RETGO - Order & Pick Up Food

1. Introducere

Scopul acestui proiect este de a implementa un Sistem de Management al Securității

Informației (SMSI) în cadrul organizației RETGO (REady To Go).

1.1 Scurta descriere a companiei

RETGO (REady To Go) este o companie ce operează în domeniul e-commerce,

punand la dispozitie clienților un serviciu prin care ei pot comanda mancare online pe
care o pot ridica din locație la un timp ulterior.

Sistemul dezvoltat de RETGO este compus din 2 componente de baza: aplicația

mobilă, aplicația web și aplicația server.

Aplicațiile mobile (Android, iOS) sunt gazduite in Google Play Store și App Store de
unde pot fi descărcate de către utilizatori.

Aplicația Web este gazduita pe un server web externalizat pus la dispoziție de către
compania Bluehost.

Aplicația server, cât și bazele de date sunt hostate pe serverele externalizate puse la
dispoziție de către Microsoft Azure Cloud Solutions.

Serviciul este împărțit în doua ramuri, în funcție de tipul clienților:

- B2B (Business-To-Business)
- B2C (Business-To-Client)

Ramura B2B pune la dispoziție magazinelor cu specific “to go” (cafenele, restaurante,
etc.) o platforma prin care pot vinde produse online ce vor fi ridicate din magazinul fizic
de către client într-un anumit interval orar prestabilit.

Ramura B2C pune la dispozitie utilizatorilor aplicatiei RETGO o platforma prin care pot
accesa magazinele înscrise în aceasta retea. Aceștia pot selecta produse, plăti online și
seta o ora (convenabila lor) de ridicare a produselor.
Deoarece RETGO deservește atât clienți persoane fizice, cat si persoane juridice,
serviciile oferite trebuie sa respecte cele mai înalte standarde de securitate. Serviciile
puse la dispozitie prin platforma online RETGO respecta cele 3 elemente esentiale ale
securității informației: confidențialitatea, integritatea și disponibilitatea.

1.2 Infrastructură rețea organizationala

Mai jos este prezentată schema generală a rețelei organizationale. Organizația are un
singur sediu central (HQ) ceea ce înseamnă ca rețeaua internă nu este separată din
punct de vedere geografic.

Intranet-ul este organizat pe mai multe rețele virtuale (VLAN-uri) pentru a separa
domeniile de activitate și a evita conflictele între departamente. În cadrul organizației
VLAN-urile sunt strict pentru distribuirea fișierelor în cadrul departamentelor.

RETGO nu are o solutie interna pentru găzduirea aplicațiilor web si server, acestea fiind
găzduite cu ajutorul platformei externe Microsoft Azure Cloud Solutions (server) si
Bluehost (web).

Toate resursele digitale ale organizației sunt protejate de către un firewall ce limitează și
monitorizează accesul neautorizat către acestea. Accesul din exterior în rețeaua internă
se poate face doar prin intermediul unui VPN securizat și monitorizat.

Rețeaua internă Wi-Fi este configurată astfel incat accesul se face pe baza unui nume
de utilizator si parole asociate fiecărui angajat în urma solicitării făcute de acesta către
management.
1.2.1 Schema generala de retea a organizatiei

1.3 Organigrama

Directorul general - asigura conducerea, organizarea și funcționarea companiei,

reprezentand poziția de cel mai înalt grad.

Financiar - asigura organizarea și desfășurarea activității financiar-contabile și fiscale

în conformitate cu dispozițiile legale, fiind responsabil în principal cu inregistrarea in
contabilitate a tuturor operațiunilor ce reflectă activitatea de zi cu zi a companiei.

HR - principalele obiecte de activitate ale acestui departament sunt: recrutarea si

selectia de personal, întocmirea și administrarea dosarelor de personal, integrarea
noilor angajați, comunicarea internă.

Marketing - printre atribuțiile departamentului de marketing se numără: colectarea și

analiza informațiilor necesare pentru stabilirea publicului tinta al produsului, studierea
așteptărilor potentialilor utilizatori, prospectarea pieței etc.
Juridic - are rolul de a analiza și identifica riscurile juridice și a implicațiilor tuturor
tranzacțiilor companiei, mentinand managementul tuturor departamentelor din cadrul
organizației la curent cu evolutiile legilor și reglementărilor care pot afecta compania.

CISO - Are rolul de a stabili practicile corecte de guvernare și securitate în cadrul

organizației

Dezvoltare - Asigura dezvoltarea și mentenanța serviciilor oferite de organizație

(aplicația mobilă și cea server)

Suport clienți - Principalul obiectiv al acestui departament este de a oferi suport

clienților organizației

Sales - Are ca sarcina contactarea, convingerea noilor clienți și vanzarea serviciilor

oferite de organizație

IT - Asigura existenta și mentenanta echipamentelor IT, de comunicații și a serviciilor

oferite în cadrul companiei:
- Analizarea nevoilor privind echipamentele IT&C
- Asigurarea de consultanță în domeniul IT&C
1.3.1 Organigrama Organizatiei
2. Politica de Securitate

Politică generală de securitate

Titlu Politică Generală de Securitate

Descriere generala Aceasta politică conține imaginea
de ansamblu a tuturor principiilor și
cerințelor de securitate din cadrul
organizației
Versiune 1.25
Creata 25.12.2020
Revizuita 01.01.2021
Aprobata DIRECTOR GENERAL

Scopul

RETGO se angajează să își desfășoare activitatea într-un mod care să asigure

securitatea forței de muncă și a locurilor de muncă, protecția mărcii, produselor,
reputației și activelor noastre de informații. Acest lucru este în concordanță cu
obiectivele noastre de a oferi angajaților cel mai bun loc de muncă, de a spori
rentabilitatea și concentrarea asupra clienților și de a proteja valoarea acționarilor.

Domeniul de aplicabilitate

Această politică se aplică tuturor angajaților RETGO, clienților, partenerilor și

colaboratorilor externi.

Cadrul de reglementare

Avand in vedere ca RETGO operează în domeniul e-commerce, pentru a oferi servicii

continue de calitate, trebuie sa asiguram un nivel ridicat de securitate în cadrul aplicației
și a serviciilor oferite, dar și protectia datelor acestora. Aplicația RETGO și implicit
serviciul “order & pickup” respecta cele 3 elemente esentiale ale securității informatice:
confidentialitate, integritate și disponibilitate.

Declarația privind politica de securitate

Neconformarea cu politică de securitate poate conduce la compromiterea

confidențialității, integrității și disponibilității resurselor RETGO, la afectarea imaginii
companiei în fața partenerilor sai, precum și la pierderi de natura financiara.
Politica de securitate se aplica tuturor angajaților și colaboratorilor RETGO, fiecare
având responsabilitatea aderării la politicile și procedurile de securitate cu privire la
protectia resurselor RETGO. De asemenea, fiecare angajat sau colaborator are
responsabilitatea raportării oricărui incident de securitate sesizat.

Implementare

Pentru a realiza acest lucru, vom:

• Stabili un cadru de management al securității bazat pe risc pentru a reglementa
implementarea securității în RETGO
• Identifica și atenua în mod proactiv riscurile de securitate la care sunt expuse
forța de muncă, locul de muncă și alte active ale companiei
• Promova conștientizarea securității și încuraja implicarea forței de muncă
• Oferi răspuns în timp util la incidente și situații de urgență
• Proiecta soluții și aplica asigurări pentru a minimiza riscurile produsului, cum ar
fi falsificarea, furtul, frauda, vulnerabilitățile de securitate, daunele de imagine
asupra mărcii dar și alte riscuri asociate
• Respectă cele mai înalte standarde etice

Vom atinge acest nivel ridicat de performanță prin acțiuni specifice pentru: integrarea
strategiei și proceselor de securitate cu planificarea și luarea deciziilor noastre de
afaceri, încheierea parteneriatelor, menținerea standardelor globale de securitate și
stabilirea obiectivelor de securitate în sprijinul întreprinderii și al clienților noștri.
Roluri și Responsabilități

Director General

Activele informatice din cadrul RETGO au ca unic proprietar legal Directorul

General. Această funcție are responsabilitatea alocării resurselor necesare asistării și
aprobării Politicii Generale de Securitate. De asemenea, în urma implementării și
revizuirii, Directorul General aprobă politica generala, politicile subsecvente și
obiectivele de securitate a informației.
Directorul General poate delega detinerea integrala sau partiala a activelor
informatice împreuna cu responsabilitățile definite oricărui ofițer cu drepturi
operaționale.

Ofițerul de Securitate a Informației

Ofițerul de Securitate a Informației este responsabil de:

- Elaborarea strategiei și obiectivelor în domeniul securității informației, în
concordanță cu strategia companiei
- Verificarea implementării planului de acțiuni în domeniul securității
informațiilor
- Reducerea impactului incidentelor de securitate
- Se asigura că sistemul de management al securității informațiilor atinge
rezultatele dorite
- Indruma si sprijina personalul sa contribuie la eficacitatea sistemului de
management al securității informațiilor
- Promovează îmbunătățirea continua a sistemului de management al
securității informațiilor
- Monitorizarea și raportarea incidentelor de acces neautorizat a
informațiilor
- Evaluarea vulnerabilităților sistemelor
- Definirea și punerea în aplicare a măsurilor adecvate pentru a asigura
confidențialitatea, integritatea și disponibilitatea activelor informatice

Operatorii de date

Angajații RETGO împreuna cu clienții au următoarele responsabilități:

- Respectă toate politicile și procedurile privind securitatea informațiilor
aplicabile pentru locurile lor de munca
- Participa la instruirile legate de securitatea informațiilor
3. Proceduri de securitate

Procedura de parole

Regulile pentru alcătuirea și utilizarea parolei folosite pentru accesul la stațiile de lucru
și la sistemele informatice sunt următoarele:
- Lungimea minima a parolei trebuie sa fie de 8 caractere
- Parola trebuie sa contina minim o majusculă
- Parola trebuie sa contina minim o cifra
- Parola trebuie sa conțină minim un caracter special
- Perioada maximă de valabilitate a parolei este de 90 de zile
- Parola nu poate contine elemente din nume, prenume, anul nașterii
- Parola actualizată la sfarsitul perioadei de valabilitate nu poate contine elemente
ale parolei precedente

Procedura clasificare informatii

Clasificarea informației în cadrul RETGO se efectuează în conformitate cu următoarele

criterii:
- Publica: informatia poate fi distribuita in exteriorul companiei fără a afecta
angajați, compania sau partenerii companiei.
- Internă: informația este destinata sa circule doar în interiorul companiei
- Confidentiala: informatia are un caracter personal

Procedura stocare/transfer informatii confidentiale

Atat stocarea, cat și transferul informațiilor confidențiale se va realiza prin utilizarea

tehnicilor de criptare, pentru ca în eventualitatea unui atac cibernetic ce ar viza
acapararea acestora, atacatorul sa se află în imposibilitatea descifrarii informației.
De asemenea, accesul la informațiile confidențiale stocate în bazele de date ale
companiei se realizeaza prin intermediul credentialelor.
La interval de timp regulat se executa copii de siguranță ale bazelor de date.
Orice accesare sau modificare a informațiilor confidențiale este înregistrată de către
sistemul informational.
Procedura incidente de securitate

Incidentele de securitate trebuie raportate departamentului de securitatea informației,

care va realiza o estimare a priorității incidentelor și va elabora un plan de răspuns
menit sa minimizeze impactul și să garanteze ca activitatea companiei nu este afectată.
Toate părțile implicate vor fi notificate de încălcarea securității datelor.
Odată ce atacul este atenuat, departamentul de securitatea informației va realiza un
raport detaliat al incidentului ce va include recomandări pentru prevenirea unui viitor
atac.

4. Definirea principiilor de securitatea informației și a

nivelurilor de acces

Principiile de securitate a informației

Principiile de securitate prezente în acest document se vor aplica tuturor activelor de

informații fizice și electronice pentru care compania este responsabilă. Aplicând aceste
principii asigurăm că:

- Toți utilizatorii sistemului pot fi trași la răspundere pentru acțiunile lor

(Accountability)
- Toate acțiunile realizate de personal sau automat în cadrul sistemului sunt
monitorizate (Auditability)
- Sistemul este capabil sa verifice identitatea furnizorilor de date externi
(Authenticity / Trustworthiness)
- Sistemul se asigura ca utilizatorii beneficiază de accesul neîntrerupt la resurse
(Availability)
- Doar utilizatorii autorizați pot accesa informația (Confidentiality)
- Sistemul previne modificările neautorizate asupra resurselor (Integrity)
- Sistemul poate demonstra (legal valid) apariția / incidența unui eveniment sau
participarea / neparticiparea unei parti la un anumit eveniment (Non Repudiation)
- Sistemul se supune legilor confidentialitatii si asigura controlul individual al
informațiilor personale (Privacy)

Avand in vedere domeniul de activitate al societății (e-commerce), clienții transmitand

date sensibile (card, date personale, etc.), principiul dominant în vederea asigurarii
securitatii informatiei este cel al confidentialitatii.
Nivelurile de acces

În cadrul companiei exista mai multe niveluri de acces. Acestea sunt atribuite tuturor
angajaților în funcție de responsabilitatea fiecăruia în cadrul organizației. Rolul acestora
este de a reduce riscul aparitiei scurgerii de informații. Niveluri de acces în cadrul
companiei sunt următoarele:

- Angajat - perioada proba

Acces la informațiile cu caracter public și cele personale. În cazuri deosebite i se

poate acorda acces suplimentar de catre angajatul caruia ii este subordonat.

- Subcontractor

Nu are acces la informațiile din cadrul companiei. În cazul în care acesta are
nevoie de informații de acest tip trebuie sa se adreseze angajatului responsabil.

- Angajat

Acces la informațiile cu caracter public, intern și cele personale. În cazuri

deosebite i se poate acorda acces suplimentar de catre angajatul caruia ii este
subordonat.

- Manager de echipa

Acces la informațiile cu caracter public, intern, și la cele personale, atat ale sale
cât și ale angajaților subordonați. În cazuri deosebite i se poate acorda acces
suplimentar de catre angajatul caruia ii este subordonat.

- Manager Departament

Acces la informațiile cu caracter public, intern, și la cele personale, atat ale sale
cât și ale tuturor angajaților din cadrul departamentului. În cazuri deosebite i se
poate acorda acces suplimentar de catre angajatul caruia ii este subordonat.

- Director

Acces deplin.

5. Clasificarea datelor/informațiilor în cadrul organizației.

Stabilirea nivelurilor de clasificare
 Publică Internă Confidentială

- materiale de marketing - politicile și procedurile - liste comercianti

- descriere posturi din
cadrul companiei
- cod de tip open-source
- descrierea companiei
- date de contact ale
companiei
- rezultate financiare
publice
- parteneriate publice
- detalii produse
comercianti
companiei
- materiale destinate
trainingului angajatilor
- ierarhia internă a
angajatilor
- portaluri angajați
- alte resurse din cadrul
rețelei intranet
- contracte comercianti
- cod sursa aplicație
- lista tarife servicii
- salarii angajați
- contracte angajați
- date angajati
- contracte furnizori

6. Managementul riscurilor

Definirea obiectului politicii de evaluare și tratare a riscurilor

Scopul politicii de evaluare și tratare a riscurilor este de a identifica, reduce sau chiar
elimina potențialele riscuri. Totodată aceasta pune la dispoziție un plan rațional pe baza
căruia putem lua decizii în ceea ce privește posibilele riscuri.

Evaluarea și managementul riscurilor este cea mai buna armă împotriva posibilelor
catastrofe ce pot apărea în cadrul proiectului. Avand o evaluare constantă a planului
privind potențiale probleme și dezvoltand strategii pentru a le rezolva putem imbunatatii
șansele de succes în cadrul proiectului.

Aceasta politică ne ajuta sa asigurăm faptul ca riscurile cu prioritate ridicată sunt

gestionate agresiv și că toate celelalte riscuri sunt gestionate eficient din punct de
vedere al costurilor pe tot parcursul proiectului. De asemenea aceasta ne ajuta sa
furnizam managementului de pe toate nivelurile informațiile necesare pentru a lua decizi
în necunostinta de cauza.

Inventarierea și evaluarea activelor companiei

Resursă Detalii Tip Locație

HARDWARE Laptopuri Statii de lucru portabile destinate Date & Fisiere Birou
dezvoltarii si mentenantei software-ului Electronice companie
 Asupra
utilizatorului

Domiciliu
utilizator

Birou
companie
Statii de lucru destinate dezvoltarii si Date & Fisiere
Desktopuri mentenantei software-ului Electronice

Birou
Date Electronice companie

Monitoare Periferice

Dispozitiv utilizat in procesul de testare al Date & Fisiere Birou

Telefon mobil produsului software oferit de companie Electronice companie

Dispozitiv utilizat in procesul de testare al Date & Fisiere Birou

Tableta produsului software oferit de companie Electronice companie

Birou
Date Electronice companie

Router Echipament de retelistica

Birou
Date Electronice companie

Switch Echipament de retelistica

Birou
companie
Date Electronice
Imprimanta Periferic si Fizice

Telefon Telefon prevazut din partea companiei in

Conferinte cadrul salii de conferinta
Birou
Date Electronice companie
 Birou
Date Electronice companie
Televizor prevazut din partea companiei in
TV Conferinte cadrul salii de conferinta

Birou
Date Electronice companie

Mouse Periferice

Birou
Date Electronice companie

Keyboard Periferice

Birou
Date Electronice companie

Alte Periferice Periferice

Licenta & Date &

Microsoft Fisiere Desktop/Lap
Windows Sistem operare Electronice top/Server

Licenta & Date &

Microsoft Suita procesare Fisiere Desktop/Lap
Office text/spreadsheets/prezentari Electronice top/Server

Microsoft Date & Fisiere Desktop/Lap

Visual Studio IDE Electronice top/Server

Licenta & Date &

Antivirus Fisiere Desktop/Lap
Solution Solutie Antivirus instalata pe toate Pcurile Electronice top/Server

Licenta & Date &

Solutie VPN – Acces oferit pe baza de Fisiere Desktop/Lap
VPN Solution tichete Electronice top/Server

Date & Fisiere Desktop/Lap

Jenkins Build Pipeline Electronice top/Server

Google Date & Fisiere Desktop/Lap

SOFTWARE Chrome Internet Browser Electronice top/Server
 Licenta & Date &
Oracle VM Fisiere Desktop/Lap
Virtual Box Solutie access medii virtuale Electronice top/Server

Date & Fisiere Desktop/Lap

Postman HTTP Rest Client Electronice top/Server

Date & Fisiere Desktop/Lap

Notepad ++ Text Editor / IDE Electronice top/Server

Documente
Documente Documente privind relatiile contractuale Fizice & Desktop
Comerciale cu partenerii Electronice Director

Arhive de stocare fizica a diverselor Documente Birou

Arhive documente Fizice companie

Documente
Fizice & Server
Documente HR Documente privind sitatuia angajatii firmei Electronice Extern

Planuri Documente
dezvoltare Planuri privind businessul firmei pe Fizice & Desktop
departament termen scurt Electronice Director

Documente referitoare la situatia Documente

Documente financiara a fimei – acorduri semnate, Fizice & Server
Financiare chitante, facturi Electronice Extern

Documente
Documentatie Documentatie tehnica aferenta produselor Fizice & Arhive/Serv
Tehnica dezvoltate Electronice er

Documente
Documente Fizice & Server
Client Documente privind situatia clientilor Electronice Extern

Active și Documente
Servicii Planuri Fizice & Desktop
Informaționale Strategice Planuri pe termen lung Electronice Director

Resursa umana

Departament
Dezvoltare Programatori, QA, Dev Ops N/A

Departament Resurse Umane: Recruiteri, Organizatori N/A

Resurse
Umane
 Departament
Suport clienti Suport oferit clientilor N/A

Departament
Marketing Marketing online si advertising N/A

Departament
Vanzari Vanzarea serviciilor N/A

Departament
Financiar Payroll: Contabili N/A

Departament
Juridic Solutionarea cazurilor juridice si consultanta juridica N/A

Departamentul
IT Mentenanta echipamentelor IT N/A

Serviciu de intermediere si procesare Date EuPlatesc

EuPlatesc a platilor Electronice SRL

Discord
Discord Serviciu de comunicare Date Electronice Inc.

Serviciu pentru gestionarea codului Microsoft

Github sursa Date Electronice Datacenter

Jira Serviciu management al sarcinilor Date Electronice Atlassian

Microsoft
Datacenter
Active/Servicii Server (Web,
Externalizate DB) Servere Procesare / Stocare date Date Electronice

Alte active Birou Sediul firmei * N/A

Inventarierea vulnerabilitatilor

Resursă Vulnerabilitati
- Casarea echipamentului fara stergerea
datelor
- Parola slaba
- Harddisk necriptat
Laptopuri - Conectare la Wi-Fi nesecurizat
- Casarea echipamentului fara stergerea
datelor
- Parola slaba
Desktopuri - Harddisk necriptat

Monitoare N/A

- Parola slaba
- Casarea echipamentului fara stergerea
datelor
Telefon mobil - Conectare la Wi-Fi nesecurizat

- Parola slaba
- Casarea echipamentului fara stergerea
datelor
Tableta - Conectare la Wi-Fi nesecurizat

- Configurare necorespunzatoare
Router - Parola slaba

- Configurare necorespunzatoare
Switch - Parola slaba

Istoric imprimanta - Alt angajat poate

Imprimanta re-printa un document anterior

Telefon Conferinte N/A

HARDWARE TV Conferinte N/A

 Mouse N/A

Keyboard N/A

Alte Periferice N/A

- Buguri si vulnerabilitati software

(producator)
Microsoft Windows - Neactualizarea periodica a softwarelui
- Buguri si vulnerabilitati software
(producator)
Microsoft Office - Neactualizarea periodica a softwarelui

- Buguri si vulnerabilitati software

(producator)
Microsoft Visual Studio - Neactualizarea periodica a softwarelui

Antivirus Solution - Baza de date semnaturi neactualizata

- Configurare necorespunzatoare
- Buguri si vulnerabilitati software
VPN Solution - Neactualizarea periodica a softwarelui

- Buguri si vulnerabilitati software

(producator)
Jenkins - Neactualizarea periodica a softwarelui

- Buguri si vulnerabilitati software

(producator)
- Extensii malitioase
Google Chrome - Neactualizarea periodica a softwarelui

- Buguri si vulnerabilitati software

Oracle VM Virtual Box (producator)

- Credentiale pastrate in clar (API keys,

Postman tokens, etc.)

- Buguri si vulnerabilitati software

SOFTWARE Notepad ++ (producator)

Documente Comerciale
Arhive
Documente HR
Planuri dezvoltare departament
Documente Financiare
Documentatie Tehnica
Documente Client
Active și Servicii
Informaționale Planuri Strategice
Departament Dezvoltare
Departament Resurse Umane
Departament Suport clienti
Departament Marketing
Resursa umana Departament Vanzari
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Nesecurizate cu parola (daca sunt in
format electronic)
- Acces neautorizat
- Pregatire profesionala precara
- Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
- Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
- Rea vointa
- Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
- Rea vointa
- Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
- Rea vointa
- Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
- Rea vointa
 - Accesare linkuri malitioase
- Instruirea in securitatea neadecvata
Departament Financiar - Rea vointa

- Accesare linkuri malitioase

- Instruirea in securitatea neadecvata
Departament Juridic - Rea vointa

- Accesare linkuri malitioase

- Instruirea in securitatea neadecvata
Departamentul IT - Rea vointa

EuPlatesc - Riscurile companiei partenere

Discord - Riscurile companiei partenere

Github - Riscurile companiei partenere

Jira - Riscurile companiei partenere

Active/Servicii Externalizate Server (Web, DB) - Riscurile companiei partenere

Alte active Birou - Acces neautorizat

Identificarea amenințărilor aplicabile pentru activele organizației

Resursă Amenintari

- Acces neautorizat
- Alterare neautorizata a
Laptopuri datelor
Desktopuri - Acces neautorizat
- Alterare neautorizata a
HARDWARE datelor
 N/A

Monitoare

- Acces neautorizat
- Alterare neautorizata a
Telefon mobil datelor

- Acces neautorizat
- Alterare neautorizata a
Tableta datelor

- Acces neautorizat
Router - Atac DDoS

- Acces neautorizat
- Interceptare si modificare a
Switch pachetelor

Imprimanta - Acces neautorizat

Telefon Conferinte N/A

TV Conferinte N/A

Mouse N/A

Keyboard N/A

Alte Periferice N/A

- Acces neautorizat
- Alterarea datelor prin
exploatarea vulnerabilitatilor
Microsoft Windows software

- Exploatarea
SOFTWARE Microsoft Office vulnerabilitatilor software
 - Exploatarea
Microsoft Visual Studio vulnerabilitatilor software

- Dezactivarea manuala de
catre utilizator a protectiei
- Dezactivarea actualizarii
Antivirus Solution automate a bazei de date

VPN Solution - Acces neatorizat

- Exploatarea
Jenkins vulnerabilitatilor software

- Atacuri de tip Man-In-The-

Google Chrome Browser

Oracle VM Virtual Box N/A

- Exploatarea
Postman vulnerabilitatilor software

- Exploatarea
Notepad ++ vulnerabilitatilor software

- Acces neautorizat
Documente Comerciale - Modificare neautorizata

- Acces neautorizat
Arhive - Modificare neautorizata

- Acces neautorizat
Documente HR - Divulgare neautorizata

Planuri dezvoltare
departament - Acces neaturoizat

Active și
Servicii
Informaționale Documente Financiare - Acces neaturoizat
 Documentatie Tehnica - Acces neaturoizat

- Acces neaturoizat
Documente Client - Divulgare neautorizata

Planuri Strategice - Acces neautorizat

- Atacuri de tip phising,

Departament Dezvoltare ransomware

- Atacuri de tip phising,

Departament Resurse Umane ransomware

- Atacuri de tip phising,

Departament Suport clienti ransomware

- Atacuri de tip phising,

Departament Marketing ransomware

- Atacuri de tip phising,

Departament Vanzari ransomware

- Atacuri de tip phising,

Departament Financiar ransomware

- Atacuri de tip phising,

Departament Juridic ransomware

- Atacuri de tip phising,

Resursa umana Departamentul IT ransomware

- Atacuri de tip DoS / DDoS

EuPlatesc ale sistemelor
Active/Servicii Discord - Atacuri de tip DoS / DDoS
Externalizate ale sistemelor
 - Atacuri de tip DoS / DDoS
Github ale sistemelor

- Atacuri de tip DoS / DDoS

Jira ale sistemelor

- Atacuri de tip DoS / DDoS

Server (Web, DB) ale sistemelor

Alte active Birou - Acces neautorizat

Stabilire metoda de evaluare a riscurilor

Pentru evaluarea riscului în cadrul proiectului am utilizat metoda calitativă deoarece

aceasta nu presupune cunoașterea monetară propriu-zisă a activelor. Pentru a stabili
nivelul efectiv al riscului vom clasifica fiecare amenințare pe o scara în funcție de
probabilitate și impactul asupra organizației.

Evaluarea riscurilor

Pentru a determina nivelul de severitate, am aplicat formula următoare:

Severitate Risc = Probabilitate + Impact

Nivelul de severitate Valoare

Scazut 1-4
Mediu 5-7
Ridicat 8 - 10

Probabilitatea

Probabilitate Valoare
Scazuta 1-2
Medie 3-4
Ridicata 5

Impactul

Imapct Valoare
 Scazut 1-2
Mediu 3-4
Ridicat 5

Registrul Riscurilor

Valo
area
Probab Imp Risc
Resursă Vulnerabilitati Amenintari ilitate act ului Masuri de control
HARDW - Impunerea unei
ARE politici pentru parolele
angajatiilor
(schimbarea acesteia
la un anumit interval de
timp, impunerea unor
- Casarea criterii minime)
echipamentului - Impunerea criptarii
fara stergerea harddiskurilor
datelor - Limitarea
conectivitatii catre alte
- Parola slaba
retele decat cele
- Harddisk - Acces
aprobate de
necriptat neautorizat departamentul IT
- Conectare la - Alterare - Instalarea unor
Wi-Fi neautorizata a aplicatii de stergere a
Laptopuri nesecurizat datelor 2 5 7 datelor de la distanta

- Impunerea unei
politici pentru parolele
angajatiilor
(schimbarea acesteia
- Casarea la un anumit interval de
timp, impunerea unor
echipamentului
criterii minime)
fara stergerea - Acces
- Impunerea criptarii
datelor neautorizat harddiskurilor
- Parola slaba - Alterare - Instalarea unor
- Harddisk neautorizata a aplicatii de stergere a
Desktopuri necriptat datelor 2 5 7 datelor de la distanta

Monitoare N/A N/A 0 0 0 N/A

Telefon mobil - Parola slaba - Acces 3 5 8 - Impunerea unei

- Casarea neautorizat politici pentru parolele
echipamentului - Alterare angajatiilor
- Limitarea aplicatiilor
fara stergerea neautorizata a
ce pot fi instalate pe
 datelor datelor device-uri aplicand
- Conectare la anumite politici de
Wi-Fi domeniu
- Instalarea unor
nesecurizat
aplicatii de stergere a
datelor de la distanta

- Impunerea unei
politici pentru parolele
- Parola slaba angajatiilor
- Casarea - Limitarea aplicatiilor
ce pot fi instalate pe
echipamentului
device-uri aplicand
fara stergerea - Acces
anumite politici de
datelor neautorizat domeniu
- Conectare la - Alterare - Instalarea unor
Wi-Fi neautorizata a aplicatii de stergere a
Tableta nesecurizat datelor 3 5 8 datelor de la distanta

- Asigurarea unui ISP

redundant pentru a
combate posibilele
atacuri de tip DDoS
- Impunerea unui audit
intern de securitate
- Configurarea
temeinca a
dispozitivelor
- Inchiderea porturilor
- Configurare nefolosite sau
necorespunzato - Acces restrictionarea celor
are neautorizat folosite pentru
Router - Parola slaba - Atac DDoS 1 5 6 management

- Configurarea
temeinca a
dispozitivelor
- Acces
- Inchiderea porturilor
- Configurare neautorizat nefolosite sau
necorespunzato - Interceptare restrictionarea celor
are si modificare a folosite pentru
Switch - Parola slaba pachetelor 1 3 4 management

Imprimanta Istoric - Acces 1 2 3 - Configurarea

imprimanta - Alt neautorizat dispozitivului astfel
angajat poate incat sa nu retina un
istoric al documentelor
re-printa un
document
anterior
 Telefon
Conferinte N/A N/A 0 0 0 N/A

TV Conferinte N/A N/A 0 0 0 N/A

Mouse N/A N/A 0 0 0 N/A

Keyboard N/A N/A 0 0 0 N/A

Alte Periferice N/A N/A 0 0 0 N/A

SOFTWA - Buguri si - Acces
RE vulnerabilitati neautorizat
- Impunerea actualizarii
software - Alterarea
periodice a sistemului
(producator) datelor prin fiecarui angajat
- Neactualizarea exploatarea - Backup periodic al
Microsoft periodica a vulnerabilitatil sistemului de operare
Windows softwarelui or software 1 5 6 (Restore point)

- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
periodica a vulnerabilitatil - Impunerea actualizarii
Microsoft Office softwarelui or software 1 2 3 periodice

- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
Microsoft Visual periodica a vulnerabilitatil - Impunerea actualizarii
Studio softwarelui or software 1 2 3 periodice

Antivirus - Baza de date - Dezactivarea 2 5 7 - Impunerea unor

Solution semnaturi manuala de restrictii de tip (Group
neactualizata catre utilizator Policy), iar in cazul in
care angajatul incearca
a protectiei
sa dezactiveze sa fie
- Dezactivarea
alertat departamentul
actualizarii IT
automate a
 bazei de date

- Configurare
necorespunzato - Impunerea actualizarii
are periodice
- Logarea tuturor
- Buguri si
conexiunilor realizate
vulnerabilitati
prin VPN
software - Logarea tipului de
- Neactualizarea date transmis si
periodica a - Acces locatiile din care se
VPN Solution softwarelui neatorizat 2 5 7 face accesul

- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
periodica a vulnerabilitatil - Impunerea actualizarii
Jenkins softwarelui or software 1 1 2 periodice

- Buguri si
vulnerabilitati
software
(producator)
- Impunerea actualizarii
- Extensii
periodice
malitioase - Restrictionarea
- Neactualizarea - Atacuri de tip instalarii extensiilor cu
periodica a Man-In-The- provenienta
Google Chrome softwarelui Browser 1 5 6 necunoscuta

- Buguri si
vulnerabilitati
Oracle VM software - Impunerea actualizarii
Virtual Box (producator) N/A 1 1 2 periodice

- Credentiale
pastrate in clar - Exploatarea - Impunerea folosirii
(API keys, vulnerabilitatil unui KeyVault pentru a
Postman tokens, etc.) or software 2 5 7 stoca datele sensibile

- Buguri si
vulnerabilitati - Exploatarea
software vulnerabilitatil - Impunerea actualizarii
Notepad ++ (producator) or software 1 1 2 periodice

Active și Documente - Nesecurizate - Acces 2 3 5 - Impunerea utilizarii

Servicii Comerciale cu parola (daca neautorizat unor parole pentru
Informați sunt in format - Modificare documentele
onale electronice
electronic) neautorizata
- Restrictionarea
- Acces
accesului la aceste
 neautorizat documente pe baza
unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Acces - Restrictionarea
electronic) neautorizat accesului la aceste
- Acces - Modificare documente pe baza
Arhive neautorizat neautorizata 1 3 4 unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Acces - Restrictionarea
electronic) neautorizat accesului la aceste
- Acces - Divulgare documente pe baza
Documente HR neautorizat neautorizata 2 3 5 unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
Planuri electronic) accesului la aceste
dezvoltare - Acces - Acces documente pe baza
departament neautorizat neaturoizat 2 2 4 unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Documente - Acces - Acces documente pe baza
Financiare neautorizat neaturoizat 1 4 5 unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Documentatie - Acces - Acces documente pe baza
Tehnica neautorizat neaturoizat 1 1 2 unui cod / badge

Documente - Nesecurizate - Acces 2 5 7 - Impunerea utilizarii

Client cu parola (daca neaturoizat unor parole pentru
sunt in format - Divulgare documentele
electronice
electronic) neautorizata
- Restrictionarea
- Acces
accesului la aceste
 neautorizat documente pe baza
unui cod / badge

- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Planuri - Acces - Acces documente pe baza
Strategice neautorizat neautorizat 2 5 7 unui cod / badge

Resursa - Pregatire - Instruirea angajatilor

umana profesionala pentru depistarea
precara semnelor unui atac de
tip phishing
- Accesare
- Activarea filtrelor
linkuri
spam
malitioase - Incurajarea
- Instruirea in - Atacuri de tip angajatilor sa
Departament securitatea phising, raporteze incidentele
Dezvoltare neadecvata ransomware 1 5 6 catre departamentul IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Resurse Umane - Rea vointa ransomware 4 4 8 catre departamentul IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Suport clienti - Rea vointa ransomware 4 3 7 catre departamentul IT

Departament - Accesare - Atacuri de tip 3 3 6 - Instruirea angajatilor

Marketing linkuri phising, pentru depistarea
malitioase ransomware semnelor unui atac de
tip phishing
- Instruirea in
- Activarea filtrelor
securitatea
spam
neadecvata - Incurajarea
- Rea vointa angajatilor sa
raporteze incidentele
 catre departamentul
IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Vanzari - Rea vointa ransomware 3 3 6 catre departamentul IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Financiar - Rea vointa ransomware 3 4 7 catre departamentul IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Juridic - Rea vointa ransomware 3 3 6 catre departamentul IT

- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departamentul neadecvata phising, raporteze incidentele
IT - Rea vointa ransomware 1 5 6 catre departamentul IT

- Riscurile - Atacuri de tip

companiei DoS / DDoS ale
EuPlatesc partenere sistemelor 1 5 6 N/A
Active/S Discord - Riscurile - Atacuri de tip 1 3 4 N/A
ervicii companiei DoS / DDoS ale
Externali partenere sistemelor
 zate - Riscurile - Atacuri de tip
companiei DoS / DDoS ale
Github partenere sistemelor 1 5 6 N/A

- Riscurile - Atacuri de tip

companiei DoS / DDoS ale
Jira partenere sistemelor 1 2 3 N/A

- Riscurile - Atacuri de tip

Server (Web, companiei DoS / DDoS ale
DB) partenere sistemelor 1 5 6 N/A

- Dotarea unitatii cu un
sistem de control
Alte - Acces - Acces acces ce utilizeaza
active Birou neautorizat neautorizat 2 2 4 cartele de proximitate

Elaborarea declaratiei de aplicabilitate

ISO/IEC 27001:2018 - Anexa Aplicab

A ilitate Obiectiv Implementare Status
Sectiun Descrie
Clauza e re
Sa asigure
orientarea generala
de catre Realizarea unui set
5 Directia Politici management si de politici de
manageria de sprijinul pentru securitate a
la pentru securita securitatea informatiei aprobat
securitatea te a informatiei in de conducerea
informatie informa conformitate cu societatii si transmis Implem
i 5.1 tiei DA cerintele afacerii, tuturor angajatilor entat
 legislatia si
reglementarile
aplicabile.

Sa stabileasca un
cadru de
management pentru Stabilirea unei
a initia si a controla ierarhi
implementarea si organizationale ce
functionarea cuprinde rolurile,
Organiz securitatii responsabilitatile si
are informatiei in drepturile Implem
6.1 interna DA organizatie angajatiilor entat

6 Dispozit Sa asigure
Organizar ivele securitatea lucrului Realizarea unei
ea mobile la distanta si a politici de securitate
securitatii si lucru utilizarii a informatiei
informatie la dispozitivelor dedicata accesului la Implem
i 6.2 distanta DA mobile distanta in cadrul entat

7 Realizarea unei
Securitate Sa asigure ca politici de verificare
a angajatii si a angajatilor si de
resurselor contractantii inteleg notificare a acestora
umane responsabilitatile in legatura cu
Inainte care le revin si sunt viitoarele
a adecvati rolurilor responsabilitati si
angajar pentru care sunt reguli in cadrul Implem
7.1 ii DA avuti in vedere societatii entat
7.2 In DA Sa se asigure faptul Organizarea Implem
timpul ca toti angajatii si sesiunilor de entat
perioad contractantii sunt training pentru
ei de constienti de angajati cu scopul
angajar responsabilitatile lor instruirii acestora si
e referitoare la educarii in ceea ce
securitatea inseamna
informatiei si le securitatea
indeplinesc informatiei precum
 si intocmirea
acordurilor de
confidentialitate
pentru angajati,
contractori si terti.
De asemenea acestia
vor fi testati
periodic in vederea
respectarii
politicilor de
securitate.

Intocmirea listei
angajatilor care au
Sa protejeze parasit compania
Incetar interesele precum si a tertilor
ea si organiztatiei in care au renuntat la
schimb timpul procesului de serviciile companiei.
area schimbare sau de Verificarea
locului terminare a restituirii oricarui
de contractului de tip de informatie Implem
7.3 munca DA munca interna. entat

8 Realizarea unui
Manageme scurt training in
ntul prima saptamana
resurselor dupa angajare in
vederea instruirii
Sa identifice utilizarii
resursele responsabile a
Respon organizationale si sa resurselor
sabilitat defineasca companiei.
e responsabilitati de Verificarea
pentru protectie periodica a Implem
8.1 resurse DA corespunzatoare acestora. entat
8.2 Clasific DA Sa asigure faptul ca Restrictionarea si Implem
area informatia monitorizarea entat
informa beneficiaza de un accesului atat in
tiei nivel de protectie in format fizic, cat si
 electronic a
informatiilor.
concordanta cu Logarea fiecarei
importanta ei incercari de a
pentru organizatie accesa informatia.

Sa previna
dezvaluirea
neautorizata,
modificarea,
Manipu eliminearea sau
larea distrugerea
suportu informatiilor stocate
8.3 rilor NU pe suporturi -

9 Cerinte
Controlul de
accesului afaceri Realizarea unui
pentru Sa limiteze accesul registru a tuturor
control la informatii si la angajatilor privind
ul mijloacele de nivelul de securitate
accesul prelucrare a si dispozitivele fizice Implem
9.1 ui DA informatiei in posesie entat
Manage Sa asigure accesul Realizarea unui
mentul autorizat al registru a tuturor
accesul utilizatorului si sa angajatilor privind
ui previna accesul nivelul de securitate
utilizato neautorizat la si dispozitivele fizice Implem
9.2 rului DA sisteme si servicii in posesie entat

Realizarea unui
scurt curs privind
nivelurile de
Respon Sa responsabilizeze securitate din
sabilitat utilizatorii in cadrul companiei si
ile vederea protejarii riscurilor la care se
utilizato informatiei lor de expun in cazul Implem
9.3 rului DA autentificare incalcarii acestora entat

9.4 Control DA Sa previna accesul Realizarea unui Implem

 sistem de
autentificare ce
cuprinde si nivelul
de securitate al
fiecarui utilizator in
ul parte. Accesul la
accesul informatiei
ui la neputand fi facut
sisteme decat prin
si neautorizat la autentificarea
aplicatii sisteme si aplicatii acestuia entat

Realizarea unei
Sa asigure utilizarea politici de
corespunzatoare si securizare a datelor
Mijloac eficienta a transmise in cadrul
e de criptografiei in companiei. Aceasta
control vederea protejarii politica este aplicata
referito confidentialitatii, tuturor angajatilor
10 are la autenticitatii si/sau si verificata de catre
Criptograf criptogr integritatii departamentul IT al Implem
ie 10.1 afie DA informatiei companiei. entat

11 Restrictionarea
Securitate Sa previna accesul zonelor de interes
a fizica si a fizic neautorizat, prin bariere,
mediului distrugerile si scannere retina
de lucru interferarea cu si/sau cartele de
informatiile si acces. Accesul in
mijloacele de zonele cu un risc
Zone de prelucrare a potential crescut
securita informatiei sunt monitorizate Implem
11.1 te DA organizatiei video. entat
11.2 Echipa DA Sa previna Restrictionarea Implem
mente pierderea, zonelor de interes entat
avarierea, furtul sau prin bariere,
compromiterea scannere retina
resurselor si si/sau cartele de
 acces. Accesul in
zonele cu un risc
intreruperea potential crescut
activitatilor din sunt monitorizate
cadrul organizatiei video.

Proced Sa asigure operarea Realizarea unui

uri corecta si in conditii training privind
operati de securitate a procedurile
onale si echipamentelor de operationale si a
respons prelucrare a bunelor practici Implem
12.1 abilitati DA informatiei. existente entat
Protejarea tuturor
masinilor de lucru
cu un sistem anti-
virus, iar in cazul
infectarii aplicarea
procedurii de
Protecti carantinare a
e masinii in cauza.
impotri Toate evenimentele
va Sa asigure protectia interne fiind
malwar integritatii raportate Implem
12.2 e-ului DA aplicatiilor software departamentului IT. entat

Realizarea unui
sistem de backup
intern pentru toate
documentele, fisierel
Copie Sa mentina importante.
de integritatea si Operatiunea de
siguran disponibilitatea salvare va fi Implem
12.3 ta DA informatiei efectuata periodic. entat

Logarea
12 activitatilor
Securitate Inregist Sa asigure realizate pe masinile
a rare si detectarea de lucru ce
operatiunil suprave activitatiilor functioneaza in Implem
or 12.4 ghere DA neautorizate cadrul retelei entat
 interne ale
companiei.

Achizitionarea unui
sistem de verificare
a veridicitatii
Control informatiilor
ul transmise in cadrul
softwar Sa mentina sistemului
e-ului securitatea operational, atat
operati schimbului de intern, cat si spre Implem
12.5 onal DA informatii exterior entat

Realizarea
Manage Sa previna periodica a unui
mentul modificarea, furtul audit de securitate
vulnera informatiilor si remedierea
bilitatil precum si tuturor problemelor
or distrugerea fizica a descoperite in Implem
12.6 tehnice DA echipamentelor cadrul acestuia entat

Stabilirea unei
Conside perioade de testare
ratii a sigurantei
privind sistemului intr-un
auditul Sa minimizeze interval orar ce
sistemel impactul permite acest lucru,
or activitatilor de audit fara a avea un
informa asupra sistemelor impact considerabil
12.7 tionale DA operationale asupra utilizatorilor

13. 13.1 Manage DA Sa asigure protectia Configurarea si Implem

Securitate mentul informațiilor in testarea entat
a securită rețele si in dispozitivelor de tip
comunicati ții mijloacele de firewall. Elaborarea
ilor rețelei prelucrare a unei politici de
informației care le monitorizare a
susțin rețelei si
implementarea unei
rețele de
contingenta în caz
 de atac.
Implementarea unui
sistem de verificare
a veridicității
datelor transmise
(checksum),
validand astfel ca
informația
transmisă nu a fost
modificata pe
parcurs. De
Sa mentina asemenea
securitatea elaborarea unei
informatiei politici ce permite
Transfe transferate in cadrul transferul datelor
rul organizației sau doar prin medii ce
Inform către o entitate folosesc protocoale Implem
13.2 ației DA externă securizate (HTTPS) entat

14. Sa asigure faptul ca

Achiziția, securitatea este
dezvoltare parte ingranta a
a si sistemelor
mentenant Cerinte informationale pe
a de intregul lor ciclu de Utilizarea software-
sistemelor securita viata. Acesta ului licentiat,
te include, de instalarea
pentru asemenea, cerinte programelor
sistemel pentru sisteme antivirus,
e informationale care protejarea si
informa furnizeaza servicii monitorizarea Implem
14.1 tionale DA prin retele publice. retelei entat
14.2 Securit DA Sa asigure faptul ca Utilizarea de Implem
atea in securitatea pachete software entat
procesel informatiei este licentiate destinate
e de implementata in dezvoltarii.
dezvolt cadrul ciclului de Efectuarea de teste
are si viata de dezvoltare a de securitate in
de sistemelor timpul procesului de
 suport informationale. dezvoltare.

Securit
atea
informa Sa asigure
tiei in protejarea
relatie resurselor
cu organizatiei care
furnizo sunt accesate de
15.1 rii NU furnizori
Sa mentina un nivel
Manage al securitatii
mentul informatiei si
livrarii livrarii serviciilor
serviciil agreate, in
15. Relatii or conformitate cu
cu furnizo acordurile cu
furnizorii 15.2 rilor NU furnizorii.

Sa asigure o
abordare
Manage consistenta si
16. mentul eficienta a
Manageme incident managementuluui
ntul elor de incidentelor de
incidentelo securita securitate a
r de te a informatiei, inclusiv
securitate informa comunicarea Intocmirea de
a tiei si al evenimentelor de politici de raspuns
informatie imbuna securitate si a in cazul incidentelor Implem
i 16.1 tatirilor DA slabiciunilor de securitate. entat

17. 17.1 Continu DA Continuitatea Realizarea de back- Implem

Aspecte itatea securitatii up periodic al entat
ale securita informatiei trebuie informatiilor.
securitatii tii inclusa in sistemele Asigurarea
informatie informa organizatiei pentru redundantei
i pentru tiei managementul echipamentelor de
 continuitatii afacerii retea
Realizarea de back-
up periodic al
Sa asigure informatiilor.
manageme disponibilitatea Asigurarea
ntul mijloacelor de redundantei
continuitat Redund prelucrare a echipamentelor de
ii afacerii 17.2 ante DA informatiei retea

Evitarea incalcarii Elaborarea

obligatiilor legale, politicilor si
Confor statuare, de reglementarilor de
mitate reglementare si securitate si
cu contractuale revizuirea si
cerintel referitoare la actualizarea
e legale securitatea acestora de catre o
si informatiei si a persoana
contrac oricaror cerinte de instruita/specializat Implem
18.1 tuale DA securitate a. entat
Verificarea
actualitatii politicii
de securitate a
informatiei in
momentul survenirii
schimbarilor in
cadrul organizatiei.
Sa asigure ca Realizarea unei
securitatea revizii a sistemelor
informatiei este informationale si a
Revizui implementata si modalitatii de
rea aplicata in procesare a
securita conformitate cu informatiilor pentru
18. tii politicile si a asigura ca sunt
Conformit informa procedurile conforme cu politica Implem
ate 18.2 tiei DA organizationale de securitate. entat