SC ELECTRO ALFA INTERNATIONAL SRL Botoşani

PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

APROBAT
DIRECTOR OPERATIONAL,
ing. Gabriela NECHIFOR

ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA

SISTEMELOR INFORMATICE

Cod: PO - 07

Documente de referinţă:

SR EN ISO 9001:2008
SR ISO / CEI 27001:2006
SR ISO / CEI 27002:2008

Exemplar nr : …... distribuit la : ………………………………………………….

Copie : controlată necontrolată

Verificat, Elaborat,

ing. Ionel FILIP ing. Mircea LUCA

Documentul de fata este proprietatea SC ELECTRO ALFA INTERNATIONAL SRL Botoşani.

Multiplicarea si difuzarea acestui document, fără aprobarea Directorului Operational, este interzisă.

Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 1 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

LISTA DE CONTROL A REVIZIILOR

Ediţia/
Nr Continut sumar
Revizia/ Elaborat Aprobat
crt Nr. capitol, punct
data
1 Ed. 1/Rev.0 Redactare iniţială RSI Director Operational
10.05.2010 ing. Mircea LUCA

LISTA DE DIFUZARE –RETRAGERE

Exemplar Suport Data Semnătura

Destinatar
Nr. h/m difuzării primire
original Serv. MCM h/m 15.05.2010
Server domeniu\Docum_sistem m 15.05.2010
1 Serv. IT h/m 15.05.2010
Directia C&D m
Directia Vanzari m
Directia Antrepriza m
Directia Productie m

Departament Mk m
Departament HR m
Punct Lucru Iasi m
Punct LucruBuc. m
Punct Lucru Cluj m
Punct Lucru Brasov m

Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 2 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

1. SCOP

Procedura documenteaza modul in care SC ELECTRO ALFA INTERNATIONAL SRL asigură:

 Faptul că securitatea reprezintă o parte integrantă a sistemelor informatice

 Prevenirea erorilor, pierderilor, modificările neautorizate sau folosirea greşită a informaţiilor în cadrul
aplicaţiilor
 Protejarea confidenţialităţii, autenticitatea sau integritatea informaţiei prin metode criptografice
 Securitatea fişierelor de sistem
 Securitatea produselor software de aplicaţii de sistem şi a informaţiei
 Reducerea riscurilor care decurg din exploatarea vulnerabilităţilor tehnice publicate

2. DOMENIU DE APLICARE

Procedura se aplică de către toţi salariaţii, indiferent de funcţia deţinută, cu atribuţii şi responsabilităţi
stabilite în procesul de achiziţionare, dezvoltare şi mentenenţă a sistemelor informatice .

3. TERMENI SI DEFINITII. PRESCURTĂRI

Pentru scopurile acestei proceduri se utilizează termenii şi definiţiile din

SR EN ISO 9000:2006-Sisteme de management al calităţii. Principii fundamentale şi vocabular .
SR ISO/CEI 27001:2006-Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al
securităţii informaţiei. Cerinţe
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
dintre care enumerăm :

Politica
maniera de a actiona pentru atingerea unui scop
Procedură:
mod specificat de efectuare a unei activităţi sau a unui proces.
Resurse
orice prezinta valoare pentru organizatie (documente, fisiere, baze de date, calculatoare, echipamente
de comunicare, software de baza / de aplicatie, servicii, persoane )
Inregistrare:
document prin care se declară rezultatele obţinute sau furnizează dovezi ale activităţilor realizate.
Document
Informatie impreuna cu mediul sau suport
Documentaţie:
totalitatea informaţiilor, a documentelor referitoare la o anumită problemă sau la un anumit domeniu de
activitate
Informatii
orice documente, date, obiective sau activitati, indiferent de suport, forma, mod de exprimare sau de
punere in circulatie
Informaţii clasificate :
informaţiile, datele, documentele de interes pentru organizaţie, care, datorită nivelurilor de importanţă şi
consecinţelor care s-ar produce ca urmare a dezvăluirii sau diseminării neaturizate, trebuie să fie
protejate.
Utilizator
o persoană, o aplicaţie informatică sau un proces utilizator, autorizat de societate, în conformitate cu
procedurile şi regulamentele în vigoare, să folosească resursele informatice.
Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 3 / 6
Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

SMSI Sistem de Management al Securitatii informatiei

RSI Responsabil cu securitatea informatiei
RGSI Regulament privind securitatea informatiei
PO Procedura operationala

4. DOCUMENTE DE REFERINŢĂ

SR ISO / CEI 27001:2006 - Tehnologia informatiei. Tehnici de securitate. Sisteme de management al

securitatii informatiei. Cerinţe.
SR ISO / CEI 27002:2008 - Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru
managementul securitatii informatiei.
MSMI-EAI - Manualul Sistemului de Management Integrat

5. RESPONSABILITĂŢI

5.1. Responsabilul cu securitatea informatiei - RSI

 Raporteaza serviciului MCMSSO, pentru analiza efectuata de management, rezultatele monitorizarii
respectarii de catre salariati a prevederilor prezentei proceduri

5.2. Sef Serv. MCMSSO

 Evalueaza conformitatea Sistemului de Management al Securitatii Informatiei cu standardele şi
politicile de securitate.

5.3. Utilizatorii
 Au responsabilitatea de a se conforma prevederilor prezentei proceduri şi a Regulamentelor privind
securitatea informaţiei.

6. PROCEDURA

6.1. Analiza şi specificarea cerinţelor de securitate

Inainte de a dezvolta şi implementa sisteme informatice, cerinţele de securitate sunt identificate,

justificate, documentate şi aprobate.
Documentele care descriu parametri şi cerinţe pentru sistemele noi sau pentru îmbunătăţirea sistemelor
informatice existente vor specifica în mod obligatoriu şi măsurile de securitate necesare a fi întreprinse.
Măsurile de securitate necesare iau în considerare controalele automate şi cele manuale care trebuie
incorporate în sistemul informatic.
Cerinţele de securitate a informaţiilor vor fi integrate încă din fazele de început ale dezvoltării proiectelor
şi se va evita pe cât posibil integrarea acestora în faza de implementare.
Atunci când produsele sunt achiziţionate prin cumpărare, se vor realiza teste care să confirme
performanţa tehnică a produselor.
Se vor analiza funcţionalităţile referitoare la securitate pentru conformarea cu cerinţele specificate şi vor
fi analizate eventualele riscuri introduse de produs.
Modul de lucru concret este descris în Regulamentul privind Modernizari / modificari în sistemul
informatic, cod RGSI-21.

6.2. Procesarea corectă a datelor în cadrul aplicaţiilor

In anumite aplicaţii sunt proiectate măsuri de securitate care să asigure o procesare corectă. Acestea
includ validarea datelor de intrare, controlul procesării interne şi validarea datelor de ieşire.

Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 4 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

6.2.1. Validarea datelor de intrare

Datele de intrare în aplicaţii sunt supuse unei validări pentru a asigura caracterul complet, acurateţea şi
autenticitatea acestora.

6.2.2.Controlul procesării interne

In aplicaţii vor fi încorporate mecanisme de validare pentru detecţia falsificării / coruperii informaţiilor prin
procesare eronată sau acte deliberate.

6.2.3. Integritatea mesajului

Se vor identifica şi implementa măsuri pentru respectarea cerinţelor de asigurare a integrităţii şi
autenticităţii mesajelor în cadrul aplicaiilor .
Evaluarea riscurilor de securitatea informaţiei determină dacă integritatea mesajului este cerută şi sunt
stabilite metode specifice

6.2.4. Validarea datelor de ieşire

Datele de ieşire rezultate din sistemele de aplicaţii sunt validate pentru a se asigura că, mai departe,
procesarea informaţiei stocate va fi corectă şi corespunzătoare circumstanţelor.

6.3. Măsuri criptografice

Nu se utilizează

6.4. Securitatea fişierelor de sistem

Accesul la fişierele de sistem şi la codul programului sursă este controlat.
Proiectele IT şi activităţile suport sunt conduse într-un mod securizat. Este evitată expunerea datelor
sensibile în mediul de testare.

6.4.1. Controlul software-ului operaţional

Instalarea software-lui pe sistemele operaţionale se va face în conformitate cu politicile, procedurile şi
regulamentele specifice securităţii informaţiei din cadrul organizaţiei şi sub controlul asigurat de RSI.
6.4.2. Protejarea datelor din sistemele de test
Datele de test sunt selectate cu atentie, protejate si ţinute sub control de către RSI.

6.4.3. Controlul accesului la codul sursă al programelor

Accesul la codul programului sursa si elementele asociate (proiecte, specificatii, planuri, rezultate ale
validarii) este restricţionat şi autorizat în a fi utilizat doar de către RSI.

6.5. Securitatea în procesele de dezvoltare şi de suport

Proiectele şi mediile suport sunt strict controlate. Managerii responsabili pentru sistemele de aplicaţii
sunt responsabili inclusiv pentru securitatea proiectului şi a mediului suport.

6.5.1. Proceduri de control al modificărilor

Procedura de control al schimbării pentru introducerea de sisteme noi sau la schimbari majore prevede
parcurgerea etapelor de documentare, elaborare specificaţii, testare, control al calităţii şi managementul
implementarii .
Procesul de control al schimbarii include evaluarea riscului, analiza impactului schimbărilor şi
specificarea măsurilor de securitate necesare.
Schimbarile sunt aprobate de către CSI şi incluse intr-un acord cu partile implicate.
Programatorii au acces doar în componentele de sistem necesare.

6.5.2. Revizuirea tehnică a aplicaţiilor după operarea modificărilor de sistem

Când se impune schimbarea unui sistem de operare, inainte de implementarea acestuia se va proceda
la analiza şi testarea aplicaţiilor critice pentru a ne asigura că nu se va produce un impact advers asupra
operaţiunilor organizatiei .

Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 5 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare
 SC ELECTRO ALFA INTERNATIONAL SRL Botoşani
PROCEDURA OPERATIONALA
ACHIZITIONAREA, DEZVOLTAREA SI MENTENANTA SISTEMELOR INFORMATICE

6.5.3. Restricţii privind modificările asupra pachetelor software

Modificarea pachetelor software este descurajată, limitată la strictul necesar şi este tinută sub control de
către RSI .
Update-urile la orice program se va face doar dupa o testare prealabila intr-un mediu de test si dupa
verificarea faptului ca securitatea si stabilitatea nu sunt afectate.

6.5.4. Scurgerea de informaţii

Sunt prevenite oportunităţile pentru scurgerea informaţiilor (de exemplu prin exploatarea canalelor
ascunse) prin aplicarea, după caz, a următoarelor măsuri:
• scanarea media şi a comunicaţiilor care intră pentru informaţii ascunse;
• mascarea sau modularea sistemelor şi comunicaţiilor;
• utilizarea sistemelor şi software-lui sigure;
• monitorizarea regulată a personalului şi a sistemelor;
• monitorizarea utilizării resurselor sistemului ;
• monitorizarea comunicatiilor cu exteriorul prin sondaj, iar atunci cand este cazul, analiza traficului
pentru a detecta eventualele intruziuni in sistem.

6.5.5. Externalizarea dezvoltării de software

Proiectele de dezvoltare externalizată de software vor fi supravegheate şi monitorizate de către
organizaţie.

6.6. Managementul vulnerabilităţii tehnice

Managementul vulnerabilităţilor tehnice este implementat intr-un mod eficace, sistematic si repetabil si
este măsurat pentru confirmarea eficacităţii.

6.6.1. Controlul vulnerabilităţii tehnice

Organizaţia aplică reguli pentru obţinerea informaţiilor despre vulnerabilităţile tehnice ale sistemelor,
despre expunerea la acestea şi i-a masuri corespunzatoare, în conformitate cu riscurile asociate.

7. ÎNREGISTRĂRI

Locul de
Înregistrarea Cod, suport Aprobă Durata
păstrare
Lista de acces autorizat L-PO05-01 (h /m) Director Operational RSI 3 ani

8. ANEXE

-Fără formulare specifice.

…………………. // ……………………

Cod : PO - 07 Ediţia: 1 Revizia: 0 Data : 10.05.2010 Pag. 6 / 6

Acest document printat iese de sub control. Dacă doriţi să-l utilizaţi, verificaţi dacă este în ediţia şi revizia în vigoare