Protectia şi Securitatea Sistemelor Informaţionale

I. PREZENTAREA ORGANIZATIEI

Obiect de activitate
S.C. „ZZZ” S.A. este o societate care produce si comercializeaza, atat pe piata
interna cat si pe cea externa, fire si fibre sintetice, folii, polimeri si alte produse derivate
si accesorii destinate industriei textile. Societatea desfasoara si o serie de activitati
secundare cum sunt: producerea de fire PP, producerea de benzi EP, instalatie extrudare
folie PE, instalatie producere profile PVC, producerea de oxigen si azot, constructii de
masini, prestare de servicii, producerea de vopsele si antigel, etc.
Forma juridica este de societate comerciala pe actiuni cu capital privat (85%),
15% din actiuni fiind detinute de FPS.
S.C. ,,X” S.A. Iasi se constituie ca producator si distribuitor pe urmatoarele piete:
- fibra;
- fire tehnice;
- fire textile;
- folie.
Distributie – Peste 80% din vanzari se realizeaza prin reteaua de distributie
nationala, intreprinderea dispunand de intermediari in toate judetele Romaniei. Vanzarea
direct din magazinul propriu de desfacere are loc doar in zona orasului Iasi, unde
societatea are sediul central sau cu ocazia unor licitatii nationale.
Structura organizatorica a firmei este de tip ierarhic, specifica intreprinderilor
integrate pe verticala, dominant orientate spre productie, deciziile fiind rezervate numai
conducerii.
Numar angajati: peste 100.
Spatiile firmei:
Societatea dispune de un sediu central in Iasi de cca 1000mp care cuprinde:
 birouri destinate desfasurarii activitatii departamentelor: tehnic, economic,
productie, comercial si resurse umane administrativ;
 1 spatiu de depozitare a produselor realizate, aflate in stoc;
 magazinul propriu de desfacere a produselor pentru clientii din Iasi;
 spatii pentru instruire personal;
 1 cantina cu un bufet in incinta folosite atat pentru destinatia curenta (cu un adaos
comercial minim asigura pentru salariati produse alimentare cu decontare
chenzinala) cat si pentru sarbatorirea unor evenimente deosebite din viata
salariatilor sau a familiilor lor;
 1 cabinet medical prin care se acorda asistenta medicala primara pentru salariatii
societatii si medicamentatia de urgenta;
 din punct de vedere al fluxului de productie, societatea este structurata astfel:
• 5 sectii de productie chimie (“Chimic”, “Fire”, “Fibra”, “Fibra Folie”,
“Masini injectie” );
• 1 sectie profil textil;
• 1 sectie profil mecanic.

1
 Structura sistemului informatic
Sistemul informatic al S.C.”ZZZ” S.A. are in componenta urmatoarele elemente :

Nr.crt Denumire Caracteristici tehnice Loc folosire Software de baza si

echipamente aplicatii instalat
1 Server web PentiumII, 16MB RAM, 1 oficiu de calcul Linux RedHat
HDD 1GB
2 Server aplicatii PentiumIII, 256MB RAM, 1 oficiu de calcul Windows 2000
HDD 28GB Professional
3 Statie lucru AMD Athlon, CPU AMD 1 contabilitate Windows 1998
Duron, 1300MHzDDRAM 1 personal Worksuite2003
128MB RAM, HDD 1 facturare
40GB, 7200RPM
4 Statie lucru AMD Athlon, CPU AMD 1 SME Windows 1998
Athlon DDRAM 256MB, Worksuite2003
HDD 40GB, 7200RPM
5 Statie lucru PentiumIV, CPU Intel 1 oficiu de calcul Windows 1998
PentiumIV 1800MHz, Worksuite2003
DDRAM 256MB, HDD
40GB, 7200 RPM
6 Statie lucru PentiumIV, CPU Intel 1 marketing Windows XP
PentiumIV, DDRAM
256MB, HDD 40GB,
7200RPM
7 Statie lucru PentiumIII, DDRAM 2 contabilitate Windows 1998
128MB, PC 133, HDD 1 oficiu de calcul Worksuite2001
20GB, 5400 RPM Worksuite2000
8 Statie lucru PentiumII, RAM 16MB, 1 contabilitate Windows 1995
HDD 1GB 1 secretariat Windows 1995
1 oficiu juridic Windows 1995
1 director tehnic Windows 1998
1director economic Windows 1995
1director productie Windows 1995
1 productie Windows 1998
9 Statie lucru PentiumIII,DDRAM128M 1 Director general Windows ME
B,HDD 40GB, 5400RPM Worksuite2000
10 Imprimanta Epson FX1180 1 Oficiul de calcul
1 Contabilitate
1 Facturare
11 Imprimanta HP DeskJet 3820 1 Dir.economic
1 Director general
1 Oficiul de calcul
12 Imprimanta HP DeskJet 5652 1 Oficiul de calcul
1 Contabilitate
1 SME

2
 In desfasurarea actitivitatii sale, firma utilizeaza:
 programul financiar contabil integrat Synchron care cuprinde instrumente
integrate pentru stocarea, analiza si raportarea rapida a informatiilor permitand
astfel posturilor manageriale accesul rapid la informatiile contabile si de gestiune.
Synchron se bazeaza pe tehnologia client-server, folosind motorul de baze de date
Microsoft SQL Server 2005 si fiind dezvoltat in mediul Visual FoxPro. Este
compatibil cu sistemele de operare Windows, începand cu versiunea Windows 98.
Programul este structurat pe urmatoarele module: financiar, contabilitate,
aprovizionare, vanzari, productie, mijloace fixe, rapoarte;
 aplicatia Sedera destinata top-managerilor din cadrul organizatiei oferind suport
informational pentru adoptarea deciziilor strategice de mentinere si expansiune
intr-un mediu concurential;
 aplicatia ReMoon destinata managementului resurselor umane: utilizeaza Statul
de salarii, listele de avans chenzinal, listele de indemnizatii pentru concediul de
odihna ; prelucreaza pontajele, calculeaza drepturile salariale, eventualele
deduceri si retinerile din salarii (rate, bufet, CAR), actualizeaza datele privind
salariatii (fisier personal) si asigura intocmirea situatiilor de inchidere luna.

II. Clasificarea resurselor informationale ale intreprinderii

S.C. “ZZZ” S.A. trebuie sa stabileasca cu precizie valoarea informatiilor detinute
si sa le integreze in clase, in functie de gradul de importanta. Clasificarea informatiilor
este necesara pentru a permite atat alocarea resurselor necesare protejarii acestora cat si
pentru a determina pierderile potentiale ca urmare a modificarilor, pierderii/distrugerii
sau divulgarii acestora. Unitatea trebuie sa inteleaga ca orice informatie are un risc
asociat si ca acesta poate avea un impact semnificativ, atat din punct de vedere al pietei
concurentiale, cat si financiar, determinand scaderea vanzarilor, aparitia consumatorilor
dezamagiti, reclama negativa etc.
La nivelul unei organizatii, ca si la nivel national, informatiile pot fi incadrate in
mai multe categorii, ce implica metode de protectie diferite. Astfel, in functie de
importanta lor, resursele informationale se clasifica dupa cum urmeaza:
 Informatii publice
 Informatii interne
 Informatii confidentiale
 Informatii cu acces limitat (secrete)
o Publice (neclasificate). Acestea sunt informaţiile accesibile oricarui
utilizator din interiorul sau exteriorul organizatiei, ele fiind expres autorizate pentru
dezvaluirea publica. Divulgarea, utilizarea neautorizata sau distrugerea acestora nu
produc efecte asupra S.C. “ZZZ” S.A. sau aceste efecte sunt nesemnificative. Asadar,
pierderea lor in urma unui atac este un pericol ce poate fi acceptat.
o Interne. Sunt un tip de informatii care nu au fost expres autorizate pentru
dezvaluirea publica. Accesul extern la aceste date trebuie prevenit, dar daca ele devin

3
 publice, consecintele nu sunt critice. Ele sunt destinate in special angajatilor si
partenerilor unei firme, divulgarea lor nu ar provoca firmei pierderi
semnificative.
o Confidentiale. În această categorie se includ informaţiile care datorită
valorii economice nu trebuie făcute publice. Compromiterea lor ar avea un impact
negativ asupra intreprinderii, clientilor, vanzatorilor si angajatilor acesteia, dar
angajatii le pot folosi in timpul exercitarii activitatii..Aceste date vor fi copiate si
distribuite in cadrul organizatiei doar utilizatorilor autorizati. Daca aceste date sunt
accesate de persoane neautorizate poate fi influentata eficienta operationala a
organizatiei, pot aparea pierderi financiare importante, poate fi asigurat un important
avantaj competitor sau pot aparea pierderi in increderea consumatorilor.
Secrete (cu acces limitat) sunt toate informatiile a caror compromitere poate avea
un impact negativ sever asupra intreprinderii (financiar, legal, organizatoric sau privitor
la reputatia firmei). Divulgarea, utilizarea sau distrugerea acestor date poate intra sub
incidenţa Codului Civil, Penal sau legislatiei fiscale. Aceste informatii sunt de natura
extrem de sensibila si cer verificari specifice, individuale, inaintea accesului la ele.
Cerintele de protectie le depasesc pe cele ale datelor confidentiale. Metodele de protectie
includ asigurarea ca toate copiile acestor informatii sunt inregistrate si distruse inaintea
unei potentiale dezvaluiri. Datele strict secrete nu pot fi copiate, distribuite sau sterse fara
acordul scris al conducerii.

Exemple de informatii publice regasite la nivelul societatii studiate:

 Datele de identificare: numele firmei, sediul, cod unic de inregistrare, forma
juridica etc.
 Capitalul social (apare in actele constitutive, in facturile emise de societate)
 Actele constitutive (statutul, contractul de societate)
 Cifra de afaceri a societatii
 Situatiile financiare anuale: Bilantul, Contul de profit si pierdere, Anexa
 Materiale de marketing, publicitare: pliante, fluturasi promotionali, brosuri
 Datele de pe pagina Web a firmei
 Domeniul de activitate
 Produsele fabricate sau importate
 Metode si conditii de montare a utilajelor si echipamentelor
 Numele persoanelor din conducere
 Numarul de angajati
 Informatiile privind conditiile de munca
 Posturile vacante pentru care se organizeaza concursuri si interviuri
 Perioadele in care sunt acordate reduceri sau anumite facilitati
 Datele si locul unde sunt organizate prezentari si expozitii
 Oferte trimise distribuitorilor, clientilor potentiali
 Misiunea firmei
 Cotatia actiunilor proprii la bursa de valori
 Reclama de pe posturile locale de televiziune
 Relatari de presa la unele posturi de televiziune: ProTV Iasi
 Salariul mediu in unitate (800 RON) – valoare aparuta intr-un articol de ziar

4
 Informatii despre echipamentele hardware si software precum si manualele de
utilizare pentru aceste echipamente
 Documentele cu privire la achitarea impozitelor si a altor plati obligatorii
 Documentele care atesta solvabilitatea
Exemple de informatii interne pe modelul firmei studiate:
 Structura organizatorica a unitatii – care este una de tip functional
 Regulamentul de ordine interioara
 Organigrama firmei
 Politici, standarde, proceduri de securitate precum: securitatea incintei si
angajatilor asigurata de catre firma de paza si protectie
 Informatii generale legate de clienti-furnizori (nume, sediu)
 Materiale de instruire din intreprindere (cursurile de training, de lucru in echipa)
 Nomenclatorul functiilor
 Sistem de salarizare
 Drepturile si obligatiile sindicatului
 Modul de recrutare, selectie si pregatire a personalului
 Normative de acordare a echipamentului de protectie si lucru
 Fisele postului
 Planuri de recuperare in urma dezastrelor si de reluare a activitatii: plan de
evacuare incendii
 Date folosite in procesul de cercetare si dezvoltare
 Informatii despre pretul de vanzare al produselor nu se divulga decat clientului
sau distribuitorului interesat de produsele oferite
 Programul organizatiei afisat la intrare
 Agenda telefonica a firmei
 Planul cladirii (sediul firmei) este afisat in holul de la intrarea in unitate
 Sistemul de email al intreprinderii
 Politica de calitate ce trebuie respectata de toti angajatii firmei indiferent de
compartimentul in care activeaza
 Informatii din domeniul resurselor umane (functii si sarcini de serviciu)
 Monitorizarea traficului informational prin intermediul liniei telefonice (la
receptie se inregistreaza persoana, data si timpul convorbirii telefonice)

Exemple de informatii confidentiale pe modelul firmei

 Strategiile firmei pentru atingerea obiectivelor
 Contractele de achizitie cu furnizorii externi: pretul de cumparare si adaosul
comercial la produsele importate nu se divulga distribuitorului sau clientului
 Informatii legate de licitatii (nume, preturi)
 Rapoarte financiare private ale organizatiei (rapoarte privind costurile de
productie, rapoarte privind importurile lunare)
 Planuri de afaceri pe termen scurt: extinderea depozitului actual, producerea unui
produs nou pe piata
 Contractul individual de munca

5
  Statele de salarii
 Facturile, ordinele de plata, bonuri de consum si alte documente fiscale la care au
acces doar angajatii din compartimentele corespunzatoare si care apoi se
arhiveaza in conditii de confidentialitate
 Diverse clauze ale contractelor incheiate cu partenerii de afaceri care se
precizeaza a se incadra in aceasta categorie
 Litigiile cu tertii
 Corespondenta firmei
 Rapoarte de audit intern
 Procesele verbale intocmite de anumite autoritati de control
 Valoarea vanzarilor zilnice
 Bugetul de venituri si cheltuieli
 Balanta de verificare lunara
 Informatii privind punctele slabe din securitatea firmei
 Supravegherea spatiilor de productie si depozitare (prin sistemul de camere de
luat vederi si sistemul bazat pe senzori de miscare)

Exemple de informatii secrete (cu acces limitat)

 Codul sursa al programelor
 Investigatii si analize de securitate
 Informatii din etapa premergatoare realizarii productiei (date secrete despre noul
produs, reclame nedifuzate)
 Configuratia firewall-urilor pe server
 Rapoarte ale unor posibile expuneri la riscuri
 Conceptele brevetate
 Date financiare legate de clienti si de comenzile acestora
 Parola de acces a fiecarui angajat de la contabilitate in software-ul de aplicatii
Synchron
 Planuri de afaceri strategice pe termen lung
 Informatii privind controlul accesului la intrarea in unitate (prin legitimatii de
serviciu)
 Tehnologia si “reteta” de fabricatie a fibrelor si a celorlalte produse

III. Pericole in sisteme informationale

Atat datele supuse prelucrarii manuale si, mai ales, cele prelucrate automat sunt
expuse riscului, de aceea sunt necesare masuri suplimentare de protectie, situatie in care
utilizatorii trebuie sa cunoasca in detaliu natura si forma amenintarilor posibile. Unitatea
trebuie sa nu uite principiul dominant al prelucrarii automate a datelor, GIGI (Gunoi la
Intrare, Gunoi la Iesire), conform caruia o eroare strecurata intr-un sistem integrat se
propaga cu o viteza inimaginabila, in zeci sau sute de locuri din sistem, generand, la
randul ei, o multitudine de erori in rapoartele ce se vor obtine ulterior. Securitatea e
asemenea unui lant, o singura veriga slaba poate prabusi intregul sistem . De asemenea,
prin apelarea la prelucrarea automata a datelor, se constata o tendinta de centralizare a

6
prelucrarilor de date, din motive de economie (noile resurse fizice ale sistemelor de
calcul sunt destul de scumpe) si, tocmai din acest motiv, trebuie sporita grija asigurarii
securitatii lor pentru ca riscul pierderii lor sau al consultarii neautorizate devine mai
mare.
Din moment ce securitatea nu poate fi garantata 100%, se merge pe ideea
constientizarii riscurilor pe care le prezinta derularea afacerilor cu ajutorul sistemelor
informatice.
In orice mediu de lucru, datele trebuie sa respecte principiile C.I.A.:
 Confidentialitate: pastrarea informatiei departe de utilizatori neautorizati
 Integritate: se refera la masurile si procedurile utilizate pentru protectia datelor
impotriva modificarilor sau distrugerii neautorizate
 Accesibilitate: asigurarea accesului la date, pentru cei autorizati in orice moment.
Daca organizatia nu respecta intocmai aceste principii sau le aplica partial,
informatiile sensibile din cadrul sistemului informational al acesteia sunt susceptibile a fi
compromise prin diverse interventii din interiorul sau din afara firmei. Astfel cele cinci
valori patrimoniale (echipamente, soft, materiale, date si servicii) pot fi amenintate prin:
pierdere, compromitere, respingere si coruptie. Sistemele informatice sunt amenintate
atat din interior cat si din exterior, avand drept cauze diverse accidente, actiunile
angajatilor sau strainilor (persoane din afara societatii).
Pericolele care ameninta sistemul informational al firmei pot fi clasificate astfel :
1) Amenintari datorate unor incidente ivite in sistem;
2) Factori naturali, bazati pe hazard;
3) Amenintarea sistemelor prin actiuni voite ale omului

1) Amenintari datorate unor incidente (erori) ivite in sistem

Pot exista urmatoarele cauze ce pot ameninta securitatea sistemelor:
 Defectiuni la echipamentele hardware ale sistemului, iminente in orice
unitate, care se refera la:
- defectiuni fizice existente inca din fabricatie la componentele unui sistem;
- uzura excesiva a echipamentului;
- deteriorare fizica a echipamentului;
- depasirea tehnica si morala a unor componente a sistemelor;
- incompatibilitatea intre diferitele componente ale sistemului electronic de
calcul;
 Erorile umane (inevitabile) se pot concretiza in:
- indiferenta cu care se realizeaza o anumita operatiune deoarece salariatii pot
fi egoisti si nu vor lua in considerare posibelele pierderi aduse organizatiei:
se inchid calculatoarele direct prin intreruperea alimentarii cu energie
electrica si nu prin folosirea optiunii Shut Down din meniul Start;
- slaba instruire in folosirea aplicatiilor informatice specifice firme sau in
domeniul resurselor hard;
- entuziasmul excesiv;
- intelegerea gresita a modului de functionare a sistemului
- slaba pregatire a personalului (in special datorita varstei inaintata a
majoritatii angajatilor, caz evident in unitatea analizata)
 Functionarea defectuoasa a softului

7
 - eventuale vicii ascunse ale softului ce pot produce erori inimaginabile;
- erori ale sistemului de operare sau al softului de aplicatii;
- neintegrarea modulelor (a existat aceasta problema cand s-au introdus
aplicatiile prezentate anterior)
Se ştie că programele de computer nu sunt perfecte, ci mai degrabă sunt mereu
perfectibile. Chiar firmele mari de software (precum Microsoft) lansează continuu patch-
uri, adică programe pentru corectarea unor erori de programare din aplicaţiile deja lansate
pe piaţă. Defectele programelor pot avea uneori consecinţe dezastruoase asupra datelor
stocate pe disc.

 Intreruperea sistemului de alimentare cu energie sau functionarea lui in afara

parametrilor admisi.
Acest pericol este evident deoarece firma „ZZZ” SA nu are UPS-uri decat la
foarte putine calculatoare ceea ce poate determina pierderi masive de date sau alterarea
acestora, in cazul in care nu exista timpul suficient pentru a salva datele inaintea opririi
bruste a curentului. De asemenea, eventuale socuri de tensiune, pot provoca distrugerea
diverselor componente hard pentru care firmele furnizoare nu acorda garantii si deci
firma va fi nevoita sa faca cheltuieli suplimentare si neplanificate.
2) Factori naturali, bazati pe hazard
- Forme de dezlantuire a naturii (incendiile, inundatiile, cutremurele,
furtunile etc.);
- conditii improprii de pastrare a sistemelor de calcul (exces de
umiditate, praf, existenta firelor de par, scrumul de tigara);
- prezenta diverselor insecte (mustele, tantarii, gandacii, viespile)
- intretinerea necorespunzatoare a echipamentului cu toate ca in unitate
se asigura un service de intretinere a echipamentelor – se efectueaza in
scopul asigurarii ca echipamentul este curat si functioneaza in mod eficient,
in scopul prevenirii aparitiei unor probleme predictibile. Intretinerea
preventiva a echipamentelor IBM se face trimestrial si cuprinde: rulare
software de diagnoza si se verifica logurile de sistem si oprirea
echipamentului, se fac verificari specifice, se demonteaza diferite
subansamble si se curata. Deci nu se poate spune ca acest lucru este un
pericol real.

3) Amenintarea sistemelor prin actiuni voite ale omului

Ca orice avere, si cea informationala starneste tentatii umane, iar cei mai mari
dusmanii sunt insasi creatorii sistemelor. Motivele atacurilor pot fi variate:de la spionaj
industrial, militara, pana la cele mai meschine interese. Atacurile pot fi delilberate sau
accidentale, deschise sau mascate, interne sau externe.
Iata cateva exemple de astfel de atacuri la care este expusa organizatia, avand in
vedere ca in firma exista un Intranet si ca aceasta este conectata la Internet:
 Crearea unei “trape” in sistem de catre un salariat nemultumit;
 Utilizarea mijloacelor de acces ale unei alte persoane –mascarada(prezentata
ulterior);

8
  Corectarea sau copierea neautorizata a datelor bazei de date, modificarea
sau distrugerea fisierelor, copierea, utilizarea sau consultarea neautorizata a
datelor;
 Dezvaluirea unor informatii secrete unor persoane din afara unitatii,
informatii ce pot prejudicia serios firma;
 Furtul de date, programe sau echipament;
 Distrugerea echipamentelor;
 Vizualizarea si divulgarea neautorizata a datelor;
 Rupere/deconectare intentionata/neintentionata a cablurilor;
 Introducerea de virusi si alte elemente software indezirabile;
 Atacuri tainuite ale angajatilor nedreptatiti sau neloiali ,ce pot duce la
distrugerea echipamentelor sau a celorlalte echipamente ale sistemului, aflarea
unor programe secrete sau a cailor de accesare a sistemului,
modificarea/distrugerea programelor si a datelor, crearea de drepturi banesti
fictive, furturile bunurilor materiale sau informatice, precum si folosirea voit
eronata a componentelor sistemului, sub forma de sabotaj;
 Intrarea ilegala a unui hacker;
 Interferenta electronica si radiatii(interceptarea comvorbirilor telefonice);
 Folosirea resurselor calculatoarelor in mod neautorizat:
-configurarea calculatorului asa incat viteza de procesare sa fie redusa;
-dezactivarea sau intreruperea unor servicii;
-folosirea calculatorului in interes personal cum ar fi editare de documente
personale sau tinerea contabilitatii unor altor firme
 Manipulare neautorizata a software-ului calculatorului: modificare, copiere
ilegala, folosire neautorizata sau dezvoltarea unor programe/module pentru
desfasurarea unei activitati neautorizate.
 Manipularea datelor de intrare fie prin adaugare de date inainte de procesare
(falsificare pozitiva), fie prin stergerea datelor (falsificare negativa). Se pot
adauga angajati fictivi, se pot face facturi catre firme fantoma, se poate disimula
un transfer de numerar pentru plata unui impozit .
 Remanenta suporturilor, dupa ce au fost sterse, poate constitui o cale sigura
de intrare in posesia informatiilor memorate anterior prin programe de
restaurare a fisierelor sterse;
 Operare gresita a sistemului informatic ca urmare a unor proceduri de lucru
necorespunzatoare.

Cele mai multe din faptele care fac parte din conceptul de criminalitate
informatica sunt susceptibile de a fi savarsite pe Internet:
Virusii - reprezinta programe inserate in aplicatii, care se multiplica singure in
alte programe din spatiul rezident de memorie sau de pe discuri; apoi, fie satureaza
complet spatiul de memorie/disc si blocheaza sistemul, fie, dupa un numar fixat de
multiplicari, devin activi si intra într-o faza distructiva (care este de regula exponentiala);
Bomba software - este o procedura sau parte de cod inclusa intr-o aplicatie
"normala", care este activata de un eveniment predefinit. Autorul bombei anunta

9
evenimentul, lasand-o sa "explodeze", adica sa faca actiunile distructive programate;
Viermii - au efecte similare cu cele ale bombelor si virusilor. Principala diferenta
este aceea ca nu rezida la o locatie fixa sau nu se duplica singuri. Se muta în permanenta,
ceea ce ii face dificil de detectat;
Trapele - reprezinta accese speciale la sistem, care sunt rezervate în mod normal
pentru proceduri de încarcare de la distanta, intretinere sau pentru dezvoltatorii unor
aplicatii. Ele permit însa accesul la sistem, eludand procedurile de identificare uzuale;
Calul Troian - este o aplicatie care are o functie de utilizare foarte cunoscuta si
care, intr-un mod ascuns, indeplineste si o alta functie. Nu creeaza copii. De exemplu, un
hacker poate înlocui codul unui program normal de control "login" prin alt cod, care face
acelasi lucru, dar, aditional, copiaza intr-un fisier numele si parola pe care utilizatorul le
tasteaza in procesul de autentificare. Ulterior, folosind acest fisier, hacker-ul va penetra
foarte usor sistemul.
La SC “X” SA, problemele aparute in urma infiltrarii unui hacker au fost deosebit
de grave, provocand blocarea serviciilor, modoficarea unor informatii din baza de date
(registrele financiar-contabile), stergere a datelor din sistem.
De asemenea, infectarea cu un vierme a creat confuzie in randul utilizatorilor: au
fost alterate fisiere si distruse informatii, sparte o serie dintre parole, permitand astfel
accesul in sistem a unor persoane neautorizate.
Nimeni nu poate garanta 100% securitate. Dar se poate merge spre ideea de 100%
acceptare a riscului. Sistemele de astazi trebuie sa anticipeze atacurile de maine. Este
foarte important ca orice organizatie sa constientizeze pericolele activitatii informatice si
sa stabileasca proceduri si politici de prevenire a dezastrelor.

IV. Politica de securitate – este un set de reguli scrise intr-un limbaj accesibil
destinat angajatilor dintr-o anumita zona a informatiilor.

Politica de securitate privind angajarea de personal

1. Descriere a starii de fapt
Politica de securitate privind angajarea de personal urmareste realizarea analizei
postului scos la concurs, organizarea etapei de recrutare, supervizarea depunerii
candidaturii, testarea competentelor profesionale si evaluarea psihologica a candidatilor,
realizarea interviului aprofundat si probelor situationale, redactarea profilelor psiho-
profesioanale si ierarhizarea finalistilor.
Aceasta politica a fost formulata si in vederea monitorizarii accesului in unitate a
persoanelor chemate la interviuri de angajare sau acelora care participa la concursuri de
selectie de personal. La alcatuirea acestei politici s-a avut in vedere si controlul
activitatilor realizate de acestia in cadrul unitatii.
- Organizatia foloseste tehnici moderne privind previziunea necesarului de
personal;
- Recrutarea se face utilizand una din metodele: mass-media, reteaua de
cunostinte, folosirea consilierilor de recrutare, cautarea persoanelor, fisierul cu
potentiali angajati;
- Activitatile procesului de selectie sunt:
a) primirea;
b) intervievarea si administrarea de teste solicitantilor;

10
 c) conducerea investigatiilor privind mediul din care provin solicitantii;
d) programarea examinarilor medicale;
e) plasarea noilor angajati;
f) urmarirea integrarii lor;
g) tinerea dosarelor si a rapoartelor adecvate
- Selectia presupune parcurgerea urmatoarelor etape:
a) intocmirea unui curriculum vitae;
b) intocmirea scrisorii de intentie;
c) completarea formularului de angajare;
d) interviul;
e) testarea (teste bio-medicale si psiho-fiziologice, teste de aptitudini
simple si complexe, teste de indemanare, teste de inteligenta si
perspicacitate, teste de cunostinte generale si grad de instruire, teste de
creativitate);
f) verificarea referintelor(obligatoriu, indiferent de importanta postului
scos la concurs);
g) examenul medical;

2. Scopul politicii
Prin aceasta politica se urmareste inlaturarea riscului de angajare a unor candidati
nepotriviti, prin selectia riguroasa in urma interviurilor, testelor psihologice, de aptitudini
şi de inteligenta administrate.
Ea ajuta definitivarea profilului candidatului si a descrierii posturilor ce urmeaza
a fi ocupate în urma procesului. Prin ea se defineste politica unitatii de recrutare si
selectie a personalului.
Aceasta politica de securitate este necesara organizatiei si in vederea prevenirii
unor evenimente indezirabile cum ar fi:
- accesul neautorizat in incinta si in spatiile unitatii;
- furturi de active corporale;
- distrugeri;
- aflarea informatiilor confidentiale ale firmei din diverse surse sau prin
diferite procedee

3. Autorul politicii
Responsabilitatea intocmirii acestei politici apartine inspectorului de personal din
cadrul departamentului Resurse Umane Administrativ (R.U.A).
4. Perioada de actualizare a politicii
- anual;
- la aparitia unui incident neplacut;
- ori de cate ori se fac angajari daca apar modificari in modul de recrutare
si selectie.

5. Perioada de control a aplicarii politice

- controlul respectarii politicii se realizeaza zilnic. Acest control este efectuat insa
doar in perioadele in care au loc interviuri de angajare sau se organizeaza concursuri.
Unitatea efectueaza angajari, in fiecare an, pentru muncitori temporari in special in

11
perioada 1 iunie – 1 septembrie.
6. Consecintele nerespectarii politicii
In cazul in care aceasta politica de securitate nu este respectata pot aparea o serie
de consecinte negative cum ar fi:
- furturi
- acces neautorizat la informatii;
- tulburarea activitatii;
- distrugeri de bunuri etc.
7. Situatii de exceptie
- in caz de incendii, calamitati naturale (cutremure)
8. Recomandari (reguli)
8.1. Recrutarea se face utilizand una din metodele: mass-media, reteaua de
cunostinte, folosirea consilierilor de recrutare, cautarea persoanelor, fisierul cu
potentiali angajati;
8.2. Selectia este procesul prin care se alege, conform unor criterii, cel mai potrivit
candidat pentru a ocupa un anumit post;
8.3. Selectia presupune parcurgerea urmatoarelor etape:
h) intocmirea unui curriculum vitae;
i) intocmirea scrisorii de intentie;
j) completarea formularului de angajare;
k) interviul;
l) testarea (teste bio-medicale si psiho-fiziologice, teste de
aptitudini simple si complexe, teste de indemanare, teste de
inteligenta si perspicacitate, teste de cunostinte generale si grad
de instruire, teste de creativitate);
m) verificarea referintelor (obligatoriu, indiferent de
importanta postului scos la concurs);
n) examenul medical;
8.4. Curriculum-ul vitae si scrisoarea de intentie vor fi fie aduse personal de angajat,
fie trimise prin e-mail la adresa resurseumane@x.ro
8.5. Formularul de angajare va fi completat de potentialul angajat in momentul in
care aduce CV-ul, fie la prezentarea la interviu;
8.6. Potentialii angajati trebuie sa respecte strict ora la care au fost programati la interviu;
8.7. La interviu participa si un reprezentant al compartimentului in care potentialul
angajat doreste sa lucreze;
8.8. Interviurile au loc intr-o sala special destinata acestui lucru in care vor exista putine
lucruri ce ar putea fi sustrase (o masura de siguranta in plus);
8.9. Accesul in unitate se va face doar pe baza buletinului de identitate / cartii de
identitate sau a altui act;
8.10. La intrarea in unitate se acorda ecusoane cu numere proprii fiecarei persoane in
vederea diferentierii acesteia de angajatii unitatii; aceasta va fi obligata sa il poarte
permanent pe timpul sederii in unitate; de asemenea, ea va trebui sa predea ecusonul la
iesirea din unitate;
8.11.Orice persoana care soseste pentru angajare sau chiar doar pentru a obtine simple
informatii va fi inregistrata de portar intr-un registru special numit “Evidenta intrari”

12
 ce va cuprinde: ora intrarii, ora plecarii, tip act de identitate (BI/CI), seria, numar,
scopul vizitei. In acest registru nu se vor inregistra doar persoanele venite pentru
8.12. Concursul se va tine in aceeasi sala in care se iau si interviurile deoarece aceasta
este mobilata corespunzator;
8.13. Supravegherea candidatilor in timpul examenului de ocupare a unui loc de munca
se va face de cel putin doua persoane (este necesara prezenta cate unui reprezentant de la
departamentul resurse umane cat si de la departamentul angajator ) atat pentru a se evita
eventuale furturi sau distrugeri cat si pentru a nu se lasa sa se inspire.
8.14. Unitatea va realiza un studiu al posturilor ce urmeaza a fi ocupate. Acesta va
contine: descrierea acestora, evidentiindu-se informatiile privind denumirea postului,
obiectivele, sarcinile, responsabilitatile si mijloacele folosite;
8.15. Stabilirea nevoii de personal va avea la baza si studiul plecarilor, o evidenta a
posturilor devenite disponibile datorita demisiilor, concedierilor, pensionarilor sau
deceselor;
8.16. Examenul medical se va realiza in cadrul dispensarului unitatii sau, daca sunt
necesare analize mult prea detaliate sau sofisticate, se va solicita prezentarea
potentialului angajat la o unitate sanitara de profil; analizele si controalele necesare
difera in functie de postul ce urmeaza a fi ocupat;
8.17. Candidatii vor fi familiarizati cu conditiile de munca (in special cele de
salarizare), cu riscurile si beneficiile lucrului in unitate;
8.18. Se va incerca o selectare a personalului in asa fel incat sa se evite eventuale
viitoare “nise” de informatii confidentiale sau secrete
8.19. Baza de date a candidatilor la posturile vacante nu se va sterge in urma ocuparii
postului liber ci se va pastra in vederea unei noi recrutari de personal;
8.20. Un angajat de la paza va efectua periodic inspectii in cadrul unitatii pentru a
descoperi eventuali “intrusi”(persoane care nu sunt ecusoane nici de angajati nici de
potentiali angajati );
8.21. Camera video din sala destinata recrutarii si selectiei de personal va functiona
permanent;
8.22. Sistemul de supraveghere cu senzori de miscare se va activa dupa inchiderea
programul de lucru;
8.23. In cazul sosirii unor persoane in afara programului de recrutare si care pretind ca
au fost chemate la un interviu, ca au venit sa dea un concurs sau doar pentru a obtine
informatii privitoare la posibile noi posturi vacante se va urma o procedura de
confirmare. Astfel, portarul unitatii va trebui sa sune la biroul resurse umane pentru
a anunta prezenta la poarta a acelei persoanei si pentru a obtine confirmarea si doar
apoi va putea sa faciliteze intrarea persoanei respective in unitate;

13