient
interesele actionarilor, reputatia, brand-ul si activitatile vitale.
26
Classification: VISTA BANK Internal Use Only
9 December 2019
eficacitatii masurilor
27
Classification: VISTA BANK Internal Use Only
9 December 2019
?
Nu au granite
Aduc haos
Nu stim cand vor avea loc
Nu stim unde se vor intampla
Incidente care afecteaza strategia sau reputatia
unei companii
28
Classification: VISTA BANK Internal Use Only
9 December 2019
• Identificare incident
• Confirmare incident
• Evaluarea impactului
• Se iau masuri
29
Classification: VISTA BANK Internal Use Only
9 December 2019
«Nu supravietuiesc speciile cele mai puternice, nici cele mai inteligente,
ci cele care raspund cel mai bine la schimbare.»
(Charles Darwin)
30
Classification: VISTA BANK Internal Use Only
9 December 2019
31
Classification: VISTA BANK Internal Use Only
9 December 2019
32
Classification: VISTA BANK Internal Use Only
Succes la
Testul Final !
Ciprian STANICA-EZEANU
(Information Security Officer)
Contact:
- iso@vistabank.ro
- ciprian.ezeanu@vistabank.ro