Managementul securitații rețelei IT și a datelor cu caracter

personal

Versiune: 1

Data versiune:
Elaborat de:
Verificat de:
Aprobat de:
Cod document:
Istoric revizuiri
Versiune Data Descriere schimbari
1

Distribuție
Versiune Nume, prenume Funcție

Contents
Cap 1. Generalități..........................................................................................................................................3

Cap 2. Managementul sistemului IT.............................................................................................................4

Cap 3. Controlul accesului.............................................................................................................................6

Cap 4. Copia de siguranță.............................................................................................................................9

Cap 5. Securitatea echipamentelor............................................................................................................10

Cap 6. Managementul schimbărilor............................................................................................................11

Cap 7. Controlul vulnerabilităților tehnice..................................................................................................12

Cap 8. Metode criptografice........................................................................................................................13

Cap 1. Generalități

Documentul are rolul de a face angajații ..................................și furnizorii de servicii conștienți

de valoarea și semnificația informațiilor vehiculate, precum și de a familiariza utilizatorii cu
metode de protecție și securitate pentru asigurarea confidențialității, integrității, disponibilității
si rezistentei continue la atacuri asupra datelor cu caracter personal. Astfel sunt impuse o
serie de reglementări care să guverneze activitatea curentă în interacțiunea acestora cu
sistemul informatic al ........................................................

De asemenea documentul conturează metodele acceptabile de utilizare a resurselor

informatice vehiculate în cadrul sistemului. Resursele informaționale vor fi utilizate într-o
manieră aprobată, etică și în conformitate cu prevederile legale pentru a evita pierderea sau
deteriorarea operațiunilor curente, a imagini sau a activelor financiare. Angajații trebuie să se
adreseze Administratorului IT si sa obtina in prealabil aprobarea managementului, înainte să
se angajeze în orice activitate care nu este acoperită de prezentul document.

Regulile stabilite privind managementul sistemului IT se referă, în principal, la activităţi legate

de:

 Managementul sistemului IT

 Securitatea echipamentelor

 Planificarea şi acceptanţa sistemului IT

 Cerinţe de securitate pentru sistemul IT

 Managementul schimbărilor

 Controlul vulnerabilităţilor tehnice

 Metode criptografice

Cap 2. Managementul sistemului IT

 § Separarea atribuțiilor

Administratorul IT are atribuţii specifice de administrare hardware a întregului sistem IT,

incluzând: echipamente de comunicaţii (infrastructură reţea locală, routere, switch-uri, etc),
echipamente de procesare a informaţiei (staţii de lucru, servere, laptop-uri) şi echipamente
conexe (imprimante, UPS-uri, etc).
Administratorul IT are și atribuţii specifice de administrare a întregului sistem IT, incluzând:
instalare/dezinstalare/update sisteme de operare şi aplicaţii software, copii de siguranţă,
recuperare de date, optimizări, devirusări manuale, etc.
Utilizatorii sistemului IT au dreptul de a utiliza resursele sistemului IT, în scopul definit de
producator şi de politicile organizaţiei.
Administratorul IT dispune de un cont de administrator, iar ceilalţi utilizatori sunt utilizatori ai
stațiilor de lucru. Activităţile utilizatorilor şi ale administratorului sunt înscrise în jurnale de
sistem, acestea fiind stocate pe fiecare stație de lucru sau server. Utilizatorilor li se cere să
respecte regulile privind utilizarea în mod acceptabil a informaţiilor şi resurselor organizaţiei,
conform prezentului document.

§ Managementul resurselor

Administratorul IT va menţine actualizat şi complet inventarul organizaţiei, privind resursele

importante din punct de vedere al securităţii datelor cu caracter personal. Inventarul va
cuprinde toate informaţiile necesare pentru recuperare în urma unui dezastru, inclusiv tipul
resursei, formatul, amplasamentul, etc...
Pentru fiecare resursă în parte, Administratorul IT va păstra informaţii relevante privind
utilizatorul resursei precum şi clasificarea informaţiei deţinute sau procesate de resursa
respectivă.
Tipurile de informaţii sunt:
 Informaţii: baze de date, contracte, documentaţii de sistem, proceduri, planuri;
 Resurse software: aplicaţii, instrumente de dezvoltare, etc
 Resurse fizice: echipamente de calcul şi de comunicaţii, medii mobile şi alte
echipamente
 Servicii: utilităţi generale, servicii de calcul şi comunicaţii, etc
Administratorul IT va păstra evidența asupra utilizatorilor ce au drept de a accesa resursele și
informațiile organizației.
§ Sincronizarea ceasului

Ceasurile tuturor sistemelor importante de procesare a informaţiei se vor sincroniza de către

Administratorul IT, cu o sursă de referinţă temporală, precisă, agreată (de ex:
time.windows.com).
§ Mentenanta echipamentelor

Administratorul IT va propune pentru aprobarea managementului un plan anual de

mentenanță a echipamentelor IT din cadrul organizatiei. Administratorul IT are
responsabilitatea sa verifice efectuarea mentenantei echipamentelor IT, conform acestui
plan.
§ Echipamente permise în cadrul organizației

Administratorul IT va menține actualizat un registru al echipamentelor care nu sunt în

proprietatea organizației, dar care sunt autorizate să acceseze resursele interne, de ex:
acces Internet, email, filesharing, etc.
Înainte de a fi introduse în rețeaua locală a ..............................................., echipamentele vor
fi supuse unui control asupra securității acestora, pentru a se asigura securitatea informațiilor
stocate, generate sau tranzacționate de către ...........................................................
§ Dispozitivele mobile de stocare

Atunci când se utilizează dispozitive mobile în locuri publice, în săli de reuniuni și alte zone
neprotejate, dispozitivele mobile trebuie protejate în mod special.

Este obligatorie protecția pentru evitarea accesului neautorizat la dispozitivele mobile sau
dezvăluirea informatiilor stocate și prelucrate de acestea, de ex prin activarea protecției cu
PIN sau amprenta.
Dispozitivele mobile trebuie să fie protejate fizic împotriva furtului, îndeosebi atunci când sunt
lăsate, de exemplu, în autoturisme sau alte mijloace de transport, camere de hotel, centre de
conferință și săli de reuniuni.

Pentru limitarea pierderilor, se recomanda limitarea informațiilor care sunt stocate pe

dispozitivele mobile și stergerea imediată a informațiilor care nu mai sunt necesare pentru a fi
stocate. Echipamentele mobile (de ex: laptop-uri) vor avea HDD-ul criptat cu ajutorul
aplicațiilor dedicate de tip Bitlocker.

Cap 3. Controlul accesului

§ Generalități
Proprietarii de resurse informationale, împreună cu managerii acestora, stabilesc reguli de
acces corespunzătoare, privilegii și restricții pentru roluri specifice ale utilizatorilor față de
activele lor, cu cantitatea de detalii și strictetea controalelor care să reflecte riscurile de
securitate a datelor cu caracter personal.
Controalele de acces sunt atât logice, cât și fizice, iar acestea ar trebui să fie luate în
considerare împreună. Utilizatorii și furnizorii de servicii vor detalia specificațiile clare ale
cerințelor de afaceri care urmează să fie îndeplinite pentru controlul accesului.
Accesul logic la sistemele IT&C va fi restricționat în concordanță cu profilul utilizatorului și
drepturile acestuia. Toate drepturile de acces se vor revizui cel puțin anual.
Angajații ............................... pot folosi doar programele și aplicațiile informatice aprobate de
către Management.
Vizitatorii nu vor avea acces la sistemele IT&C ale firmei (exceptând rețeaua wireless,
dedicată pentru accesul la Internet). Spațiul destinat acestora va trebui clar definit în fiecare
locație.
§ Înregistrarea / dezactivarea utilizatorului

Toti utilizatorii ...................................... trebuie să aiba cod utilizator cu privilegii, permisiuni și

restricții scăzute în funcție de activitățile desfășurate și de rolurile lor în cadrul
............................
Înregistrarea utilizatorului în sistemele de procesare a informației se face după angajarea
acestuia în cadrul .......................................................... Accesul se acordă în urma solicitării
trimise către Administratorul IT prin intermediul unui tichet sau email; prin intermediul
tichetului/emailului se vor transmite datele de identificare ale noului utilizator: nume, prenume
și departamentul.
Utilizatorul va avea un ID pentru sistemul de operare unic, de tipul: prenume.nume.
Administratorul IT va/vor crea un cont de log-on pe calculatoarele comaniei și un cont de
poștă electronică pe domeniul oficial al companiei în aplicația de management al conturilor
de email, de tipul: prenume.nume
La plecarea utilizatorului din organizație, angajatul trebuie să completeze Fișa de lichidare
care este avizată de un membru al departamentului IT. Acest moment coincide cu
inactivarea conturilor de logare pe echipamente, aplicație și email. Pe baza matricii de acces
se verifica aplicațiile unde utilizatorul are acces și se inactiveaza accesul în aceste aplicații.
Anual Administratorul IT va revizui drepturile de acces ale utilizatorilor și vor informa
managementul despre efectuarea acestor operațiuni. Evidența utilizatorilor din sistemele
operaționale se va revizui semestrial împreună cu Responsabilul intern pentru securitatea
datelor cu caracter personal.
§ Utilizarea parolelor

Toti utilizatorii trebuie să urmeze bunele practici de securitate în ceea ce privește selecția și
utilizarea parolelor în conformitate cu politica parolei:
 Să fie schimbate periodic, cel puţin o dată la 90 de zile;
 Să nu fie reutilizate pentru o perioadă mai mică de un an;
 Să aibă o lungime minimă de 8 caractere;
 Să fie parole complexe (caractere alfanumerice, cu litere mici şi mari)
 Nu pot fi refolosite ultimele 5 parole
 Minim 3 zile între schimbări ale parolei

Complexitatea parolelor este impusă prin intermediul politicilor la nivel de server sau staţii de
lucru (Security Policy). Parolele trebuie tratate ca informaţie confidenţială. Diferite aplicaţii vor
necesita parole diferite. Utilizatorii nu vor folosi programe de stocare a parolelor.
Dacă se suspectează că o parolă a putut fi divulgată, aceasta trebuie schimbată imediat.
Utilizatorul care suspectează pierderea confidentialității unei parole va anunța în cel mai scurt
timp Administratorul IT despre acest lucru.
Dispozitivele de calcul nu trebuie lăsate nesupravegheate fără a activa un sistem de blocare
a accesului la acestea, activat manual de fiecare utilizator în momentul părăsirii stației de
lucru, prin secvența Win+L ; deblocarea trebuie să se facă folosind parola.
§ Generarea/schimbarea parolelor

Parolele nu trebuie să coincidă sau să fie asemănătoare cu:

 numele de utilizator (de ex: login-ul);
 parola altui utilizator;
 numarul de angajat ;
 numele sau prenumele utilizatorului;
 numele membrilor familiei utilizatorului;
 eventuala poreclă (de ex: “micu”);
 codul numeric personal;
 data naşterii;
 numarul de înmatriculare al maşinii;
 adresa;
 numărul de telefon al utilizatorului;
  numele oraşului;
 numele departamentului, subdepartamentului, etc. (de ex: “contabilitate”);
 nume de străzi;
 mărci sau modele de maşini (de ex: “logan”);
 argouri (de ex: “neatza”);
 obscenităţi;
 termeni tehnici (de ex: “electron”);
 numele, mascota sau sloganul unor organizaţii (de ex: “pinguin”);
 informaţii despre proprietarul contului care sunt cunoscute sau uşor de ghicit (de ex:
mâncarea, culoarea preferata, sportul preferat etc.);
 acronim popular (de ex: “omg”);
 cuvinte din dicţionar;

Schimbarea parolelor este realizată de Administratorul IT:

 Administratorul IT va verifica drepturile de acces a persoanei la contul utilizator;
 Se va genera o parolă inițială care va fi comunicată utilizatorului;
 Daca sistemul de calcul o permite, se va impune schimbarea parolei de către utilizator
la primul acces al acestuia în sistem
Cap 4. Copia de siguranță

§ Generalități

Copiile de siguranță (back-up) periodice sunt necesare pentru orice informație sau software
esențial al organizației.
Fiecare activitate de backup periodic trebuie să asigure maxima reconstituire posibilă a
acestor informații utile organizației, în urma unui dezastru, cum ar fi: dezastre naturale,
defecțiuni ale discurilor de sistem, erori de funcționare, etc
Fiecare echipament ce intervine în activitatea de backup periodic, trebuie testat în condiții de
simulare a unui dezastru, în scopul asigurării unui sistem funcțional de back-up

§ Informațiile care sunt supuse procesului de backup

Informațiile care sunt supuse procesului de back-up sunt informațiile clasificate drept
relevante de către organizație, incluzând dar fără a se limita:
 baze de date sistem contabilitate, gestiune resurse umane, sisteme ofertare, CRM,
etc…
 baza de date a aplicatii de business si datele din share-urile de pe server;
 datele cu caracter personal ale angajaților, clientilor și terților;
 site-ul organizației;
 loguri ale serverului/stațiilor de lucru

O parte a back-up-ului realizat va intra in responsabilitatea Administratorului IT, o parte va fi

realizat de catre furnizorii de servicii IT (sub supravegherea Administratorului IT)

§ Realizarea copiilor de siguranță

Informațiile sensibile (păstrate pe suport informatic) supuse procesului de back-up, sunt

periodic salvate pe un server în rețeaua locală și apoi pe un suport extern tip NAS (Network
Attached Storage). Eventual se va putea apela pentru backup la servicii in cloud. Salvarea
datelor se efectuează zilnic, într-o perioadă în care rețeaua informatică nu este solicitată.
Mediile de stocare ale copiilor de siguranță au un sistem de identificare ce conține
următoarele date de identificare:
 numele sistemului;
 data creării copiei;
 tipul de copie (complet / incremental / diferențial);

Copiile de siguranță sunt păstrate timp de minim 2 luni pe serverul organizației, după ce în
prealabil Administratorul IT verifică integritatea datelor din copiile de siguranță actualizate.

Cap 5. Securitatea echipamentelor

§ Securitatea fizică

Administratorul IT este responsabil pentru implementarea măsurilor de securitate fizică a

echipamentelor, referitoare la:
 Amplasarea şi protejarea echipamentelor, în scopul reducerii riscurilor faţă de
ameninţările şi pericolele de mediu şi faţă de posibilitatea de acces neautorizat
 Protejarea echipamentelor împotriva întreruperilor de curent, prin folosirea de surse de
tensiune neîntreruptibilă (UPS)

Administratorul IT este responsabil pentru implementarea măsurilor de securitate fizică a

echipamentelor, referitoare la:
 Protejarea cablurilor de reţea faţă de interceptări sau avarii şi menţinerea evidenţei
referitoare la corespondenţa echipament-switch
 Întreţinerea periodică a echipamentelor, pentru a se asigura disponibilitatea continuă
şi integritatea acestora

§ Securitatea echipamentelor în afara locaţiei

Echipamentele organizației nu pot fi scoase în afara locaţiei fără o autorizare prealabilă din
partea managementului. Pentru echipamentele scoase în afara locației, trebuie să fie
asigurată o securitate corespunzătoare, ținând cont de informațiile stocate pe acel
echipament și de riscurile la care este supus. Echipamentele şi mediile de stocare ce sunt
scoase în afara locaţiei:
 nu sunt lăsate nesupravegheate în locuri publice, inclusiv în maşină
  nu se împrumută cunoştinţelor sau familiei
 sunt transportate folosind genţi de protecţie prevăzute cu inserţii de atenuare a
şocurilor sau genţi rigide
 sunt păstrate (în cazul transportului cu avionul) ca bagaj de mână
 sunt încuiate (în cazul hotelurilor) în safe-uri
 telefoanele mobile de tip smartphone sunt protejate cu cod de acces sau parolă
 în cazul îndepărtării temporare de la staţia de lucru, toate mediile de stocare sunt
deconectate

§ Manipularea și distrugerea mediilor de stocare

Dispozitivele de stocare care conţin informaţii sensibile sunt păstrate în dulapuri de tip rack
metalic in ............................................, iar copiile de siguranţă sunt păstrate în incinte sigure
(de ex: safe).
Dispozitivele de stocare a informaţiilor, la încheierea ciclului de utilizare vor fi distruse în
prezenţa unei comisii formate din persoane autorizate de către management .
 în cazul HDD-urilor, se va efectua înainte de casare un low-level format sau se vor
şterge cu ajutorul aplicaţiilor software dedicate
 CD/DVD-urile se sparg cu un obiect contondent

Regula este valabilă şi pentru dispozitive ce conţin informaţii critice (şi care nu sunt copii de
siguranţă): HDD-uri cu informaţii sensibile, CD/DVD-uri cu programe folosite uzual care sunt
deteriorate, etc.
Mediile de stocare hard-copy (documente, carti, etc) sunt distruse fizic, până la dimensiuni ce
nu mai permit recuperarea lor ulterioară.

Cap 6. Managementul schimbărilor

Schimbările propuse în sistemele operaţionale sunt controlate de Administratorul IT. În cazul

actualizării sistemelor de operare sau a aplicaţiilor software, Administratorul IT va studia
necesitatea instalării noilor update-uri, atât din punct de vedere funcţional, dar şi din punct de
vedere al impactului asupra securităţii informaţiei.
Responsabilul intern pentru securitatea datelor cu caracter personal este iniţiatorul
implementărilor schimbărilor în sistem, în ceea ce privește datele cu caracter personal.
Responsabilul intern pentru securitatea datelor cu caracter personal planifică schimbările
semnificative şi testările în ceea ce privește datele cu caracter personal, pe baza unui plan
aprobat de managementul ......................................................................., care va fi informat şi
asupra riscurilor schimbărilor. Planul va conţine, prin altele:
 Necesitatea implementării modificărilor;
 Identificarea completă a aplicaţiilor software, a hardware-ului şi a modificărilor
propuse;
 Analiza de impact a implementării modificărilor asupra sistemului existent;
 Perioade de timp şi zone propuse pentru implementare, pentru perturbarea minimă a
sistemului IT existent;
 Planuri detaliate de roll-back, în cazul întâmpinării problemelor în procesul de instalare
a modificărilor)

Cap 7. Controlul vulnerabilităților tehnice

Administratorul IT va menţine actualizat şi complet inventarul resurselor. Toate informaţiile

privind eventuale vulnerabilităţi ale sistemelor ce proceseaza date cu caracter personal sunt
aduse la cunoştinţa Responsabilului DPO.
Responsabilul intern pentru securitatea datelor cu caracter personal va evalua riscul tehnic
potenţial şi va elabora un plan de activităţi pentru aplicarea unor măsuri de securitate (se va
folosi procedura de evaluare şi tratare a riscului) pentru reducerea riscului asupra datelor cu
caracter personal.
Responsabilul intern pentru securitatea datelor cu caracter personal va trata cu prioritate
elementele din sistem cu un impact mai mare asupra afacerii.
Responsabilul intern pentru securitatea datelor cu caracter personal şi Administratorul IT vor
păstra legatura cu grupuri specializate de interese în domeniul securităţii informaţiilor, în
scopul îmbunătăţirii permanente a cunoştinţelor privind cele mai bune practici, primirea din
timp a avertizărilor de alertă, recomandărilor şi rapoartelor privind atacurile şi vulnerabilităţile.

Analiza independentă se realizează de către un auditor intern, un manager independent sau

o organizaţie terţă specializată în astfel de analize.
În cazul identificării unei vulnerabilitati, Responsabilul intern pentru securitatea datelor cu
caracter personal:
 va stabili motivele apariţiei vulnerabilităţii;
 va evalua necesitatea de a acţiona pentru ca vulnerabilitatea să nu se repete;
  va stabili împreună cu Administratorul IT acţiunea de remediere a vulnerabilităţii;
 va introduce vulnerabilităţile regasite în cadrul urmatoarei analize de risc

Cap 8. Metode criptografice

§ Utilizarea metodelor criptografice pentru protejarea informaţiilor

Metodele criptografice pot fi folosite în cadrul ......................................................... pentru

atingerea diverselor obiective de securitate, cum ar fi:
- Confidenţialitatea: criptarea informaţiei pentru protejarea DCP, stocate sau transmise;
- Integritate/autenticitate: utilizarea semnăturii digitale sau a codurilor de autentificare a
mesajelor pentru protejarea autenticităţii şi integrităţii DCP, stocate sau transmise;
- Non-repudierea: utilizarea tehnicilor criptografice pentru obţinerea dovezilor referitoare
la apariţia (sau neapariţia) unui eveniment sau acţiuni
- Rezistenta continua: blocarea accesului la DCP criptate , in lipsa cheii de decriptare.

Sub rezerva aplicării altor tipuri de restricţii, este permis utilizatorilor să folosească sisteme
informatice ce utilizeaza în mod implicit criptare, în scopul de a asigura datele în tranzit pe o
reţea de comunicaţii;
Ori de câte ori este posibil şi oportun, criptarea se va utiliza pentru a asigura securitatea
conexiunilor de acces la distanţă.
§ Condiţii de folosire a metodelor criptografice

Pierderea, furtul sau accesul neautorizat la DCP poate conduce la pierderi financiare, de
imagine, de resurse, etc.
În condiţiile în care datele sensibile nu pot fi securizate suficient în mod fizic, se recomandă
ca acestea să fie criptate, de ex:
- atunci când datele sunt stocate pe un suport expus unui risc semnificativ de pierdere
sau furt (ex: laptop, telefon mobil);
- atunci când datele sunt transmise pe un mediu nesigur (de ex: reţele wireless);
- atunci când se efectuează tranzacţii financiare sau comerciale, folosind un mediu
nesigur (de ex: tranzacţii online prin Internet)
În condiţiile în care datele stocate, prelucrate sau transmise de
.............................................................. sunt supuse condiţiilor unui acord cu o terţă parte în
care sunt specificate anumite cerinţe referitoare la metode sau standarde criptografice,
acestea trebuie folosite pentru toate datele ce fac obiectul acordului respectiv.
Utilizatorii nu au dreptul de a păstra pe server date criptate care nu sunt rezultatul criptării cu
chei autorizate şi distribuite de Administratorul IT.

§ Tipuri de metode criptografice, implementarea şi utilizarea acestora

Daca este necesară criptarea unui numar mai mare de fişiere, directoare sau chiar partiţii
întregi, se va folosi una din urmatoarele aplicaţii:
- 7Zip (www.7zip.org) – cu criptare AES256;
- TrueCrypt (www.truecrypt.org) – cu criptare AES256.

Dacă este necesară criptarea datelor ce tranzitează reţele de comunicaţii nesigure (de tipul
reţelelor wireless), se vor folosi standarde de criptare a datelor, astfel:
- pentru accesul în reteaua locală wireless: autentificare WPA/WPA2
- pentru accesul în reţele publice wireless: autentificare WPA2

Pentru transmiterea datelor prin intermediul reţelelor de comunicaţii nesigure (de tipul
Internet sau rețele publice) se vor folosi unul sau mai multe standardele următoare:
- TLS v1.2 (Transport Layer Security);
- AES (Advanced Encryption Standard);
- SSH v2 (Secure Shell);
- Kerberos;
- PGP (Pretty Good Privacy);
- IPSec VPN (Internet Protocol Security – Virtual Private Network)

Pentru efectuarea tranzacţiilor online bancare, se utilizează token-uri fizice puse la dispoziţie
de bancă şi combinaţii de tip [utilizator, PIN, cod token].
Accesul online la pagina web de tranzacţii bancare se face doar pe pagina pusă la dispoziţie
de bancă, folosind protocolul HTTPS (HTTP Secure). Este interzisă efectuarea unei tranzacţii
folosind protocolul HTTP.
Pagina web de tranzacţii a băncilor trebuie să fie semnată de o autoritate recunoscută (CA -
Certificate Authority). În cazul în care detaliile paginii web nu corespund cu certificatul băncii,
este interzisă efectuarea oricărei tranzacţii. Utilizatorii anunţă imediat Administratorul IT
asupra acestui fapt.
 § Cerinţe criptografice minime

Standardele şi recomandarile referitoare la metodele criptografice sunt în permanentă revizie

de către organismele de specialitate. Administratorul IT este responsabil de urmărirea
standardelor aplicabile în organizaţie, pentru adaptarea cerinţelor criptografice minime.

Cerinţele minime pentru criptarea simetrică de tip bloc:

- AES (Advanced Encryption Standard), cu chei de minim 128 biți
- 3-DES (Triple DES)

Cerinţele minime pentru criptarea simetrică secvenţială:

- RC4 (Rivest Cipher 4), cu chei de minim 128 biți

Cerinţele minime pentru criptarea asimetrică, folosită în criptografia cu chei publice:

- RSA (Rivest, Shamir, Adleman), cu modul de minim 1024 biţi

Cerinţele minime pentru metodele de schimb al cheilor (folosite în mecanisme de generare a

cheilor simetrice, fără necesitatea unei chei prestabilite):
- DF (Diffie-Hellman), cu număr prim de 1024 biţi şi generator de 160 biţi – pentru
acceptarea cheilor
- RSA (Rivest, Shamir, Adleman), cu modul de 1024 biţi – pentru schimbul cheilor
- Cerinţele minime pentru criptarea datelor ce traversează reţele nesigure:
- TLS v1.2 (Transport Layer Security);
- AES (Advanced Encryption Standard);
- SSH v2 (Secure Shell);
- Kerberos;
- PGP (Pretty Good Privacy);
- IPSec VPN (Internet Protocol Security – Virtual Private Network)

Cerinţele minime pentru folosirea algoritmilor de hashing:

- SHA-256 sau SHA-512 (Secure Hash Algorithm);
- MD5 (Message Digest 5)