Documente Academic
Documente Profesional
Documente Cultură
personal
Versiune: 1
Data versiune:
Elaborat de:
Verificat de:
Aprobat de:
Cod document:
Istoric revizuiri
Versiune Data Descriere schimbari
1
Distribuție
Versiune Nume, prenume Funcție
Contents
Cap 1. Generalități..........................................................................................................................................3
Managementul sistemului IT
Securitatea echipamentelor
Managementul schimbărilor
Metode criptografice
§ Managementul resurselor
Atunci când se utilizează dispozitive mobile în locuri publice, în săli de reuniuni și alte zone
neprotejate, dispozitivele mobile trebuie protejate în mod special.
Este obligatorie protecția pentru evitarea accesului neautorizat la dispozitivele mobile sau
dezvăluirea informatiilor stocate și prelucrate de acestea, de ex prin activarea protecției cu
PIN sau amprenta.
Dispozitivele mobile trebuie să fie protejate fizic împotriva furtului, îndeosebi atunci când sunt
lăsate, de exemplu, în autoturisme sau alte mijloace de transport, camere de hotel, centre de
conferință și săli de reuniuni.
§ Generalități
Proprietarii de resurse informationale, împreună cu managerii acestora, stabilesc reguli de
acces corespunzătoare, privilegii și restricții pentru roluri specifice ale utilizatorilor față de
activele lor, cu cantitatea de detalii și strictetea controalelor care să reflecte riscurile de
securitate a datelor cu caracter personal.
Controalele de acces sunt atât logice, cât și fizice, iar acestea ar trebui să fie luate în
considerare împreună. Utilizatorii și furnizorii de servicii vor detalia specificațiile clare ale
cerințelor de afaceri care urmează să fie îndeplinite pentru controlul accesului.
Accesul logic la sistemele IT&C va fi restricționat în concordanță cu profilul utilizatorului și
drepturile acestuia. Toate drepturile de acces se vor revizui cel puțin anual.
Angajații ............................... pot folosi doar programele și aplicațiile informatice aprobate de
către Management.
Vizitatorii nu vor avea acces la sistemele IT&C ale firmei (exceptând rețeaua wireless,
dedicată pentru accesul la Internet). Spațiul destinat acestora va trebui clar definit în fiecare
locație.
§ Înregistrarea / dezactivarea utilizatorului
Toti utilizatorii trebuie să urmeze bunele practici de securitate în ceea ce privește selecția și
utilizarea parolelor în conformitate cu politica parolei:
Să fie schimbate periodic, cel puţin o dată la 90 de zile;
Să nu fie reutilizate pentru o perioadă mai mică de un an;
Să aibă o lungime minimă de 8 caractere;
Să fie parole complexe (caractere alfanumerice, cu litere mici şi mari)
Nu pot fi refolosite ultimele 5 parole
Minim 3 zile între schimbări ale parolei
Complexitatea parolelor este impusă prin intermediul politicilor la nivel de server sau staţii de
lucru (Security Policy). Parolele trebuie tratate ca informaţie confidenţială. Diferite aplicaţii vor
necesita parole diferite. Utilizatorii nu vor folosi programe de stocare a parolelor.
Dacă se suspectează că o parolă a putut fi divulgată, aceasta trebuie schimbată imediat.
Utilizatorul care suspectează pierderea confidentialității unei parole va anunța în cel mai scurt
timp Administratorul IT despre acest lucru.
Dispozitivele de calcul nu trebuie lăsate nesupravegheate fără a activa un sistem de blocare
a accesului la acestea, activat manual de fiecare utilizator în momentul părăsirii stației de
lucru, prin secvența Win+L ; deblocarea trebuie să se facă folosind parola.
§ Generarea/schimbarea parolelor
§ Generalități
Copiile de siguranță (back-up) periodice sunt necesare pentru orice informație sau software
esențial al organizației.
Fiecare activitate de backup periodic trebuie să asigure maxima reconstituire posibilă a
acestor informații utile organizației, în urma unui dezastru, cum ar fi: dezastre naturale,
defecțiuni ale discurilor de sistem, erori de funcționare, etc
Fiecare echipament ce intervine în activitatea de backup periodic, trebuie testat în condiții de
simulare a unui dezastru, în scopul asigurării unui sistem funcțional de back-up
Informațiile care sunt supuse procesului de back-up sunt informațiile clasificate drept
relevante de către organizație, incluzând dar fără a se limita:
baze de date sistem contabilitate, gestiune resurse umane, sisteme ofertare, CRM,
etc…
baza de date a aplicatii de business si datele din share-urile de pe server;
datele cu caracter personal ale angajaților, clientilor și terților;
site-ul organizației;
loguri ale serverului/stațiilor de lucru
Copiile de siguranță sunt păstrate timp de minim 2 luni pe serverul organizației, după ce în
prealabil Administratorul IT verifică integritatea datelor din copiile de siguranță actualizate.
§ Securitatea fizică
Echipamentele organizației nu pot fi scoase în afara locaţiei fără o autorizare prealabilă din
partea managementului. Pentru echipamentele scoase în afara locației, trebuie să fie
asigurată o securitate corespunzătoare, ținând cont de informațiile stocate pe acel
echipament și de riscurile la care este supus. Echipamentele şi mediile de stocare ce sunt
scoase în afara locaţiei:
nu sunt lăsate nesupravegheate în locuri publice, inclusiv în maşină
nu se împrumută cunoştinţelor sau familiei
sunt transportate folosind genţi de protecţie prevăzute cu inserţii de atenuare a
şocurilor sau genţi rigide
sunt păstrate (în cazul transportului cu avionul) ca bagaj de mână
sunt încuiate (în cazul hotelurilor) în safe-uri
telefoanele mobile de tip smartphone sunt protejate cu cod de acces sau parolă
în cazul îndepărtării temporare de la staţia de lucru, toate mediile de stocare sunt
deconectate
Dispozitivele de stocare care conţin informaţii sensibile sunt păstrate în dulapuri de tip rack
metalic in ............................................, iar copiile de siguranţă sunt păstrate în incinte sigure
(de ex: safe).
Dispozitivele de stocare a informaţiilor, la încheierea ciclului de utilizare vor fi distruse în
prezenţa unei comisii formate din persoane autorizate de către management .
în cazul HDD-urilor, se va efectua înainte de casare un low-level format sau se vor
şterge cu ajutorul aplicaţiilor software dedicate
CD/DVD-urile se sparg cu un obiect contondent
Regula este valabilă şi pentru dispozitive ce conţin informaţii critice (şi care nu sunt copii de
siguranţă): HDD-uri cu informaţii sensibile, CD/DVD-uri cu programe folosite uzual care sunt
deteriorate, etc.
Mediile de stocare hard-copy (documente, carti, etc) sunt distruse fizic, până la dimensiuni ce
nu mai permit recuperarea lor ulterioară.
Sub rezerva aplicării altor tipuri de restricţii, este permis utilizatorilor să folosească sisteme
informatice ce utilizeaza în mod implicit criptare, în scopul de a asigura datele în tranzit pe o
reţea de comunicaţii;
Ori de câte ori este posibil şi oportun, criptarea se va utiliza pentru a asigura securitatea
conexiunilor de acces la distanţă.
§ Condiţii de folosire a metodelor criptografice
Pierderea, furtul sau accesul neautorizat la DCP poate conduce la pierderi financiare, de
imagine, de resurse, etc.
În condiţiile în care datele sensibile nu pot fi securizate suficient în mod fizic, se recomandă
ca acestea să fie criptate, de ex:
- atunci când datele sunt stocate pe un suport expus unui risc semnificativ de pierdere
sau furt (ex: laptop, telefon mobil);
- atunci când datele sunt transmise pe un mediu nesigur (de ex: reţele wireless);
- atunci când se efectuează tranzacţii financiare sau comerciale, folosind un mediu
nesigur (de ex: tranzacţii online prin Internet)
În condiţiile în care datele stocate, prelucrate sau transmise de
.............................................................. sunt supuse condiţiilor unui acord cu o terţă parte în
care sunt specificate anumite cerinţe referitoare la metode sau standarde criptografice,
acestea trebuie folosite pentru toate datele ce fac obiectul acordului respectiv.
Utilizatorii nu au dreptul de a păstra pe server date criptate care nu sunt rezultatul criptării cu
chei autorizate şi distribuite de Administratorul IT.
Dacă este necesară criptarea datelor ce tranzitează reţele de comunicaţii nesigure (de tipul
reţelelor wireless), se vor folosi standarde de criptare a datelor, astfel:
- pentru accesul în reteaua locală wireless: autentificare WPA/WPA2
- pentru accesul în reţele publice wireless: autentificare WPA2
Pentru transmiterea datelor prin intermediul reţelelor de comunicaţii nesigure (de tipul
Internet sau rețele publice) se vor folosi unul sau mai multe standardele următoare:
- TLS v1.2 (Transport Layer Security);
- AES (Advanced Encryption Standard);
- SSH v2 (Secure Shell);
- Kerberos;
- PGP (Pretty Good Privacy);
- IPSec VPN (Internet Protocol Security – Virtual Private Network)
Pentru efectuarea tranzacţiilor online bancare, se utilizează token-uri fizice puse la dispoziţie
de bancă şi combinaţii de tip [utilizator, PIN, cod token].
Accesul online la pagina web de tranzacţii bancare se face doar pe pagina pusă la dispoziţie
de bancă, folosind protocolul HTTPS (HTTP Secure). Este interzisă efectuarea unei tranzacţii
folosind protocolul HTTP.
Pagina web de tranzacţii a băncilor trebuie să fie semnată de o autoritate recunoscută (CA -
Certificate Authority). În cazul în care detaliile paginii web nu corespund cu certificatul băncii,
este interzisă efectuarea oricărei tranzacţii. Utilizatorii anunţă imediat Administratorul IT
asupra acestui fapt.
§ Cerinţe criptografice minime