Iso 17799romana

SR ISO/CEI 17799:2004
Introducere
Ce este securitatea informaţiei?
Informaţia este o valoare care, asemănător altor valori importante ale afacerii are o importanţă deosebită
pentru organizaţie şi, în consecinţă, necesită o protecţie adecvată. Securitatea informaţiei protejează
informaţia de o gamă largă de ameninţări pentru a se putea asigura continuitatea afacerii, pentru a
minimiza pierderile şi a maximiza recuperarea investiţiei şi a şanselor afacerii.
Informaţia poate exista sub diferite forme. Ea poate fi tipărită sau scrisă pe hârtie, stocată electronic,
transmisă prin poştă sau prin echipamente electronice, prezentată pe filme, sau comunicată în cadrul
unor conversaţii. Orice formă ar avea informaţia, sau orice metode de stocare ar fi folosite, ea trebuie
întotdeauna sa fie protejată corespunzător.
în acest context, securitatea informaţiei este caracterizată ca fiind cea care asigură şi menţine
următoarele:
a)confidenţialitatea: asigurarea faptului că informaţia este accesibilă numai celor autorizaţi să aibă
acces;
b)integritatea: păstrarea acurateţei şi completitudinii informaţiei precum şi a metodelor de

procesare;
c)disponibilitatea: asigurarea faptului că utilizatorii autorizaţi au acces la informaţie şi la resursele

asociate atunci când este necesar.
Securitatea informaţiei este obţinută prin implementarea unui set adecvat de controale, care pot fi politici,
practici, proceduri, structuri organizaţionale şi funcţii software. Aceste controale trebuie implementate în
măsura în care se asigură atingerea obiectivelor specifice de securitate ale organizaţiei.
De ce este necesară securitatea informaţiei?
Informaţia şi procesele de susţinere, sistemele şi reţelele sunt valori importante ale afacerii.
Confidenţialitatea, integritatea şi disponibilitatea informaţiei pot fi esenţiale pentru menţinerea
competitivităţii, a profitabilităţii şi a cash-flow-ului, precum şi a legalităţii şi a imaginii comerciale.
Organizaţiile, sistemele şi reţelele lor de informaţii se confruntă din ce în ce mai mult cu ameninţări ale
securităţii care provin din partea multor surse, printre care se pot enumera: fraudă prin intermediul
calculatoarelor, spionaj, sabotaj, vandalism, incendiu sau inundaţie. Sursele de distrugere cum ar fi viruşii
calculatoarelor, hacking şi atacuri de tipul indisponibilitatea serviciului au devenit mai frecvente, mai
ambiţioase şi din ce în ce mai sofisticate.
Dependenţa organizaţiilor de sistemele şi serviciile informatice le face să fie mult mai vulnerabile la
ameninţările privind securitatea informaţiei. Interconectarea reţelelor publice cu cele private şi folosirea
comună a resurselor informaţionale creşte dificultatea de a obţine un control adecvat al accesului.
Tendinţa de a folosi sisteme distribuite de calcul a diminuat eficacitatea unui control centralizat şi
specializat.
Proiectarea multor sisteme informatice s-a făcut fără să se asigure securizarea acestora. Securitatea
care poate fi obţinută prin metode tehnice este limitată şi ar trebui să fie susţinută de un management şi
proceduri adecvate. Identificarea controalelor care ar trebui să fie implementate cere o planificare atentă
şi atenţie la detalii. O cerinţă minimală pentru asigurarea managementului securităţii informaţiei o
reprezintă participarea tuturor angajaţilor organizaţiei. De asemenea, poate fi necesară şi participarea
furnizorilor, a clienţilor sau a acţionarilor. De asemenea pot fi necesare şi servicii de consultanţă
specializată din afara organizaţiei.
ix
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Projeot Software
SR ISO/CEI 17799:2004
Controalele de securitate a informaţiei sunt considerabil mai ieftine şi mai eficiente dacă sunt incluse în
faza de stabilire a specificaţiilor şi în faza de proiectare.
Cum se stabilesc cerinţele de securitate
Este esenţial ca o organizaţie să îşi identifice propriile cerinţe de securitate. Există trei surse principale.
Prima sursă provine din evaluarea riscurilor la care este expusă organizaţia. Prin evaluarea riscurilor se
identifică ameninţările asupra resurselor, se evaluează vulnerabilitatea la aceste ameninţări şi
probabilitatea de producere a lor şi se estimează impactul potenţial.
A doua sursă o reprezintă cerinţele legale, statutare, reglementările şi cerinţele contractuale pe care o
organizaţie, partenerii săi comerciali, contractorii şi furnizorii săi de servicii trebuie să le respecte.
A treia sursă o constituie setul specific de principii, obiective şi cerinţe pentru procesarea informaţiei, pe care
organizaţia le dezvoltă pentru a-şi susţine activităţile.
Evaluarea riscurilor de securitate
Cerinţele de securitate sunt identificate printr-o evaluare metodică a riscurilor de securitate. Este
necesară efectuarea cheltuielilor pentru controalele de securitate proporţional cu daunele care ar putea
rezulta în urma problemelor de securitate. Tehnicile de evaluare a riscurilor pot fi aplicate întregii
organizaţii, sau doar unor părţi ale ei, precum şi sistemelor informatice individuale, componentelor sau
serviciilor specifice sistemului acolo unde acest lucru este realizabil, realist şi util.
Evaluarea riscului reprezintă o abordare sistematică a:
a)daunelor care ar putea rezulta datorită unei breşe de securitate, luând în considerare
consecinţele potenţiale ale pierderii confidenţialităţii, integrităţii sau disponibilităţii informaţiei
precum şi a altor valori;
b)probabilitatea reală ca un astfel eveniment de securitate să se producă, în condiţiile apariţiei

ameninţărilor, a existentei vulnerabilităţilor, precum şi a controalelor de securitate, implementate
la momentul respectiv.
Rezultatul acestei evaluări va ajuta la indicarea şi determinarea acţiunilor de management potrivite

precum şi a priorităţilor necesare managementului riscurilor de securitate a informaţiei precum şi la
implementarea controalelor selectate in scopul asigurării protecţiei împotriva acestor riscuri. Poate fi
necesară evaluarea riscurilor şi selectarea controalelor de mai multe ori pentru diferite părţi ale
organizaţiei sau sisteme informaţionale individuale.
Este importantă realizarea de analize periodice ale riscurilor de securitate precum şi a controalelor
implementate pentru:
a)a ţine seama de schimbările care pot apărea ca urmare a cerinţelor afacerii precum şi a
priorităţilor acesteia;
b)a lua in considerare noile ameninţări şi vulnerabilităţi;
c)a se confirma păstrarea eficacităţii şi selectării controalelor de securitate implementate.
Analizele trebuie să fie realizate pe diferite niveluri de detaliere în funcţie de rezultatele evaluărilor
precedente şi de modificarea nivelurilor de risc pe care managementul este pregătit să le accepte.
Evaluarea riscurilor este adesea realizată într-o primă etapă la nivelul cel mai înalt, în scopul acordării de
prioritate resurselor în zonele cu risc mare şi apoi la un nivel mai detaliat, pentru riscurile specifice.
os
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Selectarea controalelor
Odată identificate cerinţele de securitate, pentru a se asigura că riscurile sunt reduse la un nivel
acceptabil trebuie selectate şi implementate controale de securitate. Controalele pot fi selectate din acest
document sau din alte liste ce conţin controale sau pot fi proiectate controale noi care să îndeplinească
cerinţe specifice in mod adecvat. Există diverse metode de administrare a riscurilor şi acest document
oferă exemple de abordări frecvent utilizate. Totuşi, este necesar să fie recunoscut faptul că unele
controale nu sunt aplicabile oricărui sistem sau mediu informatic şi pot să nu fie adecvate pentru toate
organizaţiile. De exemplu, 8.1.4. descrie modul în care pot fi separate activităţile pentru a preveni frauda
şi erorile. Pentru organizaţiile mai mici separarea tuturor activităţilor nu este întotdeauna posibilă; de
aceea pot fi necesare alte metode pentru obţinerea aceloraşi obiective de control. Alt exemplu, 9.7 şi 12.1
descriu cum poate fi monitorizat sistemul de securitate, precum şi modul în care sunt colectate dovezile şi
probele. Măsurile de control menţionate, ca de exemplu jurnalizarea evenimentelor, pot intra în conflict cu
legislaţia în vigoare, cum ar fi asigurarea protecţiei persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date şi protecţia vieţii private în sectorul telecomunicaţiilor.
Selectarea controalelor se bazează pe costul implementării lor, corelat cu reducerea riscurilor prin
aplicarea acestor controale şi a pierderilor potenţiale ce pot rezulta în cazul apariţiei unei breşe de
securitate. De asemenea, trebuie luaţi în considerare chiar şi factori nefinanciari, cum ar fi pierderea
reputaţiei.
Unele dintre controalele din acest document pot fi considerate linii directoare pentru managementul
securităţii informaţiei. Ele se pot aplica pentru majoritatea organizaţiilor. Ele sunt explicate în continuare
sub titlul „Punctul de pornire pentru securitatea informaţiei".
Punct de pornire pentru securitatea informaţiei
Un număr de controale pot fi considerate drept linii directoare care oferă un bun punct de pornire pentru
implementarea securităţii informaţiei. Controalele se bazează fie pe cerinţe esenţiale ce decurg din
legislaţie, fie sunt considerate cea mai bună practică pentru securitatea informaţiei.
Controalele considerate a fi esenţiale pentru o organizaţie din punct de vedere legislativ sunt:
a)protecţia datelor şi păstrarea secretului informaţiilor cu caracter personal (a se vedea 12.1.4);
b)păstrarea înregistrărilor organizaţiei (a se vedea 12.1.3);
c)drepturile asupra proprietăţii intelectuale (a se vedea 12.1.2);
Controalele considerate a fi cea mai utilizată bună practică pentru securitatea informaţiei sunt:
a) documentul în care este prezentată Politica de Securitate a Informaţiei (a se vedea 3.1);
b)alocarea responsabilităţilor în domeniul securităţii informaţiei (a se vedea 4.1.3);
c)cursurile de instruire şi educare în domeniul securităţii informaţiei (a se vedea 6.2.1);
d)raportarea incidentelor de securitate (a se vedea 6.3.1);
e)managementul asigurării continuităţii afacerii (a se vedea 11.1).
Aceste controale se pot aplica în majoritatea organizaţiilor şi în majoritatea mediilor. Ar trebui notat că,
deşi toate controalele din acest document sunt importante, relevanţa fiecărui control trebuie determinată
în lumina riscurilor specifice cu care se confruntă fiecare organizaţie. De aceea, deşi abordarea de mai
sus este considerată ca fiind un punct bun de plecare, ea nu înlocuieşte selectarea controalelor bazată
pe o evaluare a riscului.
xi
SR ISO/CEI 17799:2004
Factori critici de succes
Experienţa a arătat că pentru reuşita implementării unui sistem de securitate a informaţiei în cadrul unei
organizaţii următorii factori sunt adesea critici:
a)politica de securitate, obiectivele şi activităţile care să reflecte obiectivele afacerii;
b)o abordare a implementării securităţii care să fie corespunzătoare culturii organizaţiei;
c)o susţinere şi un angajament vizibile din partea managementului;
d)o bună înţelegere a cerinţelor de securitate, a evaluării riscului şi a managementului riscului;
e)un marketing eficace al securităţii pentru toţi angajaţii şi pentru conducere;
f)distribuirea îndrumărilor privind politica şi standardele de securitate a informaţiei către toţi angajaţii
şi colaboratorii;
g)oferirea unei instruiri adecvate;
h) un sistem de măsurare cuprinzător şi echilibrat care să fie folosit pentru evaluarea performanţei în
managementul securităţii informaţiei precum şi pentru elaborarea sugestiilor de îmbunătăţire a
sistemului de management al securităţii informaţiei.
Dezvoltarea propriilor linii directoare
Acest cod de practică poate fi privit ca punct de pornire pentru dezvoltarea unui set de linii directoare
specific organizaţiei. Nu toate îndrumările şi controalele din acest cod de practică pot fi aplicabile. Mai mult,
pot fi necesare controale suplimentare ce nu sunt incluse în acest document. Dacă se întâmplă acest
lucru, poate fi util să se păstreze referirile la aceste pasaje pentru a uşura verificarea conformităţii de către
auditori sau parteneri de afaceri.
xii
SR ISO/CEI 17799:2004
Tehnologia informaţiei - Cod de practică pentru managementul securităţii

informaţiei
1 Domeniu
Acest standard oferă recomandări pentru managementului securităţii informaţiei celor care sunt
responsabili de iniţierea, implementarea sau menţinerea securităţii în organizaţia lor. Se intenţionează
asigurarea unui cadru comun pentru dezvoltarea standardelor organizaţionale de securitate şi a unei
practici eficace de management al securităţii informaţiei, precum şi furnizarea de încredere în relaţiile
dintre organizaţii. Recomandările din acest standard trebuie alese şi folosite în conformitate cu legile şi
regulamentele aplicabile.
2 Termeni şi definiţii
In scopul înţelegerii domeniului acestui document, se aplică următorii termeni:
2.1 Securitatea informaţiei
Păstrarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei.
- Confidenţialitate
Asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă acces,
- Integritate
Păstrarea acurateţei şi completitudinii informaţiilor, precum şi a metodelor de procesare.
- Disponibilitate
Asigurarea faptului că utilizatorii autorizaţi au acces la informaţie, precum şi la resursele
asociate, atunci când este necesar.
2.2 Evaluarea riscului
Evaluarea ameninţărilor referitoare la informaţie, a impactului asupra acesteia, a vulnerabilităţilor

informaţiei şi a echipamentelor de procesare a informaţiei, precum şi a probabilităţii de apariţie a
acestora.
2.3 Managementul riscului
Proces de identificare, control şi de minimizare sau eliminare a riscurilor de securitate care pot afecta
sistemele informaţionale, la un cost acceptabil.
3 Politica de securitate
3.1 Politica de securitate a informaţiei
Obiectiv: Determină direcţia şi suportul managementului pentru securitatea informaţiei
Managementul trebuie să stabilească o direcţie clară a politicii de securitate şi să demonstreze

susţinerea şi angajamentul său pentru securitatea informaţiei, prin emiterea şi menţinerea politicii de
securitate a informaţiei în cadrul organizaţiei.
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO 8. Blue Project Software
SR ISO/CEI 17799:2004
3.1.1 Documentul prin care se specifică politica de securitate a informaţiei
Un document referitor la politică care trebuie aprobat de către managementul organizaţiei, publicat şi
comunicat, pe înţelesul tuturor angajaţilor. Documentul trebuie să conţină angajamentul managementului
pentru securitatea informaţiei şi să precizeze modul în care organizaţia abordează managementul
securităţii informaţiei. Documentul va include cel puţin următoarele îndrumări:
a)o definiţie a securităţii informaţiei, scopul şi obiectivele generale şi importanţa securităţii

informaţiei ca mecanism de autorizare a accesului la informaţie (a se vedea introducerea,);
b)o declaraţie de intenţie a managementului organizaţiei care să sprijine obiectivele şi principiile

securităţii informaţiei;
c)o scurtă explicare a politicilor de securitate, a principiilor, a standardelor şi a cerinţelor de

conformitate de o importanţă deosebită pentru organizaţie, ca de exemplu:
1)conformitatea cu cerinţe legislative şi contractuale;

2)cerinţele de instruire pentru securitatea informaţiei;
3)prevenirea şi detectarea viruşilor şi a altui software maliţiosN1);
4)managementul pentru asigurarea continuităţii afacerii;
5)consecinţele încălcărilor politicii de securitate;
d)o definiţie a responsabilităţilor generale şi specifice în realizarea managementului securităţii

informaţiei, incluzând raportarea incidentelor de securitate;
e)trimiteri la documentaţii care vor susţine politica de securitate, ca de exemplu politici de securitate
mai detaliate şi proceduri pentru sisteme informatice specifice sau reguli de securitate pe care
utilizatorii trebuie să le respecte.
Această politică trebuie comunicată utilizatorilor din cadrul întregii organizaţii, într-o formă relevantă,
accesibilă şi inteligibilă pentru cei cărora li se adresează.
3.1.2 Revizuire şi evaluare
Politica va avea un proprietar responsabil pentru menţinerea şi revizuirea ei, în baza unui proces de
revizuire clar definit. Acest proces va trebui să asigure revizuirea politicii de securitate ca răspuns la
apariţia oricărei modificări care afectează bazele iniţiale de evaluare a riscului, cum ar fi incidente de
securitate semnificative, noi vulnerabilităţi sau modificări în infrastructura organizaţională sau tehnică.
Trebuie programate, de asemenea, analize periodice ale următoarelor:
a)eficacitatea politicii, demonstrată de natura, numărul şi impactul incidentelor de securitate

înregistrate;
b)costul şi impactul controalelor asupra eficienţei afacerii;
c)efectele modificărilor de tehnologie.
N1)
NOTĂ NAŢIONALĂ - malicious software:-software care poate strica sau altera date şi programe sau un sistem fără
permisia şi anunţarea utilizatorului
Pagina extrasa din aplicaţia Standard FullTextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
4 Securitate organizaţională
4.1 Infrastructura securităţii informaţiei
Obiectiv. Asigurarea managementului securităţii informaţiei în cadrul organizaţiei.
Va trebui stabilit cadrul de management pentru iniţierea şi controlul implementării securităţii informaţiei în
cadrul organizaţiei.
Vor fi numite comisii de management sub conducere managerială care să aprobe politica de securitate a
informaţiei, să atribuie rolurile în domeniul securităţii şi să coordoneze implementarea securităţii în
cadrul organizaţiei. Dacă este necesar, va trebui asigurată o sursă de consultanţă specializată în
domeniul securităţii informaţiei care să fie la dispoziţia organizaţiei. Vor fi dezvoltate legături cu
specialiştii externi în securitate pentru a se ţine pasul cu tendinţele industriei, pentru monitorizarea
standardelor şi a metodelor de evaluare şi pentru a avea puncte de contact adecvate în cazul în care
organizaţia se confruntă cu incidente de securitate. Va fi încurajată o abordare multidisciplinară a
securităţii informaţiei, implicând cooperarea şi colaborarea managerilor, a utilizatorilor, a
administratorilor, a proiectanţilor de aplicaţii, auditorilor şi personalului de securitate, precum şi
dezvoltarea de competenţe specializate în domenii cum ar fi: asigurări şi managementul riscului.
4.1.1 Comisie pentru managementul securităţii informaţiei
Securitatea informaţiei este o responsabilitate care revine tuturor membrilor echipei manageriale. De
aceea, va trebui luată în considerare crearea unui comisii de management care să asigure existenţa unei
direcţii clare şi a unei susţineri vizibile din partea managementului organizaţiei pentru iniţiativele de
securitate. Această comisie va trebui să promoveze securitatea în cadrul organizaţiei printr-un
angajament corespunzător şi resurse adecvate. Comitetul poate fi parte a unui organism de management
deja existent. De obicei, o astfel de comisie are următoarele obligaţii:
a)analiza şi aprobarea politicii de securitate a informaţiei şi a responsabilităţilor generale;
b)monitorizarea schimbărilor semnificative în expunerea resurselor sistemului informaţional unor

ameninţări majore;
c)analiza şi monitorizarea incidentelor de securitate a informaţiei;
d)aprobarea iniţiativelor majore care au drept scop sporirea securităţii informaţiei.
Un singur manager trebuie să fie responsabil pentru toate activităţile referitoare la securitatea informaţiei.
4.1.2 Coordonarea securităţii informaţiei
într-o organizaţie mare, poate fi necesară existenţa unei comisii multifuncţionale a reprezentanţilor
managementului din zone importante ale organizaţiei care să coordoneze implementarea controalelor de
securitate a informaţiei. în mod obişnuit, un astfel de forum :
a)aprobă rolurile şi responsabilităţile specifice privind securitatea informaţiei în cadrul organizaţiei;
b)aprobă metodologiile şi procesele specifice privind securitatea informaţiei, cum ar fi evaluarea

riscului, sistemul de clasificare pentru securitate;
c)aprobă şi sprijină iniţiativele privind securitatea informaţiei în cadrul întregii organizaţii, cum ar fi
un program de conştientizare, atenţionare şi familiarizare cu domeniul de securitate;
d)se asigură de faptul că securitatea este parte a procesului de planificare a informaţiei;
SR ISO/CEI 17799:2004
e)evaluează aplicabilitatea şi coordonează implementarea controalelor specifice de securitate a

informaţiei pentru noile sisteme sau servicii;
f)analizează incidentele de securitate a informaţiei;
g)promovează un sprijin vizibil din partea conducerii privind securitatea informaţiei în cadrul întregii
organizaţii.
4.1.3 Alocarea responsabilităţilor privind securitatea informaţiei
Responsabilităţile privind protejarea fiecărei resurse şi derularea proceselor specifice de securitate

trebuie să fie clar definite.
Politica de securitate a informaţiei (a se vedea articolul 3) trebuie să ofere o îndrumare generală privind
alocarea rolurilor şi responsabilităţilor de securitate în cadrul organizaţiei. Aceasta trebuie suplimentată,
acolo unde este necesar, cu îndrumări mai detaliate pentru locaţii, sisteme şi servicii specifice.
Responsabilităţile locale privind resursele fizice individuale şi resursele informaţionale ale sistemului şi
procesele de securitate, ca de exemplu procesul de planificare al continuităţii afacerii, trebuie să fie clar
definite.
în multe organizaţii este desemnat un manager de securitate al informaţiei, care să preia în totalitate
responsabilitatea dezvoltării şi implementării securităţii şi care să sprijine identificarea controalelor.
Cu toate acestea, responsabilitatea privind asigurarea resurselor şi implementarea controalelor va

rămâne deseori în sarcina fiecărui manager. O practică uzitată este aceea de a desemna un proprietar
pentru fiecare resursă a sistemului informaţional, care să devină apoi responsabil pentru securitatea de zi cu
zi a acesteia.
Proprietarii resurselor sistemului informaţional îşi pot delega responsabilităţile de securitate către
manageri sau furnizori de servicii. Totuşi, proprietarul rămâne în ultimă instanţă responsabil pentru
securitatea resursei respective şi trebuie să fie capabil de a stabili atribuirea corectă a oricărei
responsabilităţi.
Este esenţial să fie desemnate în mod clar domeniile pentru care fiecare manager este responsabil; în
particular putând avea loc următoarele situaţii în care:
a)trebuie identificate şi definite în mod clar diverse resurse şi procese de securitate asociate
fiecărui sistem în parte;
b)trebuie numit managerul responsabil pentru fiecare resursă sau proces de securitate, şi
responsabilităţile sale trebuie documentate în detaliu;
c) nivelurile de autorizare trebuie clar definite şi documentate.
4.1.4 Procesul de autorizare pentru echipamentele de procesare a informaţiei
Trebuie stabilit un proces managerial de autorizare pentru noile echipamente de procesare a informaţiei.
Trebuie considerate următoarele controale:
a)noile echipamente trebuie să primească o aprobare adecvată din partea managementului, care
să autorizeze destinaţia şi modul de utilizare al acestora. Trebuie să se obţină şi aprobarea
managerului responsabil pentru menţinerea mediului local de securitate a sistemului
informaţional, pentru a se asigura faptul că toate politicile şi cerinţele relevante de securitate sunt
îndeplinite;
b)acolo unde este necesar, va trebui verificat hardware-ul şi software-ul pentru a se asigura
compatibilitatea lor cu alte componente ale sistemului;
SR ISO/CEI 17799:2004
NOTĂ - Pentru anumite conexiuni, poate fi necesară o autorizare specifică.
c)trebuie autorizate utilizarea echipamentelor personale pentru prelucrarea informaţiilor organizaţiei,

precum şi controalele de securitate necesare;
d)Folosirea echipamentelor personale de procesare a informaţiilor la locul de muncă poate produce

noi vulnerabilităţi şi, de aceea folosirea acestora trebuie evaluată şi autorizată.
Aceste controale sunt importante în special în cazul reţelelor.
4.1.5 Consultanţă de specialitate în securitatea informaţiei
Este foarte probabil ca multe organizaţii să aibă nevoie de consultantă din partea unui specialist în
securitate. în mod ideal, această consultanţă trebuie să fie oferită de către un specialist experimentat în
securitatea informaţiei chiar din cadrul organizaţiei. însă nu toate organizaţiile doresc să angajeze un
consilier specialist. în astfel de cazuri, se recomandă identificarea unei persoane, pentru a se asigura
consistenţă în coordonarea cunoştinţelor şi experienţei din cadrul organizaţiei şi pentru a oferi ajutor în
luarea deciziilor privind securitatea informaţiei. Aceste persoane trebuie să aibă acces la o consultanţă
adecvată din exterior, pentru a putea oferi la rândul lor consultanţă specializată, în afara propriei
experienţe.
Consultanţii în domeniul securităţii informaţiei sau persoane de contact similare trebuie să aibă în sarcină
consultanţa în legătură cu toate aspectele securităţii informaţiei, folosind fie propriile cunoştinţe, fie
cunoştinţe din afara organizaţiei. Calitatea evaluărilor făcute de către consultanţi cu privire la ameninţările
de securitate şi sfaturile acestora cu privire la controale vor determina eficienţa sistemului de securitate a
informaţiei din cadrul organizaţiei. Pentru o eficienţă şi un impact maxim, ei trebuie să aibă acces direct la
managementul din cadrul întregii organizaţii.
Consultantul în domeniul securităţii informaţiei sau persoane similare de contact trebuie consultate într-un
stadiu cât mai incipient, imediat după suspectarea apariţiei unui incident sau violări de securitate, pentru
a oferi o sursă de îndrumare sau investigare competentă. Deşi majoritatea investigaţiilor interne privind
securitatea vor fi făcute, în mod normal, sub controlul managementului, consultantul în domeniul
securităţii informaţiei poate fi solicitat pentru a oferi consultanţă, pentru a conduce sau pentru a dirija
investigaţia.
4.1.6 Cooperare între organizaţii
Trebuie menţinute contacte adecvate cu autorităţile legale, cu organismele de reglementare, cu furnizorii

de servicii informaţionale şi cu operatorii de telecomunicaţii, pentru a se asigura faptul că, în
eventualitatea apariţiei unui incident de securitate, va putea fi luată rapid cea mai potrivită măsură şi că
se va putea obţine rapid consultanţă. în mod similar, trebuie luat în considerare şi parteneriatul cu grupuri
de securitate sau cu organizaţii din industrie.
Schimburile de informaţii privind securitatea vor trebui restricţionate, pentru a asigura faptul că informaţiile
confidenţiale ale unei organizaţii nu sunt divulgate către persoane neautorizate.
4.1.7 Analiză independentă a securităţii informaţiei
Documentul de politică a securităţii informaţiei (a se vedea 3.1) stabileşte politica şi responsabilităţile

privind securitatea informaţiei. Implementarea politicii va trebui analizată în mod independent, pentru a
oferi siguranţa că practicile organizaţiei reflectă în mod corect această politică şi că aceasta este fezabilă
şi eficientă (a se vedea 12.2).
O astfel de analiză se poate efectua de către serviciul de auditare intern, de un manager independent sau
de către un organism de terţă parte, specializat în astfel de analize, toţi cei menţionaţi trebuind să aibă
pregătire şi experienţă adecvate.
SR ISO/CEI 17799:2004
4.2 Securitatea privind accesul terţilor
Obiectiv: Menţinerea securităţii echipamentelor de procesare a informaţiei şi a resurselor sistemului

informaţional ale organizaţiei, accesate de către terţi.
Accesul terţilor la echipamentele de procesare a informaţiei ale organizaţiei trebuie să fie controlat.
Acolo unde accesul terţilor este necesar pentru derularea afacerii, trebuie să se realizeze o evaluare a
riscului, pentru a determina implicaţiile de securitate şi cerinţele de control. Aceste controale trebuie
convenite şi incluse într-un contract încheiat cu terţa parte.
Accesul terţilor poate implica şi alţi participanţi. Contractele care oferă accesul terţilor trebuie să permită şi
posibilitatea de desemnare a altor participanţi necesari, precum şi condiţiile privind accesul acestora. Acest
standard va putea fi folosit ca o bază pentru astfel de contracte sau pentru cazul în care se ia în
considerare extemalizarea procesării informaţiei.
4.2.1 Identificarea riscurilor cauzate de accesul terţilor
4.2.1.1 Tipuri de acces

Tipul de acces acordat terţilor este de o importanţă deosebită. De exemplu, riscurile accesului prin
conectarea în reţea sunt diferite de riscurile rezultate în urma unui acces fizic. Tipurile de acces care
trebuie luate în considerare sunt:
a)accesul fizic - de exemplu, în birouri, încăperi în care se găsesc calculatoare, dulapuri;
b)accesul logic - de exemplu, la bazele de date şi la sistemele informatice ale organizaţiei.
4.2.1.2 Motive pentru acordarea accesului

Terţii pot primi permisiune de acces din mai multe motive. De exemplu, există terţi care oferă servicii unei
organizaţii, nefiind situaţi în cadrul acesteia, dar care pot primi acces fizic şi logic, ca de exemplu:
a)personalul de suport tehnic pentru hardware şi software, care are nevoie de acces la nivel de
sistem sau la un nivel minimal, pentru asigurarea funcţionării aplicaţiei;
b)parteneri comerciali sau asociaţi ocazionali, care pot schimba informaţii, pot accesa sistemele
informatice sau bazele de date.
în cazul în care managementul securităţii este neadecvat, informaţia poate fi supusă riscului datorită
accesului terţilor. Acolo unde afacerea necesită conectarea cu o altă locaţie care aparţine unei terţe părţi,
trebuie să se efectueze o evaluare a riscului pentru a identifica orice necesitate privind controale
specifice. Trebuie să se ia în considerare tipul de acces solicitat, valoarea informaţiilor, controalele
prevăzute de către terţi şi implicaţiile acestui tip de acces asupra securităţii informaţiei din cadrul
organizaţiei.
4.2.1.3 Contractori detaşaţi la sediul organizaţiei

Terţii care sunt detaşaţi la sediul organizaţiei pentru o anumită perioadă de timp prevăzută în contractul
încheiat pot genera creşterea slăbiciunilor sistemului de securitate. Exemple de terţi detaşaţi pot fi:
a)personal de suport tehnic şi mentenanţă pentru hardware şi software;
b)servicii de curăţenie, catering, personal de pază şi alte servicii de suport extemalizate;

c)studenţi în practică sau alte angajări cu termen redus;
d)consultanţi.
SR ISO/CEI 17799:2004
Este esenţială înţelegerea necesităţii controalelor pentru administrarea accesului terţilor la echipamentele
de procesare a informaţiei. în general, toate cerinţele de securitate rezultate, ca urmare a accesului
terţilor, sau controalele interne trebuie prevăzute în contractul încheiat cu terţi (a se vedea şi 4.2.2). De
exemplu, dacă există o cerinţă specială pentru confidenţialitatea informaţiei, trebuie folosit un acord de
nedivulgare a informaţiei (a se vedea 6.1.3).
Accesul terţilor la informaţii şi la echipamentele de procesare a informaţiei nu va fi oferit până când nu

sunt implementate controalele adecvate şi nu a fost semnat un contract în care să fie definiţi termenii de
conectare sau de acces.
4.2.2 Cerinţe de securitate în contracte cu terţi
înţelegerile care implică accesul terţilor la echipamentele de procesare a informaţiei ale organizaţiei
trebuie să se bazeze pe un contract oficial care să conţină sau să facă referire la toate cerinţele de
securitate, pentru a asigura conformitatea cu politicile şi standardele de securitate ale organizaţiei.
Contractul trebuie să furnizeze asigurări că nu există nici o neînţelegere între organizaţie şi terţi.
Organizaţiile trebuie să se asigure de depunerea unei garanţii din partea furnizorilor în favoarea lor.
Trebuie luată în considerare includerea în contract a următorilor termeni:
a)politica generală de securitate a informaţiei;
b)protejarea resurselor, cum ar fi:
1)proceduri de protejare a resurselor organizaţiei, incluzând informaţia şi software-ul;

2)proceduri pentru determinarea oricărei posibile compromiteri a resurselor, cum ar fi
pierderea sau modificarea datelor;
3)controale care să asigure recuperarea sau distrugerea informaţiilor sau resurselor la finalul
contractului sau la un moment convenit, în timpul derulării contractului;
4)integritatea şi disponibilitatea;
5)restricţii de copiere sau de dezvăluire a informaţiei;
c)o descriere a fiecărui serviciu care va fi disponibil;
d)valorile ţintă ale parametrilor de realizare a serviciului şi valorile considerate inacceptabile ale
serviciului;
e)dispoziţii privind transferul personalului, atunci când este cazul;

f)răspunderea legală a părţilor, în baza contractului încheiat;
g)obligaţiile de respectare a prevederilor legale, cum ar fi legislaţia de protecţie a datelor, ţinând

cont mai ales de diferitele sisteme legale naţionale în cazul în care contractul implică cooperarea
cu organizaţii din alte ţări (a se vedea, de asemenea, 12.1);
h) drepturile de proprietate intelectuală şi regimul cesiunii drepturilor de autor (a se vedea 12.1.2),

precum şi protejarea oricărei forme de colaborare (a se vedea, de asemenea, 6.1.3);
i) regulamente privind controlul accesului, cuprinzând:

1)metode de acces permise, precum şi controlul şi folosirea de metode de identificare unice,
cum ar fi folosirea de ID-uri şi parole;
2)un proces de autorizare pentru acordarea dreptului de acces şi a privilegiilor utilizatorului;
3)obligativitatea menţinerii unei liste cu persoanele autorizate să folosească serviciile disponibile,

în care să fie prevăzute drepturile şi privilegiile reieşite din autorizarea folosirii serviciilor;
j) definirea unor criterii de performanţă verificabile, monitorizarea şi raportarea lor;
k) dreptul de a monitoriza activitatea şi de a revoca dreptul de folosire al utilizatorului;

7
SR ISO/CEI 17799:2004
I) dreptul de auditare a modului de îndeplinire a obligaţiilor contractuale sau de a solicita auditarea

acestora de către o terţă parte;
m) stabilirea unui proces de escaladare a problemelor apărute; ar trebui luată în considerare, acolo
unde este cazul, şi crearea de regulamente pentru evenimente neprevăzute;
n) responsabilităţi privind instalarea şi întreţinerea hardware-ului şi software-ului; o)
o structură clară de raportare şi formate de raport aprobate; p) un proces clar şi
detaliat de management al schimbărilor;
q) orice măsură de protecţie fizică necesară şi mecanismele care să asigure că aceste controale
sunt respectate;
r) instruirea utilizatorilor şi administratorilor cu privire la metode, proceduri şi securitate;
s) controale pentru a se asigura protecţia împotriva software-ului maliţiosN1> (a se vedea 8.3);
t) regulamente pentru raportarea, notificarea şi investigarea incidentelor şi a violărilor de securitate;
u) implicarea terţelor părţi prin subcontractori.
4.3 Externalizare
Obiectiv: Menţinerea securităţii informaţiei când responsabilitatea pentru procesarea informaţiei a fost
externalizată către o altă organizaţie.
în contractul de externalizare încheiat între părţi trebuie să fie specificate riscurile, controalele de
securitate şi procedurile privind sistemele informaţionale, respectiv reţele şi/sau sistemele de procesare
individuale.
4.3.1 Cerinţe de securitate în contractele de externalizare
Cerinţele de securitate necesare în cazul extemalizării parţiale sau în totalitate a managementului şi

controlului sistemelor informaţionale, reţelelor şi/sau calculatoarelor individuale, trebuie să fie convenite în
contractul încheiat între părţi.
De exemplu, contractul va trebui să specifice:
a) cum vor fi îndeplinite cerinţele legale, ca de exemplu legislaţia privind protecţia datelor;
b)cum se va asigura conştientizarea tuturor părţilor implicate în externalizare, inclusiv a

subcontractorilor, asupra responsabilităţilor lor cu privire la securitatea informaţiei;
c)cum urmează să fie menţinută şi testată integritatea şi confidenţialitatea resurselor organizaţiei;
d)ce controale fizice şi logice vor fi folosite pentru restricţionarea şi limitarea accesului persoanelor
autorizate la informaţii de importanţă critică ale organizaţiei;
e)cum urmează să fie menţinută disponibilitatea serviciilor în cazul unui dezastru;
f)ce niveluri de securitate fizică sunt oferite pentru echipamentele care provin din externalizare;
g)dreptul de audit.
SR ISO/CEI 17799:2004
Termenii prezentaţi în lista din 4.2.2. trebuie luaţi în considerare la redactarea acestui contract. Contractul
trebuie să permită detalierea cerinţelor şi procedurilor de securitate într-un plan de management al
securităţii care să fie aprobat de ambele părţi.
Deşi contractele de externalizare pun o serie de probleme complexe de securitate, controalele incluse în
acest cod de practică pot servi ca punct de plecare pentru aprobarea structurii şi conţinutului unui plan de
management al securităţii.
5 Clasificare şi control resurse
5.1 Responsabilitate pentru resurse
Obiectiv: Menţinerea unei protecţii adecvate a activelor organizaţiei.
Toate resursele informaţionale importante trebuie să fie inventariate pentru a avea un proprietar
desemnat. Inventarierea resurselor ajută la asigurarea menţinerii unei protecţii adecvate. Pentru toate
resursele importante trebuie identificaţi proprietarii acestora şi să se definească responsabilităţile pentru
menţinerea unor controale adecvate. Responsabilitatea privind implementarea controalelor poate fi
delegată. Inventarierea trebuie să rămână în sarcina proprietarului nominalizat.
5.1.1 Inventariere resurse
Inventarierile resurselor ajută la aplicarea protecţiei eficiente a acestora şi poate de asemenea, fi cerută
şi în alte scopuri ale activităţii, cum ar fi sănătatea şi siguranţa, motive financiare sau de asigurare
(managementul resurselor). Procesul de realizare a inventarului resurselor este un aspect important al
managementului riscului. Este necesar ca o organizaţie să fie capabilă să-şi identifice resursele, precum
şi valoarea şi importanţa acestora. Pe baza acestor informaţii, o organizaţie poate stabili apoi nivelurile de
protecţie adecvate, în funcţie de valoarea şi de importanţa resurselor. Trebuie realizat şi menţinut un
inventar al resurselor importante asociate fiecărui sistem informaţional. Fiecare resursă va trebui clar
identificată, împreună cu proprietarul său şi clasificarea sa din punctul de vedere al securităţii trebuie să
fie aprobată şi documentată, împreună cu localizarea sa curentă (care este importantă atunci când se
încearcă recuperarea sa în urma unei pierderi sau distrugeri). Exemple de resurse asociate sistemelor
informaţionale sunt:
a)resurse informaţionale (necorporale): baze de date şi fişiere de date, documentaţie de sistem,

manuale de utilizare, materiale de instruire, proceduri operaţionale şi de suport, planuri de
continuitate, planuri de rezervă, informaţii arhivate;
b)resurse software: aplicaţii software, software de sistem, instrumente de dezvoltare şi programe

utilitare;
c)resurse fizice: echipamente de calcul (procesoare, monitoare, laptopuri, modemuri), echipamente

de comunicaţii [(routere, PABX (centrale telefonice), faxuri, roboţi telefonici)], suporturi magnetice
(benzi şi discuri), alte echipamente tehnice (surse de energie, aparate de aer condiţionat),
mobilier, furnituri;
d)servicii: servicii de calcul sau comunicaţii, utilităţi generale, cum ar fi încălzirea, iluminatul,
alimentarea cu energie electrică, aer condiţionat.
SR ISO/CEI 17799:2004
5.2 Clasificarea informaţiilor
Obiectiv: Asigurarea unui nivel corespunzător de protecţie pentru resursele informaţionale.
Informaţiile trebuie clasificate pentru a indica necesitatea, priorităţile şi gradul de protecţie. Informaţiile au
grade diferite de sensibilitate şi importanţă. Unele informaţii pot cere un nivel suplimentar de protecţie sau o
utilizare specială. Trebuie să se folosească un sistem de clasificare a informaţiilor pentru definirea
corespunzătoare a unui set de niveluri de protecţie şi pentru comunicarea necesităţii unor măsuri speciale
de utilizare.
5.2.1 îndrumări pentru clasificare
Clasificările şi controalele de protecţie asociate informaţiei trebuie să ia în considerare necesităţile

afacerii de a permite sau restricţiona accesul la informaţie şi de impactul asupra afacerii asociat acestor
necesităţi, ca de exemplu: accesul neautorizat sau daunele aduse informaţiei. în general, clasificarea
informaţiei este o metodă rapidă de a determina cum trebuie gestionată şi protejată această informaţie.
Informaţiile şi datele de ieşire produse de sistemele care prelucrează date clasificate trebuie etichetate în
funcţie de valoarea şi importanta lor pentru organizaţie. De asemenea, poate fi necesară o etichetare a
informaţiei în funcţie de cât de critică este pentru organizaţie, în ceea ce priveşte integritatea şi
disponibilitatea ei.
Deseori, informaţia încetează să fie sensibilă sau critică după o anumită perioadă de timp, ca de exemplu
atunci când informaţia este făcută publică. Aceste aspecte trebuie luate în considerare, întrucât o supra-
clasificare ar putea conduce la o cheltuială suplimentară inutilă. Regulamentele de clasificare trebuie să
anticipeze şi să admită faptul că o clasificare pentru orice resursă informaţională nu este definitivă şi că
poate suferi modificări conform unor politici prestabilite (a se vedea 9.1).
Trebuie luat în considerare numărul de categorii de clasificare şi beneficiile utilizării acestora. Schemele prea
complexe pot deveni prea apăsătoare şi neeconomice pentru a fi folosite şi se pot dovedi nepractice.
Interpretarea simbolurilor de clasificare de pe documentele provenite de la alte organizaţii trebuie tratată cu
atenţie, deoarece acestea pot adopta diferite definiţii pentru acelaşi simbol sau pentru un simbol
asemănător.
Responsabilitatea pentru modul de clasificare a unui element informaţional, ca de exemplu un document, o

înregistrare de date, un fişier sau o dischetă, şi pentru revizuirea periodică a acestei clasificări va rămâne
în sarcina celui care îl creează sau a proprietarului desemnat.
5.2.2 Etichetare şi gestionare informaţii
Este important să se definească un set adecvat de proceduri privind etichetarea şi gestionarea

informaţiilor, în concordanţă cu schema de clasificare adoptată de către organizaţie. Aceste proceduri
trebuie să facă referire la resursele informaţionale în formate fizice şi electronice. Pentru fiecare
clasificare, definirea procedurilor de operare trebuie făcută astfel încât să acopere următoarele tipuri de
activităţi de procesare a informaţiei:
a)copiere;
b)stocare;
c)transmiterea prin poştă, fax şi poştă electronică;
d)transmiterea verbală, incluzând cea prin telefon mobil, mesagerie vocală, robot telefonic;
e)distrugere.
10
SR ISO/CEI 17799:2004
Ieşirile din sistemele care conţin informaţii care sunt clasificate ca fiind sensibile sau critice trebuie să
poarte o etichetă de clasificare adecvată (în formatul de ieşire). Etichetarea va trebui să reflecte
clasificarea în acord cu regulile stabilite în 5.2.1. Trebuie luate în considerare rapoartele tipărite, ecranele
monitoarelor, materiale stocate (benzi, discuri, CD-uri, casete), mesaje electronice şi transferuri de fişiere.
Etichetele fizice sunt în general cele mai potrivite forme de etichetare. Totuşi, unele resurse
informaţionale, cum ar fi documente în formă electronică, nu pot fi etichetate fizic, fiind necesare
echipamente electronice de etichetare.
6 Securitatea personalului
6.1 Securitatea în definirea şi încadrarea postului
Obiectiv: Reducerea riscului erorilor umane, a furturilor, fraudelor sau a abuzurilor în folosirea
echipamentelor.
Responsabilităţile privind securitatea trebuie comunicate încă din etapa de angajare, incluse în
contracte şi urmărite pe parcursul angajamentului de muncă al individului.
Potenţialii angajaţi trebuie examinaţi corespunzător (a se vedea 6.1.2.), mai ales pentru posturile
sensibile. Toţi angajaţii şi utilizatorii terţi care folosesc echipamentele de procesare a informaţiei trebuie
să semneze o convenţie de confidenţialitate.
6.1.1 Includerea securităţii în responsabilităţile postului
Rolurile şi responsabilităţile în securitate, aşa cum sunt specificate în politica de securitate a informaţiei
din cadrul organizaţiei (a se vedea 3.1) trebuie documentate, acolo unde este cazul. Aceste documente
vor prevedea toate responsabilităţile generale pentru implementarea şi menţinerea politicii de securitate,
ca şi orice alte responsabilităţi specifice de protejare a unor resurse specifice, precum şi responsabilităţi
de execuţie a unor procese sau activităţi specifice de securitate.
6.1.2 Verificarea şi politica de personal
în momentul efectuării de angajări de personal permanent trebuie să se facă verificări care să includă
următoarele controale:
a)existenţa unor referinţe satisfăcătoare despre caracterul angajatului, atât profesional, cât şi în viaţa
personală;
b)o verificare a curriculum-ului vitae al angajatului (acesta va trebui să fie complet şi corect);
c)confirmarea calificărilor academice şi profesionale declarate;
d)verificarea independentă a identităţii (paşaport sau documente similare).
în cazul în care, chiar de la numire sau mai târziu, postul presupune ca persoana angajată să aibă acces
la echipamentele tehnice de procesare a informaţiei şi mai ales dacă acestea operează cu informaţii
sensibile, cum ar fi informaţii financiare sau cu un nivel de confidenţialitate foarte mare, organizaţia va
trebui să facă verificări privind încrederea oferită de persoana respectivă. Pentru personalul angajat în
funcţii importante, aceste verificări trebuie repetate periodic.
Un proces similar de verificare trebuie efectuat şi pentru contractanţii şi personalul cu angajare pe durată
determinată. Acolo unde acest personal este oferit de către o agenţie, în contractul cu această agenţie
trebuie să se specifice clar responsabilităţile de verificare ce revin agenţiei şi procedurile de notificare
care trebuie urmate dacă verificarea nu a fost completă sau dacă rezultatele dau motive de neîncredere
sau îngrijorare.
11
SR ISO/CEI 17799:2004
Managementul trebuie să evalueze supervizarea cerută pentru acces la sistemele sensibile, pentru
personalul nou sau fără experienţă. Activitatea întregului personal trebuie să fie periodic supusă
analizelor şi procedurilor de aprobare de către un membru superior de conducere.
Managerii trebuie să fie conştienţi că evenimentele din viaţa personală a angajaţilor le pot afecta munca.
Problemele personale sau financiare, modificările în comportament şi ale stilului de viaţă, absenţele
repetate şi semnele de stres şi depresie pot conduce la fraudă, furt, erori sau la alte implicaţii legate de
securitate. Acest tip de informaţie trebuie gestionată în concordanţă cu legislaţia corespunzătoare
existentă.
6.1.3 Acorduri de confidenţialitate
Convenţiile de confidenţialitate sau de nedivulgare sunt folosite pentru a avertiza că informaţia este
confidenţială sau secretă. Angajaţii trebuie să semneze un astfel de acord ca parte a convenţiei de bază la
angajare.
Personalul angajat pe perioadă limitată sau terţele părţi care nu sunt deja semnatarii unui contract
existent (conţinând acordul de confidenţialitate) trebuie să semneze un astfel de acord înainte de a li se oferi
accesul la echipamentele de procesare a informaţiei.
Convenţiile de confidenţialitate trebuie revizuite când se modifică termenii de angajare sau de contract, mai
ales atunci când angajaţii vor să părăsească organizaţia sau când contractul se apropie de final.
6.1.4 Termeni şi condiţii de angajare
Termenii şi condiţiile de angajare trebuie să stabilească responsabilităţile angajatului pentru respectarea

securităţii informaţiei. Acolo unde este cazul, aceste responsabilităţi trebuie să continue o perioadă
definită de timp după terminarea angajării. Trebuie incluse, de asemenea, şi măsurile care vor fi luate în
cazul în care angajatul încalcă cerinţele de securitate.
Drepturile şi responsabilităţile legale ale angajatului, cuprinse în legile de protejare a proprietăţii

intelectuale sau de protecţie a datelor, trebuie prezentate clar şi incluse în termenii şi condiţiile de
angajare. Trebuie, de asemenea, inclusă şi responsabilitatea pentru clasificarea şi gestionarea datelor
angajatorului. Acolo unde este cazul, termenii şi condiţiile de angajare trebuie să stabilească extinderea
acestor responsabilităţi în afara organizaţiei sau a orelor de lucru, în cazul lucrului de acasă (a se vedea şi
7.2.5. şi 9.8.1.)
6.2 Instruirea utilizatorilor
Obiectiv: Asigurarea faptului că utilizatorii sunt conştienţi de ameninţările legate de securitatea

informaţiei şi că sunt pregătiţi să sprijine politica de securitate, pe parcursul desfăşurării normale a
activităţii.
Utilizatorii trebuie instruiţi în legătură cu procedurile de securitate şi cu utilizarea corectă a

echipamentelor de procesare a informaţiei, pentru a minimiza posibilele riscuri de securitate.
6.2.1 Instruirea şi educarea în domeniul securităţii informaţiei
Toţi angajaţii unei organizaţii şi, acolo unde este cazul, utilizatorii din partea terţilor, trebuie să fie instruiţi în
mod corespunzător în legătură cu politicile şi procedurile organizaţiei şi informaţi periodic cu privire la
revizuirea acestora. Instruirea ce trebuie efectuată înainte de a obţine accesul la informaţii sau servicii
trebuie să includă cerinţele de securitate, responsabilităţi legale şi măsuri organizatorice, precum şi
instruirea pentru o corectă utilizare a echipamentelor de procesare a informaţiei, cum ar fi proceduri de
iniţializare a sesiunilor de utilizator, folosirea pachetelor software etc.
12
SR ISO/CEI 17799:2004
6.3 Răspunsul la incidente de securitate sau defectări
Obiectiv: Minimizarea distrugerilor cauzate de incidente de securitate sau defectări şi monitorizarea

acestora şi învăţarea din aceste incidente
Incidentele care afectează securitatea trebuie raportate prin canalele de management adecvate, cât mai
repede posibil.
Toţi angajaţii şi contractanţii trebuie să cunoască procedurile de raportare a diferitelor tipuri de incidente
(violări de securitate, ameninţări, vulnerabilităţi sau defectări) care ar putea avea impact asupra
securităţii resurselor din organizaţie. Acestora trebuie să li se ceară să raporteze, cât mai repede posibil,
orice incidente observate sau suspectate persoanei de contact desemnate. Organizaţia trebuie să
stabilească un proces disciplinar oficial pentru angajaţii care produc violări de securitate. Pentru a fi
capabili să rezolve incidentele în mod corespunzător, este necesară colectarea probelor cât mai repede
posibil după producerea evenimentului (a se vedea 12.1.7).
6.3.1 Raportarea incidentelor de securitate
Incidentele de securitate trebuie raportate prin canalele de management adecvate, cât mai repede
posibil.
Trebuie stabilită o procedură oficială de raportare, precum şi o procedură de răspuns la incidente,

stabilind măsurile care trebuie luate la primirea unui raport de incident. Toţi angajaţii şi contractanţii
trebuie să cunoască procedura pentru raportarea incidentelor de securitate şi trebuie să li se ceară să le
raporteze, cât de repede posibil. Trebuie implementate proceduri de reacţie adecvate, pentru a se
asigura că incidentele raportate au primit răspuns, după ce incidentul a fost rezolvat şi închis. Aceste
incidente pot fi folosite pentru instruirea utilizatorilor (a se vedea 6.2.), ca exemple despre ce s-ar putea
întâmpla, cum se răspunde la astfel de incidente şi cum pot fi evitate în viitor (a se vedea şi 12.1.7.).
6.3.2 Raportarea vulnerabilităţilor de securitate
Utilizatorii serviciilor informatice sunt obligaţi să noteze şi să raporteze orice slăbiciune observată sau
suspectată a securităţii sistemelor sau serviciilor. Ei trebuie să raporteze aceste aspecte conducerii sau
direct furnizorului de servicii, cât mai rapid posibil. Utilizatorii trebuie informaţi de faptul că ei nu trebuie, în
nici o împrejurare, să încerce să dovedească o vulnerabilitate suspectată. Acest lucru este pentru
protecţia lor, întrucât testarea unei vulnerabilităţi poate fi interpretată ca un potenţial abuz în utilizarea
sistemului.
6.3.3 Raportarea defectărilor software
Trebuie stabilite proceduri de raportare a defectărilor software Trebuie considerate următoarele acţiuni:
a)trebuie notat orice simptom al problemei şi orice mesaj care apare pe ecran;
b)trebuie izolat calculatorul, dacă este posibil, utilizarea sa trebuie oprită. Trebuie anunţată
imediat persoana de contact corespunzătoare. Dacă echipamentul trebuie examinat, el trebuie
deconectat de la orice reţea organizaţională, înainte de a fi repornit. Dischetele nu vor fi
transferate la alte calculatoare;
c)problema trebuie raportată imediat managerului de securitate a informaţiei.
Utilizatorii nu trebuie să încerce să elimine software-ul suspect, decât în cazul în care sunt autorizaţi în
acest sens. Personalul adecvat, instruit şi cu experienţă, trebuie să se ocupe de refacerea sistemului.
13
Pagina extrasa din aplicaţia Standard FulITextCD View (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
6.3.4 învăţare din incidente

I
Trebuie să existe mecanisme care să permită ca felurile, gravitatea şi costurile incidentelor şi erorilor de
funcţionare să fie cuantificate şi monitorizate. Aceste informaţii trebuie utilizate pentru a identifica
incidentele şi erorile de funcţionare repetitive sau cu un impact semnificativ. Aceasta poate duce la
concluzia necesităţii unor măsuri mai stricte sau a unor măsuri suplimentare pentru limitarea frecvenţei,
daunelor şi a costului unor viitoare incidente, sau a luării acestora în discuţie în procesul de revizuire a
politicii de securitate (a se vedea 3.1.2).
6.3.5 Proces disciplinar
Trebuie să existe un proces disciplinar oficial pentru angajaţii care au încălcat politicile şi procedurile de
securitate ale organizaţiei (a se vedea 6.1.4. şi, pentru reţinerea probelor, a se vedea 12.1.7). Un astfel de
proces poate descuraja angajaţii care ar putea fi înclinaţi să încalce procedurile de securitate. în plus, trebuie
să fie asigurat un tratament imparţial angajaţilor care sunt suspectaţi că au comis încălcări grave sau
repetate de securitate.
7 Securitate fizică şi a mediului 7.1

Zonele sigure
Obiectiv: Prevenirea accesului neautorizat, a daunelor şi a intervenţiilor în amplasamentul fizic al

afacerii şi în informaţia privind activitatea desfăşurată..
Echipamentele tehnice de procesare a informaţiei critice sau sensibile pentru afacere trebuie găzduite în
zone sigure, protejate de un perimetru de securitate definit, cu bariere de securitate şi control la intrare
corespunzătoare. Ele trebuie protejate fizic faţă de accesul neautorizat, daune şi interferenţe. Protecţia
oferită trebuie să fie gradată, pe măsura riscurilor identificate. Este recomandată o politică a biroului curat
si a ecranului curat, pentru a reduce riscul accesului neautorizat sau pe cel de distrugere a documentelor,
suporturilor media şi echipamentelor tehnice de procesare a informaţiei.
7.1.1 Perimetru de securitate fizică
Protecţia fizică poate fi realizată prin crearea câtorva bariere fizice în jurul amplasamentelor activităţii şi a
echipamentelor tehnice de procesare a informaţiei. Fiecare barieră stabileşte un perimetru de securitate,
care furnizează o creştere a protecţiei totale. Organizaţiile trebuie să folosească perimetre de securitate
pentru a proteja zone care conţin echipamente de procesare a informaţiei (a se vedea 7.1.3.). Un
perimetru de securitate este ceva care reprezintă o barieră, cum ar fi un perete, o poartă de intrare
controlată cu cârd sau un birou de recepţie cu pază. De amplasarea şi tăria fiecărei bariere depinde
rezultatul evaluării riscului.
Trebuie luate în considerare şi implementate, acolo unde este cazul, următoarele îndrumări şi controale.
a)perimetrul de securitate trebuie clar definit;
b)perimetrul unei clădiri sau al unei încăperi unde sunt instalate echipamente tehnice de procesare
a informaţiei trebuie izolat fizic (nu trebuie să existe goluri în acest perimetru sau zone pe unde se
poate intra uşor). Pereţii exteriori ai aşezării trebuie să fie dintr-un material solid şi toate uşile
exterioare trebuie protejate adecvat împotriva accesului neautorizat, prin intermediul
mecanismelor de control, bare, alarme, încuietori etc;
c)va trebui amplasat un birou de recepţie păzit sau alte mijloace de control al accesului fizic în
clădire sau încăperi. Accesul în încăpere sau clădire trebuie permis doar persoanelor autorizate;
d)barierele fizice trebuie, dacă este necesar, să fie extinse de la podea până la plafon pentru a
preveni intrările neautorizate şi contaminarea mediului, cum ar fi în caz de incendiu sau inundaţie;
14
SR ISO/CEI 17799:2004
e) toate ieşirile de incendiu dintr-un perimetru de securitate trebuie să aibă alarme şi să se închidă
automat.
7.1.2 Măsuri de control pentru intrări fizice
Zonele sigure trebuie protejate prin controale de intrare adecvate, pentru a se asigura numai accesul
persoanelor autorizate. Următoarele controale trebuie luate în considerare:
a)vizitatorii în zonele sigure trebuie să fie supravegheaţi sau să aibă permisiunea de acces, iar data
şi ora intrării şi plecării înregistrate. Accesul se va autoriza numai pentru scopuri precise,
determinate, şi accesul va fi emis împreună cu instrucţiuni privind cerinţele de securitate ale zonei
şi privind procedurile în caz de urgenţe;
b)accesul la informaţii sensibile şi la echipamente tehnice de procesare a informaţiei trebuie controlat

şi limitat doar la persoanele autorizate. Controalele de autentificare, cum ar fi cârduri de acces cu
pin, trebuie utilizate pentru a autoriza şi valida toate intrările şi ieşirile. Un registru de audit al
supravegherii accesului trebuie menţinut permanent;
c)întregul personal va fi obligat să poarte unele forme de identificare vizibile şi trebuie încurajat să
someze persoanele străine neînsoţite sau pe toţi cei care nu poartă un identificator vizibil;
d)drepturile de acces la zonele securizate trebuie periodic revăzute şi înnoite.
7.1.3 Securizarea birourilor, încăperilor şi a echipamentelor tehnice
O zonă sigură poate fi un birou încuiat sau câteva încăperi în interiorul unui perimetru de securitate fizică,
care poate fi încuiat şi poate conţine dulapuri sau safe-uri ce se pot încuia. Selecţia şi proiectarea unei
zone sigure trebuie să ţină cont de posibilitatea de distrugere de incendiu, inundaţie, explozie, mişcări
civile şi de alte forme de dezastru natural sau dezastre cauzate de om. Va trebui să se ţină seama şi de
reglementările şi standardele de interes din domeniul sănătăţii şi siguranţei. De asemenea, trebuie luate
în considerare orice ameninţări de securitate venite din mediul înconjurător, cum ar fi scurgerea de apă
din alte zone.
Trebuie luate în considerare următoarele controale:
a)echipamentele tehnice importante trebuie situate astfel încât să fie evitat accesul publicului;
b)clădirile nu trebuie să iasă în evidenţă şi trebuie să existe o minimă indicaţie referitoare la scopul
lor, fără semne evidente care să indice, în afara sau în interiorul clădirii, existenţa unor activităţi
de procesare a informaţiei;
c)funcţiunile de suport şi echipamentul accesoriu, cum ar fi fotocopiatoare, faxuri, trebuie situate

corespunzător, într-o zonă sigură, pentru a evita cererile de acces care ar putea compromite
informaţia;
d)uşile şi ferestrele trebuie închise, atunci când nu sunt supravegheate şi trebuie luată în
considerare asigurarea protecţiei externe pentru ferestre, mai ales pentru cele de la parter;
e)trebuie instalate sisteme de detectare a intruşilor, la standarde profesionale şi testate periodic,

pentru a putea supraveghea toate uşile exterioare şi ferestrele accesibile. Zonele neocupate
trebuie să aibă setată alarma tot timpul. Trebuie să se asigure o acoperire şi pentru alte zone,
cum ar fi camera calculatoarelor sau a comunicaţiilor;
f)echipamentele de procesare a informaţiei gestionate de către organizaţie trebuie separate fizic de

cele gestionate de terţi;
g)îndrumarele şi cărţile de telefon interne prin care se identifică localizarea echipamentelor tehnice
de procesare a informaţiilor sensibile nu trebuie să fie uşor accesibile publicului;
15
Pagina extrasa din aplicaţia Standard FullTextCD Visw (c) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
h) materialele periculoase sau combustibile trebuie păstrate în siguranţă la distanţă

corespunzătoare faţă de o zonă de securitate. Aprovizionările en-gros, cum ar fi obiectele de
papetărie, nu trebuie păstrate în zona sigură decât în cazul în care sunt necesare;
i) echipamentele de rezervă şi mediile care conţin copii de siguranţă N2> trebuie situate la o distanţă sigură,
pentru a evita distrugerile în cazul unui dezastru la sediul principal.
7.1.4 Lucrul în zone sigure
Pentru a mări securitatea unei zone sigure, pot fi necesare controale şi îndrumări suplimentare. Acest
lucru include controale ale personalului sau terţilor care lucrează în zona sigură, ca şi a activităţilor
desfăşurate în aceste zone de terţi. Următoarele controale trebuie luate în considerare:
a)personalul trebuie să ştie de existenţa unei zone sigure sau a activităţilor într-o astfel de zonă,
numai dacă este neapărată nevoie;
b)lucrul nesupravegheat în zonele sigure trebuie evitat, atât din motive de siguranţă, cât şi pentru a
preveni posibilitatea unor acţiuni răuvoitoare;
c)zonele sigure vacante trebuie să fie încuiate şi verificate periodic;
d)personalului terţ de servicii de suport trebuie să i se permită un acces restricţionat la zonele

sigure sau la echipamentele tehnice de procesare a informaţiei sensibile, doar atunci când acest
acces este neapărat necesar. Acest acces trebuie să fie autorizat şi monitorizat. Pot fi necesare
bariere şi perimetre adiţionale pentru controlul accesului fizic, situate între zone cu cerinţe diferite
de securitate în interiorul perimetrului de securitate;
e)echipamentele video, audio, foto sau alte echipamente de înregistrare nu trebuie permise decât
dacă sunt autorizate.
7.1.5 Zone de livrare şi încărcare izolate
Zonele de livrare şi de încărcare trebuie controlate şi, dacă este posibil, izolate de echipamentele tehnice de
procesare a informaţiei, pentru a se evita accesul neautorizat. Cerinţele de securitate pentru astfel de zone
trebuie determinate printr-o evaluare a riscului. Următoarele controale trebuie luate în considerare:
a)accesul din afara clădirii într-o zonă de depozitare trebuie restricţionat la personalul identificat şi
autorizat;
b)zona de depozitare trebuie proiectată astfel încât marfa să poată fi descărcată, fără ca personalul
de livrare să aibă acces la alte părţi ale clădirii;
c)uşile exterioare ale zonei de depozitare trebuie securizate, atunci când uşile interne sunt
deschise;
d)materialele care sunt recepţionate trebuie inspectate pentru potenţiale pericole (a se

vedea 7.2.1d), înainte de a fi mutate din zona de depozitare în punctul de utilizare;
e)materialele care sunt recepţionate trebuie înregistrate, dacă e cazul (a se vedea 5.1.), la intrarea
în clădire.
N2)
NOTA NAŢIONALĂ - back-up-salvare, copie de siguranţă
16
SR ISO/CEI 17799:2004
7.2 Securitatea echipamentelor
Obiectiv: Prevenirea pierderilor, daunelor sau compromiterea resurselor şi întreruperea activităţilor

organizaţiei.
Echipamentele tehnice trebuie protejate fizic faţă de ameninţări de securitate şi pericole ale mediului
înconjurător.
Protejarea echipamentelor (inclusiv cele folosite în exterior) este necesară pentru reducerea riscului de
acces neautorizat la date şi pentru protejarea faţă de pierdere şi distrugere. Trebuie luate în considerare
amplasarea şi casarea echipamentelor. Pot fi necesare controale speciale pentru protecţia împotriva
pericolelor de mediu sau a accesului neautorizat şi pentru a proteja utilităţile de suport, cum ar fi
alimentarea cu electricitate şi infrastructura de cablare.
7.2.1 Amplasare şi protecţia echipamentelor
Echipamentele trebuie amplasate sau protejate astfel încât să asigure reducerea riscului faţă de
ameninţări din mediul înconjurător şi de posibilităţi de acces neautorizat. Următoarele controale trebuie
luate în considerare:
a)echipamentele trebuie depozitate astfel încât să fie minimizat accesul care nu este necesar în
zona de lucru;
b)echipamentele de procesare şi stocare a informaţiei care gestionează date sensibile trebuie situate
astfel încât să reducă riscul spionării, în timpul utilizării lor;.
c)articolele care cer o protecţie specială trebuie izolate pentru a reduce nivelul general de protecţie
necesar;
d)ar trebui adoptate controale pentru a minimiza riscurile potenţialelor ameninţări, cum ar fi:
1)furt;
2)foc;
3)explozivi;
4)fum;
5)apă (sau defectări ale instalaţiilor);
6)praf;
7)vibraţii;
8)materiale chimice;
9)căderi în alimentarea cu energie;
10)radiaţii electromagnetice.
e) o organizaţie trebuie să stabilească o politică împotriva mâncatului, băutului şi fumatului în
apropierea echipamentelor tehnice de procesare a informaţiei;
f) condiţiile de mediu trebuie monitorizate astfel încât să nu poată afecta echipamentele de procesare
a informaţiei;
g) pentru echipamentele din mediul industrial trebuie luată în considerare folosirea unor metode
speciale de protecţie, cum ar fi membrane pentru tastaturi;
h) trebuie luat în considerare impactul unui dezastru care poate avea loc în vecinătate, cum ar fi un
incendiu într-o clădire vecină, scurgeri de apă de pe acoperiş sau pe podea, la subsol, sau o
explozie pe stradă.
17
SR ISO/CEI 17799:2004
7.2.2 Alimentarea cu energie electrică
Echipamentele trebuie protejate faţă de căderi de tensiune sau faţă de alte anomalii electrice. Trebuie
furnizată o alimentare cu energie electrică adecvată, în conformitate cu specificaţiile tehnice ale
producătorului echipamentului.
Posibilităţile de a asigura continuitatea alimentării cu energie electrică includ:

a)alimentare multiplă, pentru a evita riscul unei singure surse de alimentare cu energie electrică;
b)surse de alimentare neîntreruptibile (UPS)N3);

c)generator de rezervă.
Pentru echipamentele care suportă operaţii pentru activităţi critice se recomandă un UPS care să permită
închiderea corectă a sistemelor sau rularea continuă. Planurile de contingenţă trebuie să prevadă
măsurile ce trebuie luate în caz de defectare a UPS-ului. Echipamentul UPS trebuie verificat în mod
regulat, pentru a se asigura că are capacitatea necesară şi va fi testat în concordanţă cu specificaţiile
producătorului.
Trebuie luat în considerare un generator de rezervă, dacă se doreşte ca procesarea să continue în cazul
unei căderi prelungite de tensiune. Odată instalate, generatoarele trebuie testate periodic în concordanţă cu
recomandările producătorului. Pentru a asigura funcţionarea generatorului pe o perioadă prelungită va fi
pusă la dispoziţie o alimentare corespunzătoare cu combustibil,.
în plus, comutatoarele de energie destinate cazurilor de urgenţă trebuie localizate în apropierea ieşirilor de
urgenţă ale camerelor echipamentelor, pentru a facilita întreruperea rapidă a tensiunii în caz de urgenţă.
Trebuie asigurat iluminatul de urgenţă în cazul căderii alimentării principale cu energie. Pentru toate
clădirile, trebuie asigurate paratrăsnete, iar pe liniile externe de comunicaţie trebuie fixate filtre de protecţie
împotriva fulgerelor.
7.2.3 Securitatea cablării

Cablurile de tensiune şi telecomunicaţii care transmit date sau susţin servicii informatice trebuie protejate de
interceptări sau daune. Următoarele controale trebuie luate în considerare:
a)cablurile de tensiune şi telecomunicaţii care susţin echipamentele tehnice de procesare a

informaţiei trebuie amplasate sub pământ, unde este posibil, sau trebuie să aibă parte de o
protecţie alternativă adecvată;
b)cablurile de reţea trebuie protejate faţă de interceptare şi distrugeri, de exemplu prin folosirea
conductelor sau prin evitarea trecerii prin zone publice;
c)cablurile de energie electrică trebuie separate de cablurile de telecomunicaţii, pentru a preveni
interferenţele;
d)pentru sisteme sensibile sau critice trebuie luate în considerare următoarele controale:
1)instalarea unei conducte armate şi încuierea camerelor sau a boxelor de inspecţie şi a

punctelor finale;
2)folosirea unor rutări sau a unor medii de transmisie alternative;
3)folosirea cablurilor cu fibră optică;
4)verificări pentru a se asigura că nu sunt ataşate dispozitive neautorizate pe cabluri.
7.2.4 Mentenanţa pentru echipamente
Echipamentele trebuie să fie corect întreţinute, pentru a se asigura permanent disponibilitatea şi

integritatea lor. Următoarele controale trebuie considerate.
N3)
NOTA NAŢIONALĂ - Uninterruptable Power Supply
18
SR ISO/CEI 17799:2004
a)echipamentele trebuie întreţinute în concordanţă cu specificaţiile tehnice ale furnizorului şi cu

intervalele recomandate de service.
b)de reparaţiile şi de service-ul echipamentelor trebuie să se ocupe doar personalul autorizat de
întreţinere;
c)trebuie păstrate înregistrări ale tuturor defectărilor suspectate sau existente şi ale activităţilor de
mentenanţă preventive şi corective;
d)trebuie luate măsuri corespunzătoare atunci când echipamentul este scos în afara sediului pentru
întreţinere (a se vedea şi 7.2.6. privind ştergerea, desfiinţarea şi suprascrierea datelor), trebuie
respectate toate cerinţele impuse de poliţele de asigurare.
7.2.5 Securitatea echipamentelor scoase din incinta organizaţiei
Indiferent de proprietar, folosirea oricărui echipament în afara incintei organizaţiei pentru procesarea
informaţiei trebuie autorizată de către conducere. Securitatea oferită trebuie să fie echivalentă cu cea
asigurată echipamentului folosit în acelaşi scop în interiorul organizaţiei, ţinând seama de riscurile
funcţionării în afara organizaţiei. Echipamentul tehnic de procesare a informaţiei include orice formă de
calculatoare personale, agende electronice, telefoane mobile, hârtii sau sub alte forme, care sunt luate
pentru lucrul acasă sau sunt transportate departe de locaţia normală de lucru. Trebuie luate in
considerare următoarele controale.
a)echipamentele şi mediile de stocare scoase din incinta organizaţiei nu vor fi lăsate

nesupravegheate în locuri publice. Calculatoarele portabile trebuie transportate în bagaje de
mână şi camuflate, pe cât posibil, în timpul călătoriilor;
b)instrucţiunile producătorului pentru protejarea echipamentului trebuie respectate tot timpul, ca de
exemplu, protejarea împotriva expunerii la câmpuri magnetice puternice;
c)controalele lucrului la domiciliu trebuie determinate prin evaluarea riscului şi aplicarea unor
controale adecvate, cum ar fi dulapuri de tip Fişier care se pot încuia, politici de birou curat şi
controlul accesului la calculatoare;
d)acoperirea printr-o poliţă de asigurare adecvată, pentru a proteja echipamentele care nu sunt
situate în incinta organizaţiei.
Riscurile de securitate, cum ar fi distrugerea, furtul şi interceptarea, pot varia considerabil între locaţii şi
trebuie luate în considerare pentru determinarea celor mai potrivite controale. Mai multe informaţii despre
alte aspecte ale protejării echipamentului mobil pot fi găsite în 9.8.1.
7.2.6 Scoatere din folosinţă şi refolosire în siguranţă a echipamentelor
Informaţia poate fi compromisă printr-o scoatere din folosinţă neglijentă sau prin refolosirea
necorespunzătoare a echipamentelor (a se vedea şi 8.6.4.). Dispozitivele de stocare care conţin informaţii
sensibile trebuie distruse fizic sau suprascrise, mai degrabă decât prin folosirea procedurii standard de
ştergere.
Toate componentele echipamentului care conţin medii de stocare, cum ar fi hard-discuri fixe, trebuie
verificate pentru a se asigura faptul că orice dată sensibilă sau software-ul licenţiat au fost şterse sau
suprascrise înainte de casare. Dispozitivele de stocare cu defectări care conţin date sensibile pot
necesita o evaluare a riscului, pentru a determina dacă aceste echipamente trebuie distruse, reparate
sau înlăturate.
7.3 Controale generale
Obiectiv: Prevenirea compromiterii sau a furtului de informaţii şi de mijloace de procesare a informaţiei.

Informaţiile şi mijloacele de procesare a informaţiei trebuie protejate pentru a nu fi dezvăluite, modificate
sau furate de către persoane neautorizate şi trebuie implementate controale pentru minimizarea
pierderilor sau daunelor. Procedurile de operare şi stocare sunt descrise în 8.6.3.
19
SR ISO/CEI 17799:2004
7.3.1 Politica biroului curat şi a ecranului curat
Organizaţiile trebuie să ia în considerare adoptarea unei politici de birou curat pentru hârtii şi medii de
stocare mobile şi a unei politici de ecran curat pentru echipamentele de procesare a informaţiei, pentru a
reduce riscul accesului neautorizat, pierderea sau distrugerea informaţiei în timpul sau în afara orelor de
lucru normale. Politica trebuie să ţină seama de clasificările de securitate a informaţiei (a se vedea 5.2),
de riscurile corespunzătoare şi de aspectele culturale ale organizaţiei.
Informaţiile lăsate pe birouri pot fi, de asemenea, afectate sau distruse într-un dezastru, cum ar fi un
incendiu, o inundaţie sau o explozie.
Următoarele controale trebuie luate în considerare:"
a)acolo unde se consideră necesar, hârtiile şi suporturile media pentru calculatoare trebuie stocate
în dulapuri încuiate şi/sau în alte tipuri de mobilier securizat, atunci când nu sunt folosite, mai ales
în afara programului de lucru;
b)informaţiile sensibile sau critice pentru afacere trebuie să fie încuiate în altă locaţie (ideal ar fi
într-un dulap sau safe-uri ignifuge), atunci când nu sunt necesare, mai ales când biroul este
neocupat;
c)calculatoarele personale şi terminalele acestora şi imprimantele nu trebuie lăsate conectate în
reţea când nu sunt supravegheate şi trebuie să fie protejate prin încuietori, parole şi alte
controale, atunci când nu sunt utilizat;
d)punctele de primire şi trimitere de emailuri şi faxurile şi maşinile telex nesupravegheate trebuie,

de asemenea, protejate;
e)în afara programului normal de lucru, fotocopiatoarele trebuie încuiate (sau protejate în alt fel faţă
de accesul neautorizat);
f)informaţiile sensibile sau clasificate, după ce sunt imprimate, trebuie luate imediat din
imprimantă.
7.3.2 înstrăinarea resurselor proprietare
Este interzisă scoaterea echipamentelor, informaţiilor sau programelor software în afara organizaţiei, fără
autorizaţie. Acolo unde este necesar şi adecvat, pentru echipamentul ce trebuie înstrăinat, trebuie să se
închidă sesiunea de utilizare respectivă şi aceasta trebuie reiniţializată atunci când echipamentul este
returnat. De asemenea, trebuie făcute verificări pentru a detecta dacă au avut loc înstrăinări neautorizate
de proprietate. Personalului trebuie să i se aducă la cunoştinţă faptul că aceste verificări vor avea loc.
8 Managementul comunicaţiilor şi operaţiilor
8.1 Proceduri şi responsabilităţi operaţionale

Obiectiv: Asigurarea unei operări corecte şi sigure a echipamentelor de procesare a informaţiei.
Trebuie stabilite responsabilităţi şi proceduri pentru managementul şi operarea tuturor echipamentelor de
procesare a informaţiei. Aceasta presupune şi dezvoltarea unor instrucţiuni de operare adecvate şi a unor
proceduri de răspuns la incidente.
Unde este cazul, trebuie implementată separarea sarcinilor (a se vedea 8.1.4.), pentru a reduce riscul
folosirii incorecte a sistemului din neglijenţă sau în mod deliberat.
8.1.1 Proceduri de operare documentate
Procedurile operaţionale identificate de politica de securitate trebuie documentate şi menţinute.

Procedurile operaţionale trebuie tratate ca documente oficiale, iar modificările trebuie autorizate de către
conducere.
20
SR ISO/CEI 17799:2004
Procedurile trebuie să specifice instrucţiunile detaliate pentru execuţia fiecărei activităţi, inclusiv:
a)procesarea şi manipularea informaţiei;
b)cerinţe de planificare, inclusiv interdependenţe cu alte sisteme, şi restricţii temporale de începere

şi finalizare a activităţilor,
c)instrucţiuni pentru tratarea erorilor sau a altor condiţii excepţionale, care pot apărea în timpul
execuţiei activităţii, inclusiv restricţii de folosire a echipamentelor sistemului (a se vedea 9.5.5.);
d)informaţii de contact pentru suport în cazul unor dificultăţi operaţionale sau tehnice;
e)instrucţiuni de manipulare a informaţiilor speciale produse, cum ar fi folosirea unor spaţii de

stocare speciale sau managementul informaţiilor confidenţiale produse, inclusiv proceduri pentru
distrugerea în siguranţă a rezultatelor unor activităţi nereuşite;
f)restartarea sistemului şi procedurile de recuperare a sistemului, în cazul unei căderi a sistemului.
De asemenea, trebuie pregătite proceduri documentate pentru activităţile de mentenanţă a sistemului

asociate procesării informaţiei şi mijloacelor de comunicaţie, cum ar fi procedurile de iniţializare si
închidere, copie de siguranţă, întreţinerea echipamentului, protecţia muncii şi managementul activităţilor
privind camera calculatoarelor şi poşta.
8.1.2 Controlul modificărilor operaţionale
Orice modificări ale echipamentelor şi sistemelor de procesare a informaţiei trebuie controlate. Controlul
inadecvat al modificărilor asupra echipamentelor şi sistemelor de procesare a informaţiei constituie o
cauză des întâlnită a căderilor de sistem sau de securitate. Pentru a asigura un control satisfăcător al
tuturor modificărilor care intervin în echipamente, software sau proceduri, trebuie instituite responsabilităţi
şi proceduri oficiale de conducere. Programele operaţionale trebuie să fie subiectul unui control strict al
modificărilor. Atunci când se modifică programe, trebuie păstrat un registru de audit care să conţină toate
informaţiile relevante. Modificările mediului operaţional pot avea impact asupra aplicaţiilor. Acolo unde e
posibil, trebuie integrate proceduri de control al modificărilor operaţionale şi de aplicaţie (a se vedea şi
10.5.1.). în special, trebuie considerate următoarele controale:
a)identificarea şi înregistrarea modificărilor semnificative;
b)evaluarea unui potenţial impact al acestor modificări;
c)o procedură oficială de aprobare pentru schimbările propuse;
d)comunicarea detaliilor modificării, tuturor persoanelor implicate;
e)proceduri pentru identificarea responsabilităţilor, în cazul abandonării şi recuperării în urma unor

modificări eşuate.
8.1.3 Proceduri pentru managementul incidentelor
Trebuie stabilite responsabilităţi şi proceduri pentru managementul incidentelor, pentru a se asigura un

răspuns rapid, eficace şi organizat la incidente de securitate (a se vedea şi 6.3.1). Trebuie luate în
considerare următoarele controale:
a) Trebuie stabilite proceduri pentru a acoperi toate tipurile potenţiale de incidente de securitate, cum
ar fi:
1)căderea sistemului informatic şi pierderea funcţionalităţii;
2)indisponibilitatea serviciului;
3)erori rezultând din date incomplete sau incorecte de afaceri;
4)breşe de confidenţialitate.
21
SR ISO/CEI 17799:2004
b) în plus faţă de planurile normale de contingenţă (proiectate pentru a recupera sisteme sau servicii
cât mai repede posibil), procedurile trebuie să acopere şi (a se vedea şi 6.3.4):
1)analiza şi identificarea cauzei incidentului;

2)planificarea şi implementarea remediilor pentru a preveni recurenţa incidentelor, dacă
este necesar;
3)colectarea înregistrărilor de audit şi a dovezilor (probelor) similare;
4)comunicarea cu cei afectaţi de sau implicaţi în recuperarea în urma incidentului;
5)raportarea acţiunii autorităţii corespunzătoare;
c) acolo unde este cazul, trebuie colectate şi securizate înregistrările de audit şi alte probe similare (a
se vedea 12.1.7) pentru:
1)analiza problemelor interne;

2)folosirea ca dovadă privind o potenţială încălcare a contractului, a cerinţelor de
reglementare sau în cazul unei acţiuni civile sau penale, cum ar fi folosirea
necorespunzătoare a calculatoarelor sau legislaţia de protecţie a datelor;
3)negocierea compensaţiilor datorate de furnizorii de software şi servicii.
d) acţiunea de recuperare, în urma breşelor de securitate şi a căderilor sistemelor, trebuie controlată

oficial şi cu grijă. Procedurile trebuie să asigure faptul că:
1)doar personalul clar identificat şi autorizat are drept de acces la sistemele funcţionale şi
la date (a se vedea şi 4.2.2 pentru accesul terţilor);
2)toate acţiunile urgente care se iau sunt documentate în detaliu;
3)acţiunile urgente sunt raportate conducerii şi revizuite într-o manieră ordonată;
4)integritatea sistemelor şi a controlului afacerii este confirmată cu o întârziere minimă.
8.1.4 Separarea atribuţiilor
Separarea atribuţiilor este o metodă pentru reducerea riscului folosirii necorespunzătoare a sistemului, în mod
accidental sau intenţionat. Trebuie luată în considerare separarea conducerii sau executării anumitor activităţi
sau domenii de responsabilitate, pentru a reduce posibilitatea unor modificări neautorizate sau pentru
folosirea necorespunzătoare a informaţiei sau serviciilor.
Organizaţiile mici pot considera această măsură ca dificil de implementat, dar principiul trebuie aplicat atât
cât este posibil şi practicat. Atunci când atribuţiile sunt dificil de separat, trebuie luate în considerare alte
metode cum ar fi monitorizarea activităţilor, înregistrări de audit şi supervizarea din partea conducerii. Este
important ca auditul de securitate să fie independent.
Trebuie avută grijă ca nici o persoană să nu poată face vreo fraudă într-o zonă de responsabilitate, fără să
fie detectată. Iniţierea unei acţiuni trebuie separată de autorizarea ei. Trebuie considerate următoarele
controale:
a)este important să se separe activităţi care presupun asociere pentru fraudare, cum ar fi
emiterea unei comenzi de aprovizionare şi verificarea că bunurile au fost recepţionate;
b)dacă există riscul unei asocieri, atunci controalele trebuie împărţite astfel încât două sau mai
multe persoane ar trebui implicate, pentru a micşora posibilitatea unei conspiraţii.
22
SR ISO/CEI 17799:2004
8.1.5 Separare echipamente de dezvoltare şi de funcţionare
Separarea echipamentelor de dezvoltare, testare şi funcţionare este importantă pentru obţinerea separării
rolurilor implicate. Regulile de transfer de software de la stadiul de dezvoltare la cel operaţional trebuie
definite şi documentate.
Activităţile de dezvoltare şi testare pot cauza probleme serioase, cum ar fi: modificări nedorite ale
fişierelor sau ale mediului de sistem sau defectarea sistemului. Trebuie luat în considerare nivelul de
separare necesar între mediile operaţionale, de testare şi dezvoltare, pentru a preveni problemele de
funcţionare. O separare similară trebuie implementată între funcţiunile de dezvoltare şi testare. în acest
caz, este necesar să se menţină un mediu cunoscut şi stabil în care să se execute testarea şi care să
prevină accesul neadecvat al celui care se ocupă cu dezvoltarea.
în cazul în care, personalul de dezvoltare şi de testare are acces la sistemul operaţional şi la informaţiile
sale, acesta poate introduce coduri neautorizate şi netestate sau poate modifica datele operaţionale. în
unele sisteme această posibilitate poate fi exploatată pentru a comite fraude, sau pentru a introduce
coduri netestate sau cu rea intenţie. Acestea pot cauza probleme funcţionale serioase. De asemenea,
personalul de dezvoltare şi de testare este o ameninţare pentru confidenţialitatea informaţiei operaţionale.
Activităţile de dezvoltare şi testare pot produce modificări neintenţionate asupra software-ului sau a
informaţiei, dacă ele împart acelaşi mediu de calcul. De aceea, este necesară separarea echipamentelor
de dezvoltare, testare şi a celor funcţionale, pentru reducerea riscului modificărilor accidentale sau
accesului neautorizat la software-ul funcţional şi datele afacerii. Trebuie considerate următoarele
controale:
a)software-ul de dezvoltare şi cel operaţional trebuie, acolo unde este posibil, să ruleze pe
procesoare diferite sau în domenii sau directoare diferite;
b)activităţile de dezvoltare şi testare trebuie separate, pe cât posibil;

c)compilatoarele, editoarele şi alte utilitare de sistem nu trebuie să fie accesibile atunci când nu sunt
necesare;
d)trebuie folosite proceduri diferite de iniţializareN4' pentru sistemele funcţionale şi cele de testare,
pentru a reduce riscul erorilor. Utilizatorii trebuie încurajaţi să folosească parole diferite pentru
aceste sisteme şi meniurile trebuie să afişeze mesaje de identificare adecvate;
e)personalul de dezvoltare trebuie să aibă acces doar la parolele operaţionale, acolo unde sunt luate
măsuri pentru emiterea parolelor în scopul asigurării de suport tehnic pentru sistemele
operaţionale. Controalele trebuie să asigure faptul că aceste parole sunt schimbate după folosire.
8.1.6 Managementul echipamentelor externe
Folosirea unui contractor extern pentru a gestiona echipamentele de procesare a informaţiei poate atrage
după sine potenţiala expunere la riscuri de securitate, ca de exemplu posibilitatea compromiterii,
distrugerii sau pierderii datelor la sediul contractorului. Aceste riscuri trebuie identificate în avans, şi
trebuie impuse controale agreate de contractor care trebuie incluse în contract (a se vedea şi 4.2.2 şi 4.3
pentru îndrumări de realizare a contractelor cu terţi, care presupun accesul la mijloacele organizaţionale
şi contracte de extemalizare).
Aspectele particulare care trebuie avute în vedere sunt:
a)identificarea aplicaţiilor sensibile sau critice care ar fi mai bine să rămână la sediul organizaţiei;
b)obţinerea aprobării din partea proprietarilor aplicaţiei;
c)implicaţiile asupra planului de continuitate a afacerii;
d)standarde de securitate care trebuie specificate şi procesul de măsurare a compatibilităţii cu

acestea;
N4)
NOTA NAŢIONALĂ - log-on - iniţierea/iniţializarea unei conexiuni/conectare
23
SR ISO/CEI 17799:2004
e)alocarea responsabilităţilor şi procedurilor specifice, pentru a monitoriza în mod eficace toate

activităţile de securitate relevante;
f)responsabilităţile şi procedurile pentru raportarea şi gestionarea incidentelor de securitate (a se

vedea 8.1.3).
8.2 Planificarea şi acceptanţa sistemului
Obiectiv: Minimizarea riscului de defectare a sistemului.

Sunt necesare o planificare şi o pregătire prealabilă pentru a asigura disponibilitatea capacităţii şi a
resurselor adecvate.
Trebuie realizată o estimare a viitoarelor cerinţe de capacitate, pentru a reduce riscul de supraîncărcare
a sistemului.
Cerinţele operaţionale ale unui nou sistem trebuie stabilite, documentate şi testate înainte de acceptanţa
şi folosirea lui.
8.2.1 Planificarea capacităţii
Necesarul de capacitate trebuie monitorizat şi trebuie estimat necesarul viitor de capacitate, pentru a se
asigura că sunt disponibile puterea de procesare şi capacitatea de stocare adecvate. Aceste estimări
trebuie să ţină cont de noile cerinţe de afaceri, de sistem şi de tendinţele actuale şi de perspectivă în
modul organizaţiei de a procesa informaţia.
Calculatoarele principale cer o atenţie specială, din cauza costurilor mai mari şi a timpului mai lung de
procurare a unei noi capacităţi. Managerii serviciilor principale trebuie să monitorizeze utilizarea
resurselor cheie ale sistemului, inclusiv aspecte legate de procesoare, memoria principală, stocarea
fişierelor, imprimante şi alte dispozitive exterioare şi sisteme de comunicaţii. Ei trebuie să identifice
tendinţele de utilizare, în special în legătură cu aplicaţiile de afaceri sau instrumentele de management al
informaţiei din sistem.
Managerii trebuie să folosească această informaţie pentru identificarea şi evitarea unor potenţiale situaţii
care pot reprezenta o ameninţare pentru securitatea sistemului sau a serviciilor pentru utilizatori şi să
planifice acţiuni de remediere adecvate.
8.2.2 Acceptanţa sistemului
Criteriile de acceptanţa pentru sistemele informatice noi, pentru upgradări şi pentru noi versiuni trebuie să fie
clar stabilite şi, înainte de acceptare, trebuie efectuate teste adecvate ale sistemului. Managerii trebuie să se
asigure în ce măsură cerinţele şi criteriile de acceptanţa ale noilor sisteme sunt clar definite, agreate,
documentate şi testate. Trebuie luate în considerare următoarele controale:
a)cerinţele de performanţă şi capacitate ale calculatoarelor;

b)recuperarea în urma erorilor, procedurile de restartare şi planurile de contingenţă;
c)pregătirea şi testarea procedurilor de operare uzuale (obişnuite) conform standardelor definite;
d)un set agreat de controale de securitate adoptat;
e)proceduri manuale eficiente;
f)planuri de continuitate a afacerii, aşa cum este cerut de 11.1;
g)dovada că instalarea noului sistem nu va afecta negativ sistemele existente, în special la
momentele de maximă procesare, cum ar fi la sfârşitul lunii;
h) dovezi că a fost analizat efectul noului sistem asupra securităţii generale a organizaţiei; i)
instruire pentru operarea sau utilizarea noilor sisteme.
24
SR ISO/CEI 17799:2004
Pentru noi extinderi importante, trebuie consultate funcţiile de operare şi utilizatorii în toate stadiile
procesului de dezvoltare, pentru a asigura eficienţa operaţională a proiectării sistemului propus. De
asemenea, trebuie efectuate teste adecvate pentru a confirma că toate criteriile de recepţie sunt
satisfăcute pe deplin.
8.3 Protecţia împotriva software-ului maliţios
Obiectiv: Protejarea integrităţii software-ului şi informaţiei.

Sunt necesare precauţii pentru prevenirea şi detectarea introducerii de programe software periculoase.
Software-ul şi echipamentele de procesare a informaţiei sunt vulnerabile la introducerea de programe
software periculoase, cum ar fi viruşii de calculator, viermi de reţea, cai troianiN5> (a se vedea şi 10.5.4)
şi bombe logice. Utilizatorii trebuie să cunoască pericolele pe care le reprezintă software-ul neautorizat
sau periculos, iar managerii trebuie, acolo unde este cazul, să introducă metode speciale pentru
detectarea şi prevenirea viruşilor de calculatoare pe calculatoarele personale.
8.3.1 Metode de combatere a software-ului maliţios

Trebuie implementate metode de detecţie şi prevenire pentru protejarea împotriva software-ului maliţios
şi proceduri de avertizare pentru utilizatorii implicaţi. Protecţia împotriva software ului maliţios trebuie să
se bazeze pe conştientizarea nevoii de securitate, accesul corespunzător în sistem şi metode de
management al modificărilor. Trebuie luate în considerare următoarele:
a)o politică oficială prin care să se ceară concordanţa cu licenţele software şi care să interzică
folosirea de software neautorizat (a se vedea 12.1.2.2.);
b)o politică oficială pentru protecţia împotriva riscurilor asociate cu obţinerea fişierelor şi software din
sau prin intermediul reţelelor externe, sau prin orice alte medii, care să indice controalele de
protecţie care ar trebui luate (a se vedea şi 10.5, în special 10.5.4 şi 10.5.5);
c)instalarea şi actualizarea periodică a programelor pentru detecţia şi recuperarea antivirus, care să
asigure scanarea calculatoarelor şi a suporturilor media, ca măsură de precauţie sau în mod
regulat;
d)efectuarea unor revizuiri periodice pentru software şi conţinutul de date din sisteme care rulează
procese critice pentru organizaţie. Prezenţa oricărui fişier neaprobat sau amendament neautorizat
ar trebui investigată oficial;
e)verificarea împotriva viruşilor, înainte de folosire, a fiecărui fişier pe suport electronic de origine
nesigură sau neautorizată, sau recepţionat prin reţele neverificate;
f)verificarea înainte de folosire a oricărui document ataşat unui email sau descărcat, pentru a nu fi
cumva software maliţios. Această verificare poate fi realizată la diferite niveluri, cum ar fi pe
serverele de email, calculatoare desktop sau când intră în reţeaua organizaţiei;
g)proceduri de management şi responsabilităţi pentru gestionarea protecţiei împotriva viruşilor în
sistem, instruirea pentru folosirea lor, raportarea şi reconstituirea în urma atacurilor viruşilor (a se
vedea 6.3. şi 8.1.3.);
h) planuri corespunzătoare de continuitate a afacerii pentru recuperarea în urma atacurilor viruşilor,
inclusiv toate datele necesare şi software de copie de siguranţă şi procedurile de refacere (a se
vedea articolul 11);
i) proceduri pentru verificarea tuturor informaţiilor legate de software maliţios şi asigurarea că
buletinele de avertizare sunt corecte şi informative. Managerii trebuie să se asigure că sunt folosite
surse calificate, cum ar fi ziare de reputaţie, site-uri de internet de încredere sau furnizori de
software anti-virus, pentru a se face diferenţe între viruşi falşi (hoax-uri) şi viruşi reali. Personalul
trebuie avertizat de problema viruşilor falşi (hoax-urilor) şi de ce trebuie să facă la recepţia lor.
Aceste metode sunt în special importante pentru serverele de fişiere de reţea care suportă un număr
mare de staţii de lucru.
N5)
NOTĂ NAŢIONALĂ - trojan horses
25
SR ISO/CEI 17799:2004
8.4 Instrucţiuni de organizare a calculatorului
Obiectiv: Menţinerea integrităţii şi disponibilităţii procesării informaţiei şi a serviciilor de comunicaţii.

Trebuie stabilite proceduri de rutină pentru reglementarea strategiei pentru copiile de salvare (a se
vedea 11.1) prin luarea copiilor de salvare a datelor şi repetarea restaurării lor temporale, pentru
jurnalizarea evenimentelor şi a greşelilor şi, acolo unde este cazul, monitorizarea mediului în care se află
echipamentul.
8.4.1 Copie de siguranţă pentru informaţii
Periodic trebuie să se facă copii de siguranţă după informaţiile şi software-urile esenţiale ale organizaţiei.
Trebuie asigurate mijloace de siguranţă corespunzătoare pentru ca toate informaţiile şi software-ul
esenţial pentru afacere să fie reconstituite în urma unui dezastru sau unei distrugeri a mediului de
stocare. Periodic trebuie testate procedurile de siguranţă pentru sistemele individuale pentru a se asigura că
ele îndeplinesc cerinţele planului de continuitate a afacerii (a se vedea articolul 11). Trebuie luate în
considerare următoarele controale:
a)trebuie ca un nivel minim de siguranţă pentru informaţie, împreună cu înregistrări corecte şi
complete ale copiilor de siguranţă şi proceduri documentate de restaurare, să fie depozitate într-o
locaţie distantă, la o distanţă suficientă pentru a nu suferi nici o stricăciune din cauza unui dezastru
care s-ar întâmpla în locaţia principală. Trebuie păstr
b)ate cel puţin trei generaţii sau cicluri de
siguranţă pentru aplicaţiile importante pentru afacere;
c)informaţia copiată trebuie să ofere un nivel corespunzător de protecţie fizică şi de mediu (a se
vedea capitolul 7), în acord cu standardele aplicate în locaţia principală. Metodele folosite pentru
suportul media în locaţia principală trebuie extinse şi în locaţia de siguranţă;
d)acolo unde este posibil, suportul pe care se fac copiile de siguranţă trebuie testat în mod regulat,
pentru a se asigura faptul că se poate folosi în caz de urgenţă, atunci când este nevoie;
e)procedurile de restaurare trebuie verificate şi testate în mod regulat pentru a se asigura că sunt
eficace şi că pot fi efectuate în timpul alocat procedurilor operaţionale pentru restaurare.
Trebuie determinate în mod clar perioada de păstrare a informaţiilor esenţiale pentru afacere şi orice altă
cerinţă pentru copiile arhivate care ar trebui păstrate permanent (a se vedea 12.1.3).
8.4.2 Jurnalele operatorilor
Personalul operaţional trebuie să păstreze un jurnal al activităţilor lor. Jurnalele ar trebui să includă
următoarele:
a)timpul de pornire şi oprire a sistemului;

b)erorile sistemului şi acţiunile corective luate;
c)confirmarea operării corecte a fişierelor de date şi a datelor de ieşire ale calculatoarelor;
d)numele persoanei care notează în jurnal.
Jurnalele operatorilor trebuie verificate periodic, de personal independent pentru a verifica procedurile de
operare.
8.4.3 Jurnal de înregistrare a defectelor
Defectele trebuie raportate şi trebuie luate măsuri corective. Defectele raportate de către utilizatori privind
probleme cu sistemele de procesare a informaţiei sau de comunicaţii trebuie înregistrate în jurnal.
Trebuie să existe reguli clare pentru raportarea erorilor, printre care şi:
a)revizuirea jurnalelor de înregistrare a defectelor, pentru a se asigura de faptul că erorile au fost
rezolvate satisfăcător;
b)revizuirea controalelor corective pentru a se asigura de faptul că n-au fost compromise controalele
şi că acţiunile luate sunt în totalitate autorizate.
26
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO S Blue Project Software
SR ISO/CEI 17799:2004
8.5 Managementul reţelei
Obiectiv. Asigurarea păstrării în siguranţă a informaţiei în reţea şi a protecţiei infrastructurii de suport.

Managementul securităţii reţelelor care pot trece peste graniţele organizaţiei cere o deosebită atenţie.
Sunt necesare, de asemenea şi controale suplimentare, pentru a proteja datele sensibile care sunt
transmise prin reţelele publice.
8.5.1 Controale pentru managementul reţelei
Pentru a obţine şi menţine securitatea în reţelele de calculatoare, este necesară o gamă de controale
Managerii de reţea trebuie să implementeze controale pentru a asigura securitatea datelor în reţea şi
protecţia serviciilor conexe faţă de accesul neautorizat. Următoarele controale trebuie considerate in mod
special:
a)responsabilitatea operaţională pentru reţea trebuie separată de operarea calculatoarelor, acolo
unde este posibil (a se vedea 8.1.4.);
b)trebuie stabilite responsabilităţi şi proceduri pentru managementul echipamentelor de la distanţă,
inclusiv echipamente din zona utilizatorilor;
c)dacă este necesar, trebuie stabilite metode speciale pentru a păstra în siguranţă confidenţialitatea
şi integritatea datelor care trec prin reţelele publice şi pentru a proteja sistemele conexe (a se
vedea 9.4 şi 10.3). Pentru menţinerea disponibilităţii pot fi necesare metode speciale serviciilor de
reţea şi a calculatoarelor conectate;
d)activităţile de management trebuie coordonate îndeaproape, atât pentru optimizarea serviciului
pentru afacere, cât şi pentru a se asigura faptul că aceste metode sunt aplicate consecvent în
infrastructura de procesare a informaţiei.
8.6 Operare şi securitatea mediilor de stocare
Obiectiv: Prevenirea distrugerii resurselor şi întreruperii activităţilor organizaţiei. Suportul media trebuie
controlat şi protejat fizic.
Trebuie stabilite proceduri de operare pentru protejarea documentelor, mediilor de stocare (benzi,
discuri, casete), date de intrare/ieşire şi documentaţie de sistem împotriva distrugerii, furtului şi
accesului neautorizat.
8.6.1 Managementul mediilor mobile de stocare pentru calculatoare
Pentru managementul mediilor mobile de stocare pentru calculatoare trebuie să existe proceduri, cum ar
fi benzi, discuri, casete şi rapoarte tipărite. Trebuie luate in considerare următoarele controale:
a)conţinutul oricărui suport media reutilizabil care va fi scos din organizaţie trebuie şters dacă nu mai
este necesar;
b)pentru toate suporturile media scoase din organizaţie trebuie cerută autorizare şi trebuie menţinută
o înregistrare a tuturor acestora, pentru a putea întreţine un registru de audit (a se vedea 8.7.2);
c) toate suporturile media trebuie stocate într-un spaţiu sigur, în acord cu specificaţiile producătorului.
Toate procedurile şi nivelurile de autorizare trebuie clar documentate.
27
SR ISO/CEI 17799:2004
8.6.2 Casare medii de stocare
Suporturile de stocare trebuie eliminate în siguranţă în momentul în care nu mai sunt necesare. Printr-o
eliminare necorespunzătoare, se pot scurge informaţii sensibile către persoane din exterior. în scopul de a
minimiza acest risc pentru o eliminare sigură, trebuie stabilite proceduri oficiale. Trebuie considerate,
următoarele controale
a)suporturile media care conţin informaţii sensibile trebuie stocate şi eliminate în siguranţă, de
exemplu, prin ardere sau rupere în bucăţi sau golite de date, pentru a fi folosite de către altă
aplicaţie, în cadrul organizaţiei;
b)lista următoare identifică articolele care ar putea cere securizare la eliminare:
1)documente tipărite;
2)înregistrări de voce sau alt tip de înregistrări;
3)indigouri;
4)rapoarte de ieşire;
5)panglici de imprimantă, folosite doar o dată;
6)benzi magnetice;
7)discuri şi casete mobile;

8)medii de stocare optice (toate formele şi incluzând toate suporturile media de distribuţie de
software de la producător);
9)listinguri de program;
10)date de test;
11) documentaţie de sistem.
c)este mai simplu să se dispună ca toate suporturile de stocare să fie colectate şi distruse în
siguranţă, decât să se încerce separarea articolelor sensibile;
d)multe organizaţii oferă servicii de colectare şi distrugere pentru hârtii, echipamente şi media,
trebuie avută grijă în selectarea unui contractor potrivit cu metode şi experienţă adecvate;
e)distrugerea mediilor de stocare sensibile trebuie jumalizată, acolo unde este posibil, pentru a
putea întreţine un registru de audit.
Când se acumulează suporturi media în vederea distrugerii, trebuie acordată atenţie efectului de
agregare, care poate facilita ca o mare cantitate de informaţie neclasificată să devină mai sensibilă decât o
cantitate mică de informaţii clasificate.
8.6.3 Proceduri de operare asupra informaţiei
Trebuie stabilite proceduri pentru operarea şi stocarea informaţiei, pentru a proteja astfel de informaţii faţă
de dezvăluirea şi folosirea neautorizată. Procedurile trebuie gândite pentru operarea informaţiei în funcţie
de clasificarea ei (a se vedea 5.2) pentru documente, sisteme computaţionale, reţele, calculatoare portabile,
comunicaţii mobile, poştă, căsuţă vocală, comunicaţii vocale în general, multimedia, servicii/mijloace
poştale, folosirea faxurilor şi a altor articole sensibile, cum ar fi cecuri şi facturi în alb. Trebuie luate în
considerare următoarele controale (a se vedea şi 5.2 şi 8.7.2):
a)operarea şi etichetarea tuturor suporturilor media (a se vedea şi 8.7.2 a);
b)restricţii de acces pentru a putea identifica personalul neautorizat;
c)menţinerea unei înregistrări oficiale a persoanelor autorizate să primească date;

28
SR ISO/CEI 17799:2004
d)asigurarea că datele de intrare sunt complete, că procesarea este încheiată corespunzător şi

că se aplică validarea la ieşire;
e)protejarea datelor care aşteaptă la ieşire, la un nivel corespunzător cu sensibilitatea lor;
f)depozitarea mediilor de stocare într-un mediu care este în concordanţă cu specificaţiile

producătorului;
g)păstrarea unui minim de distribuţie a datelor;
h) marcarea clară a tuturor copiilor de date pentru atenţionarea celor autorizaţi să le primească;
i) revizuirea la intervale regulate a listei de distribuţie şi a listei de persoane autorizate să

primească date.
8.6.4 Securitatea documentaţiei de sistem
Documentaţia de sistem poate conţine multe informaţii sensibile, cum ar fi descrieri de procese de
aplicaţii, proceduri, structuri de date, procese de autorizare (a se vedea şi 9.1). Pentru a proteja
documentaţia de sistem de accesul neautorizat. Trebuie considerate următoarele controale,
a)documentaţia de sistem trebuie depozitată în siguranţă;
b)lista de acces pentru documentaţia de sistem trebuie păstrată la un minim şi autorizată de către
proprietarul aplicaţiei;
c)documentaţia de sistem păstrată pe o reţea publică sau oferită printr-o reţea publică trebuie
protejată corespunzător.
8.7 Schimburi de informaţie şi software
Obiectiv: Prevenirea pierderii, modificării sau folosirii necorespunzătoare a informaţiei schimbate între
organizaţii.
Schimbul de informaţie şi software între organizaţii trebuie controlat şi trebuie să fie în acord cu legislaţia
în vigoare (a se vedea articolul 12).
Schimburile trebuie realizate pe baza unui acord. Trebuie întocmite proceduri şi standarde pentru
protejarea informaţiei şi suporturilor media care tranzitează. Trebuie luate în considerare implicaţiile
asupra activităţii şi securităţii, asociate cu schimbul electronic de date, comerţul electronic şi poşta
electronică şi necesitatea unor metode de control.
8.7.1 Acorduri pentru schimbul de informaţie şi software
Trebuie stabilite acorduri pentru schimbul de informaţie şi software (în formă electronică sau fizică) între
organizaţii, unele putând fi oficiale, incluzând chiar şi acorduri cu terţi, acolo unde este cazul. Conţinutul
unui astfel de acord privind securitatea trebuie să reflecte sensibilitatea informaţiei implicate. Acordurile
asupra condiţiilor de securitate trebuie să ţină seama de:
a)responsabilităţile managementului pentru controlul şi notificarea transmisiei, a livrării şi a

recepţiei;
b)proceduri pentru notificarea expeditorului, transmisiei, livrării şi recepţiei;
c)un minim de standarde tehnice pentru împachetare şi transmisie;
d)standardele de identificare a curierilor;
e)responsabilităţi şi obligaţii în eventualitatea pierderii datelor;
29
SR ISO/CEI 17799:2004
f)folosirea unui sistem agreat de etichetare pentru informaţii sensibile sau critice, prin care să se
asigure că eticheta este imediat înţeleasă şi că informaţia este protejată corespunzător;
g)proprietatea informaţiei şi a software-ului şi responsabilităţile pentru protecţia datelor,
respectarea legii de copyright pentru software şi consideraţii similare (a se vedea 12.1.2 şi
12.1.4);
h) standarde tehnice pentru înregistrarea şi citirea informaţiei şi a software-ului;
i) orice metodă specială care poate fi cerută pentru a proteja articole sensibile, cum ar fi chei
criptografice (a se vedea 10.3.5).
8.7.2 Securitatea suporturilor media în tranzit
Informaţia poate fi vulnerabilă la acces neautorizat, folosire necorespunzătoare sau corupere în timpul
transportului fizic, de exemplu atunci când se transmite pe suport media prin poştă sau prin curier. Pentru a
proteja suporturile media care sunt transportate între locaţii trebuie aplicate următoarele controale:
a)trebuie utilizate mijloace de transport sau curieri de încredere, lista curierilor autorizaţi trebuie
să fie aprobată de către managementul organizaţiei şi trebuie implementată o procedură de
verificare a identităţii curierilor;
b)procesul de ambalare trebuie să poată asigura protejarea conţinutului împotriva oricărei

deteriorări fizice ce poate apărea în procesul de tranzit şi trebuie să fie în acord cu specificaţiile
producătorilor;
c)trebuie adoptate controale speciale, acolo unde este necesar, pentru protejarea informaţiei
sensibile de la dezvăluirea neautorizată sau modificare. Exemplele includ:
1)utilizarea de containere închise;

2)livrarea în mână;
3)împachetare care să permită evidenţierea unor încercări de desfacere (care să dezvăluie
orice tentativă de accesare);
4)în cazuri excepţionale, împărţirea comenzii în mai multe pachete şi livrarea lor prin mai multe
rute;
5)utilizarea semnăturii electronice şi a criptării confidenţiale (a se vedea 10.3).
8.7.3 Securitatea comerţului electronic
Comerţul electronic poate implica utilizarea schimbului de date electronice (EDI)N6), a poştei electronice şi a
tranzacţiilor on line prin reţelele publice, cum ar fi Intemetul. Comerţul electronic este vulnerabil faţă de o
serie de ameninţări de reţea care se pot concretiza în activităţi de fraudare, contestare a contractelor şi
dezvăluire sau modificare a informaţiei. Trebuie aplicate controale pentru protejarea comerţului electronic de
astfel de ameninţări. Considerentele de securitate pentru comerţul electronic trebuie să includă
următoarele controale:
a)autentificarea. Ce nivel de încredere în identitatea pretinsă trebuie cerut de către client şi
comerciant, unul altuia?
b)autorizarea. Cine este autorizat să fixeze preţurile, să emită sau să semneze documente
comerciale importante? cum recunoaşte partenerul comercial aceasta?
c)contractul şi procesele de ofertare. Care sunt cerinţele pentru confidenţialitate, integritate şi
dovada livrării şi recepţionării documentelor importante şi nerepudierea contractelor?
d)informaţii despre preţuri. Ce nivel de încredere poate fi acordat integrităţii listei de preţuri publicate
şi confidenţialităţii cu privire la aranjamentele de acordare a reducerilor de preţuri?
N6>
NOTĂ NAŢIONALĂ- electronic data interchange
30
SR ISO/CEI 17799:2004
e)tranzacţiile de comandă. Cum este oferită confidenţialitatea şi integritatea comenzii, a plăţii şi a

detaliilor adresei de livrare şi a confirmării primirii?
f)examinarea. Ce grad de examinare este potrivit pentru verificarea informaţiei de plată furnizate de
către client?
g)înţelegerea. Care este cea mai potrivită formă de plată pentru protecţia împotriva fraudelor?
h) comanda. Ce protecţie este necesară pentru a menţine confidenţialitatea şi integritatea informaţiei
de comandă şi pentru a evita pierderea sau duplicarea tranzacţiei?
i) responsabilitatea. Cine suportă riscul unei tranzacţii frauduloase?
Multe dintre considerentele de mai sus pot fi rezolvate prin aplicarea tehnicilor criptografice subliniate
în 10.3, luând în considerare conformitatea cu cerinţele legale (a se vedea 12.1., în special 12.1.6 pentru
legislaţia criptografică).
înţelegerile realizate prin comerţul electronic între partenerii comerciali trebuie sprijinite de o înţelegere
documentată care să oblige ambele părţi asupra termenilor de comerţ, incluzând detalii despre autorizare
(a se vedea punctul b) de mai sus). Pot fi necesare şi alte înţelegeri cu furnizorii de servicii informatice şi
a reţelelor cu valoare adăugată.
Sistemele de comerţ publice trebuie să facă publici termenii de afaceri către clienţi.
Trebuie acordată atenţie şi expunerii în faţa atacurilor asupra sistemului gazdă care este utilizat pentru
realizarea comerţului electronic şi asupra implicaţiilor de securitate a oricărei interconectări de reţea,
necesare pentru implementarea ei (a se vedea 9.4.7).
8.7.4 Securitatea poştei electronice
8.7.4.1 Riscuri de securitate

Poşta electronică este utilizată pentru comunicaţii de afaceri, înlocuind forme tradiţionale de comunicare,
cum ar fi telexul şi scrisorile. Poşta electronică diferă de formele tradiţionale de comunicare de afaceri
prin, spre exemplu, viteza, structura mesajului, gradul de neoficial şi de vulnerabilitate la acţiuni de acces
neautorizat. Trebuie acordată atenţie nevoii de introducere de controale pentru a reduce riscurile de
securitate create de poşta electronică. Riscurile de securitate includ:
a)vulnerabilitatea mesajelor faţă de accesul neautorizat sau modificare sau indisponibilitatea

serviciului;
b)vulnerabilitatea la erori, de exemplu adresare incorectă sau direcţionare greşită, gradul de
încredere şi disponibilitatea serviciului, în general;
c)impactul schimbării mediului de comunicaţii asupra proceselor afacerii, de exemplu efectul vitezei
de trimitere crescute sau efectul trimiterii de mesaje oficiale de la persoană la persoană, mai
degrabă decât de la companie la companie;
d)consideraţii legale, cum ar fi nevoia potenţială de dovedire a originii, trimiterii, livrării şi acceptării;
e)implicaţii ale publicării externe a listei cu personalul disponibil;
f)controlul accesului utilizatorului de la distanţă la conturile de poştă electronică.
8.7.4.2 Politica referitoare la poşta electronică

Organizaţiile trebuie să traseze o politică clară privind folosirea poştei electronice, incluzând:
a)atacuri asupra poştei electronice, de exemplu viruşi, intercepţii;
b)protecţia documentelor electronice ataşate la mesajele trimise prin poşta electronică;
c)îndrumări când nu trebuie utilizată poşta electronică;
31
SR ISO/CEI 17799:2004
d)responsabilităţile angajaţilor de a nu compromite compania, de exemplu trimiterea de mesaje

defăimătoare prin poşta electronică, utilizarea poştei electronice pentru hărţuire, achiziţionarea
neautorizată prin poşta electronică;
e)utilizarea tehnicilor criptografice pentru protejarea confidenţialităţii şi integrităţii mesajelor
electronice (a se vedea 10.3).
f)reţinerea mesajelor care, dacă sunt stocate, pot fi descoperite în cazul unor litigii;
g)controale adiţionale pentru examinarea mesajelor care nu pot fi autentificate.
8.7.5 Securitatea sistemelor electronice din instituţie
Politicile şi îndrumările trebuie pregătite şi implementate pentru a controla afacerea şi riscurile de

securitate asociate cu sistemele electronice ale instituţiei. Acestea furnizează oportunităţi pentru
răspândirea mai rapidă şi partajarea informaţiilor de afaceri, utilizând o combinaţie de: documente,
calculatoare, dispozitive de calcul mobile, comunicaţii mobile, poştă electronică, mesaje electronice
vocale, comunicaţiile de voce în general, multimedia, servicii/mijloace poştale şi maşini de fax.
Atenţia acordată securităţii şi implicaţiilor asupra activităţii de interconectare a unor astfel de echipamente
trebuie să includă:
a)vulnerabilităţi ale informaţiei în sistemele instituţiei, de exemplu, înregistrarea convorbirilor

telefonice sau teleconferinţelor, confidenţialitatea apelurilor, stocarea faxurilor, deschiderea poştei,
distribuţia poştei;
b)politici şi controale potrivite pentru managementul partajării informaţiei, de exemplu folosirea

unor buletine informative electronice ale corporaţiei (a se vedea 9.1);
c)excluderea categoriilor de informaţii sensibile ale afacerii, dacă sistemul nu furnizează un nivel
adecvat de protecţie (a se vedea 5.2);
d)restricţionarea accesului la informaţii de agendă legate de anumite persoane, de exemplu
personal ce lucrează la proiecte sensibile;
e)adecvarea sistemului pentru suportul aplicaţiilor afacerii, cum ar fi ordine de comunicare sau
autorizaţii;
f)categorii de personal, contractanţi sau parteneri de afaceri cărora le este permis accesul la sistem
şi locaţiile de unde poate fi accesat (a se vedea 4.2);
g)restricţionarea echipamentelor selectate, la categoriile specifice de utilizatori;

h) identificarea statutului utilizatorilor, de exemplu angajaţi ai organizaţiei sau contractanţi, trecuţi în
agende pentru beneficiul altor utilizatori;
i) reţinerea şi realizarea unui copie de siguranţă la informaţiile aflate în sistem (a se vedea 12.1.3 şi
8.4.1);
j) cerinţe şi aranjamente de retragere (a se vedea 11.1).
8.7.6 Sisteme disponibile public
Trebuie acordată atenţie pentru protejarea integrităţii informaţiei publicate electronic pentru a preveni
modificarea neautorizată care poate afecta credibilitatea organizaţiei care face publicarea. Este necesar ca
informaţia care este disponibilă pe un sistem public, de exemplu informaţia de pe un server web, accesibilă
prin Internet, să fie conformă cu legile, regulile şi reglementările din jurisdicţia în care sistemul este localizat
sau unde are loc schimbul comercial. Trebuie să existe un proces de autorizare oficială, înainte ca
informaţia să fie disponibilă public.
Software-ul, datele şi alte informaţii necesitând un înalt nivel de integritate, făcute disponibile printr-un
sistem public, trebuie protejate prin mecanisme potrivite, de exemplu, semnături electronice (a se
vedea 10.3.3). Sistemele de publicare electronice, în special acelea care permit feedback şi introducere
directă a informaţiei, trebuie atent controlate astfel încât:
32
SR ISO/CEI 17799:2004
a)informaţia să fie obţinută în conformitate cu orjce legislaţie privind protecţia datelor (a se

vedea 12.1.4);
b)informaţia de intrare în (input in) şi procesată de sistemul de editare va fi procesată complet şi

exact, într-o manieră corespunzătoare;
c)informaţia sensibilă va fi protejată în timpul procesului de colectare şi atunci când este stocată;
d) accesul la sistemul de publicare nu va permite acces neintenţionat la reţelele la care este conectat.
8.7.7 Alte forme de schimb de informaţie
Trebuie instituite proceduri şi controale care să protejeze schimbul de informaţii prin folosirea de voce,
facsimile şi mijloace de comunicare video. Informaţia poate fi compromisă din cauza lipsei de cunoştinţă,
politicii sau procedurilor de utilizare a acestor mijloace, de exemplu ascultarea unei convorbiri telefonice
mobile într-un loc public, ascultarea maşinilor de răspuns automat, acces neautorizat pentru dial-in într-un
sistem de mesaje vocale sau trimiterea accidentală de facsimile la alte persoane care utilizează
echipamente pentru facsimile.
Operaţiunile afacerii pot fi întrerupte şi informaţia poate fi compromisă dacă mijloacele de comunicare
eşuează, sunt supraîncărcate sau întrerupte (a se vedea 7.2 şi articolul 11). Informaţia poate fi, de
asemenea, compromisă dacă operaţiunile afacerii sunt accesate de către utilizatori neautorizaţi (a se
vedea articolul 9).
Trebuie făcută o declaraţie clară a politicii de proceduri pe care personalul ar trebui să le urmărească în
utilizarea vocii, facsimilelor şi comunicaţiilor video. Aceasta trebuie să includă:
a) reatenţionarea periodică a personalului asupra precauţiilor potrivite pe care trebuie să le urmeze,

de exemplu, nedezvăluirea informaţiei sensibile, astfel încât să se evite ascultarea sau
interceptarea, atunci când se realizează o convorbire telefonică de către:
1)persoanele aflate în vecinătatea imediată, mai ales atunci când se folosesc telefoanele
mobile;
2)conectarea pe linia telefonică şi alte forme de ascultare prin acces fizic asupra telefonului sau
asupra liniei telefonice, sau utilizând receptoare cu scanare în cazul utilizării telefoanelor
mobile analogice;
3)oamenii care sunt destinatari;
b)reamintirea personalului asupra faptului că nu trebuie să poarte discuţii confidenţiale în locuri

publice sau birouri deschise şi în locuri de întâlnire cu pereţi subţiri;
c)să nu fie lăsate mesaje în maşinile de răspuns automat, întrucât acestea să poată fi reascultate de
persoane neautorizate, stocate în sisteme comune sau stocate incorect, ca urmare a procedurii
de apelare greşite;
d)reamintirea personalului asupra problemelor utilizării maşinilor de creat facsimile şi anume:
1)accesul neautorizat la mesajele arhivate ce poate conduce la recuperarea lor;

2)programarea accidentală sau deliberată a maşinilor de a transmite mesaje la anumite
numere;
3)trimiterea de documente şi mesaje la un număr greşit, fie prin greşirea modalităţii de realizare
a apelului, fie prin utilizarea greşită a unui număr stocat.
33
SR ISO/CEI 17799:2004
;9
Controlul accesului
9.1 Cerinţele afacerii pentru controlul accesului
Obiectiv: Controlul accesului la informaţie.
Accesul la informaţie şi procesele afacerii trebuie controlat pe baza cerinţelor afacerii şi a cerinţelor de
securitate.
Acesta trebuie să ia în calcul politicile de diseminare şi autorizare ale informaţiei.
9.1.1 Politica de control al accesului
9.1.1.1 Politica şi cerinţele afacerii privind controlul accesului

Cerinţele afacerii privind controlul accesului trebuie definite şi documentate. Regulile de control al
accesului şi drepturile fiecărui utilizator sau grup de utilizatori trebuie exprimate clar într-o declaraţie
privind politica de acces. Utilizatorilor şi prestatorilor de servicii trebuie să le fie înmânată o declaraţie clară
care să cuprindă cerinţele afacerii care trebuie îndeplinite prin controalele de acces. Politica de acces trebuie
să ţină seama de următoarele:
a)cerinţele de securitate ale aplicaţiilor specifice de afaceri;

b)identificarea tuturor informaţiilor referitoare la aplicaţiile de afaceri;
c)politici de diseminare a informaţiei şi autorizare, de exemplu necesitatea cunoaşterii
principiilor şi a nivelurilor de securitate şi clasificarea informaţiei;
d)consecvenţa între controlul accesului şi politicile de clasificare a informaţiei pentru diferite
sisteme şi reţele;
e)legislaţia relevantă şi orice obligaţii contractuale privind protecţia accesului la date sau servicii
(a se vedea clauza 12);
f)profiluri de acces standard pentru utilizatori, pentru categorii comune de activităţi;

g)managementul drepturilor de acces într-un mediu distribuit şi mediu interconectat care
recunoaşte toate tipurile de conexiuni disponibile.
9.1.1.2 Reguli de control al accesului

în specificarea regulilor de control al accesului, trebuie considerate următoarele aspecte:
a)diferenţierea între regulile care trebuie întotdeauna aplicate şi cele care sunt opţionale sau
condiţionate.
b)stabilirea regulilor bazate pe premisa "Ce trebuie interzis în general, în afara cazului în care este
permis în mod clar" în locul regulii mai slabe "Totul este în general permis, în afară de ce este clar
interzis"
c)schimbările în categoria informaţiilor (a se vedea 5.2) care sunt iniţiate automat de echipamentele
de prelucrare a informaţiei şi cele iniţiate la discreţia utilizatorului;
d)schimbări în drepturile utilizatorului ce sunt iniţiate automat de sistemul de informaţii şi cele
iniţiate de administrator;
e)regulile ce implică aprobarea administratorului sau alte aprobări înainte de implementare şi cele
care nu implică aceste lucruri.
34
SR ISO/CEI 17799:2004
9.2 Manangementul accesului utilizatorului
Obiectiv: Prevenirea accesului neautorizat la sistemele informatice.
Pentru controlul alocării drepturilor de acces la sistemele informatice şi servicii trebuie instituite proceduri
oficiale.
Procedurile trebuie să acopere toate fazele din perioada în care utilizatorului i se permite accesul, de la
înregistrarea iniţială de noi utilizatori şi până la anularea finală a accesului utilizatorilor care nu mai
necesită acces la sistemele de informaţii si servicii. Acolo unde este cazul trebuie să se acorde o atenţie
specială necesităţii de a controla alocarea drepturilor de acces privilegiat, care ar permite utilizatorilor să
treacă de controalele sistemului.
9.2.1 înregistrarea utilizatorului
Trebuie să existe o procedură de înregistrare şi de anulare oficială a dreptului de acces al utilizatorului la

toate sistemele şi serviciile informatice de tip multi-utilizator.
Accesul la serviciile de informaţii multi-utilizator trebuie controlat printr-un proces oficial de înregistrare a
utilizatorului, care ar trebui să includă:
a)folosirea de identificatori unici pentru ca utilizatorii să poată fi identificaţi şi responsabilizaţi pentru

acţiunile lor. Utilizarea de identificatori unici de grup trebuie permisă doar unde este necesară
pentru desfăşurarea activităţii;
b)verificarea acordării accesului de către proprietarul sistemului pentru utilizarea unui sistem
informatic sau serviciu. Sunt recomandabile aprobări speciale pentru drepturile de acces din
partea managementului;
c)verificarea dacă nivelul de acces este în concordanţă cu obiectivele activităţii (a se vedea 9.1) şi
în acord cu politica de securitate a organizaţiei, de exemplu nu compromite separarea sarcinilor(a
se vedea 8.1.4);
d)înmânarea utilizatorilor a unei înregistrări scrise privind drepturile lor de acces;
e)cererea utilizatorilor de a semna declaraţia, indicând faptul că înţeleg condiţiile de acces;

f)asigurarea faptului că furnizorii de servicii nu acordă accesul decât după încheierea procedurilor
de autorizare;
g)menţinerea unei înregistrări oficiale asupra tuturor persoanelor înregistrate pentru folosirea
serviciului;
h) retragerea imediată a drepturilor de acces utilizatorilor care şi-au schimbat activitatea sau au
părăsit organizaţia;
i) verificarea periodică şi eliminarea conturilor şi a identificatorilor redundanţi;
j) asigurarea în privinţa eliminării emiterii unor identificatori redundanţi altor utilizatori.
Trebuie acordată atenţie de asemenea includerii unor clauze în contractele angajaţilor şi în contractele de
service care să specifice sancţiuni în cazul unor încercări de acces neautorizat de către personalul
angajat sau agenţii de service (a se vedea de asemenea 6.1.4 şi 6.3.5).
9.2.2 Managementul privilegiilor
Alocarea privilegiilor şi utilizarea acestora (orice caracteristică sau facilitate a unui sistem multi-utilizator
ce poate permite utilizatorului să treacă peste controalele de sistem sau de aplicaţie) trebuie restricţionată
şi controlată. Folosirea neadecvată a privilegiilor de sistem reprezintă un factor major ce contribuie
adesea la căderea sistemelor care au fost deschise fără permisiune.
35
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO 8, Blue Project Software
SR ISO/CEI 17799:2004
Sistemele multi-utilizator ce necesită protecţie împotriva accesului neautorizat trebuie să controleze

acordarea de privilegii printr-un proces oficial de autorizare. Trebuie consideraţi următorii paşi:
a)trebuie identificate privilegiile asociate cu fiecare produs de sistem, de exemplu sistem de

operare, sistem de gestiune de baze de date, fiecare aplicaţie, precum şi categoriile de personal
cărora le-ar trebui alocate;
b)privilegiile trebuie alocate individual pe baza necesităţii de utilizare şi a evenimentelor în

desfăşurare, de exemplu minimul necesar pentru rolul lor funcţional, numai atunci când este
nevoie;
c)trebuie menţinut un proces de autorizare şi o înregistrare a tuturor privilegiilor acordate,

privilegiile nu trebuie acordate dacă procesul de autorizare nu este complet;
d)dezvoltarea şi utilizarea rutinelor de sistem trebuie impuse pentru evitarea necesităţii de acordare
de privilegii utilizatorilor;
e)privilegiile trebuie alocate pentru un identificator diferite de cele folosite în mod normal în
activităţile organizaţiei.
9.2.3 Managementul parolelor utilizatorilor
Parolele reprezintă un mod obişnuit de validare a identităţii unui utilizator pentru a accesa un sistem sau un
serviciu informatic. Alocarea parolelor trebuie controlată printr-un proces oficial de management, pentru
care va trebui:
a)să se ceară utilizatorilor să semneze o declaraţie prin care să păstreze confidenţialitatea parolelor
personale şi a parolelor de grup numai între membrii grupului (acest lucru poate fi inclus în
termenii şi condiţiile de angajare, a se vedea 6.1.4);
b)să se asigure, acolo unde utilizatorii trebuie să menţină o parolă personală, o parolă temporară
iniţială, pe care utilizatorii sa fie forţaţi să o schimbe imediat după acces. Parolele temporare date
în cazurile în care utilizatorii uită parolele, trebuie furnizate doar după identificarea utilizatorului;
c)să se urmărească acordarea parolelor temporare către utilizatori numai intr-un mod securizat.
Folosirea de mesaje de email de la terţi sau cu text în clar neprotejat trebuie evitată. Utilizatorii
trebuie să confirme primirea parolelor.
Parolele nu trebuie niciodată să fie stocate într-un calculator într-o formă neprotejată (a se vedea alte
tehnologii pentru identificarea şi autentificarea utilizatorilor, cum ar fi biometria, exemplu, verificarea de
amprente, verificarea semnăturii şi folosirea de chei (token)N7> hardware sau de exemplu cârduri cu cip
disponibile şi trebuie analizate dacă sunt aplicabile).
9.2.4 Analizarea drepturilor de acces ale utilizatorilor
Pentru a menţine un control efectiv asupra accesului la informaţii şi servicii, managementul trebuie să
întreprindă un proces oficial, la intervale regulate, de analizare a drepturilor de acces al utilizatorilor astfel
încât:
a)drepturile de acces ale utilizatorilor sa fie analizate la intervale regulate (este recomandată o
perioadă de 6 luni) şi după fiecare schimbare (a se vedea 9.2.1);
b)autorizarea pentru drepturi de acces privilegiate (a se vedea 9.2.2) trebuie revizuită la intervale
mai mici, o perioadă de 3 luni fiind recomandată;
c)alocarea privilegiilor să fie verificată la intervale regulate pentru a se asigura că nu s-au obţinut
privilegii neautorizate.
N7)
NOTĂ NAŢIONALĂ - token- unitate distinctă în secvenţă de caractere/atom lexical, jeton(reţele),
36
Pagina extrasa din aplicaţia Standard FullTextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
9.3 Responsabilităţi utilizatori
Obiectiv: Prevenirea accesului neautorizat al utilizatorilor la informaţii.

Cooperarea utilizatorilor autorizaţi este esenţială pentru o securitate eficientă. Utilizatorii trebuie să fie
informaţi de responsabilităţile lor în menţinerea unui sistem eficient de control al accesului, în special
asupra folosirii parolelor şi a securităţii echipamentelor pe care le utilizează.
9.3.1 Utilizarea parolelor

Utilizatorii trebuie să urmeze practici avansate de securitate în procesul de selectare şi utilizare ale
parolelor.
Parolele furnizează un mod de validare a identităţii unui utilizator, în acest fel stabilindu-se drepturile de
acces la echipamentele sau serviciile de procesare a informaţiei. Toţi utilizatorii trebuie sfătuiţi:
a)să păstreze parolele confidenţiale;
b)să evite menţinerea unei evidenţe pe hârtie a parolelor, în afara situaţiei în care acestea pot fi
stocate într-o locaţie sigură;
c)să schimbe parolele ori de cate ori există un indiciu al unei compromiteri de parolă sau sistem;
d)să selecteze parole de calitate cu o lungime minimă de 6 caractere care:
1)să fie uşor de ţinut minte;
2)să nu fie bazate pe nimic ce ar putea fi uşor de dedus sau obţinut din date personale, de
exemplu nume, numere de telefon, date de naştere etc;
3)să nu conţină caractere identice consecutive, sau caractere exclusiv numerice sau exclusiv
alfabetice.
e)să schimbe parolele la un interval de timp regulat sau în funcţie de numărul de accesări (parolele
pentru conturi privilegiate ar trebui schimbate mai des decât parolele normale), şi să evite
reutilizarea parolelor sau reciclarea parolelor vechi;
f)să schimbe parolele temporare la prima acces;
g)să nu includă parolele în nici un proces automat de acces, de exemplu stocate într-un macro sau
cheie funcţională;
h) să nu partajeze parolele individuale.
Dacă utilizatorii au nevoie să acceseze servicii sau platforme multiple şi este necesar să menţină parole
multiple, ei trebuie să fie sfătuiţi să folosească o singură parolă de complexitate ridicată (a se vedea d))
pentru toate serviciile care furnizează un nivel rezonabil de protecţie pentru parolele stocate.
9.3.2 Echipament nesupravegheat al utilizatorului

Utilizatorii trebuie să se asigure că echipamentele nesupravegheate beneficiază de o protecţie adecvată.
Echipamentele instalate în zone de utilizatori, de exemplu staţii de lucru sau servere de fişiere pot
necesita protecţie specifică împotriva accesului neautorizat când sunt lăsate nesupravegheate pentru o
perioadă mai îndelungată de timp. Toţi utilizatorii şi contractanţii trebuie informaţi asupra necesităţilor de
securitate şi asupra procedurilor de protejare a echipamentului nesupravegheat, ca de altfel şi asupra
responsabilităţilor ce le revin în implementarea unei asemenea protecţii. Utilizatorii trebuie sfătuiţi:
a)să închidă sesiunile resurse la terminare, în afara cazului în care există un mecanism de blocare,
de exemplu un screen saver protejat de parolă;
b)să închidă sesiunea de lucru a calculatoarelor de mare putereN8) la oprirea lor (nu doar închiderea
calculatorului sau terminalului);
c)să securizeze PC-urile sau terminalele împotriva accesului neautorizat printr-o blocare din taste
sau un control echivalent, de exemplu, acces pe baza de parolă, când nu este în folosinţă.
Na
> NOTĂ NAŢIONALA - mainframe
37
SR ISO/CEI 17799:2004
9.4 Control acces în reţea
Obiectiv: Protecţia serviciilor interconectate.

Accesul la servicii de reţea, atât interne cât şi externe trebuie controlat.
Acest lucru este necesar pentru a se asigura faptul că utilizatorii care au acces la reţele sau la servicii de
reţea nu compromit securitatea acestor servicii de reţea. Acest lucru se asigură prin:
a)interfeţe adecvate între reţeaua organizaţiei si alte reţele ale altor organizaţii sau reţele publice;
b)mecanisme de autentificare potrivite pentru utilizatori şi echipament;
c)control al accesului utilizatorului la serviciile informatice.
9.4.1 Politică de utilizare a serviciilor de reţea

Conexiunile nesigure la serviciile de reţea pot afecta întreaga organizaţie. Utilizatorilor li se va permite un
acces direct doar la serviciile pentru care au primit in mod explicit autorizaţie de utilizare. Acest control este
în special important pentru conexiunile de reţea pentru aplicaţiile critice ale activităţii organizaţiei sau pentru
utilizatorii aflaţi în locaţii cu risc ridicat, de exemplu zone publice sau externe, care sunt în afara
managementului şi controlului de securitate al organizaţiei.
Trebuie formulată o politică privind utilizarea reţelelor şi a serviciilor de reţea. Aceasta trebuie să acopere:
a)reţelele şi serviciile de reţea la care este permis accesul;

b)procedurile de autorizare pentru determinarea persoanei căreia îi este permis să acceseze
anumite reţele sau servicii de reţea;
c)controale şi proceduri de management pentru protejarea accesului la conexiunile de reţea şi la
serviciile de reţea.
Acesta politică va trebui să fie în acord cu politica de control al accesului organizaţiei (a se vedea 9.1).
9.4.2 Calea impusă
Calea de la terminalul utilizator la calculatorul ce realizează serviciul trebuie controlată. Reţelele sunt
proiectate pentru a permite maximizarea accesului la resurse şi flexibilitatea rutării. Aceste caracteristici pot
furniza de asemenea oportunităţi pentru accesul neautorizat la aplicaţiile de afaceri sau pentru folosirea
neautorizată a echipamentelor informatice ale organizaţiei. Asemenea riscuri se pot reduce prin
încorporarea unor controale ce restricţionează ruta dintre un terminal al unui utilizator şi serviciile de
sistem la care utilizatorul este autorizat să aibă acces, de exemplu prin crearea unei căi impuse.
Obiectivul unei căi impuse este acela de a reduce posibilitatea ca orice utilizator să selecteze alte rute
decât ruta dintre terminal şi serviciile la care acel utilizator este autorizat să aibă acces.
Acest lucru implică de obicei implementarea unui număr de controale în diferite puncte ale rutei. Principiul
este acela de a limita opţiunile de rutare în fiecare punct din reţea, prin alegeri prestabilite.
Exemple de acest fel sunt, după cum urmează:
a)alocarea de linii dedicate sau numere de telefon;

b)porturi de conectare automată la aplicaţii sistem specificate sau (porţi de acces) gatewayN9) de
securitate;
c)limitarea opţiunilor de meniu şi submeniu pentru utilizatorii individuali;
d)prevenirea circulaţiei nelimitate în reţea;
NU)
NOTĂ NAŢIONALĂ - unitate funcţională care conectează două reţele de calculatoare care au diferite arhitecturi de
reţea.ecluză, port de conectare/interconectare, emisie-recepţie
38
SR ISO/CEI 17799:2004
e)impunerea folosirii unor aplicaţii de sistem specificate sau/şi a unor porţi de acces securizate
pentru utilizatorii de reţea externi;
f)controlul activ al comunicaţiei între sursă şi destinaţie prin porţi de acces securizate, de
exemplu firewall;
g)restrângerea accesului la reţea prin realizarea unor domenii logice, de exemplu VPN (reţele
private virtuale), pentru grupuri de utilizatori din cadrul organizaţiei (a se vedea şi 9.4.6).
Cerinţele unei căi impuse trebuie să fie corespunzătoare politicii de control al accesului din organizaţie (a
se vedea 9.1).
9.4.3 Autentificarea utilizatorului pentru conexiuni externe
Conexiunile externe furnizează un potenţial pentru accesul neautorizat la informaţiile de afaceri, de

exemplu acces prin metode de apelare telefonicăN10>. De aceea, accesul de către utilizatorii la distanţă
trebuie să fie supus autentificării. Sunt diferite tipuri de metode de autentificare, unele furnizând un nivel
mai înalt de protecţie decât altele, de exemplu metode bazate pe folosirea tehnicilor criptografice, care
oferă o autentificare puternică. Este important de determinat din punct de vedere al analizei gradului de
risc nivelul de protecţie necesar. Aceasta este necesară pentru selecţia potrivită a metodei de
autentificare.
Autentificarea utilizatorilor la distanţă poate fi obţinută folosind, spre exemplu, o tehnică bazată pe
criptografie, chei, token-uri, hardware sau protocoale cerere/răspuns. Liniile private dedicate sau
posibilitatea de verificare a adresei de reţea a utilizatorilor pot fi de asemenea utilizate pentru furnizarea
siguranţei sursei de conexiuni.
Procedurile şi metodele de dial-back, de exemplu folosind modemuri dial-back, pot furniza protecţie
împotriva conexiunilor neautorizate şi nedorite la echipamentele de procesare a informaţiei ale
organizaţiei. Acest tip de control autentifică utilizatorii ce încearcă să stabilească o conexiune la reţeaua
organizaţiei din locaţii exterioare. Atunci când se foloseşte acest control, o organizaţie nu trebuie să
folosească servicii ce includ transferul de apeluri sau, dacă folosesc, trebuie să dezactiveze utilizarea
acestor caracteristici pentru a evita slăbiciunile rezultate din folosirea de transfer de apeluri. Este de
asemenea important ca procesul de caii back să includă asigurarea că se realizează efectiv o
deconectare din partea organizaţiei. Altfel, utilizatorul extern ar putea menţine linia deschisă pretinzând
că se realizează verificarea de caii back. Având în vedere această posibilitate, procedurile şi controalele
de caii back trebuie să fie bine testate.
9.4.4 Autentificarea nodurilor
Echipamentele de conectare automată la un calculator la distanţă ar putea furniza un mod de a dobândi

accesul neautorizat la o aplicaţie de afaceri. Conexiunile la calculatoare aflate la distanţă vor-trebui deci
autentificate. Acest lucru este important în special în cazul în care conexiunea foloseşte o reţea care este
în afara controlului managementului de securitate al organizaţiei. Câteva exemple de autentificare şi cum
poate fi aceasta realizată sunt date în 9.4.3.
Autentificarea nodului poate servi ca alternativă de autentificare a grupurilor de utilizatori la distanţă dacă
sunt conectaţi dintr-o locaţie comună, sigură de procesare date(a se vedea 9.4.3).
9.4.5 Protecţia la distanţă a porturilor de diagnoză
Accesul la porturile de diagnoză trebuie neapărat controlat. Multe calculatoare şi sisteme de comunicaţii
au instalate instrumente de diagnoză la distanţă de tip dial-up, necesare pentru inginerii de mentenanţă.
Dacă sunt neprotejate, aceste porturi de diagnoză furnizează modalităţi de acces neautorizat. Acestea
trebuie protejate, în consecinţă, de un mecanism de securitate adecvat, cum ar fi blocare din taste, şi de
o procedură care să asigure că sunt accesibile doar printr-o înţelegere între managerul serviciului
informatic şi personalul de suport hardware/software care necesită acces.
N10)
NOTĂ NAŢIONALĂ - dial up
39
SR ISO/CEI 17799:2004
9.4.6 Separarea în reţele
Reţelele sunt în continuă creştere în afara graniţelor tradiţionale ale organizaţiei, datorită încheierii de
parteneriate de afaceri care necesită interconectarea sau partajarea echipamentelor de procesare a
informaţiei şi de reţea. Aceste extinderi pot creşte riscul accesului neautorizat la sistemele de informaţii deja
existente care utilizează reţeaua, unele necesitând protecţie faţă de alţi utilizatori ai reţelei din cauza
sensibilităţii informaţiei sau a importanţei sale. în aceste circumstanţe trebuie luată în considerare
introducerea controlului în cadrul reţelei, pentru a separa în grupuri serviciile informatice, utilizatorii şi
sistemele informatice.
O metodă de control a securităţii reţelelor mari este separarea lor în domenii logice, de exemplu
domeniile intern şi extern ale reţelei unei organizaţii, fiecare protejat de un perimetru bine definit de
securitate. Acest perimetru poate fi implementat prin instalarea unei intrări securizate între cele două
reţele care se interconectează, pentru a controla accesul şi fluxul de informaţii între domenii. Acest
gateway trebuie să fie configurat astfel încât să filtreze traficul între aceste domenii (a se vedea 9.4.7 şi
9.4.8) şi să blocheze accesul neautorizat în conformitate cu politica de control al accesului a
organizaţiei (a se vedea 9.1). Un exemplu de astfel de gateway este ceea ce în mod obişnuit poartă
denumirea defirewalln11'.
Criteriul separării reţelelor în domenii trebuie să fie bazat pe politica de control al accesului şi cerinţele
pentru acces (a se vedea 9.1) şi de asemenea trebuie să ţină cont de costul relativ şi impactul asupra
performanţei în cazul încorporării reţelelor de rutare N12) adecvate sau a tehnologiilor gateway (a se vedea
9.4.7 şi 9.4.8).
9.4.7 Controlul conexiunii la reţea
Cerinţele politicii de control al accesului pentru reţele folosite în comun, în special pentru cele care se
extind în afara graniţelor organizaţiei, pot impune încorporarea de controale pentru restricţionarea
capabilităţii de conectare a utilizatorilor. Astfel de controale pot fi implementate prin gateway-uri de reţea
care filtrează traficul cu ajutorul tabelelor cu reguli prestabilite. Restricţiile aplicate trebuie să fie bazate pe
politica de acces şi pe cerinţele aplicaţiilor activităţilor organizaţiei (a se vedea 9.1) şi trebuie menţinute şi
actualizate corespunzător.
Exemple de aplicaţii asupra cărora trebuie aplicate restricţii:
a)poşta electronică;
b)transfer unidirecţional de fişiere;
c)transfer bidirecţional de fişiere;
d)accesul interactiv;
e)accesul la reţea corelat cu momentul din zi şi data accesului.
9.4.8 Controlul rutării în reţele
Reţelele partajate, în special acelea care se extind în afara graniţelor organizaţiei, pot necesita includerea de
controale ale dirijării traficului în reţele pentru a se asigura că fluxurile de informaţii şi conexiunile în reţea
nu încalcă politica de control al accesului la aplicaţiile organizaţiei (a se vedea 9.1). Acest control este
deseori esenţial pentru reţelele partajate cu utilizatori din afara organizaţiei.
Controlul rutării trebuie bazat pe mecanisme de verificare pozitivă a adreselor sursă şi destinaţie.
Translatarea adresei de reţea este de asemenea un mecanism foarte util pentru izolarea reţelelor şi
prevenirea propagării rutelor din reţeaua unei organizaţii în reţeaua altei organizaţii. Acest control poate fi
implementat sub formă software sau hardware. Realizatorii implementării trebuie să ştie cât de puternic
(restrictiv) este orice mecanism implementat.
N11)
NOTĂ NAŢIONALA - firewall - interfaţă de protecţie software/hardware N12) NOTĂ
NAŢIONALĂ - routing
40
SR ISO/CEI 17799:2004
9.4.9 Securitatea serviciilor de reţea
O gamă largă de servicii în cadrul reţelelor publice sau private este disponibilă, câteva din ele oferind
servicii cu valoare adăugată. Serviciile de reţea pot avea caracteristici de securitate unice sau complexe.
Organizaţiile ce folosesc servicii de reţea trebuie să se asigure că este oferită o descriere clară a
atributelor de securitate a tuturor serviciilor folosite.
9.5 Controlul accesului la sistemul de operare
Obiectiv: Prevenirea accesului neautorizat la calculatoare.

Pentru restricţionarea accesului la resursele unui calculator trebuie folosite caracteristicile de securitate
ale sistemului de operare. Acestea trebuie să fie capabile de următoarele:
a)identificarea şi verificarea identităţii şi dacă este necesar, a terminalului sau a locaţiei fiecărui
utilizator autorizat;
b)înregistrarea accesului reuşit şi nereuşit la sistem;

c)furnizarea unor echipamente de autentificare potrivite; dacă este utilizat un sistem de management al
parolelor, ar trebui să asigure calitatea parolelor (a se vedea 9.3.1 d);
d)acolo unde este cazul, restrângerea timpului de conectare al utilizatorului.

Alte metode de control al accesului, cum ar fi cerere-răspuns, sunt disponibile dacă acestea sunt
justificate pe baza evaluării riscului afacerii.
9.5.1 Identificare automată a terminalului
Va trebui considerată o metodă de identificare automată a terminalului pentru a autentifica conexiunile la

diverse locaţii sau echipamente mobile. Identificarea automată a terminalului este o tehnică ce poate fi
folosită când este important ca sesiunea să poată fi iniţiată numai dintr-o anumită locaţie sau numai de la
un anumit terminal. Pentru a indica dacă acest terminal are voie sau nu să iniţieze sau să primească
tranzacţii specifice trebuie folosit un identificator conţinut în sau ataşat terminalului. Este de asemenea
necesară aplicarea unei protecţii fizice a terminalului pentru a păstra siguranţa identificatorului. Există de
asemenea şi câteva alte tehnici ce pot fi folosite pentru autentificarea utilizatorilor (a se vedea 9.4.3).
9.5.2 Proceduri de acces la terminal
Accesul la servicii informatice trebuie să fie obţinut numai în urma unui proces securizat de acces.
Procedura de acces într-un sistem informatic trebuie planificată astfel încât să minimizeze posibilitatea
accesului neautorizat. O procedură adecvată de acces trebuie să:
a)nu afişeze identificatori de sistem sau de aplicaţie până ce nu s-a încheiat cu succes procesul de
acces;
b)să afişeze un anunţ generic care să spună că accesarea calculatorului este permisă numai
persoanelor autorizate;
c)în timpul procesului de acces să nu afişeze mesaje de help care ar putea ajuta un utilizator
neautorizat;
d)să valideze informaţia de acces numai după culegerea tuturor datelor de identificare. Dacă apare
o situaţie de eroare, sistemul nu trebuie să indice care parte a datelor de identificare este corectă
şi care nu.
41
SR ISO/CEI 17799:2004
e) să limiteze numărul de încercări de conectare nereuşite permise (recomandat este trei) şi:
1)să înregistreze tentativele nereuşite;

2)să forţeze o întârziere înaintea permiterii unor noi încercări de acces sau să respingă orice
încercări ulterioare de la acces fără o autorizare specială;
3)să deconecteze orice conexiune a legăturilor de date;
f)să limiteze timpul minim şi maxim permis pentru procedura de acces. Dacă acesta este depăşit,
sistemul trebuie să încheie sesiunea de acces;
g)să afişeze următoarele informaţii după completarea unui proces reuşit de acces:
1)data şi ora ultimului acces reuşit;

2)detalii despre orice încercare nereuşită de acces de la momentul ultimului acces reuşit până
la momentul prezent.
9.5.3 Identificarea şi autentificarea utilizatorului
Toţi utilizatorii (inclusiv personalul tehnic de suport, cum ar fi operatorii, administratorii de reţea,
programatorii de sistem şi administratorii bazelor de date) trebuie să aibă un identificator unic
(identificator de utilizator) pentru folosinţa lor personală în aşa fel încât activităţile să poată fi urmărite
până la nivelul responsabilităţii individuale. Identificatorii de utilizator nu trebuie să ofere nici o indicaţie
asupra nivelului privilegiilor acordate utilizatorului (a se vedea 9.2.2), de exemplu manager, supervizor, în
circumstanţe excepţionale, când există un beneficiu clar pentru afacere, se poate utiliza un identificator de
grup, comun pentru un grup de utilizatori sau pentru o sarcină specifică. Aprobarea din partea conducerii
va trebui să fie în astfel de cazuri, documentată. Pot fi necesare controale suplimentare pentru menţinerea
responsabilităţii.
Există diverse proceduri de autentificare care pot fi utilizate pentru a dovedi identitatea revendicată de un
utilizator. Parolele (a se vedea 9.3.1 şi în continuare) reprezintă un mod uzual de a furniza identificarea şi
autentificarea (I&A)N13) bazată pe un secret cunoscut doar de utilizator. Acelaşi lucru poate fi obţinut şi prin
metode criptografice şi protocoale de autentificare.
Obiecte ca token-uri de memorie sau smart cârduri pe care utilizatorii le pot deţine pot fi de asemenea
folosite pentru identificare şi autentificare. Pentru identificarea unei persoane pot fi folosite tehnologiile de
autentificare biometrică ce folosesc caracteristici sau atribute unice ale unui individ. O combinaţie de
tehnologii şi mecanisme asociate într-un mod justificat conduc la o autentificare mai puternică.
9.5.4 Sistem de management al parolelor

Parolele reprezintă unul din principalele moduri de validare a dreptului unui utilizator de a accesa servicii ale
calculatorului. Sistemul de management al parolelor trebuie să asigure mijloace eficiente, interactive, care să
asigure parole de calitate (a se vedea 9.3.1 pentru îndrumări în utilizarea parolelor).
Unele aplicaţii necesită ca parolele utilizator să fie furnizate de către o autoritate independentă. în cele mai
multe cazuri parolele sunt selectate şi întreţinute de către utilizatori.
Un sistem bun de management al parolelor trebuie:
a)să impună utilizarea de parole individuale pentru menţinerea responsabilităţii;

b)să permită utilizatorilor să selecteze şi să schimbe parolele proprii, când este necesar şi să
includă o procedură de confirmare în cazul introducerii eronate;
c)să impună alegerea unor parole de calitate, cum este descris în 9.3.1;
d)să impună schimbarea parolelor cum este descris în 9.3.1, acolo unde utilizatorii îşi întreţin
propriile parole;
N13)
NOTĂ NAŢIONALĂ- Identification&Authentication
42
SR ISO/CEI 17799:2004
e)să impună schimbarea parolelor temporare la primul acces (a se vedea 9.3.2), acolo unde
utilizatorii îşi pot selecta parolele;
f)să menţină o înregistrare a parolelor precedente utilizate, de exemplu pentru ultimele 12 luni, şi
să evite reutilizarea lor;
g)să nu afişeze parolele pe ecran în timp ce sunt introduse;
h) să stocheze fişierele de parole separat de datele aplicaţiei de sistem;
i) să stocheze parolele în formă criptată folosind un algoritm de criptare unidirecţional;
j) să schimbe parolele iniţiale, date de producător, imediat după instalarea de software.
9.5.5 Folosirea utilitarelor de sistem
La majoritatea programelor care se instalează pe calculatoare există unul sau mai multe programe
utilitare de sistem care pot fi capabile să anuleze aplicaţiile de control şi să închidă sistemul. Este esenţial
ca utilizarea acestora să fie restricţionată şi controlată îndeaproape. Trebuie avute în vedere următoarele
controale:
a)utilizarea de proceduri de autentificare pentru echipamentele de sistem;

b)separarea utilitarelor de sistem de softul de aplicaţii;
c)limitarea folosirii utilitarelor de sistem la numărul minim posibil de utilizatori autorizaţi, consideraţi
de încredere;
d)autorizarea folosirii ad-hoc a utilitarelor de sistem;
e)limitarea disponibilităţii utilitarelor de sistem, de exemplu pe durata unei modificări autorizate;
f)jurnalizarea utilizării echipamentelor de sistem;
g)definirea şi documentarea nivelurilor de autorizare pentru echipamentele de sistem;
h) înlăturarea oricăror programe software care nu sunt necesare bazate pe software utilitar şi de
sistem.
9.5.6 Alarme de constrângere pentru protejarea utilizatorilor
Pentru utilizatorii care ar putea fi supuşi unor restricţii trebuie considerată furnizarea unei alarme care să
preîntâmpine efectuarea unor anumite acţiuni. Decizia de a furniza o astfel de alarmă trebuie să se
bazeze pe evaluarea riscurilor. De asemenea, trebuie definite responsabilităţi şi proceduri pentru
răspunsul la o alarmă de avertizare.
9.5.7 Timpul limita pentru un terminal
Terminalele inactive aflate în locaţii de risc crescut, de exemplu zone publice sau externe, în afara
managementului de securitate al organizaţiei, sau servind unor sisteme cu grad crescut de risc, trebuie
oprite după o anumită perioadă de inactivitate pentru a preveni accesul persoanelor neautorizate.
Aceasta facilitate de „time-out" ar trebui să închidă ecranul terminalului şi să închidă atât aplicaţia, cât şi
sesiunea de reţea după o perioadă definită de inactivitate. Durata limită a demarării acţiunii de „time-out"
trebuie să reflecte riscurile de securitate a zonei şi a utilizatorului acestui terminal.
O formă limitată a unei proceduri de „time-out" pentru terminal poate fi realizată de unele calculatoare
care închid ecranul şi previn accesul neautorizat dar nu opresc aplicaţia sau sesiunea de reţea.
9.5.8 Limitarea timpului de conexiune
Restricţiile asupra timpilor de conexiune trebuie să furnizeze un nivel de securitate suplimentar pentru
aplicaţiile de risc crescut. Limitând perioada în care conexiunile terminalului sunt permise către serviciile
calculatorului se reduce probabilitatea unui acces neautorizat. Un astfel de control trebuie considerat in
special pentru aplicaţiile sensibile, în special acelea cu terminale instalate în locaţii de risc, de exemplu in
43
SR ISO/CEI 17799:2004
zone publice sau externe care sunt în afara managementului de securitate al organizaţiei. Exemple de
astfel de restricţii includ:
a)folosirea de intervale de timp predeterminate, de exemplu pentru transmiterea fişierelor batchN14>
sau sesiuni interactive uzuale de scurtă durată;
b)restrângerea timpilor de conexiune la orele normale de birou, dacă nu este necesară o operare
extinsă peste orele de program.
9.6 Controlul acces la aplicaţii
Obiectiv: Prevenirea accesului neautorizat la informaţiile păstrate în sisteme informatice.

Facilităţile de securitate trebuie utilizate pentru a restricţiona accesul în cadrul aplicaţiilor de sistem.
Accesul logic la software şi informaţie al utilizatorilor autorizaţi trebuie restricţionat. Aplicaţiile de sistem
trebuie:
a)să controleze accesul utilizatorului la informaţie şi funcţiile aplicaţiei de sistem, în acord cu o
politică definită de control a accesului la acţiunile organizaţiei;
b)să furnizeze protecţie împotriva accesului neautorizat pentru orice utilitate sau software de
sistem de operare care este capabil să treacă de controlul sistemului sau al aplicaţiilor;
c)să nu compromită securitatea altor sisteme cu care sunt împărţite resursele de informaţie;
d)să fie capabile să ofere acces la informaţie doar proprietarului, altor persoane individuale numite
şi autorizate, sau a unor grupuri definite de utilizatori.
9.6.1 Restricţia accesului la informaţie
Utilizatorii aplicaţiilor de sistem, incluzând personalul de suport, trebuie să primească dreptul de acces la
informaţie şi la funcţiile aplicaţiei de sistem în acord cu o politică definită de control al accesului, bazată
pe cerinţele particulare ale unei aplicaţii de afaceri şi în concordanţă cu politica de acces la informaţii a
organizaţiei (a se vedea 9.1). Trebuie luată în considerare pentru a sprijini cerinţele de restricţionare a
accesului aplicarea următoarelor controale:
a)furnizarea de meniuri pentru controlul accesului la funcţiile aplicaţiei de sistem;
b)restricţionarea cunoştinţelor utilizatorilor în legătură cu informaţiile sau cu funcţiile aplicaţiilor de
sistem pe care nu sunt autorizaţi să le acceseze, cu editarea potrivită a documentaţiei de
utilizator;
c)controlul drepturilor de acces ale utilizatorilor, de exemplu citire, scriere, ştergere şi execuţie;
d)asigurarea că ieşirile unei aplicaţii de sistem care manevrează date sensibile conţin numai
informaţii care sunt relevante pentru utilizare şi sunt trimise numai la terminalele şi în locaţiile
autorizate, incluzând şi o verificare periodică a unor astfel de ieşiri pentru a asigura ştergerea
informaţiei redundante.
9.6.2 Izolarea informaţiilor sensibile
Sistemele sensibile necesită un mediu dedicat (izolat) de procesare. Unele aplicaţii de sistem sunt
suficient de sensibile la o potenţială pierdere astfel încât să necesite o manevrare specială. Gradul de
sensibilitate poate sugera că aplicaţia de sistem trebuie să ruleze pe un calculator dedicat, trebuie să
partajeze resurse doar cu aplicaţii de sistem de încredere sau că nu are asemenea limitări. Se aplică
următoarele considerente.
a) sensibilitatea unei aplicaţii de sistem trebuie identificată şi documentată explicit de proprietarul

aplicaţiei (a se vedea 4.1.3);
' NOTA NAŢIONALA - Fişier secvenţial pe suport,

44
SR ISO/CEI 17799:2004
b) atunci când o aplicaţie sensibilă trebuie rulată într-un mediu partajat, sistemele de aplicaţii cu
care aceasta trebuie să împartă resurse trebuie identificate şi aprobate de proprietarul aplicaţiei.
9.7 Monitorizare a accesului la sistem şi utilizare
Obiectiv: Detectarea activităţilor neautorizate.

Sistemele trebuie monitorizate pentru a identifica abaterile de la politica de control al accesului, iar
evenimentele monitorizate trebuie înregistrate pentru a putea fi folosite ca dovezi în cazul unor
incidente de securitate.
Monitorizarea sistemelor permite verificarea eficacităţii controalelor adoptate şi conformitatea cu un
model de politică de acces.
9.7.1 înregistrarea evenimentelor
Excepţiile de la politici şi proceduri şi alte asemenea evenimente relevante de securitate trebuie

înregistrate şi auditate periodic şi aceste registre trebuie păstrate pentru o perioadă de timp convenită
pentru a fi folosite în investigaţii ulterioare şi pentru monitorizarea controlului accesului.
înregistrările de audit trebuie să conţină:
a)identificator utilizator;
b)datele şi momentul apariţiei evenimentelor accesate;
c)identitatea terminalului sau a locaţiei, dacă este posibil;
d)înregistrări ale încercărilor de acces al sistemului, reuşite şi refuzate;
e)înregistrări ale încercărilor de acces la date şi alte resurse, reuşite şi refuzate.
Unele înregistrări de audit trebuie să fie arhivate ca parte a unei politici de păstrare a înregistrărilor şi din
cauza necesităţilor de colectare de dovezi (a se vedea şi clauza 12).
9.7.2 Monitorizare a utilizării sistemelor informatice

9.7.2.1 Proceduri şi zone de risc
Trebuie stabilite proceduri de monitorizare a folosirii echipamentelor de procesare a informaţiei. Aceste
proceduri sunt necesare pentru a asigura faptul că utilizatorii realizează doar activităţi pentru care au fost
în mod specific autorizaţi. Nivelul de supraveghere necesar pentru echipamente individuale trebuie
determinat printr-un proces de evaluare a riscurilor. Domeniile care trebuie considerate includ:
a) accesul autorizat, incluzând detalii ca:

1)identificator utilizator;
2)data şi momentul apariţiei evenimentelor importante;
3)tipuri de evenimente;
4)fişiere accesate;
5)programele/echipamentele accesate;
b) toate operaţiile privilegiate, cum ar fi:

1)utilizarea contului de supervizor;
2)pornirea şi oprirea sistemului;
3)adăugarea/îndepărtarea dispozitivelor periferice de intrare/ieşire;
c) încercările de acces neautorizat, cum ar fi:
1) încercările nereuşite;
45
SR ISO/CEI 17799:2004
2)încălcările politicii de acces şi notificări primite de la gateway-uri de reţea şi firewall-uri;

3)alerte de la sistemele de detecţie a intruziunii proprietare;
d) alerte sau căderi de sistem, cum ar fi:

1)alerte sau mesaje de consolă;
2)excepţii în log-ul de sistem;
3)alarme ale managementului de reţea.
9.7.2.2 Factori de risc

Rezultatul monitorizării activităţilor trebuie revăzut periodic. Frecvenţa revizuirilor trebuie să depindă de
riscurile implicate. Factorii de risc care trebuie luaţi în considerare includ:
a)gradul de stare critică al proceselor aplicaţiei;

b)valoarea, sensibilitatea sau caracterul critic al informaţiilor implicate;
c)experienţa precedentă privind încercările de infiltrare şi de folosire necorespunzătoare a
sistemului;
d)extinderea interconectării sistemului (în special la reţele publice).
9.7.2.3 înregistrarea şi revizuirea evenimentelor

Revizuirea înregistrărilor implică înţelegerea ameninţărilor la care este expus sistemul şi maniera în care
acestea pot apare. Exemple de evenimente care pot necesita investigaţii ulterioare în cazuri de incidente de
securitate sunt date în 9.7.1.
Jurnalele de sistem conţin deseori un mare volum de informaţii, din care o parte semnificativă aflată în
afara monitorizării de securitate. în ajutorul identificării evenimentelor importante din motive de
monitorizare a securităţii, trebuie considerată copierea mesajelor corespunzătoare automat într-un al
doilea jurnal şi/sau folosirea utilitarelor de sistem sau a instrumentelor de audit potrivite pentru realizarea
investigării fişierelor.
La alocarea responsabilităţii pentru revizuirea jurnalelor, trebuie realizată o separare a rolurilor între
persoanele care sunt responsabile de revizuire şi cele ale căror activităţi sunt monitorizate.
O atenţie specială va trebui acordată securităţii sistemului de jumalizare deoarece, dacă există
posibilitatea de a interveni asupra lui, atunci se poate crea un fals sentiment de securitate. Controlul
trebuie să protejeze împotriva modificărilor şi problemelor operaţionale, incluzând:
a)dezactivarea sistemului de înregistrare;

b)alterarea tipurilor de mesaje înregistrate;
c)editarea sau ştergerea fişierelor de înregistrare;
d)umplerea/ocuparea mediului de înregistrare şi chiar eşecul în a înregistra sau suprascrie
evenimentele pe acest mediu.
9.7.3 Sincronizarea ceasului
Setarea corectă a ceasului calculatorului este importantă în asigurarea acurateţii înregistrărilor de audit, care
pot fi necesare pentru investigaţii sau ca probă în cazurile legale sau disciplinare. înregistrările de audit
incomplete sau inexacte pot limita astfel de investigaţii şi deprecia credibilitatea unor astfel de dovezi.
46
SR ISO/CEI 17799:2004
Atunci când un calculator sau echipament de comunicaţii are posibilitatea de a opera în timp real, va
trebui setat la un standard agreat, de exemplu UCT N15) sau timpul local standard. Cum se ştie că unele
ceasuri se desincronizează în timp, trebuie să existe o procedură care să verifice şi să corecteze orice
variaţie semnificativă.
9.8 Echipamente mobile şi lucrul la distanţă
Obiectiv: Asigurarea securităţii informaţiei atunci când sunt folosite echipamente mobile şi de la distanţă.
Protecţia necesară trebuie comparată cu riscurile pe care acest mod specific de lucru le cauzează.
Atunci când sunt folosite echipamente mobile trebuie luat în considerare riscul operării într-un mediu
neprotejat şi trebuie aplicate controalele potrivite de protecţie. în cazul lucrului de la distanţă,
organizaţia trebuie să aplice protecţie la locul unde se desfăşoară activitatea şi să asigure că există un
acord încheiat adecvat pentru acest mod de lucru.
9.8.1 Echipamente mobile
Atunci când sunt folosite echipamente mobile, de exemplu: notebook-uri, palmtop-uri, laptop-uri şi
telefoane mobile, trebuie avută o grijă deosebită pentru a asigura informaţia de afaceri împotriva
compromiterii. Trebuie adoptată o politică oficială care să ia în considerare riscurile lucrului cu
echipamente mobile, în special în medii neprotejate. Spre exemplu, o astfel de politică trebuie să includă
cerinţele pentru protecţia fizică, controlul accesului, tehnici criptografice, copie de siguranţă şi protecţia
împotriva viruşilor. Această politică trebuie să includă de asemenea reguli şi recomandări pentru
conectarea echipamentelor mobile la reţea şi îndrumări pentru utilizarea acestor echipamente în locuri
publice.
Trebuie avută o grijă deosebită în utilizarea echipamentelor mobile în locurile publice, în sălile de întâlnire
şi în alte zone neprotejate din afara organizaţiei. Pentru evitarea accesului neautorizat sau dezvăluirea de
informaţii stocate şi procesate de aceste echipamente trebuie luate măsuri de protecţie, de exemplu,
utilizarea tehnicilor criptografice (a se vedea 10.3).
Este important ca atunci când astfel de echipamente sunt utilizate în locuri publice să fie evitată
posibilitatea ca persoane neautorizate să poată vedea conţinutul lor. Trebuie instituite proceduri împotriva
programelor software dăunătoare şi acestea trebuie actualizate (a se vedea 8.3). Trebuie prevăzut de
asemenea un echipament pentru a se putea face rapid şi uşor copie de siguranţă la informaţie. Aceste
copii de siguranţă-uri trebuie protejate adecvat împotriva furtului sau scurgerilor de informaţie.
Folosirea echipamentelor mobile conectate la reţea trebuie protejată în mod adecvat. Accesul de la
distanţă la informaţiile de afaceri prin reţeaua publică folosind echipamente mobile trebuie să aibă loc
doar după ce identificarea şi autentificarea a fost făcută cu succes, având instituit un mecanism potrivit de
control al accesului (a se vedea 9.4).
Echipamentele mobile trebuie de asemenea protejate fizic împotriva furtului în special, de exemplu,
atunci când sunt lăsate în maşini sau în alte mijloace de transport, camere de hotel, centre de conferinţe
şi locuri de întâlnire. Echipamentele care transportă informaţii importante de afaceri, sensibile şi/sau
critice nu trebuie lăsate nesupravegheate şi, acolo unde este posibil, acestea trebuie încuiate sau trebuie
utilizate mijloace care permit securizarea acestora prin încuietori speciale. Mai multe informaţii despre
protecţia fizică a echipamentului mobil pot fi găsite în 7.2.5.
Pentru personalul ce utilizează echipamentele mobile trebuie furnizate cursuri speciale pentru ridicarea
nivelului de cunoştinţe privind riscurile suplimentare rezultate din acest mod de lucru şi controalele care
trebuie implementate.
N15)
NOTĂ NAŢIONALĂ - Universal Co-ordinated Time
47
SR ISO/CEI 17799:2004
9.8.2 Lucru la distanţă
în cazul lucrului la distanţă se utilizează tehnologii de comunicaţii pentru a permite personalului lucrul la
distanţă dintr-o locaţie fixă din afara organizaţiei din care fac parte. La aceste locuri de muncă trebuie
pusă în practică o protecţie adecvată împotriva: de exemplu furtului de echipament şi informaţie,
dezvăluirii neautorizate a informaţiei, accesul neautorizat de la distanţă la sistemele interne al organizaţiei sau
folosirea neadecvată a echipamentelor. Este important ca lucrul la distanţă să fie autorizat şi controlat
de management şi să fie realizate condiţiile adecvate, pentru acest tip de lucru
Organizaţiile trebuie să ia în considerare dezvoltarea unei politici, a unor proceduri şi standarde pentru
controlul lucrului la distanţă. Organizaţiile trebuie să autorizeze activităţi de lucru la distanţă doar dacă
condiţiile adecvate de securitate şi controale sunt realizate şi acestea nu contravin politicii de securitate a
organizaţiei. Trebuie considerate următoarele:
a)securitatea fizică deja existentă la locul de lucru, luând în considerare securitatea fizică a clădirii
şi a mediului local;
b)mediul propus de lucru la distanţă;
c)cerinţele de securitate a comunicaţiilor, luând în considerare necesitatea accesului de la distanţă
la sistemele interne ale organizaţiei, sensibilitatea informaţiei care va fi accesată şi transportată
prin sistemul de comunicaţii şi sensibilitatea sistemului intern;
d)ameninţarea unui acces neautorizat la informaţii sau resurse de către alte persoane care folosesc
facilitatea, de exemplu familie, prieteni.
Controalele şi aranjamentele care trebuie considerate includ:
a)aprovizionarea cu echipament şi mobilă potrivite pentru activităţile de lucru la distanţă;

b)definirea lucrului permis, a orelor de lucru, clasificarea informaţiei care poate fi păstrată şi
sistemele interne şi serviciile pe care cel care lucrează acasă le poate accesa;
c)aprovizionarea cu echipamente de comunicaţii potrivite, incluzând metode de securizare a
accesului la distanţă;
d)securitatea fizică;
e)reguli şi îndrumări de accesare a echipamentului şi a informaţiei de către familie şi vizitatori;
f)aprovizionarea cu hardware şi software pentru suport şi mentenanţă;
g) proceduri pentru copie de siguranţă şi continuitatea afacerii;
h) audit şi monitorizarea securităţii;
i) revocarea autorităţii, a drepturilor de acces şi returnarea echipamentului când activităţile de lucru la
distantă încetează.
10 Dezvoltarea şi mentenanţă sistemelor informatice 10.1
Cerinţe de securitate ale sistemelor
Obiectiv: Asigurarea că securitatea este parte integrantă a sistemele de informaţii.

Aceasta va include infrastructura, aplicaţiile de afaceri şi aplicaţiile dezvoltate de utilizator. Proiectarea şi
implementarea procesului de afaceri care susţine o aplicaţie sau serviciu poate fi crucial pentru
securitate. Cerinţele de securitate trebuie identificate şi agreate înaintea dezvoltării sistemului de
informaţii.
Toate cerinţele de securitate, inclusiv nevoia unor convenţii pentru revenirea la starea iniţiala, trebuie
identificate în faza cerinţelor de proiect şi justificate, agreate şi documentate, ca parte a problemelor
generale de afaceri pentru un sistem de informaţii.
48
SR ISO/CEI 17799:2004
10.1.1 Analize pentru cerinţele de securitate şi specificaţii
Declararea cerinţelor afacerii pentru noi sisteme sau îmbunătăţirea sistemelor existente trebuie să
specifice cerinţele pentru controale. Astfel de specificaţii trebuie să ia în considerare controalele automate
ce trebuie să fie încorporate în sistem şi necesitatea de asigurare a suportului pentru controalele
manuale. Consideraţii similare trebuie aplicate în evaluarea pachetelor software pentru aplicaţiile de
afaceri. Managementul poate folosi, dacă se consideră că este necesar, produse evaluate şi certificate
independent.
Cerinţele şi controalele de securitate trebuie să reflecte valoarea de afaceri a resurselor de informaţie

implicate şi pagubele potenţiale asupra afacerii, care pot rezulta în urma unei defectări sau absenţei
securităţii. Cadrul pentru analizarea cerinţelor de securitate şi identificarea controalelor ce trebuie
îndeplinite este reprezentat de analiza nivelului de risc şi managementul riscului.
Controalele introduse în stadiul de proiectare sunt semnificativ mai ieftine în implementare şi mentenanţă
decât cele incluse în timpul sau după implementare.
10.2 Securitatea în sisteme de aplicaţie
Obiectiv: Prevenirea pierderilor, modificărilor sau utilizării abuzive a datelor utilizatorului în sistemele de
aplicaţie.
Trebuie proiectate controale adecvate şi înregistrări de audit sau înregistrări de activitate în sistemele de
aplicaţii, inclusiv pentru aplicaţiile scrise de utilizator. Acestea trebuie să includă validarea datelor de
intrare, procesarea internă şi a datelor de ieşire.
Pot fi necesare controale suplimentare pentru sistemele care procesează, sau au un impact asupra
activelor sensibile, de valoare sau critice ale organizaţiei. Astfel de controale trebuie determinate pe baza
cerinţelor de securitate şi a evaluării riscului.
10.2.1 Validarea datelor de intrare
Datele de intrare ale sistemelor de aplicaţie trebuie validate pentru a se asigura că acestea sunt corecte
şi adecvate. Trebuie efectuate verificări asupra intrărilor pentru tranzacţii de afaceri, date fixe (nume şi
adrese, limite de credit, numere de referinţă ale clienţilor) şi tabele de parametri (preţuri de vânzare, rate
de conversie valutară, rate ale taxelor). Trebuie considerate următoarele controale:
a) verificarea datelor de intrare duble sau suplimentare pentru detectarea următoarelor erori:
1) valori în afara domeniului-limită;
2) caractere invalide în câmpurile de date;
3) date lipsă sau incomplete;
4)depăşirea limitelor inferioară sau superioară a volumului de date;
5)date de control neautorizate sau insuficiente;
b)revizuirea periodică a conţinutului câmpurilor cheie sau fişierelor de date pentru confirmarea
validităţii şi integrităţii;
c)inspectarea documentelor de intrare pe hârtie asupra oricărei accesării neautorizate a datelor de

intrare (toate modificările asupra documentelor de intrare trebuie să fie autorizate);
d)proceduri de răspuns în cazul erorilor de validare;
e)proceduri pentru testarea veridicităţii datelor de intrare;
f)definirea responsabilităţilor întregului personal implicat în procesul de introducere a datelor.
49
SR ISO/CEI 17799:2004
10.2.2 Controlul procesării interne a datelor
10.2.2.1 Ariile de risc

Datele care au fost corect introduse pot fi corupte prin erori de procesare sau în urma unor acte
deliberate. Verificările de validare trebuie încorporate în sisteme pentru a detecta astfel de alterări.
Proiectarea aplicaţiilor ar trebui să asigure faptul că sunt implementate restricţii pentru minimizarea
riscului procesărilor greşite care duc la pierderea integrităţii. Sectoarele specifice care trebuie luate în
considerare includ:
a)folosirea şi localizarea în program a funcţiilor de adăugare şi ştergere pentru implementarea

modificării datelor;
b)procedurile de prevenire a rulării programelor într-o ordine incorectă, după sau a rulării după o
procesare anterioară nereuşită (a se vedea şi 8.1.1);
c)folosirea programelor corecte pentru refacere în urma defectărilor pentru a asigura o corectă
procesare a datelor.
10.2.2.2 Verificări şi controale

Controalele necesare depind de natura aplicaţiei şi de impactul asupra afacerii corespunzător oricărei
alterări a datelor. Exemplele de verificări ce pot fi aplicate, includ următoarele:
a)controale de bilanţ, pentru a verifica bilanţurile deschise faţă de cele închise anterior fişierelor de
date după actualizarea tranzacţiilor;
b)controale de bilanţ, pentru a verifica bilanţurile deschise faţă de cele închise anterior,
1)controale „run-to-run";
2)totaluri pentru fişierele de actualizări;
3)controale „program-la-program";
c)validarea datelor generate de sistem (a se vedea 10.2.1);

d)verificarea integrităţii datelor sau software-ului descărcat, sau încărcat, între calculatorul central şi
cele aflate la distanţă;
e)folosirea funcţiilor „hash" pentru totalurile de înregistrări şi fişiere;

f)verificări pentru a se asigura că programele de aplicaţie sunt rulate în ordinea si la momentul
corespunzător;
g)verificări pentru asigurarea rulării în ordinea corectă a programelor şi terminarea în caz de eşec şi
oprirea procesării ulterioare până în momentul în care problema este rezolvată.
10.2.3 Autentificarea mesajelor
Autentificarea mesajelor este o tehnică folosită pentru detectarea modificărilor neautorizate sau a
coruperii conţinutului unui mesaj transmis electronic. Aceasta poate fi implementată hardware sau
software pe baza unui dispozitiv de autentificare fizică a mesajului sau cu ajutorul unui algoritm software.
Autentificarea mesajelor trebuie luată în considerare pentru aplicaţii pentru care există cerinţe de
securitate pentru protejarea integrităţii conţinutului mesajului, de exemplu transfer electronic de fonduri,
specificaţii, contracte, propuneri etc. de mare importanţă, sau alte schimburi similare de date electronice.
Pentru a determina dacă autentificarea mesajului este necesară şi pentru a identifica metoda de
implementare cea mai potrivită trebuie realizată o evaluare a riscurilor de securitate.
Autentificarea mesajelor nu este proiectată să protejeze conţinutul unui mesaj faţă de dezvăluirea sa
neautorizată. Tehnicile criptografice (a se vedea 10.3.2 şi 10.3.3) pot fi utilizate ca mijloace potrivite
pentru implementarea autentificării mesajelor.
50
SR ISO/CE! 17799:2004
10.2.4 Validarea datelor de ieşire
Datele de ieşire dintr-un sistem de aplicaţii trebuie validate pentru a se asigura că procesarea informaţiei
stocate este corectă şi adecvată circumstanţelor. în mod normal, sistemele sunt construite plecându-se
de la premisa că efectuându-se o validare, verificare şi testare corespunzătoare a ieşirii, datele acesteia
vor fi întotdeauna corecte. Acest lucru nu se întâmplă întotdeauna. Validarea ieşirilor poate include:
a)verificări de veridicitate pentru a testa dacă datele de ieşire sunt relevante;
b)numărări ale controalelor de compatibilizare pentru asigurarea procesării tuturor datelor;

c)furnizarea informaţiilor suficiente pentru un cititor sau alt sistem de citire sau procesare ulterioară
pentru determinarea acurateţii, completitudinii, preciziei şi clasificării informaţiei;
d)proceduri de răspuns la testele de validare a ieşirilor;
e)definirea responsabilităţilor întregului personal implicat în procesul de furnizare a datelor de

ieşire.
10.3 Controale criptografice
Obiectiv: Protejarea confidenţialităţii, autenticităţii şi integrităţii informaţiei.

Trebuie utilizate sisteme şi tehnici criptografice pentru protecţia informaţiei care este considerată supusă
riscului şi pentru care alte controale nu furnizează protecţia adecvată.
10.3.1 Politica de utilizare a metodelor criptografice
Luarea unei decizii în privinţa folosirii controalelor criptografice trebuie privită ca parte a unui proces mai
larg de evaluare a riscurilor şi selectare a controalelor. Evaluarea riscului trebuie realizată pentru
determinarea nivelului de protecţie care trebui acordat informaţiei. Această evaluare poate fi utilizată
pentru a determina dacă o metodă criptografică este adecvată, care tip de control trebuie aplicat, în ce
scop şi pentru ce procese ale afacerii.
O organizaţie trebuie să dezvolte o politică asupra folosirii controlului criptografic pentru protecţia
informaţiilor sale. O astfel de politică este necesară pentru maximizarea beneficiilor şi minimizarea
riscurilor de utilizare a tehnicilor criptografice, ca şi pentru evitarea utilizării inadecvate sau incorecte. La
dezvoltarea politicii trebuie luate în considerare următoarele:
a)modul în care managementul abordează utilizarea controalelor criptografice în cadrul

organizaţiei, inclusiv principiile generale care stau la baza protejării informaţiei afacerii;
b)abordarea managementului cheilor, incluzând metode de recuperare a informaţiei criptate în
cazul pierderii, compromiterii sau distrugerii cheilor;
c)rolurile şi responsabilităţile, de exemplu cine este responsabil pentru:
d)implementarea politicii;
e)managementul cheilor;
f)cum este determinat nivelul adecvat de protecţie criptografică;
g)standardele care trebuie adoptate pentru implementarea efectivă în cadrul organizaţiei (care
soluţie este folosită pentru care procese ale afacerii).
10.3.2 Criptarea
Criptarea reprezintă o tehnică criptografică care poate fi folosită pentru protejarea confidenţialităţii
informaţiei. Ea trebuie luată în considerare pentru protecţia informaţiilor sensibile sau critice.
51
SR ISO/CEI 17799:2004
în urma evaluării riscurilor trebuie identificat nivelul cerut de protecţie luând în considerare tipul şi
calitatea algoritmului de criptare utilizat ca şi lungimea cheilor criptografice ce se vor utiliza.
La implementarea politicii criptografice a organizaţiei, trebuie luate în considerare reglementările şi

restricţiile naţionale care se referă la folosirea tehnicilor criptografice în diferite părţi ale lumii şi la
chestiuni legate de fluxul transfrontier de informaţii criptate. O atenţie suplimentară va trebui acordată şi
controalelor care se aplică exportului şi importului de tehnologie criptografică (a se vedea şi 12.1.6).
Trebuie să se apeleze la consultanţă de specialitate pentru identificarea nivelului adecvat de protecţie,

pentru selectarea produselor potrivite care vor asigura protecţia cerută şi implementarea unui sistem sigur
de management al cheilor (a se vedea şi 10.3.5). în plus, poate fi necesar sfatul unui avocat privind legile şi
reglementările ce se pot aplica la intenţiile organizaţiei de utilizare a criptării.
10.3.3 Semnături electronice
Semnăturile electronice furnizează un mod de protejare a autenticităţii şi integrităţii documentelor

electronice. De exemplu ele pot fi utilizate în comerţul electronic, unde este necesară verificarea
semnatarului unui document electronic şi verificarea modificării conţinutului unui document semnat.
Semnăturile electronice pot fi aplicate oricăror forme de document procesat electronic, de exemplu pot fi
folosite pentru semnarea de plăţi electronice, transferuri de fonduri, contracte şi înţelegeri. Semnăturile
electronice pot fi implementate folosind o tehnică criptografică bazată pe o pereche de chei unic
relaţionate, o cheie fiind utilizată pentru crearea semnăturii (cheia privată), iar cealaltă pentru verificarea
semnăturii (cheia publică).
Trebuie să se acorde atenţie protejării confidenţialităţii cheii private. Această cheie trebuie ţinută secretă
deoarece oricine are acces la această cheie poate semna documente, de exemplu plăţi, contracte, în
acest fel folosindu-se ilegal semnătura proprietarului cheii. în plus, protejarea integrităţii cheii publice este
importantă. Aceasta protecţie este furnizată prin utilizarea certificatului cheii publice (a se vedea 10.3.5).
Este necesară o atenţie deosebită acordată tipului şi calităţii algoritmului de semnare utilizat şi lungimii
cheilor utilizate. Cheile criptografice utilizate pentru semnăturile electronice ar trebui să fie diferite de cele
pentru criptare (a se vedea 10.3.2).
Atunci când se utilizează semnături electronice va trebui să se acorde atenţie oricărui act legislativ
relevant care descrie condiţiile în care o semnătură digitală este obligatorie conform legii. Spre exemplu, în
cazul comerţului electronic este important de cunoscut statutul legal al semnăturii electronice. Poate fi
necesară existenţa unui contract sau a oricărui alt tip de înţelegere pentru suportul utilizării semnăturii
digitale acolo unde cadrul legal este inadecvat. Trebuie solicitată consultanţă juridică privind legislaţia şi
reglementările care s-ar putea aplica intenţiei de utilizare a semnăturilor electronice de către organizaţie.
10.3.4 Servicii de nerepudiere
Serviciile de nerepudiere trebuie utilizate acolo unde ar putea fi necesară rezolvarea unor dispute despre
apariţia sau nu a unui eveniment sau acţiune, de exemplu o dispută ce implică utilizarea semnăturii
electronice pentru un contract sau plată electronica. Ele pot ajuta la stabilirea dovezii că un anumit
eveniment sau acţiune particulară a avut loc, de exemplu refuzul trimiterii de instrucţiuni semnate
electronic folosind poşta electronică. Aceste servicii sunt bazate pe utilizarea tehnicilor de criptare şi de
semnătură digitală (a se vedea şi 10.3.2, 10.3.3).
10.3.5 Managementul cheilor
10.3.5.1 Protecţie chei criptografice

Managementul cheilor criptografice este esenţial pentru utilizarea eficientă a tehnicilor criptografice. Orice
compromitere sau pierdere a cheilor criptografice poate conduce la compromiterea confidenţialităţii,
autenticităţii şi/sau integrităţii informaţiei. Trebuie să existe un sistem de management care să susţină
utilizarea de către organizaţie a celor două tipuri de tehnici criptografice, care sunt:
52
SR ISO/CEI 17799:2004
a)tehnici pentru chei secrete, unde două sau mai multe părţi împart aceeaşi cheie şi această cheie
e folosită atât pentru a cripta, cât şi decripta informaţia. Această cheie trebuie ţinută secretă
deoarece oricine are acces la ea este capabil să decripteze toate informaţiile criptate cu această
cheie, sau să introducă informaţii neautorizate;
b)tehnici pentru cheile publice, unde fiecare utilizator are o pereche de chei, o cheie publică (care
poate fi dezvăluită oricui) şi o cheie privată (care ar trebui ţinută secretă). Tehnicile pentru cheile
publice pot fi utilizate pentru criptare (a se vedea 10.3.2) şi pentru a produce semnături
electronice (a se vedea 10.3.3).
Toate cheile trebuie protejate împotriva modificărilor şi distrugerii, iar cheile secrete şi private au nevoie
de protecţie împotriva dezvăluirii neautorizate. Tehnicile criptografice pot fi de asemenea utilizate în acest
scop. Trebuie utilizată si o protecţie fizică a echipamentelor folosite pentru generarea, stocarea şi
arhivarea cheilor.
10.3.5.2 Standarde, proceduri şi metode

Un sistem de management al cheilor trebuie bazat pe un set agreat de standarde, proceduri şi metode de
securizare pentru:
a)generarea cheilor pentru diferite sisteme criptografice şi diferite aplicaţii;
b)generarea şi obţinerea certificatelor de chei publice;
c)distribuirea cheilor către utilizatorii autorizaţi, incluzând modul în care trebuie activate cheile
când sunt recepţionate;
d)stocarea cheilor, incluzând modul prin care utilizatorii autorizaţi obţin acces la chei;
e)schimbarea sau actualizarea cheilor incluzând reguli privind momentul schimbării cheilor şi
modul în care aceasta se va face;
f)tratarea cheilor compromise;
g)revocarea cheilor incluzând modul prin care cheile ar trebui retrase sau dezactivate, de
exemplu când cheile au fost compromise sau când un utilizator părăseşte organizaţia (caz în
care cheile trebuie sa fie şi arhivate);
h) recuperarea cheilor care au fost pierdute sau corupte ca parte a managementului de

continuitate a afacerii, de exemplu pentru recuperarea informaţiei criptate;
i) arhivarea cheilor, de exemplu pentru informaţia arhivată sau la care s-a făcut "copie de
siguranţă";
j) distrugerea cheilor;
k) jurnalizarea şi auditarea activităţilor legate de managementul cheilor.
Pentru a reduce posibilitatea de compromitere, cheile ar trebui să aibă definite o dată de activare şi una
de dezactivare, astfel încât să poată fi utilizate pentru o perioadă limitată de timp. Această perioadă de
timp ar trebui să fie corelată cu circumstanţele în care este folosit controlul criptografic şi de riscul
perceput.
Pentru tratarea cererilor legale de acces la cheile criptografice trebuie considerată o procedură, de
exemplu informaţia criptată poate fi făcută disponibilă într-o formă necriptata ca probă într-un proces.
Pe lângă managementul securizat al cheilor private şi publice trebuie luată de asemenea în considerare
si protecţia cheilor publice. Există pericolul falsificării unei semnături electronice prin înlocuirea cheii
publice a utilizatorului cu propria cheie. Aceasta problemă este rezolvată prin folosirea unui certificat de
cheie publică. Certificatele trebuie produse în aşa fel încât să lege în mod unic informaţia cu privire la
proprietarul perechii de chei publice/private, de cheia publică. De aceea este important ca procesul de
management care generează aceste certificate să fie unul de încredere. Acest proces este realizat în
mod normal de o autoritate de certificare care ar trebui să fie o organizaţie recunoscută cu controale
adecvate şi proceduri implementate pentru a furniza gradul necesar de încredere.
53
Pagina extrasa din aplicaţia Standard FulITextCD View (o) 2003-2004 ASRO & Blue Project Software
SR ISO/CEI 17799:2004
Conţinutul înţelegerilor sau contractelor de servicii cu furnizori externi de servicii criptografice, de exemplu cu
o autoritate de certificare, trebuie să acopere aspectele legate de răspundere, încrederea în servicii şi timpii
de răspuns pentru furnizarea serviciilor (a se vedea 4.2.2).
10.4 Securitatea fişierelor de sistem
Obiectiv: Asigurarea că proiectele de tehnologia informaţiei şi activităţile de suport sunt conduse într-o
manieră sigură. Accesul la fişierele sistem trebuie să fie controlat.
Menţinerea integrităţii sistemului trebuie să constituie responsabilitatea utilizatorului sau grupului de
dezvoltare de care aparţine aplicaţia de sistem sau software-ul.
10.4.1 Controlul software-ului de operare
Trebuie furnizate controale pentru implementarea de software în sistemele operaţionale. Pentru

minimizarea riscului coruperii sistemelor operaţionale, trebuie luate în considerare următoarele controale:
a)actualizarea bibliotecilor programului operaţional trebuie realizată doar de către persoana

desemnată, după o autorizare adecvată a managementului (a se vedea 10.4.3);
b)dacă este posibil, sistemele operaţionale trebuie să conţină doar cod executabil;
c)codul executabil trebuie implementat pe un sistem operaţional numai după ce există dovada
testării cu succes şi este obţinută acceptanţa utilizatorului, iar bibliotecile corespunzătoare ale
programului sursă au fost actualizate;
d)trebuie menţinut un jurnal de audit pentru toate actualizările bibliotecilor de program operaţional;
e)versiunile anterioare de software trebuie menţinute ca o măsură de siguranţă.
Software-ul furnizat de producător, folosit în sistemele operaţionale trebuie menţinut la nivelul de suport oferit
de producător. Orice decizie de actualizare la noile versiuni trebuie să ia în considerare securitatea noii
versiuni, de exemplu introducerea de noi funcţionalităţi de securitate sau numărul şi severitatea problemelor
de securitate ce afectează această versiune. Corecţiile softwareN16) trebuie aplicate atunci când acestea
elimină sau reduc slăbiciuni de securitate.
Accesul fizic sau logic trebuie acordat doar furnizorilor în scopuri de suport, atunci când acesta e
necesar, şi cu aprobarea managementului. Trebuie monitorizate activităţile furnizorului.
10.4.2 Protecţia datelor de testare a sistemului
Datele de testare trebuie protejate şi controlate. Testele de sistem şi de recepţie necesită de obicei
volume substanţiale de date de testare care sunt cât mai apropiate de datele de operare. Trebuie evitată
folosirea bazelor de date operaţionale conţinând informaţii personale. Dacă acest tip de informaţie este
folosit, aceste date trebuie mai întâi depersonalizate. Pentru protecţia datelor operaţionale, atunci când sunt
folosite în scopuri de testare trebuie aplicate controalele următoare.
a)procedurile de control al accesului, care se aplică aplicaţiilor operaţionale de sistem, trebuie

aplicate şi asupra aplicaţiilor de testare ale sistemului;
b)de fiecare dată când o informaţie operaţională este copiată într-o aplicaţie de testare trebuie să
existe o autorizare separat;
N16)
NOTĂ NAŢIONALĂ - patch
54
SR ISO/CEI 17799:2004
c)informaţia operaţională trebuie ştearsă dintr-o aplicaţie de testare, imediat ce testarea este
încheiată;
d)copierea şi folosirea informaţiei operaţionale trebuie înregistrată pentru furnizarea unor dovezi
pentru audit.
10.4.3 Controlul accesului la fişierele sursă
Pentru a reduce posibilitatea modificării neautorizate unor programe de calculator ar trebui menţinut un
control strict asupra accesului la bibliotecile programului sursă după cum urmează (a se vedea şi 8.3):
a)acolo unde este posibil, bibliotecile programului sursă nu trebuie menţinute în sistemele
operaţionale;
b)pentru fiecare dintre aplicaţii ar trebui nominalizat un „bibliotecar" pentru programe;
c)accesul personalului de suport de mentenanţă la bibliotecile programului sursă trebuie să fie

restricţionat;
d)programele în curs de dezvoltare sau întreţinere nu trebuie păstrate în bibliotecile programului

sursă operaţional;
e)actualizarea bibliotecilor programului sursă şi emiterea programelor sursă către programatori

trebuie realizată doar de persoana responsabilă de fişierele programului sursă, după autorizarea
managerului desemnat pentru tehnologia informaţiei, responsabil al aplicaţiei;
f)listingurile de programe trebuie ţinute într-un mediu sigur (a se vedea 8.6.4);
g)trebuie ţinut un jurnal de audit asupra accesului la bibliotecile programului sursă;
h) versiunile vechi ale programelor sursă trebuie arhivate, cu o identificare clară a datei şi orei
exacte când au fost operaţionale, împreună cu tot software-ul de suport, control al activităţii,
definiţiile de date şi proceduri;
i) întreţinerea şi copierea bibliotecilor programului sursă trebuie să fie subiectul unor proceduri
stricte de control al modificărilor (a se vedea 10.4.1).
10.5 Securitate în procesele de dezvoltare şi suport
Obiectiv: Menţinerea securităţii software-ului şi a informaţiei în cadrul sistemelor de aplicaţii.

Mediul de proiectare şi suport trebuie controlate strict.
Managerii responsabili pentru sistemele de aplicaţii trebuie să fie responsabili şi de securitatea mediului
de proiectare şi suport. Aceştia trebuie să se asigure că toate modificările de sistem propuse sunt
revăzute pentru a verifica că nu compromit securitatea fie a sistemului, fie a mediului de operare.
10.5.1 Proceduri de control al modificărilor
Pentru a minimiza coruperea sistemelor informatice trebuie să existe un control strict asupra
implementării modificărilor. Trebuie impuse proceduri oficiale de control al modificărilor. Acestea trebuie
să asigure faptul că procedurile de securitate şi control nu sunt compromise, că programatorii au acces
doar la acele părţi ale sistemului, necesare pentru activitatea lor şi că este obţinut un acord şi o aprobare
oficială pentru orice modificare. Modificarea software-ului de aplicaţie poate avea impact asupra
mediului operaţional. Atunci când este posibil, trebuie integrate proceduri de control pentru modificările
aduse aplicaţiei şi cele operaţionale (a se vedea şi 8.1.2). Acest proces trebuie să includă:
55
SR ISO/CEI 17799:2004
a)păstrarea unei înregistrări asupra nivelurilor de autorizare convenite;
b)asigurarea că modificările sunt efectuate de către utilizatori autorizaţi;

c)revizuirea procedurilor de control şi integritate pentru asigurarea că acestea nu vor fi compromise
de către modificări;
d)identificarea în totalitate a software-lui, informaţiilor, bazelor de date şi hardware-ului care

necesită schimbări;
e)obţinerea unei aprobări oficiale pentru propunerile detaliate înaintea începerii lucrului;
f)asigurarea că utilizatorul autorizat acceptă schimbările înainte de orice implementare;
g)asigurarea că implementarea este efectuată astfel încât să se minimizeze întreruperile aduse
afacerii;
h) asigurarea că documentaţia de sistem este actualizată după încheierea fiecărei modificări şi că

documentele vechi sunt arhivate sau scoase din uz;
i) menţinerea unui control al versiunilor pentru toate actualizările de software; j)
menţinerea unui registru de audit pentru toate cererile de modificare;

k) asigurarea că documentaţia de operare (a se vedea 8.1.1) şi procedurile utilizatorilor sunt
modificate pentru a fi adecvate;
I) asigurarea că implementarea schimbării are loc la timpul potrivit şi nu perturbă procesele afacerii
implicate.
Multe organizaţii menţin un mediu în care utilizatorii testează software-ul nou şi care este separat de
mediile de dezvoltare şi producţie. Aceasta furnizează mijloace de a avea control asupra software-ului nou
şi permite o protecţie suplimentară a informaţiei operaţionale care este folosită pentru scopuri de testare.
10.5.2 Revizuiri tehnice ale modificărilor sistemului de operare
Periodic este necesară schimbarea sistemului de operare, de exemplu instalarea unei noi versiuni
software disponibile sau patch-uri. Atunci când au loc schimbări, sistemele de aplicaţie trebuie revizuite şi
testate pentru a se asigura că nu există nici un impact nedorit asupra operării sau securităţii. Acest
proces trebuie să acopere:
a)revizuirea procedurilor de control şi integritate a aplicaţiei pentru a se asigura faptul că nu au fost
compromise de schimbările în cadrul sistemului de operare;
b)asigurarea că planul şi bugetul de suport anual va acoperi aceste revizuiri şi testări de sistem
rezultate în urma schimbărilor sistemului de operare;
c)asigurarea că notificarea schimbărilor în cadrul sistemului de operare se face în timp util pentru a
permite ca revizuirile adecvate să poată avea loc înaintea implementării;
d)asigurarea că sunt făcute modificările adecvate planurilor de continuitate a afacerii (a se vedea
clauza 11).
10.5.3 Restricţii asupra schimbărilor pachetelor software
Modificarea pachetelor software trebuie descurajată. Pe cât este posibil şi aplicabil, pachetele software
furnizate de producător trebuie folosite fără vreo modificare. Acolo unde este absolut necesară
modificarea unui pachet software, trebuie luate în considerare următoarele aspecte:
a)riscul compromiterii controalelor incluse şi a integrităţii proceselor;
b)dacă trebuie obţinut acordul producătorului;
c)posibilitatea obţinerii din partea furnizorului a schimbărilor cerute, ca actualizări ale programului
standard;
56
SR ISO/CEI 17799:2004
d) impactul, dacă organizaţia devine responsabilă pentru mentenanţa ulterioară a software-ului ca

rezultat al schimbărilor;
Dacă schimbările sunt absolut necesare, software-ul original trebuie păstrat şi schimbările trebuie aplicate
unei copii clar identificate. Toate schimbările trebuie testate complet şi documentate, astfel încât să
poată fi reaplicate, dacă este necesar, pentru viitoare actualizări de software.
10.5.4 Canale mascate şi codul troian

Un canal mascat poate expune informaţiile prin mijloace indirecte şi obscure. El poate fi activat prin
schimbarea unui parametru accesibil atât de elemente sigure, cât şi nesigure ale unui sistem de calcul,
sau prin înglobarea informaţiei într-un flux de date. Codul troian este proiectat să afecteze sistemul
într-un mod care nu este autorizat, nu este observat şi nici cerut de destinatar sau de utilizatorul
programului. Canalele mascate şi codul troian apar rareori accidental. Acolo unde canalele mascate sau
codul troian sunt o problemă, trebuie avute în vedere următoarele:
a)cumpărarea programelor numai din surse cu reputaţie;
b)cumpărarea programelor în cod sursă, astfel încât acesta să poată fi verificat;
c)folosirea de produse evaluate;
d)inspectarea completă a codului sursă înainte de uzul operaţional;
e)controlul accesului la cod şi a modificării acestuia, odată instalat;
f)folosirea de personal testat, de încredere, pentru a lucra pe sistemele cheie.
10.5.5 Dezvoltarea externalizată de software

Atunci când software-ul este dezvoltat prin externalizare trebuie considerate următoarele puncte:
a)contractele de licenţiere, drepturile de proprietate asupra codului şi de proprietate intelectuală
(a se vedea 12.1.2);'
b)certificarea calităţii şi acurateţii muncii depuse;
c)contract de escrow*117' în cazul falimentului terţilor;
d)drepturile de acces pentru audit al calităţii şi acurateţii muncii realizate;
e)cerinţe contractuale privind calitatea codului;
f)testarea înainte de instalare pentru detectarea codului troian.
11 Managementul continuităţii afacerii

11.1 Aspecte ale managementului continuităţii afacerii
Obiectiv: Contracararea întreruperilor activităţilor organizaţiei şi protecţia proceselor critice ale afacerii
împotriva efectelor căderilor sistemelor sau dezastrelor.
Trebuie implementat un proces de management al continuităţii afacerii pentru a reduce întreruperea
cursului normal al activităţii cauzat de dezastre şi de căderi ale sistemului de securitate (care pot fi
rezultatul, spre exemplu, al dezastrelor naturale, accidentelor, defectării echipamentelor sau al actelor
intenţionate) până la un nivel acceptabil, printr-o combinaţie de controale preventive şi de recuperare.
Consecinţele dezastrelor, căderilor de securitate şi întreruperii activităţilor trebuie să fie analizate.
Pentru a se asigura faptul că procesele afacerii pot fi refăcute în timpii ceruţi, trebuie dezvoltate şi
implementate planuri de urgenţă. Astfel de planuri trebuie menţinute şi exersate pentru a deveni o
parte integrantă a tuturor celorlalte procese de management.
Managementul continuităţii afacerii trebuie să includă controale pentru identificarea şi reducerea riscurilor,
limitarea consecinţelor incidentelor cauzatoare de daune, şi asigurarea reluării în timp util a operaţiunilor
esenţiale.
N17)
NOTĂ NAŢIONALĂ - Depunere condiţionată la o terţă parte/(acces la cod sursa)
57
SR ISO/CEI 17799:2004
11.1.1 Proces de management al continuităţii afacerii
Trebuie implementat un proces managerial pentru dezvoltarea şi menţinerea continuităţii afacerii în

întreaga organizaţie. Acesta trebuie să însumeze următoarele elemente cheie ale managementului
continuităţii afacerii:
a)înţelegerea riscurilor pe care organizaţia le înfruntă, considerând probabilitatea şi impactul

acestora, incluzând o identificare şi o acordare de prioritate a proceselor critice pentru afacere;
b)înţelegerea impactului pe care întreruperile le pot produce asupra afacerii (este important să fie
găsite soluţii care să rezolve atât incidentele minore, cât şi incidentele serioase care pot afecta
viabilitatea organizaţiei) şi stabilirea obiectivelor organizaţiei cu privire la echipamentele de
procesare a informaţiei;
c)luarea în considerare a încheierii unei poliţe de asigurare adecvate care poate face parte din
procesul de continuitate a afacerii;
d)formularea şi documentarea unei strategii de continuitate a afacerii, în acord cu obiectivele şi

priorităţile stabilite ale afacerii;
e)formularea şi documentarea planurilor de continuitate a afacerii în concordanţă cu strategia

convenită;
f)testarea şi actualizarea regulată a planurilor şi proceselor realizate;
g)asigurarea că managementul continuităţii afacerii este inclus în procesele şi structura

organizaţiei. Responsabilitatea pentru coordonarea procesului de management al continuităţii
afacerii trebuie atribuită la un nivel adecvat în cadrul organizaţiei, ca de exemplu comisiei de
securitate a informaţiei (a se vedea 4.1.1).
11.1.2 Continuitatea afacerii şi analiza impactului
Continuitatea afacerii ar trebui să înceapă prin identificarea evenimentelor care pot cauza întreruperi ale
proceselor afacerii, de exemplu disfuncţionalităţi ale echipamentelor, inundaţii sau incendii. Aceasta ar
trebui urmată de o analiza a riscului pentru determinarea impactului acestor întreruperi (atât din punct de
vedere al nivelului daunelor produse, cât şi al timpului de recuperare). Ambele activităţi trebuie îndeplinite cu
implicarea totală din partea proprietarilor resurselor şi proceselor afacerii. Această evaluare trebuie să ia în
considerare toate procesele afacerii şi să nu se limiteze doar la echipamentele de procesare a informaţiei.
în funcţie de rezultatele analizei de risc trebuie dezvoltat un plan strategic pentru a determina tratarea
globală a continuităţii afacerii. Odată ce acest plan a fost creat, el trebuie să fie aprobat de către
management.
11.1.3 Elaborarea şi implementare a planurilor de continuitate
Planurile trebuie dezvoltate pentru a menţine sau relua operaţiile afacerii în timpul optim în urma unei
întreruperi sau a căderii unor procese de importanţa critică pentru afacere. Procesul de planificare a
continuităţii afacerii trebuie să ia în considerare următoarele:
a)identificarea şi stabilirea responsabilităţilor şi procedurilor de urgenţă;
b)implementarea procedurilor de urgenţă pentru a permite recuperarea şi reluarea activităţii în

timpii necesari. O atenţie specială va trebui acordată evaluării factorilor externi de care depinde
afacerea şi a contractelor în desfăşurare;
c)documentaţia procedurilor şi proceselor stabilite;
d)educarea adecvată a personalului privind procedurile şi procesele de urgenţă stabilite incluzând

managementul de criză;
58
SR ISO/CEI 17799:2004
e) testarea şi actualizarea planurilor.
Procesul de planificare va trebui să se axeze pe obiectivele imperative ale afacerii, cum ar fi reluarea
prestării serviciilor pentru clienţi într-o durată de timp acceptabilă. Trebuie luate în considerare serviciile şi
resursele care vor susţine realizarea acestora, incluzând personalul, resursele de procesare care nu
privesc informaţia, ca şi planurile de refacere pentru echipamentele de procesare a informaţiei.
11.1.4 Cadrul planificării continuităţii afacerii
Trebuie menţinută o structură unică a planurilor de continuitate a afacerii pentru a asigura consistenţa
planurilor şi care să identifice priorităţile pentru testare şi mentenanţă. Fiecare plan de continuitate a
afacerii trebuie să specifice dar condiţiile sale de activare, ca şi persoanele responsabile de executarea
fiecărei componente a planului. Atunci când sunt identificate noi necesităţi, cum ar fi planuri de evacuare
sau orice proceduri de urgenţă existente, acestea trebuie modificate corespunzător.
O structură-cadru de planificare a continuităţii afacerii trebuie să considere următoarele:

a)condiţiile de activare a planurilor care descriu procedurile care trebuie urmate (cum se evaluează
situaţia, cine este implicat etc.) înainte ca fiecare plan să fie activat;
b)procedurile de urgenţă care descriu măsurile care trebuie luate după un incident ce pune în
pericol operaţiunile afacerii şi/sau vieţi umane. Acestea ar trebui să includă reglementări pentru
gestionarea relaţiilor cu publicul şi pentru un contact eficient cu autorităţile publice de interes, ca
de exemplu poliţia, serviciul de pompieri şi administraţia locală;
c)procedurile de restaurare care descriu măsurile ce trebuie luate pentru mutarea activităţilor
esenţiale ale afacerii sau a serviciilor de suport în locaţii alternative temporare, precum şi
readucerea proceselor afacerii în stare de operabilitate în intervalul de timp optim;
d)procedurile de revenire care descriu măsurile ce trebuie luate pentru revenirea la normal a
operaţiunilor afacerii;
e)un orar de mentenanţă care să specifice cum şi când va fi testat planul şi procedura de menţinere
a planului;
f)activităţi de aducere la cunoştinţă şi de educare care sunt destinate înţelegerii proceselor de
continuitate a afacerii şi asigurării că procesele continuă să fie efective (să activeze);
g)responsabilităţile personalului, descriind cine este responsabil pentru executarea unei anume
componente din plan. Dacă este necesar vor fi desemnate şi persoane responsabile alternative
(de rezervă).
Pentru fiecare plan trebuie desemnat un proprietar specific. Procedurile de urgenţă, planurile de revenire
manuale şi planurile de reluare a activităţii trebuie să fie în responsabilitatea proprietarilor resurselor şi
proceselor corespunzătoare implicate. Aranjamentele de revenire pentru serviciile tehnice alternative,
cum ar fi echipamentele de procesare a informaţiei şi de comunicaţii, trebuie să revină în mod normal în
responsabilitatea furnizorilor de servicii.
11.1.5 Testarea, menţinerea şi reevaluarea planurilor de continuitate a afacerii
11.1.5.1 Testarea planurilor

Planurile de continuitate a afacerii pot ajunge să nu poată fi testate adesea datorită presupunerilor
incorecte, a erorilor sau a schimbărilor de echipament sau de personal. De aceea, testarea lor trebuie să
se desfăşoare la intervale de timp regulate pentru a fi actualizate şi eficiente. Astfel de teste ar trebui de
asemenea să asigure că toţi membrii echipei de recuperare şi alţi membri relevanţi ai personalului sunt
conştienţi de importanţa acestor planuri.
Calendarul de testare pentru planul/urile de continuitate a afacerii va trebui să indice cum şi când va fi
testat fiecare element al planului. Este recomandată testarea în mod frecvent a componentelor specifice
ale planurilor. Pentru a se asigura funcţionarea planului/rilorîn condiţii reale trebuie utilizată o varietate de
tehnici de testare. Acestea trebuie să includă:
59
SR ISO/CEI 17799:2004
a)testarea teoretică a diferitelor scenarii (discutarea aranjamentelor de recuperare a afacerii,

utilizând exemple de întreruperi);
b)simulări (în particular pentru educarea personalului pentru rolurile lor de management in situaţii
post-incident/criză);
c)testarea recuperării tehnice (asigurarea faptului că sistemele informatice pot fi repuse efectiv in
funcţiune);
d)testarea recuperării într-o locaţie alternativă (rulând procesele afacerii în paralel cu operaţiunile
de repunere în funcţiune într-un loc depărtat de locaţia principală);
e)testarea furnizării de echipamente tehnice şi de servicii (asigurându-se că serviciile şi produsele
furnizate în exterior îndeplinesc obligaţiile contractuale);
f)repetiţii complete (testarea faptului că organizaţia, personalul, echipamentul, echipamentele
tehnice şi procesele pot face faţă întreruperilor).
Tehnicile pot fi folosite de către orice organizaţie şi trebuie să reflecte natura planului specific de
recuperare.
11.1.5.2 Mentenanţa şi reevaluarea planurilor

Planurile de continuitate a afacerii trebuie susţinute prin revizuiri la intervale de timp regulate şi actualizări
pentru a asigura continua lor efectivitate (a se vedea 11.1.5.1. până la 11.1.5.3). Trebuie incluse
proceduri în planul de management al schimbărilor al organizaţiei pentru a se asigura că problemele
legate de continuitatea afacerii sunt corespunzător tratate.
Trebuie atribuită responsabilitatea pentru analize sistematice ale fiecărui plan de continuitate a afacerii;
identificarea de schimbări în cursul afacerii care nu sunt încă reflectate în planurile de continuitate a
afacerii trebuie să fie urmată de o actualizare corespunzătoare a planului. Acest proces oficial de control al
schimbării are rolul de a asigura că planurile actualizate sunt distribuite şi consolidate prin revizuiri
regulate ale planului complet.
Exemple de situaţii care pot necesita actualizări ale planurilor includ achiziţia de noi echipamente sau
actualizarea sistemelor operaţionale, precum şi schimbările de:
a)personal;
b)adrese sau numere de telefon;
c)strategie a afacerii;
d)locaţie, echipamente tehnice şi resurse;
e)legislaţie;
f)contractanţi, furnizori şi clienţi cheie;
g) procese, fie procese noi, fie procese la care s-a renunţat;
h) riscuri (operaţionale şi financiare).
12 Conformitatea
12.1 Conformitatea cu cerinţele legale
Obiectiv: Evitarea încălcărilor oricăror legi penale sau civile, sau a oricărei prevederi cuprinsă într-un statut,
regulament sau a oricăror obligaţii contractuale sau cerinţe de securitate.
Proiectarea, operarea, utilizarea şi managementul sistemelor informatice pot fi subiectul cerinţelor de
securitate cuprinse într-un statut, regulament sau contract. Consilierea în privinţa cerinţelor legale specifice
va trebui acordată de către consilierii juridici ai organizaţiei, sau de către practicieni calificaţi în domeniu.
Cerinţele legislative variază de la o ţară la alta, la fel şi pentru informaţia creată într-o ţară care este
transmisă în altă ţară (flux de date transfrontier).
60
SR ISO/CEI 17799:2004
12.1.1 Identificarea legislaţiei aplicabile
Toate cerinţele relevante statutare, legislative, regulamentare şi contractuale vor fi definite explicit şi
documentate pentru fiecare sistem informatic. Modalităţile de control specific şi responsabilităţile
individuale pentru îndeplinirea acestor cerinţe trebuie să fie de asemenea definite şi documentate.
12.1.2 Drepturi de proprietate intelectuală
12.1.2.1 Copyright
Trebuie implementate procedurile adecvate pentru a asigura conformitatea cu restricţiile legale ale
utilizării materialului cu privire la care pot exista drepturi de proprietate intelectuală, cum ar fi copyright,
drepturi de proiectare, mărci înregistrate. încălcările copyright-ului pot conduce la acţiuni legale care pot
implica pedepse penale.
Cerinţele legislative, de reglementare şi contractuale pot impune restricţii asupra copierii materialelor cu
drepturi de autor. Acestea pot condiţiona în mod specific folosirea doar a materialului care este dezvoltat
de organizaţie, sau care este licenţiat sau furnizat de către cel care se ocupă cu dezvoltarea organizaţiei.
12.1.2.2 Drepturi de autor pentru-produse software

Produsele software proprietare sunt de obicei furnizate cu un drept de licenţă care limitează utilizarea
acestor produse la maşini specificate şi poate limita copierea doar la crearea de copii copie de siguranţă.
Trebuie luate în considerate controalele următoare:
a)publicarea unei politici de conformitate cu privire la drepturile de autor pentru produsele software,
care defineşte modul de utilizare legal al acestora şi al produselor informatice;
b)emiterea de standarde pentru procedurile de achiziţionare a produselor software;

c)informarea continuă cu privire la drepturile de autor pentru produse şi politică de achiziţionare şi
aducerea la cunoştinţă a intenţiei de luare a unor măsuri disciplinare împotriva personalului care
le încalcă;
d)menţinerea unor registre corespunzătoare de resurse;

e)menţinerea dovezii dreptului de proprietate asupra licenţelor, discurilor maşter, manualelor etc;
f)implementarea de controale pentru asigurarea că numărul maxim permis de utilizatori nu este
depăşit;
g)efectuarea de controale pentru asigurarea instalării numai de software autorizat şi de produse
licenţiate;
h) crearea unei politici pentru menţinerea condiţiilor de licenţă adecvate; i)
crearea unei politici de predare sau transfer de software către alţii; j)
folosirea unor metode de audit potrivite;
k) asigurarea conformităţii cu termenii şi condiţiile pentru utilizarea software-ului şi a informaţiilor

obţinute din reţelele publice (a se vedea şi 8.7.6).
12.1.3 Păstrarea înregistrărilor organizaţiei
înregistrările importante ale unei organizaţii trebuie protejate de pierderi, distrugere şi falsificare. Unele
înregistrări trebuie păstrate în mod securizat pentru a îndeplini cerinţe legale sau regulamentare, ca de
altfel şi pentru a sprijini activităţile esenţiale într-o afacere. Unele exemple ar fi înregistrări care pot fi
cerute ca probe că organizaţia funcţionează în acord cu prevederile legale sau regulamentare, sau pentru
a asigura apărarea adecvată împotriva unor potenţiale acţiuni civile sau penale, sau pentru a confirma
situaţia financiară a unei organizaţii în faţa acţionariatului, partenerilor sau auditorilor. Perioada de timp şi
conţinutul datelor pentru păstrarea de informaţii poate fi stabilită prin lege sau regulamente.
61
SR ISO/CEI 17799:2004
înregistrările trebuie împărţite în tipuri de înregistrări, de exemplu. înregistrări contabile, baze de date,
jurnale de tranzacţii, jurnale de audit şi proceduri operaţionale, fiecare având detaliate perioadele de
reţinere şi tipul mediului de stocare, de exemplu hârtie, microfişe, suport magnetic, suport optic. Orice chei
criptografice, asociate cu arhive criptate sau semnături electronice (a se vedea 10.3.2 şi 10.3.3) trebuie
păstrate în siguranţă şi puse la dispoziţia persoanelor autorizate, atunci când este necesar.
Trebuie acordată atenţie posibilităţii de degradare a mediilor de stocare folosite pentru înregistrări.
Stocarea şi procedurile de utilizare trebuie implementate în acord cu recomandările producătorului.
Atunci când sunt alese medii de stocare electronice trebuie incluse proceduri care să asigure posibilitatea
accesului la date (citirea atât a mediilor, cât şi a formatului) pentru intervalul perioadei de păstrare pentru a le
proteja de pierderile cauzate de schimbarea ulterioară a tehnologiei.
Sistemele de stocare a datelor trebuie alese în aşa fel încât datele necesare să poată fi recuperate într-o
manieră acceptabilă din punct de vedere juridic, de exemplu toate înregistrările necesare să poată fi
recuperate din stocare într-un interval de timp acceptabil şi într-un format acceptat.
Sistemul de stocare şi manevrare va trebui să asigure identificarea clară a înregistrărilor şi a perioadelor de

reţinere legale sau regulamentare. Acesta trebuie să permită şi distrugerea adecvată a înregistrărilor după
perioada prevăzută dacă acestea nu mai sunt necesare organizaţiei.
Pentru îndeplinirea acestor obligaţii, in cadrul organizaţiei trebuie realizaţi următorii paşi:
a)trebuie emise îndrumări referitoare la timpul de păstrare, stocarea, utilizarea şi distrugerea

înregistrărilor şi a informaţiei;
b)trebuie trasat un calendar al păstrării înregistrărilor identificând tipurile esenţiale de înregistrări şi
perioada de timp pentru care acestea trebuie păstrate;
c)trebuie menţinut un inventar al surselor de informaţii cheie;
d)trebuie implementate controalele potrivite pentru a proteja înregistrările esenţiale şi informaţia de
pierderi, distrugeri şi falsificări.
12.1.4 Protecţia datelor şi a confidenţialităţi informaţiei personale
Un număr de ţări au introdus legi care prevăd controale pentru procesarea şi transmiterea datelor
personale (informaţii generale despre indivizi care pot fi identificaţi utilizând această informaţie). Astfel de
controale pot impune responsabilităţi celor care colectează, procesează şi împart informaţii personale şi pot
restricţiona abilitatea de transfer a acestor date în alte ţări.
Conformitatea cu legislaţia de protecţie a datelor necesită o structură adecvată de management şi

control. Deseori aceasta este obţinută cel mai bine prin numirea unei persoane responsabile de protecţia
datelor care va îndruma managerii, utilizatorii şi furnizorii de servicii cu privire la responsabilităţile lor
individuale şi la procedurile specifice care trebuie respectate. Proprietarul informaţiei este responsabil de
informarea persoanei responsabile de protecţia datelor despre orice propuneri de a păstra informaţia într-un
fişier structurat şi de a se asigura de cunoaşterea principiilor de protecţie a informaţiilor definite în legislaţia
relevantă de către acesta.
12.1.5 Prevenirea utilizării abuzive a echipamentelor de procesare a informaţiei
Echipamentele de procesare a informaţiei într-o organizaţie sunt destinate folosirii în conformitate cu scopul
activităţii organizaţiei. Managementul va trebui să autorizeze folosirea lor. Orice utilizare a acestor
echipamente în alte scopuri decât cele destinate activităţii organizaţiei sau în scopuri neautorizate, fără
aprobarea managementului, va trebui tratată ca o folosire inadecvată a echipamentelor. Dacă o astfel de
activitate este identificată prin monitorizare sau prin alte modalităţi, va fi adusă la cunoştinţa managerului
responsabil pentru luarea măsurilor disciplinare potrivite.
Legalitatea monitorizării utilizării variază de la ţară la ţară şi poate necesita avizarea angajaţilor în privinţa
acestei monitorizări sau obţinerea acordului lor. Trebuie cerută consultanţă legală înaintea implementării
procedurilor de monitorizare.
62
SR ISO/CEI 17799:2004
Multe ţări au sau sunt în proces de introducere a legislaţiei împotriva utilizării abuzive a calculatorului.
Utilizarea calculatorului în scopuri neautorizate poate fi o faptă de natură penală. De aceea, este
important ca toţi utilizatorii să fie încunoştiinţaţi cu privire la scopul precis al accesului care li s-a acordat.
Acest lucru poate fi obţinut, spre exemplu, prin acordarea unei autorizări scrise utilizatorilor, o copie a
acesteia trebuind să fie semnată de utilizator şi păstrată la loc sigur de către organizaţie. Angajaţii unei
organizaţii şi utilizatorii terţi trebuie să fie avizaţi că nici un tip de acces nu este permis în afara celui
explicit autorizat.
La accesare va trebui să apară un mesaj de atenţionare pe ecranul calculatorului care să indice faptul că
sistemul în care se intră este privat şi accesul neautorizat nu este permis. Utilizatorul va trebui să
înţeleagă şi să reacţioneze în acord cu mesajul de pe ecran pentru a putea continua procesul de
accesare.
12.1.6 Reglementarea controalelor criptografice
Unele ţări au implementat convenţii, legi, regulamente sau alte instrumente pentru a controla accesul sau
utilizarea controalelor criptografice. Astfel de controale vor include:
a)importul şi/sau exportul de hardware sau software pentru realizarea de funcţii criptografice;
b)importul şi/sau exportul de software sau hardware care este proiectat să i se poată ataşa funcţii
criptografice;
c)metode obligatorii sau opţionale de acces, reglementate de anumite ţări, pentru a asigura
confidenţialitatea conţinutului prin criptarea cu echipamente hardware sau software.
Va trebui cerută consiliere juridică pentru asigurarea conformităţii cu legislaţia naţională. înainte ca
informaţia criptată sau controalele criptografice să fie mutate în altă ţară trebuie cerută de asemenea
consiliere juridică.
12.1.7 Colectarea dovezilor
12.1.7.1 Reguli pentru dovezi

Pentru a susţine acţiunea împotriva unei organizaţii sau persoane este necesară deţinerea unor dovezi
adecvate. Ori de câte ori această acţiune este de natură disciplinară internă, proba necesară va fi
descrisă prin proceduri interne.
Acolo unde acţiunea implică legea civilă sau penală dovada adusă va trebui să se conformeze regulilor
de efectuare a probei din legea relevantă sau regulilor specifice instanţei de judecată în care cazul în
care acţiunea va fi admisă. în general aceste reguli acoperă:
a)admisibilitatea probei: dacă proba poate fi utilizată în justiţie sau nu;
b)valoarea probei: calitatea şi completitudinea dovezii;
c)proba pertinentă că au fost aplicate corect şi corespunzător controalele (controalele de colectare

de dovezi, în speţă) pe parcursul perioadei în care dovada care trebuia recuperată a fost stocată
şi procesată de sistem.
12.1.7.2 Admisibilitatea dovezii

Pentru a obţine admiterea probei, organizaţiile trebuie să se asigure că sistemele lor informatice sunt în
acord cu standardele publicate sau cu codul de practică pentru producerea de dovezi admisibile.
12.1.7.3 Calitate şi completitudine a dovezii

Pentru a obţine calitatea şi completitudinea probei este necesară o modalitate solidă de urmărire a
dovezii. în general, o astfel de modalitate poate fi stabilită în următoarele condiţii:
63
Pagina extrasa din aplicaţia Standard FullTextCD View (c) 2003-2004 ASRO & Biue Project Software
SR ISO/CEI 17799:2004
a)pentru documentele pe hârtie: originalul este ţinut într-un loc sigur şi este înregistrată persoana
care l-a găsit, unde a fost găsit, când a fost găsit şi cine a fost martor la descoperire. Orice
investigaţie va trebui să asigure faptul că originalele nu sunt afectate;
b)pentru informaţia stocată pe calculator: trebuie făcute copii ale tuturor informaţiilor ţinute pe medii
de stocare care se pot şterge, ale informaţiilor de pe hard-discuri sau din memorie, pentru
asigurarea disponibilităţii lor. Trebuie păstrată o înregistrare a tuturor acţiunilor din timpul
procesului de copiere şi acest proces trebuie să aibă martori. O copie a datelor de pe mediul de
stocare şi a log-ului (jurnalul de înregistrare descris mai sus) trebuie păstrate în siguranţă.
Atunci când se detectează iniţial un incident, se poate întâmpla să nu fie evident că acesta va duce la
posibilitatea intentării unei acţiuni în justiţie. De aceea, există pericolul ca probele necesare să fie distruse
accidental înainte ca gravitatea incidentului să fie realizată pe deplin. Este recomandată implicarea cât mai
rapidă a unui avocat sau a poliţiei când se intenţionează intentarea unei acţiuni legale şi solicitarea consilierii
privind dovada necesară.
12.2 Revizuirea politicii de securitate şi a conformităţii tehnice
Obiectiv: Asigurarea conformităţii sistemelor cu politicile şi standardele de securitate ale organizaţiei.

Securitatea sistemelor de informaţii trebuie revizuită la intervale de timp regulate.
Astfel de revizuiri trebuie realizate asupra politicilor corespunzătoare de securitate, iar platformele
tehnice şi sistemele informatice trebuie auditate pentru conformitatea cu standardele de implementare a
securităţii.
12.2.1 Conformitatea cu politica de securitate

Managerii trebuie să se asigure că toate procedurile de securitate din domeniul lor de răspundere sunt
îndeplinite corect. în plus, toate departamentele din cadrul organizaţiei trebuie supravegheate în mod
regulat pentru asigurarea conformităţii cu politicile şi standardele de securitate. Acestea trebuie să
includă următoarele:
a)sisteme informatice;
b)furnizorii de sisteme;
c)proprietarii informaţiei şi a resurselor informaţionale;
d)utilizatorii;
e)managementul.
Proprietarii sistemelor informatice (a se vedea 5.1) trebuie supuşi analizării sistematice a conformităţii
sistemelor lor cu politicile de securitate, standardele şi orice alte cerinţe de securitate corespunzătoare.
Monitorizarea operaţională a utilizării sistemului este prezentată în 9.7.
12.2.2 Verificarea conformităţii tehnice

Sistemele informatice trebuie verificate in mod regulat pentru asigurarea conformităţii cu standardele de
implementare a securităţii. Verificarea conformităţii din punct de vedere tehnic implică examinarea
sistemelor operaţionale pentru a asigura implementarea corectă a tuturor controalelor hardware şi
software. Acest tip de verificare a conformităţii necesită asistenţă tehnică de specialitate. Această
verificare trebuie realizată manual (folosind suportul echipamentelor software, dacă este necesar) de către
un inginer de sistem experimentat, sau de către o aplicaţie software automatizată care generează un raport
tehnic pentru interpretarea ulterioară de către un specialist tehnic.
De asemenea, verificarea conformităţii acoperă, de exemplu, testul de intruziune, care poate fi realizat de
experţi independenţi special contractaţi în acest scop. Acesta poate fi util pentru detectarea
vulnerabilităţilor din sistem şi pentru a verifica cât de eficiente sunt controalele în prevenirea accesului
neautorizat cauzat de aceste vulnerabilităţi. Trebuie luate precauţiile necesare în cazul în care reuşita
testului de intruziune ar putea conduce la compromiterea securităţii sistemului şi la exploatarea
nepotrivită a altor vulnerabilităţi.
64
SR ISO/CEI 17799:2004
Orice verificare a conformităţii tehnice ar trebui realizată doar de către, sau sub supravegherea unor
persoane competente autorizate.
12.3 Consideraţii privind auditul sistemului
Obiectiv: Maximizarea eficacităţii şi minimizarea interferenţelor spre şi dinspre procesul de audit al

sistemului.
Trebuie să existe controale pentru protejarea sistemelor operaţionale şi a instrumentelor de audit în timpul
auditării sistemului.
De asemenea, este necesară protejarea integrităţii şi prevenirea utilizării abuzive a instrumentelor de
audit.
12.3.1 Controale ale auditului de sistem
Cerinţele de audit şi activităţile ce implică verificări ale sistemelor operaţionale trebuie planificate atent şi
în acord cu minimizarea riscului apariţiei perturbărilor in procesele afacerii. Se observă următoarele:
a)cerinţele de audit trebuie aprobate de managementul relevant implicat;
b)scopul verificărilor trebuie aprobat şi controlat;
c)verificările trebuie limitate doar la un acces de tip "read-only" la software şi informaţii;

d)alt acces în afară de cel „read-only" va fi permis doar pentru copii izolate ale fişierelor sistemului,
care trebuie şterse în momentul în care auditul se termină;
e)resursele de tehnologia informaţiei pentru realizarea verificărilor trebuie să fie identificate explicit
şi disponibilizate;
f)cerinţele pentru o procesare specială sau suplimentară a informaţiei trebuie identificate şi

aprobate;
g) orice acces trebuie monitorizat şi înregistrat pentru a se produce o probă de referinţă;
h) toate procedurile, cerinţele şi responsabilităţile trebuie documentate.
12.3.2 Protecţia instrumentelor de audit
Accesul la instrumentele de audit, ca de exemplu software sau fişiere de date, trebuie să fie protejat
pentru a preveni orice utilizare abuzivă sau compromitere. Astfel de instrumente trebuie să fie separate
de sistemele de dezvoltare şi operaţionale şi nu vor fi stocate pe suport de înregistrare magnetic şi nici
păstrate în ariile de acces ale utilizatorilor, în afara cazului în care le este asigurat un nivel adecvat de
protecţie suplimentară.
65

Iso 17799romana

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Iso 17799romana

Încărcat de

Drepturi de autor:

Formate disponibile

SR ISO/CEI 17799:2004

Ce este securitatea informaţiei?

b)integritatea: păstrarea acurateţei şi completitudinii informaţiei precum şi a metodelor de

c)disponibilitatea: asigurarea faptului că utilizatorii autorizaţi au acces la informaţie şi la resursele

De ce este necesară securitatea informaţiei?

Cum se stabilesc cerinţele de securitate

Evaluarea riscurilor de securitate

Evaluarea riscului reprezintă o abordare sistematică a:

b)probabilitatea reală ca un astfel eveniment de securitate să se producă, în condiţiile apariţiei

Rezultatul acestei evaluări va ajuta la indicarea şi determinarea acţiunilor de management potrivite

b)a lua in considerare noile ameninţări şi vulnerabilităţi;

c)a se confirma păstrarea eficacităţii şi selectării controalelor de securitate implementate.

Punct de pornire pentru securitatea informaţiei

a)protecţia datelor şi păstrarea secretului informaţiilor cu caracter personal (a se vedea 12.1.4);

b)păstrarea înregistrărilor organizaţiei (a se vedea 12.1.3);

c)drepturile asupra proprietăţii intelectuale (a se vedea 12.1.2);

a) documentul în care este prezentată Politica de Securitate a Informaţiei (a se vedea 3.1);

b)alocarea responsabilităţilor în domeniul securităţii informaţiei (a se vedea 4.1.3);

c)cursurile de instruire şi educare în domeniul securităţii informaţiei (a se vedea 6.2.1);

d)raportarea incidentelor de securitate (a se vedea 6.3.1);

e)managementul asigurării continuităţii afacerii (a se vedea 11.1).

Factori critici de succes

a)politica de securitate, obiectivele şi activităţile care să reflecte obiectivele afacerii;

b)o abordare a implementării securităţii care să fie corespunzătoare culturii organizaţiei;

c)o susţinere şi un angajament vizibile din partea managementului;

d)o bună înţelegere a cerinţelor de securitate, a evaluării riscului şi a managementului riscului;

e)un marketing eficace al securităţii pentru toţi angajaţii şi pentru conducere;

g)oferirea unei instruiri adecvate;

Dezvoltarea propriilor linii directoare

Tehnologia informaţiei - Cod de practică pentru managementul securităţii

2.1 Securitatea informaţiei

Păstrarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei.

2.2 Evaluarea riscului

Evaluarea ameninţărilor referitoare la informaţie, a impactului asupra acesteia, a vulnerabilităţilor

2.3 Managementul riscului

3.1 Politica de securitate a informaţiei

Obiectiv: Determină direcţia şi suportul managementului pentru securitatea informaţiei

Managementul trebuie să stabilească o direcţie clară a politicii de securitate şi să demonstreze

3.1.1 Documentul prin care se specifică politica de securitate a informaţiei

a)o definiţie a securităţii informaţiei, scopul şi obiectivele generale şi importanţa securităţii

b)o declaraţie de intenţie a managementului organizaţiei care să sprijine obiectivele şi principiile

c)o scurtă explicare a politicilor de securitate, a principiilor, a standardelor şi a cerinţelor de

1)conformitatea cu cerinţe legislative şi contractuale;

d)o definiţie a responsabilităţilor generale şi specifice în realizarea managementului securităţii

3.1.2 Revizuire şi evaluare

a)eficacitatea politicii, demonstrată de natura, numărul şi impactul incidentelor de securitate

b)costul şi impactul controalelor asupra eficienţei afacerii;

c)efectele modificărilor de tehnologie.

4.1 Infrastructura securităţii informaţiei

Obiectiv. Asigurarea managementului securităţii informaţiei în cadrul organizaţiei.

4.1.1 Comisie pentru managementul securităţii informaţiei

a)analiza şi aprobarea politicii de securitate a informaţiei şi a responsabilităţilor generale;

b)monitorizarea schimbărilor semnificative în expunerea resurselor sistemului informaţional unor

c)analiza şi monitorizarea incidentelor de securitate a informaţiei;

d)aprobarea iniţiativelor majore care au drept scop sporirea securităţii informaţiei.

4.1.2 Coordonarea securităţii informaţiei

a)aprobă rolurile şi responsabilităţile specifice privind securitatea informaţiei în cadrul organizaţiei;

b)aprobă metodologiile şi procesele specifice privind securitatea informaţiei, cum ar fi evaluarea

d)se asigură de faptul că securitatea este parte a procesului de planificare a informaţiei;

e)evaluează aplicabilitatea şi coordonează implementarea controalelor specifice de securitate a

f)analizează incidentele de securitate a informaţiei;

4.1.3 Alocarea responsabilităţilor privind securitatea informaţiei

Responsabilităţile privind protejarea fiecărei resurse şi derularea proceselor specifice de securitate

Cu toate acestea, responsabilitatea privind asigurarea resurselor şi implementarea controalelor va