Documente Academic
Documente Profesional
Documente Cultură
1. Introducere
Aplicațiile mobile (Android, iOS) sunt gazduite in Google Play Store și App Store de
unde pot fi descărcate de către utilizatori.
Aplicația Web este gazduita pe un server web externalizat pus la dispoziție de către
compania Bluehost.
Aplicația server, cât și bazele de date sunt hostate pe serverele externalizate puse la
dispoziție de către Microsoft Azure Cloud Solutions.
Ramura B2B pune la dispoziție magazinelor cu specific “to go” (cafenele, restaurante,
etc.) o platforma prin care pot vinde produse online ce vor fi ridicate din magazinul fizic
de către client într-un anumit interval orar prestabilit.
Ramura B2C pune la dispozitie utilizatorilor aplicatiei RETGO o platforma prin care pot
accesa magazinele înscrise în aceasta retea. Aceștia pot selecta produse, plăti online și
seta o ora (convenabila lor) de ridicare a produselor.
Deoarece RETGO deservește atât clienți persoane fizice, cat si persoane juridice,
serviciile oferite trebuie sa respecte cele mai înalte standarde de securitate. Serviciile
puse la dispozitie prin platforma online RETGO respecta cele 3 elemente esentiale ale
securității informației: confidențialitatea, integritatea și disponibilitatea.
Mai jos este prezentată schema generală a rețelei organizationale. Organizația are un
singur sediu central (HQ) ceea ce înseamnă ca rețeaua internă nu este separată din
punct de vedere geografic.
Intranet-ul este organizat pe mai multe rețele virtuale (VLAN-uri) pentru a separa
domeniile de activitate și a evita conflictele între departamente. În cadrul organizației
VLAN-urile sunt strict pentru distribuirea fișierelor în cadrul departamentelor.
RETGO nu are o solutie interna pentru găzduirea aplicațiilor web si server, acestea fiind
găzduite cu ajutorul platformei externe Microsoft Azure Cloud Solutions (server) si
Bluehost (web).
Toate resursele digitale ale organizației sunt protejate de către un firewall ce limitează și
monitorizează accesul neautorizat către acestea. Accesul din exterior în rețeaua internă
se poate face doar prin intermediul unui VPN securizat și monitorizat.
Rețeaua internă Wi-Fi este configurată astfel incat accesul se face pe baza unui nume
de utilizator si parole asociate fiecărui angajat în urma solicitării făcute de acesta către
management.
1.2.1 Schema generala de retea a organizatiei
1.3 Organigrama
Scopul
Domeniul de aplicabilitate
Cadrul de reglementare
Implementare
Vom atinge acest nivel ridicat de performanță prin acțiuni specifice pentru: integrarea
strategiei și proceselor de securitate cu planificarea și luarea deciziilor noastre de
afaceri, încheierea parteneriatelor, menținerea standardelor globale de securitate și
stabilirea obiectivelor de securitate în sprijinul întreprinderii și al clienților noștri.
Roluri și Responsabilități
Director General
Operatorii de date
Procedura de parole
Regulile pentru alcătuirea și utilizarea parolei folosite pentru accesul la stațiile de lucru
și la sistemele informatice sunt următoarele:
- Lungimea minima a parolei trebuie sa fie de 8 caractere
- Parola trebuie sa contina minim o majusculă
- Parola trebuie sa contina minim o cifra
- Parola trebuie sa conțină minim un caracter special
- Perioada maximă de valabilitate a parolei este de 90 de zile
- Parola nu poate contine elemente din nume, prenume, anul nașterii
- Parola actualizată la sfarsitul perioadei de valabilitate nu poate contine elemente
ale parolei precedente
În cadrul companiei exista mai multe niveluri de acces. Acestea sunt atribuite tuturor
angajaților în funcție de responsabilitatea fiecăruia în cadrul organizației. Rolul acestora
este de a reduce riscul aparitiei scurgerii de informații. Niveluri de acces în cadrul
companiei sunt următoarele:
- Subcontractor
Nu are acces la informațiile din cadrul companiei. În cazul în care acesta are
nevoie de informații de acest tip trebuie sa se adreseze angajatului responsabil.
- Angajat
- Manager de echipa
Acces la informațiile cu caracter public, intern, și la cele personale, atat ale sale
cât și ale angajaților subordonați. În cazuri deosebite i se poate acorda acces
suplimentar de catre angajatul caruia ii este subordonat.
- Manager Departament
Acces la informațiile cu caracter public, intern, și la cele personale, atat ale sale
cât și ale tuturor angajaților din cadrul departamentului. În cazuri deosebite i se
poate acorda acces suplimentar de catre angajatul caruia ii este subordonat.
- Director
Acces deplin.
6. Managementul riscurilor
Scopul politicii de evaluare și tratare a riscurilor este de a identifica, reduce sau chiar
elimina potențialele riscuri. Totodată aceasta pune la dispoziție un plan rațional pe baza
căruia putem lua decizii în ceea ce privește posibilele riscuri.
Evaluarea și managementul riscurilor este cea mai buna armă împotriva posibilelor
catastrofe ce pot apărea în cadrul proiectului. Avand o evaluare constantă a planului
privind potențiale probleme și dezvoltand strategii pentru a le rezolva putem imbunatatii
șansele de succes în cadrul proiectului.
Domiciliu
utilizator
Birou
companie
Statii de lucru destinate dezvoltarii si Date & Fisiere
Desktopuri mentenantei software-ului Electronice
Birou
Date Electronice companie
Monitoare Periferice
Birou
Date Electronice companie
Birou
Date Electronice companie
Birou
companie
Date Electronice
Imprimanta Periferic si Fizice
Birou
Date Electronice companie
Mouse Periferice
Birou
Date Electronice companie
Keyboard Periferice
Birou
Date Electronice companie
Documente
Documente Documente privind relatiile contractuale Fizice & Desktop
Comerciale cu partenerii Electronice Director
Documente
Fizice & Server
Documente HR Documente privind sitatuia angajatii firmei Electronice Extern
Planuri Documente
dezvoltare Planuri privind businessul firmei pe Fizice & Desktop
departament termen scurt Electronice Director
Documente
Documentatie Documentatie tehnica aferenta produselor Fizice & Arhive/Serv
Tehnica dezvoltate Electronice er
Documente
Documente Fizice & Server
Client Documente privind situatia clientilor Electronice Extern
Active și Documente
Servicii Planuri Fizice & Desktop
Informaționale Strategice Planuri pe termen lung Electronice Director
Resursa umana
Departament
Dezvoltare Programatori, QA, Dev Ops N/A
Departament
Marketing Marketing online si advertising N/A
Departament
Vanzari Vanzarea serviciilor N/A
Departament
Financiar Payroll: Contabili N/A
Departament
Juridic Solutionarea cazurilor juridice si consultanta juridica N/A
Departamentul
IT Mentenanta echipamentelor IT N/A
Discord
Discord Serviciu de comunicare Date Electronice Inc.
Microsoft
Datacenter
Active/Servicii Server (Web,
Externalizate DB) Servere Procesare / Stocare date Date Electronice
Resursă Vulnerabilitati
- Casarea echipamentului fara stergerea
datelor
- Parola slaba
- Harddisk necriptat
Laptopuri - Conectare la Wi-Fi nesecurizat
- Casarea echipamentului fara stergerea
datelor
- Parola slaba
Desktopuri - Harddisk necriptat
Monitoare N/A
- Parola slaba
- Casarea echipamentului fara stergerea
datelor
Telefon mobil - Conectare la Wi-Fi nesecurizat
- Parola slaba
- Casarea echipamentului fara stergerea
datelor
Tableta - Conectare la Wi-Fi nesecurizat
- Configurare necorespunzatoare
Router - Parola slaba
- Configurare necorespunzatoare
Switch - Parola slaba
Keyboard N/A
- Configurare necorespunzatoare
- Buguri si vulnerabilitati software
VPN Solution - Neactualizarea periodica a softwarelui
Resursă Amenintari
- Acces neautorizat
- Alterare neautorizata a
Laptopuri datelor
Desktopuri - Acces neautorizat
- Alterare neautorizata a
HARDWARE datelor
N/A
Monitoare
- Acces neautorizat
- Alterare neautorizata a
Telefon mobil datelor
- Acces neautorizat
- Alterare neautorizata a
Tableta datelor
- Acces neautorizat
Router - Atac DDoS
- Acces neautorizat
- Interceptare si modificare a
Switch pachetelor
TV Conferinte N/A
Mouse N/A
Keyboard N/A
- Exploatarea
SOFTWARE Microsoft Office vulnerabilitatilor software
- Exploatarea
Microsoft Visual Studio vulnerabilitatilor software
- Dezactivarea manuala de
catre utilizator a protectiei
- Dezactivarea actualizarii
Antivirus Solution automate a bazei de date
- Exploatarea
Jenkins vulnerabilitatilor software
- Exploatarea
Postman vulnerabilitatilor software
- Exploatarea
Notepad ++ vulnerabilitatilor software
- Acces neautorizat
Documente Comerciale - Modificare neautorizata
- Acces neautorizat
Arhive - Modificare neautorizata
- Acces neautorizat
Documente HR - Divulgare neautorizata
Planuri dezvoltare
departament - Acces neaturoizat
Active și
Servicii
Informaționale Documente Financiare - Acces neaturoizat
Documentatie Tehnica - Acces neaturoizat
- Acces neaturoizat
Documente Client - Divulgare neautorizata
Evaluarea riscurilor
Probabilitatea
Probabilitate Valoare
Scazuta 1-2
Medie 3-4
Ridicata 5
Impactul
Imapct Valoare
Scazut 1-2
Mediu 3-4
Ridicat 5
Registrul Riscurilor
Valo
area
Probab Imp Risc
Resursă Vulnerabilitati Amenintari ilitate act ului Masuri de control
HARDW - Impunerea unei
ARE politici pentru parolele
angajatiilor
(schimbarea acesteia
la un anumit interval de
timp, impunerea unor
- Casarea criterii minime)
echipamentului - Impunerea criptarii
fara stergerea harddiskurilor
datelor - Limitarea
conectivitatii catre alte
- Parola slaba
retele decat cele
- Harddisk - Acces
aprobate de
necriptat neautorizat departamentul IT
- Conectare la - Alterare - Instalarea unor
Wi-Fi neautorizata a aplicatii de stergere a
Laptopuri nesecurizat datelor 2 5 7 datelor de la distanta
- Impunerea unei
politici pentru parolele
angajatiilor
(schimbarea acesteia
- Casarea la un anumit interval de
timp, impunerea unor
echipamentului
criterii minime)
fara stergerea - Acces
- Impunerea criptarii
datelor neautorizat harddiskurilor
- Parola slaba - Alterare - Instalarea unor
- Harddisk neautorizata a aplicatii de stergere a
Desktopuri necriptat datelor 2 5 7 datelor de la distanta
- Impunerea unei
politici pentru parolele
- Parola slaba angajatiilor
- Casarea - Limitarea aplicatiilor
ce pot fi instalate pe
echipamentului
device-uri aplicand
fara stergerea - Acces
anumite politici de
datelor neautorizat domeniu
- Conectare la - Alterare - Instalarea unor
Wi-Fi neautorizata a aplicatii de stergere a
Tableta nesecurizat datelor 3 5 8 datelor de la distanta
- Configurarea
temeinca a
dispozitivelor
- Acces
- Inchiderea porturilor
- Configurare neautorizat nefolosite sau
necorespunzato - Interceptare restrictionarea celor
are si modificare a folosite pentru
Switch - Parola slaba pachetelor 1 3 4 management
- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
periodica a vulnerabilitatil - Impunerea actualizarii
Microsoft Office softwarelui or software 1 2 3 periodice
- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
Microsoft Visual periodica a vulnerabilitatil - Impunerea actualizarii
Studio softwarelui or software 1 2 3 periodice
- Configurare
necorespunzato - Impunerea actualizarii
are periodice
- Logarea tuturor
- Buguri si
conexiunilor realizate
vulnerabilitati
prin VPN
software - Logarea tipului de
- Neactualizarea date transmis si
periodica a - Acces locatiile din care se
VPN Solution softwarelui neatorizat 2 5 7 face accesul
- Buguri si
vulnerabilitati
software
(producator)
- Neactualizarea - Exploatarea
periodica a vulnerabilitatil - Impunerea actualizarii
Jenkins softwarelui or software 1 1 2 periodice
- Buguri si
vulnerabilitati
software
(producator)
- Impunerea actualizarii
- Extensii
periodice
malitioase - Restrictionarea
- Neactualizarea - Atacuri de tip instalarii extensiilor cu
periodica a Man-In-The- provenienta
Google Chrome softwarelui Browser 1 5 6 necunoscuta
- Buguri si
vulnerabilitati
Oracle VM software - Impunerea actualizarii
Virtual Box (producator) N/A 1 1 2 periodice
- Credentiale
pastrate in clar - Exploatarea - Impunerea folosirii
(API keys, vulnerabilitatil unui KeyVault pentru a
Postman tokens, etc.) or software 2 5 7 stoca datele sensibile
- Buguri si
vulnerabilitati - Exploatarea
software vulnerabilitatil - Impunerea actualizarii
Notepad ++ (producator) or software 1 1 2 periodice
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Acces - Restrictionarea
electronic) neautorizat accesului la aceste
- Acces - Modificare documente pe baza
Arhive neautorizat neautorizata 1 3 4 unui cod / badge
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Acces - Restrictionarea
electronic) neautorizat accesului la aceste
- Acces - Divulgare documente pe baza
Documente HR neautorizat neautorizata 2 3 5 unui cod / badge
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
Planuri electronic) accesului la aceste
dezvoltare - Acces - Acces documente pe baza
departament neautorizat neaturoizat 2 2 4 unui cod / badge
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Documente - Acces - Acces documente pe baza
Financiare neautorizat neaturoizat 1 4 5 unui cod / badge
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Documentatie - Acces - Acces documente pe baza
Tehnica neautorizat neaturoizat 1 1 2 unui cod / badge
- Impunerea utilizarii
unor parole pentru
- Nesecurizate
documentele
cu parola (daca
electronice
sunt in format - Restrictionarea
electronic) accesului la aceste
Planuri - Acces - Acces documente pe baza
Strategice neautorizat neautorizat 2 5 7 unui cod / badge
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Resurse Umane - Rea vointa ransomware 4 4 8 catre departamentul IT
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Suport clienti - Rea vointa ransomware 4 3 7 catre departamentul IT
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Vanzari - Rea vointa ransomware 3 3 6 catre departamentul IT
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Financiar - Rea vointa ransomware 3 4 7 catre departamentul IT
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departament neadecvata phising, raporteze incidentele
Juridic - Rea vointa ransomware 3 3 6 catre departamentul IT
- Instruirea angajatilor
pentru depistarea
- Accesare semnelor unui atac de
tip phishing
linkuri
- Activarea filtrelor
malitioase
spam
- Instruirea in - Incurajarea
securitatea - Atacuri de tip angajatilor sa
Departamentul neadecvata phising, raporteze incidentele
IT - Rea vointa ransomware 1 5 6 catre departamentul IT
- Dotarea unitatii cu un
sistem de control
Alte - Acces - Acces acces ce utilizeaza
active Birou neautorizat neautorizat 2 2 4 cartele de proximitate
Sa stabileasca un
cadru de
management pentru Stabilirea unei
a initia si a controla ierarhi
implementarea si organizationale ce
functionarea cuprinde rolurile,
Organiz securitatii responsabilitatile si
are informatiei in drepturile Implem
6.1 interna DA organizatie angajatiilor entat
6 Dispozit Sa asigure
Organizar ivele securitatea lucrului Realizarea unei
ea mobile la distanta si a politici de securitate
securitatii si lucru utilizarii a informatiei
informatie la dispozitivelor dedicata accesului la Implem
i 6.2 distanta DA mobile distanta in cadrul entat
7 Realizarea unei
Securitate Sa asigure ca politici de verificare
a angajatii si a angajatilor si de
resurselor contractantii inteleg notificare a acestora
umane responsabilitatile in legatura cu
Inainte care le revin si sunt viitoarele
a adecvati rolurilor responsabilitati si
angajar pentru care sunt reguli in cadrul Implem
7.1 ii DA avuti in vedere societatii entat
7.2 In DA Sa se asigure faptul Organizarea Implem
timpul ca toti angajatii si sesiunilor de entat
perioad contractantii sunt training pentru
ei de constienti de angajati cu scopul
angajar responsabilitatile lor instruirii acestora si
e referitoare la educarii in ceea ce
securitatea inseamna
informatiei si le securitatea
indeplinesc informatiei precum
si intocmirea
acordurilor de
confidentialitate
pentru angajati,
contractori si terti.
De asemenea acestia
vor fi testati
periodic in vederea
respectarii
politicilor de
securitate.
Intocmirea listei
angajatilor care au
Sa protejeze parasit compania
Incetar interesele precum si a tertilor
ea si organiztatiei in care au renuntat la
schimb timpul procesului de serviciile companiei.
area schimbare sau de Verificarea
locului terminare a restituirii oricarui
de contractului de tip de informatie Implem
7.3 munca DA munca interna. entat
8 Realizarea unui
Manageme scurt training in
ntul prima saptamana
resurselor dupa angajare in
vederea instruirii
Sa identifice utilizarii
resursele responsabile a
Respon organizationale si sa resurselor
sabilitat defineasca companiei.
e responsabilitati de Verificarea
pentru protectie periodica a Implem
8.1 resurse DA corespunzatoare acestora. entat
8.2 Clasific DA Sa asigure faptul ca Restrictionarea si Implem
area informatia monitorizarea entat
informa beneficiaza de un accesului atat in
tiei nivel de protectie in format fizic, cat si
electronic a
informatiilor.
concordanta cu Logarea fiecarei
importanta ei incercari de a
pentru organizatie accesa informatia.
Sa previna
dezvaluirea
neautorizata,
modificarea,
Manipu eliminearea sau
larea distrugerea
suportu informatiilor stocate
8.3 rilor NU pe suporturi -
9 Cerinte
Controlul de
accesului afaceri Realizarea unui
pentru Sa limiteze accesul registru a tuturor
control la informatii si la angajatilor privind
ul mijloacele de nivelul de securitate
accesul prelucrare a si dispozitivele fizice Implem
9.1 ui DA informatiei in posesie entat
Manage Sa asigure accesul Realizarea unui
mentul autorizat al registru a tuturor
accesul utilizatorului si sa angajatilor privind
ui previna accesul nivelul de securitate
utilizato neautorizat la si dispozitivele fizice Implem
9.2 rului DA sisteme si servicii in posesie entat
Realizarea unui
scurt curs privind
nivelurile de
Respon Sa responsabilizeze securitate din
sabilitat utilizatorii in cadrul companiei si
ile vederea protejarii riscurilor la care se
utilizato informatiei lor de expun in cazul Implem
9.3 rului DA autentificare incalcarii acestora entat
Realizarea unei
Sa asigure utilizarea politici de
corespunzatoare si securizare a datelor
Mijloac eficienta a transmise in cadrul
e de criptografiei in companiei. Aceasta
control vederea protejarii politica este aplicata
referito confidentialitatii, tuturor angajatilor
10 are la autenticitatii si/sau si verificata de catre
Criptograf criptogr integritatii departamentul IT al Implem
ie 10.1 afie DA informatiei companiei. entat
11 Restrictionarea
Securitate Sa previna accesul zonelor de interes
a fizica si a fizic neautorizat, prin bariere,
mediului distrugerile si scannere retina
de lucru interferarea cu si/sau cartele de
informatiile si acces. Accesul in
mijloacele de zonele cu un risc
Zone de prelucrare a potential crescut
securita informatiei sunt monitorizate Implem
11.1 te DA organizatiei video. entat
11.2 Echipa DA Sa previna Restrictionarea Implem
mente pierderea, zonelor de interes entat
avarierea, furtul sau prin bariere,
compromiterea scannere retina
resurselor si si/sau cartele de
acces. Accesul in
zonele cu un risc
intreruperea potential crescut
activitatilor din sunt monitorizate
cadrul organizatiei video.
Realizarea unui
sistem de backup
intern pentru toate
documentele, fisierel
Copie Sa mentina importante.
de integritatea si Operatiunea de
siguran disponibilitatea salvare va fi Implem
12.3 ta DA informatiei efectuata periodic. entat
Logarea
12 activitatilor
Securitate Inregist Sa asigure realizate pe masinile
a rare si detectarea de lucru ce
operatiunil suprave activitatiilor functioneaza in Implem
or 12.4 ghere DA neautorizate cadrul retelei entat
interne ale
companiei.
Achizitionarea unui
sistem de verificare
a veridicitatii
Control informatiilor
ul transmise in cadrul
softwar Sa mentina sistemului
e-ului securitatea operational, atat
operati schimbului de intern, cat si spre Implem
12.5 onal DA informatii exterior entat
Realizarea
Manage Sa previna periodica a unui
mentul modificarea, furtul audit de securitate
vulnera informatiilor si remedierea
bilitatil precum si tuturor problemelor
or distrugerea fizica a descoperite in Implem
12.6 tehnice DA echipamentelor cadrul acestuia entat
Stabilirea unei
Conside perioade de testare
ratii a sigurantei
privind sistemului intr-un
auditul Sa minimizeze interval orar ce
sistemel impactul permite acest lucru,
or activitatilor de audit fara a avea un
informa asupra sistemelor impact considerabil
12.7 tionale DA operationale asupra utilizatorilor
Securit
atea
informa Sa asigure
tiei in protejarea
relatie resurselor
cu organizatiei care
furnizo sunt accesate de
15.1 rii NU furnizori
Sa mentina un nivel
Manage al securitatii
mentul informatiei si
livrarii livrarii serviciilor
serviciil agreate, in
15. Relatii or conformitate cu
cu furnizo acordurile cu
furnizorii 15.2 rilor NU furnizorii.
Sa asigure o
abordare
Manage consistenta si
16. mentul eficienta a
Manageme incident managementuluui
ntul elor de incidentelor de
incidentelo securita securitate a
r de te a informatiei, inclusiv
securitate informa comunicarea Intocmirea de
a tiei si al evenimentelor de politici de raspuns
informatie imbuna securitate si a in cazul incidentelor Implem
i 16.1 tatirilor DA slabiciunilor de securitate. entat