Documente Academic
Documente Profesional
Documente Cultură
SISTEMUL RESURSELOR
INFORMATICE ŞI DE COMUNICAŢII
____________
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
În acord cu prevederile din prezentul document, Resursele Informatice şi de Comunicaţii (RIC) sunt
bunuri strategice ale ORGANIZATIA care trebuiesc administrate ca resurse ale statului român.
Compromiterea securităţii sistemului RIC poate afecta capacitatea ORGANIZATIA de a oferi serviciile
specifice, poate conduce la fraude sau distrugerea datelor, violarea clauzelor contractuale, divulgarea
secretelor, afectarea credibilităţii ORGANIZATIA în faţa partenerilor săi.
Această politică este stabilită astfel încât:
Să fie în conformitate cu statutul, regulamentele, legile şi alte documente oficiale în vigoare
privind administrarea resurselor informatice publice;
Să stabilească practici prudente şi acceptabile privind utilizarea RIC ale ORGANIZATIA;
Să instruiască utilizatorii care au dreptul de folosire a sistemului RIC privind responsabilităţile
asociate unei astfel de utilizări;
Politica de securitate a sistemului RIC al ORGANIZATIA se aplică nediscriminatoriu tuturor
persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a ORGANIZATIA.
Următoarele entităţi şi utilizatori sunt vizaţi în mod distinct de prevederile Politicii:
Angajaţii cu contract de muncă pe perioadă determinată sau nedeterminată care au acces la
sistemul informaţional şi de comunicaţii;
Colaboratorii ORGANIZATIA care au acces la sistemul RIC;
Furnizorii ORGANIZATIA care au acces la sistemul RIC;
Studenţii/elevii care fac practică la ORGANIZATIA ;
Alte persoane, entităţi sau organizaţii care au acces la sistemul RIC.
Având în vedere că majoritatea personalului organizatiei a fost instruit, precum şi faptul ca angajaţii
au trecut de o probă practică de utilizare a calculatorului se presupune că aceştia sunt familiarizaţi cu termenii
tehnici şi de asemenea cunosc sistemul de operare Windows şi pachetul de programe Microsoft Office.
Politica de securitate a sistemului RIC are ca scop asigurarea integrităţii, confidenţialităţii şi
disponibilităţii informaţiei.
Confidenţialitatea se referă la protecţia datelor împotriva accesului neautorizat. Fişierele electronice
create, trimise, primite sau stocate pe sistemele de calcul aflate în proprietatea, administrarea sau în custodia
şi sub controlul ORGANIZATIA, sunt proprietatea organizatiei în condiţiile legilor în vigoare. Utilizatorul
răspunde personal de confidenţialitatea datelor încredinţate prin procedurile de acces la sistemul RIC.
Integritatea se referă la măsurile şi procedurile utilizate pentru protecţia datelor împotriva
modificărilor sau distrugerii neautorizate.
Disponibilitatea se asigură prin funcţionarea continuă a tuturor componentelor sistemului RIC.
Diverse aplicaţii au nevoie de nivele diferite de disponibilitate în funcţie de impactul sau daunele produse ca
urmare a nefuncţionării corespunzătoare a sistemului RIC.
Politica de securitate are ca scop, de asemenea, stabilirea cadrului necesar pentru elaborarea
regulamentelor şi procedurilor de securitate. Acestea sunt obligatorii pentru toţi utilizatorii sistemului RIC.
2
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Definiţii
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde direct doar în faţa ARIC privind administrarea
funcţiilor de securitate a informaţiei în cadrul ORGANIZATIA. Este persoana de contact intern şi extern a
ORGANIZATIA pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este atribuită
administratorului de reţea (specialistul IT din cadrul organizatiei).
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către ORGANIZATIA, în
conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Abuz de privilegii: Orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu
regulamentele ORGANIZATIA şi/sau legile în vigoare, inclusiv cazul în care, din punct de vedere tehnic, nu
se poate preveni înfăptuirea de către utilizator a acţiunii respective.
Furnizor: Persoană fizică/juridică care oferă bunuri şi/sau servicii ORGANIZATIA în baza unui contract
comercial sau de colaborare.
Internet: Sistem global care interconectează calculatoare şi reţele de calculatoare. Acestea sunt deţinute de
mai multe organizaţii, agenţii guvernamentale, societăţi, instituţii academice.
Intranet: Reţea privată destinată comunicaţiilor şi partajării informaţiilor, care, ca şi reţeaua Internet, foloseşte
suita de protocoale TCP/IP, însă este accesibilă doar utilizatorilor autorizaţi din cadrul unei organizaţii
(instituţii). În mod obişnuit, reţeaua Intranet a unei organizaţii este protejată printr-un sistem de protecţie
(firewall).
Virus: Un program care se auto-ataşează la un fişier executabil sau la o aplicaţie vulnerabilă şi care
generează efecte de la cele deranjante până la cele distructive. Un virus se execută în momentul în care este
accesat un fişier infectat. Un virus de macro infectează codul executabil încapsulat în pachetul de programe
Microsoft Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului să genereze macro-
uri.
Vierme: Un program care se auto-copiază în oricare altă parte a unui sistem informatic. Aceste copii pot fi
create pe acelaşi calculator sau pot fi trimise către alte calculatoare prin intermediul reţelei. Prima utilizare a
3
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
termenului descria un program care s-a multiplicat într-o reţea de calculatoare, folosind resursele sau
calculatoarele neutilizate din reţea pentru a distribui aceste copii. Unii dintre aceşti viermi reprezintă o
ameninţare la adresa securităţii datorită faptului că folosesc reţeaua pentru a se împrăştia, împotriva voinţei
proprietarilor de sisteme de calcul, cauzând astfel nefuncţionarea sau funcţionarea defectuoasă a reţelei. Un
vierme este asemănător unui virus prin faptul că se auto-copiază, diferenţa constând în faptul că un vierme
nu are nevoie să se ataşeze la anumite fişiere pentru a se multiplica.
Cal troian: de obicei un virus sau un vierme – care este ascuns sub forma unui program atractiv sau
inofensiv, cum ar fi un joc, sau program de grafică (o felicitare în format electronic, un program tip screen-
saver). Victimele pot primi un astfel de cal troian prin email sau pe o dischetă, adeseori de la o altă victimă
necunoscută sau pot fi încurajate să descarce un fişier de pe o pagină Web sau un forum.
Incident de Securitate: În termeni informatici este definit ca un eveniment prin care se încearcă sau se
realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau confidenţialităţii informaţiei de pe
un sistem informatic automatizat. Aceasta include examinarea sau navigarea neautorizată, întreruperea sau
anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea
informaţiilor, modificarea informaţiilor sistemului referitoare la caracteristicile componentelor hardware,
firmware sau software cu sau fără ştiinţa sau intenţia utilizatorului.
Reţea locală (LAN): O reţea de comunicaţii de date ce este distribuită pe o zonă restrânsă (de regulă la
nivelul unui grup de lucru). Reţeaua locală oferă comunicaţii între calculatoare şi periferice la o viteză de
transfer mare şi cu puţine erori.
Server: Un program de calculator care oferă servicii altor programe aflate pe acelaşi calculator sau pe
calculatoare diferite. Un calculator care rulează un program tip server este denumit în mod frecvent server, cu
toate că pe acelaşi calculator mai pot rula şi alte programe de tip client sau server.
Gazdă (Host): Un sistem care oferă servicii pentru un anumit număr de utilizatori.
Copii de Siguranţă (backup): Copii ale fişierelor şi aplicaţiilor făcute pentru a evita pierderea datelor şi
pentru a permite recuperarea în cazul unor evenimente care pot conduce la pierderi de date.
Firewall: Un mecanism de control al accesului care acţionează ca o barieră între două sau mai multe
segmente ale unei reţele de calculatoare sau ale unei arhitecturi de tip client/server, folosit pentru a proteja
reţelele interne sau segmente ale acestora împotriva utilizatorilor sau proceselor neautorizate.
Atac informaţional: O încercare de a trece peste măsurile şi controalele de securitate fizice sau informatice
care protejează un sistem din cadrul sistemului de RIC. Atacatorul poate altera informaţiile, poate acorda sau
refuza accesul la ele. Succesul unui eventual atac depinde de gradul de vulnerabilitate al sistemului în
particular şi de eficacitatea contramăsurilor aplicate.
Protecţie informaţională: Acţiuni întreprinse în vederea afectării informaţiilor şi sistemelor informatice ostile,
în timp ce protejează informaţiile şi sistemele informatice proprii.
Procedura - reprezintă modalitatea specifică de desfăşurare a unei activităţi sau a unui proces.
Clasificarea informatiei
Clasificarea informaţiilor este necesară pentru a permite atât alocarea resurselor necesare protejării acestora
cât şi pentru a determina pierderile potenţiale ca urmare a modificărilor, pierderii/distrugerii sau divulgării
acestora.
ARIC, OSRIC, OSRICD, conducerea organizatiei răspund de evaluarea periodică a schemei de clasificare a
informaţiilor. Toate informaţiile din ORGANIZATIA trebuie să se regăsească în una din următoarele categorii:
Publice. Acestea sunt informaţiile accesibile oricărui utilizator din interiorul sau exteriorul ORGANIZATIA.
Divulgarea, utilizarea neautorizată sau distrugerea acestora nu produce efecte asupra ORGANIZATIA sau
aceste efecte sunt nesemnificative. Utilizatorii care furnizează aceste informaţii sunt responsabili de
asigurarea integrităţii şi disponibilităţii acestora în raport cu cerinţele ORGANIZATIA.
Informatii clasificate ( conform L 182 – 2002, HG 585 – 2002): informatiile, datele, documentele de interes
pentru securitatea nationala, care, datorita nivelurilor de importanta si consecintelor care s-ar produce ca
urmare a dezvaluirii sau diseminarii neautorizate, trebuie sa fie protejate. Clasele de secretizare sunt: secrete
de stat si secrete de serviciu.
Informatii secrete de stat - informatiile care privesc securitatea nationala, prin a caror divulgare se pot
prejudicia siguranta nationala si apararea tarii.
Informatii secrete de serviciu - informatiile a caror divulgare este de natura sa determine prejudicii unei
persoane juridice de drept public sau privat.
a) protectia juridical: ansamblul normelor constitutionale si al celorlalte dispozitii legale in vigoare, care
reglementeaza protejarea informatiilor clasificate,
b) protectia prin masuri procedural: ansamblul reglementarilor prin care emitentii si detinatorii de informatii
clasificate stabilesc masurile interne de lucru si de ordine interioara destinate realizarii protectiei informatiilor;
c) protectia fizica : ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control
fizic si prin mijloace tehnice, a informatiilor clasificate;
d) protectia personalului care are acces la informatiile clasificate ori este desemnat sa asigure securitatea
acestora : ansamblul verificarilor si masurilor destinate persoanelor cu atributii de serviciu in legatura cu
informatiile clasificate, spre a preveni si inlatura riscurile de securitate pentru protectia informatiilor clasificate;
Institutia care detine sau utilizeaza informatii clasificate tine un Registru de evidenta a autorizatiilor
acordate personalului, sub semnatura.
Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează sau le
accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri specifice de acces şi
protecţie, în conformitate cu legea.
In categoria informatiilor secrete de stat sunt cuprinse informatiile care reprezinta sau care se refera la:
a) sistemul de aparare a tarii si elementele de baza ale acestuia, operatiile militare, tehnologiile de fabricatie,
caracteristicile armamentului si tehnicii de lupta utilizate exclusiv in cadrul elementelor sistemului national de
aparare;
c) cifrul de stat si alte elemente criptologice stabilite de autoritatile publice competente, precum si activitatile
in legatura cu realizarea si folosirea acestora;
f) activitatea de informatii desfasurata de autoritatile publice stabilite prin lege pentru apararea tarii si
siguranta nationala;
g) mijloacele, metodele, tehnica si echipamentul de lucru, precum si sursele de informatii specifice, folosite de
autoritatile publice care desfasoara activitate de informatii;
h) hartile, planurile topografice, termogramele si inregistrarile aeriene de orice tip, pe care sunt reprezentate
elemente de continut sau obiective clasificate secrete de stat;
j) sistemele si planurile de alimentare cu energie electrica, energie termica, apa si alti agenti necesari
functionarii obiectivelor clasificate secrete de stat;
k) activitatile stiintifice, tehnologice sau economice si investitiile care au legatura cu siguranta nationala ori cu
apararea nationala sau prezinta importanta deosebita pentru interesele economice si tehnico-stiintifice ale
Romaniei;
l) cercetarile stiintifice in domeniul tehnologiilor nucleare, in afara celor fundamentale, precum si programele
pentru protectia si securitatea materialelor si a instalatiilor nucleare;
m) emiterea, imprimarea bancnotelor si baterea monedelor metalice, machetele emisiunilor monetare ale
Bancii Nationale a Romaniei si elementele de siguranta ale insemnelor monetare pentru depistarea falsurilor,
nedestinate publicitatii, precum si imprimarea si tiparirea hartiilor de valoare de natura titlurilor de stat, a
bonurilor de tezaur si a obligatiunilor de stat;
n) relatiile si activitatile externe ale statului roman, care, potrivit legii, nu sunt destinate publicitatii, precum si
informatiile altor state sau organizatii internationale, fata de care, prin tratate ori intelegeri internationale,
statul roman si-a asumat obligatia de protectie.
Nivelurile de secretizare se atribuie informatiilor clasificate din clasa secrete de stat si sunt:
- strict secret de importanta deosebita - informatiile a caror divulgare neautorizata este de natura sa produca
daune de o gravitate exceptionala securitatii nationale;
6
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
- strict secrete - informatiile a caror divulgare neautorizata este de natura sa produca daune grave securitatii
nationale;
- secrete - informatiile a caror divulgare neautorizata este de natura sa produca daune securitatii nationale;
Termenele de clasificare a informaţiilor secrete de stat vor fi stabilite de emitent, în funcţie de importanţa
acestora şi de consecinţele care s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.
Termenele de clasificare a informaţiilor secrete de stat, pe niveluri de secretizare, cu excepţia cazului când
acestea necesită o protecţie mai îndelungată, sunt de până la:
Aceste Termene pot fi prelungite prin hotărâre a Guvernului, pe baza unei motivaţii temeinice, la solicitarea
conducătorilor unităţilor deţinătoare de informaţii clasificate sau, după caz, a împuterniciţilor şi funcţionarilor
superiori abilitaţi să atribuie nivelurile de secretizare.
Fiecare împuternicit ori funcţionar superior abilitat să atribuie niveluri de secretizare va dispune verificarea
periodică a tuturor informaţiilor secrete de stat cărora le-au atribuit nivelurile de secretizare, prilej cu care,
dacă este necesar, vor fi reevaluate nivelurile şi termenele de clasificare. Documentul elaborat pe baza
prelucrării informaţiilor cu niveluri de secretizare diferite va fi clasificat conform noului conţinut, care poate fi
superior originalelor.
Documentul rezultat din cumularea neprelucrată a unor extrase provenite din informaţii clasificate va primi
clasa sau nivelul de secretizare corespunzător conţinutului extrasului cu cel mai înalt nivel de secretizare.
Rezumatele, traducerile şi extrasele din documentele clasificate primesc clasa sau nivelul de secretizare
corespunzător conţinutului.
Informatiile secrete de serviciu (Listele cu informaţii secrete de serviciu) se stabilesc de sefii de compartiment
din cadrul ORGANIZATIA. Este interzisa clasificarea ca secrete de serviciu a informatiilor care, prin natura
sau continutul lor, sunt destinate sa asigure informarea cetatenilor asupra unor probleme de interes public
sau personal, pentru favorizarea ori acoperirea eludarii legii sau obstructionarea justitiei.
În listele cu informaţii secrete de serviciu vor fi incluse informaţiile care se referă la activitatea
ORGANIZATIA şi care, fără a constitui secrete de stat, nu trebuie cunoscute decât de persoanele
cărora le sunt necesare pentru îndeplinirea atribuţiilor de serviciu, divulgarea lor putând prejudicia
interesul unităţii.
Atunci cînd aceste informatii sunt destinate strict unor persoane anume determinate, documentele vor purta
pe fiecare pagina si mentiunea "personal".
Neglijenta in pastrarea informatiilor secrete de serviciu atrage, potrivit legii penale, raspunderea persoanelor
vinovate.
7
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Persoanele fizice carora le-au fost incredintate informatii clasificate sunt obligate sa asigure protectia
acestora. Obligatiile se mentin si dupa incetarea raporturilor de munca, de serviciu sau profesionale, pe
intreaga perioada a mentinerii clasificarii informatiei.
Persoana care urmeaza sa desfasoare o activitate sau sa fie incadrata intr-un loc de munca ce presupune
accesul la informatii clasificate va prezenta un angajament scris de pastrare a secretului.
ORGANIZATIA va asigura fondurile necesare in vederea indeplinirii obligatiilor care le revin, precum si luarii
masurilor necesare privitoare la protectia acestor informatii.
Este interzisa transmiterea informatiilor secrete de stat prin cablu sau eter, fara a se folosi mijloace specifice
cifrului de stat sau alte elemente criptografice stabilite de autoritatile publice competente.
Incalcarea normelor privind protectia informatiilor clasificate atrage raspunderea disciplinara,
contraventionala, civila sau penala, dupa caz.
Persoanele incadrate in serviciile de informatii si siguranta sau ale armatei, aflate in serviciul relatiilor externe,
precum si cele special insarcinate cu protectia informatiilor secrete de stat, vinovate de deconspirari voluntare
ori de acte de neglijenta care au favorizat divulgarea ori scurgerea informatiilor secrete, isi pierd irevocabil
calitatea.
1.5 Confidenţialitate
1. Fişierele electronice create, trimise, primite sau stocate folosind sistemul RIC propriu, administrate
sau în custodia şi sub controlul ORGANIZATIA nu au caracter personal şi pot fi accesate oricând de
către angajaţii autorizaţi (specialistul IT/administrator reţea) fără înştiinţarea utilizatorului.
2. În scopul administrării RIC şi pentru asigurarea securităţii RIC personalul autorizat poate revizui sau
utiliza orice informaţie stocată pe sau transportată prin sistemele RIC în conformitate cu legile în
vigoare. În aceleaşi scopuri, este posibilă monitorizarea activităţii utilizatorilor.
3. Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul
ORGANIZATIA, orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament
(prin contactarea OSRIC sau OSRICD).
4. Un mare număr de utilizatori, pot accesa diverse informaţii din sistemul de comunicaţii al
ORGANIZATIA. În aceste condiţii este obligatorie păstrarea confidenţialităţii acestor informaţiilor
transmise din exteriorul RIC şi a informaţiilor obţinute din interior.
5. Utilizatorii nu trebuie să încerce să acceseze informaţii sau programe de pe sistemele ORGANIZATIA
pentru care nu au autorizaţie sau consimţământ explicit.
6. Nici un utilizator al sistemului RIC ale ORGANIZATIA nu poate divulga informaţiile la care are acces
sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemului RIC. Această regulă se extinde
şi după ce utilizatorul a încheiat relaţiile cu ORGANIZATIA, conform angajamentelor personale sau
contractelor de munca semnate, existente in cadrul Serviciului Resurse Umane.
7. Confidenţialitatea informaţiilor transmise prin intermediul resurselor de comunicaţii ale terţilor nu
poate fi asigurată. Pentru aceste situaţii, confidenţialitatea şi integritatea informaţiilor se poate asigura
folosind tehnici de criptare. Utilizatorii sunt obligaţi să se asigure că toate informaţiile confidenţiale ale
ORGANIZATIA se transmit în aşa fel încât să se asigure confidenţialitatea şi integritatea acestora.
__________________________________________________________________________
8
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
_____________________________________________________________________
15. Utilizatorii care au acces la sistemul RIC al ORGANIZATIA au obligaţia de a purta acte şi/sau
legitimaţii/ecusoane care să ateste calitatea de utilizator autorizat în spaţiile ORGANIZATIA.
16. Utilizatorii nu trebuie să se angajeze în acţiuni împotriva scopurilor ORGANIZATIA folosind RIC.
17. În cazul demisiei/plecării definitive din instituţie a unui utilizator acest lucru va fi comunicat OSRIC de
către OSRICD şi/sau Serviciul Resurse Umane din Cadrul organizatiei. OSRIC va recurge la
stergerea conturilor şi parolelor utilizatorului respectiv, iar accesul utilizatorului la RIC va fi interzis.
18. Este interzisă utilizarea RIC de către persoane neautorizate.
3. Accesul Administrativ
1. Utilizatorii trebuie să cunoască şi să accepte toate regulamentele privind securitatea RIC înainte de a
li se permite accesul la un cont.
2. Utilizatorii care au conturi de acces administrativ trebuie sa aibă instrucţiuni de administrare,
documentare, instruire şi autorizare a conturilor. Aceste instrucţiuni se vor elabora de către fiecare
Departament şi vor fi incluse în fişa postului.
3. Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie să folosească în mod abuziv
aceste drepturi şi trebuie să facă investigaţii numai sub îndrumarea OSRIC sau OSRICD.
4. Cei care utilizează conturi de acces cu drepturi administrative sau speciale trebuie să folosească tipul
de privilegiu cel mai potrivit activităţii pe care o desfăşoară.
5. Accesul administrativ trebuie să se conformeze Regulamentului privind Parolelor
6. Parola pentru un cont cu acces privilegiat nu va fi utilizată de mai multe persoane decât cu acordul
scris al OSRIC şi trebuie să fie schimbată atunci când o persoana care utilizează acest cont îşi
schimbă locul de muncă din cadrul Departamentului sau a Organizatiei, sau în cazul unei modificări a
listei de personal ale terţilor (furnizor desemnat) în contractele cu ORGANIZATIA .
7. Trebuie să existe o procedură prin care o altă persoană, în afară de administrator, să poată avea
acces la contul administratorului în caz de forţa majoră. Această procedură va fi elaborată de către
OSRIC şi comunicată OSRICD aflat în cauză.
8. Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau
instalare de software sau alte operaţiuni definite. Acestea trebuie să îndeplinească următoarele
condiţii:
- trebuie să fie autorizate;
- trebuiesc create cu dată de expirare specifică;
- contul va fi şters atunci când nu mai este necesar.
4. Accesul Fizic
1. Accesul fizic la toate încăperile în care sunt instalate RIC trebuie să fie documentat şi monitorizat.
2. Toate încăperile în care sunt instalate RIC trebuie să fie protejate fizic, în funcţie de importanţa
acestora şi tipul datelor vehiculate sau stocate.
10
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
3. Pentru fiecare încăpere în care sunt instalate echipamente ale sistemului RIC se aprobă accesul doar
pentru personalul care răspunde de buna funcţionare a echipamentelor din încăperea respectivă şi,
dacă este cazul, părţilor contractante, ale căror obligaţii contractuale implică acces fizic.
4. Personalul care are drepturi de acces trebuie să deţină legitimaţie de serviciu şi acte de identitate
care să-i ateste calitatea.
5. Nu este permis transferul dreptului de acces indiferent de motiv.
6. Accesul publicului, vizitatorilor, sau a persoanelor străine în cadrul organizatiei se va face doar pe
baza actului de identitate. Vizitatorii/persoanele străine trebuie să fie însoţiţi în zonele cu acces
restricţionat.
7. Pentru fiecare spaţiu în care sunt instalate RIC se va păstra o evidenţă a accesului pentru verificări
de rutină în situaţii critice.
1. Utilizatorilor le este permis să utilizeze numai parametrii pentru conectare la reţea specificaţi de către
administratorul de reţea .
2. Pentru fiecare sistem conectat trebuie să existe o persoană care să răspundă de acesta, numele şi
datele de identificare ale acesteia se vor comunica către OSRIC.
3. Conectarea sistemelor de calcul care nu sunt proprietatea ORGANIZATIA se face numai cu
aprobarea în scris din partea conducerii organizatiei.
4. Accesul de la distanţă la reţeaua ORGANIZATIA se va realiza numai prin echipamente aprobate,
sau prin intermediul unui Furnizor de Servicii Internet (Internet Service Provider (ISP)) agreat de către
ORGANIZATIA şi folosind protocoale aprobate de către OSRIC.
5. Utilizatorii RIC din interiorul ORGANIZATIA nu se pot conecta la altă reţea.
6. Utilizatorii nu trebuie să extindă sau să retransmită serviciile de reţea în nici un fel (pe nici o cale). Nu
este permisă instalarea de conexiuni de reţea neautorizate indiferent de motiv. Autorizarea tuturor
conexiunilor se face la propunerea Departamentelor de către Compartimentul de Informatică.
7. Utilizatorii nu trebuie să instaleze echipamente hardware sau programe care furnizează servicii de
reţea fără aprobarea Compartimentului de Informatică.
8. Sistemele computerizate din afara Organizatiei care necesită conectare la reţea trebuie să se
conformeze cu standardele reţelei interne ale ORGANIZATIA.
9. Utilizatorii nu au dreptul să descarce din Internet, să instaleze sau să ruleze programe de securitate
sau de altă natură care pot dezvălui slăbiciuni în securitatea unui sistem. De exemplu, utilizatorii
ORGANIZATIA nu au dreptul să ruleze programe de spargere a parolei, sustragere de pachete,
scanare a porturilor, în timp ce sunt conectaţi la reţeaua Organizatiei.
10. Utilizatorii nu au dreptul să modifice, reconfigureze, instaleze, dezinstaleze echipamente de reţea,
cabluri, prize de conexiuni.
11. Serviciul de nume şi administrarea adreselor IP sunt deservite exclusiv de către Compartimentul de
Informatică.
12. Serviciile de interconectare a reţelei ORGANIZATIA cu alte reţele sunt realizate exclusiv de către
Compartimentul de Informatică.
13. Nu este permisă instalarea şi/sau modificarea echipamentelor utilizate pentru conectare la reţea
(inclusiv plăci de reţea) fără aprobarea Compartimentul de Informatică. Tipul şi modelul plăcilor de
reţea şi tuturor echipamentelor care se pot conecta în reţea trebuie să fie aprobate de către
Compartimentul de Informatică.
11
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
12
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Monitorizarea RIC se va face astfel încât să fie posibilă detectarea în timp util a atacurilor informatice şi a
situaţiilor de încălcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate
sau nu) vor urmări şi înregistra:
- Tipul traficului (ex. structura pe protocoale şi servicii) extern şi conţinutul acestuia în
cazurile în care acest lucru se impune sau este ordonat.
- Tipul traficului în reţea, a protocoalelor şi a echipamentelor conectate la RIC, conţinutul
acestuia în cazurile în care acest lucru se impune sau este ordonat.
- Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de operare).
Fişierele jurnal vor fi examinate regulat în vederea detectării eventualelor atacuri informatice şi abateri de la
regulamentele de securitate ale ORGANIZATIA.
În această categorie intră următoarele (fără a se limita doar la acestea):
- Jurnale ale sistemelor de detectarea automată a intruşilor.
- Jurnale Firewall
- Jurnale ale activităţii conturilor utilizator
- Jurnale ale scanărilor reţea
- Jurnale ale aplicaţiilor
- Jurnale ale solicitărilor de suport tehnic
- Jurnale ale erorilor din sisteme şi servere.
- Jurnale ale echipamentelor de telefonie
- În mod regulat (cel puţin o dată la şase luni) se vor efectua verificări, de către D.C.D. sau
personalul autorizat al Departamentelor sau Facultăţilor pentru detectarea:
- Parolelor utilizator care nu respectă regulamentele
- Echipamentelor de reţea conectate neautorizat
- Serviciilor de reţea neautorizate
- Serverelor de pagini de web neautorizate
- Echipamentelor ce utilizează resurse comune nesecurizate
- Utilizării de modemuri neautorizate
- Licenţelor pentru sistemele de operare şi programele instalate
Orice neregulă privind respectarea regulamentelor de securitate va fi raportată OSRIC sau OSRICD
în scopul efectuării de investigaţii.
9. Securitatea Serverelor
Un server nu trebuie conectat la reţeaua ORGANIZATIA până când nu se află într-o stare sigură acreditată
de către OSRIC.
Procedura de securizare a serverelor trebuie să includă obligatoriu următoarele:
- Instalarea sistemului de operare dintr-o sursă aprobată
- aplicarea patch-urilor furnizate de producător
- înlăturarea programelor, a serviciilor sistem şi a driver-lor care nu sunt necesare
- setarea/activarea parametrilor de securitate, a protecţiilor pentru fişiere şi activarea
jurnalelor de monitorizare
- dezactivarea sau schimbarea parolelor conturilor predefinite
- securizarea accesului fizic la aceste echipamente
Compartimentul de Informatică va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de
instalare şi aplicare regulată a patch-urilor de securitate şi, prin sondaj, pentru serverele departamentale sau
a grupurilor de lucru.
5. Accesul la mediile de backup ale ORGANIZATIA se va face numai de personalul abilitat în acest
sens.
6. Acestea trebuie revizuite periodic (anual).
7. Accesul trebuie interzis pentru persoanele autorizate care îşi schimbă locul de muncă.
8. Benzile sau mediile utilizate pentru stocarea copiilor de siguranţă trebuie să aibă un sistem de
identificare care să conţină cel puţin următoarele date de identificare a informaţiei stocate:
9. numele sistemului;
10. data creării copiei;
11. tipul de copie (completă, incrementală etc.);
12. clasificarea sensibilităţii (siguranţei/securităţii);
13. informaţii de contact.
1. OSRIC trebuie să aprobe, în scris, conectarea dispozitivelor portabile la RIC ale Organizatiei.
2. Calculatoarele portabile trebuie să fie protejate prin parole.
3. Se va evita stocarea datelor care privesc ORGANIZATIA pe dispozitivele portabile. În cazul în care
nu există o altă alternativă de stocare locală, toate datele care privesc ORGANIZATIA trebuiesc
criptate.
4. Conectarea sistemelor de calcul care nu sunt proprietatea ORGANIZATIA se face numai cu
aprobarea în scris a Compartimentul de Informatică la recomandarea Departamentelor.
5. Dispozitivele portabile de calcul neutilizate trebuie securizate fizic. Aceasta presupune încuierea lor
într-un birou, într-un dulap.
1. Orice modificare asupra unei componente a RIC din cadrul ORGANIZATIA, cum ar fi: sisteme de
operare, componente hardware, echipamente şi componente de reţea, aplicaţii, este supusă
prezentului regulament şi trebuie să urmeze procedurile în vigoare.
2. Compartimentul de Informatică trebuie să fie anunţat de toate modificările care afectează mediul de
funcţionare a sistemelor componente ale RIC (ex: aparate de aer condiţionat, instalaţii de apă,
încălzire, instalaţii electrice şi alarme, etc.).
14
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
1. Programele pentru acces la reţeaua Internet sunt destinate utilizatorilor autorizaţi pentru a fi folosite
în scopuri exclusiv de servici, cu excepţia situaţiei prevăzute în regulamentul Utilizarea ocazională a
RIC în scopuri personale.
2. Toate programele utilizate pentru acces la reţeaua Internet trebuie să facă parte din pachetul de
programe aprobat de către Compartimentul de Informatică. Aceste programe trebuie să includă toate
patch-urile de securitate puse la dispoziţie de către producător.
3. Toate fişierele care provin din reţeaua Internet trebuie să fie scanate cu un program antivirus care să
fie actualizat cel puţin o dată la 24 ore.
4. Toate programele pentru acces Internet/Intranet trebuie să permită folosirea sistemelor proxy şi/sau
firewall.
5. Toate informaţiile accesate în reţeaua Internet trebuie să se conformeze Regulamentului de
Utilizare Acceptabilă a RIC(cap.II subcap.2.1).
6. Orice activitate a utilizatorilor folosind RIC poate fi înregistrată şi ulterior examinată.
7. Nu se vor publica pe sit-urile web ale ORGANIZATIA materiale cu caracter ofensiv sau de hărţuire.
8. Nu se vor publica pe sit-urile web ale ORGANIZATIA, materiale publicitare comerciale sau
personale.
9. Nu se vor publica pe sit-urile web ale ORGANIZATIA date ale ORGANIZATIA fără asigurarea că
materialele sunt disponibile numai persoanelor sau grupurilor autorizate.
10. Nu este permisă utilizarea RIC ale ORGANIZATIA în scop personal sau pentru solicitări personale ce
nu au legătură cu ORGANIZATIA .
11. Cumpărăturile pe internet care nu au legătură cu atribuţiile de serviciu sunt interzise. Cumpărăturile în
interes de serviciu se vor supune regulilor de achiziţie ale ORGANIZATIA .
12. Orice material confidenţial al ORGANIZATIA transmis prin reţeaua Internet trebuie criptat.
13. Fişierele electronice se supun aceloraşi reguli de păstrare ce se aplică şi altor documente şi trebuie
păstrate în conformitate cu regulile stabilite prin prezentele regulamente şi regulamentele proprii
fiecărui Departament.
14. Este interzisă accesarea site-urilor cu caracter pornografic
15. este interzisă folosirea programelor peer-to-peer (exemple: Yahoo messenger, MSN, DC++, etc,)
16. Este interzisă descărcarea/instalarea programelor din reţeaua Internet
Prin acord individual, fişa postului şi/sau alte documente toţi utilizatorii acceptă prevederile
regulamentelor privind securitatea sistemului RIC.
Toţi utilizatorii sunt obligaţi să păstreze confidenţialitatea informaţiilor privind contul de acces.
Toate parolele pentru conturi trebuie să fie create şi folosite în conformitate cu Regulamentul
privind Parolele de Acces.
Conturile utilizator ale persoanelor plecate din Instituţie pe timp îndelungat (mai mult de 90 de zile)
vor fi dezactivate (conturile nu vor mai putea fi accesate).
Toate conturile utilizator care nu au fost accesate timp de 30 de zile vor fi dezactivate. După încă 30
zile conturile vor fi şterse dacă nu s-a solicitat accesul la acestea.
Administratorii de sisteme sau alt personal autorizat sunt responsabili de ştergerea conturilor
persoanelor (utilizatorilor) care nu mai lucrează în ORGANIZATIA , sau care nu mai au relaţii cu
ORGANIZATIA.
16 Parole de Acces
16
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
1. Toate staţiile de lucru de sine stătătoare sau conectate la reţeaua de comunicaţii a ORGANIZATIA,
trebuie să utilizeze programe antivirus aprobate de către OSRIC.
2. Programele antivirus nu trebuie dezactivate.
3. Configuraţia programului antivirus trebuie să nu fie modificată într-un mod care să reducă eficacitatea
programului.
4. Frecvenţa actualizărilor automate a programului antivirus trebuie asigurată de către utilizator.
5. Orice server de fişiere conectat la reţeaua Organizatiei trebuie să utilizeze un program antivirus
aprobat în scopul detectării şi curăţirii viruşilor care pot infecta fişierele puse la dispoziţie.
6. Orice server sau gateway pentru e-mail trebuie să folosească un program antivirus pentru e-mail
aprobat şi trebuie să respecte regulile de instalare şi utilizare a acestui program.
7. Orice virus care nu a putut fi înlăturat automat de către programul antivirus constituie un incident de
securitate şi trebuie raportat imediat OSRIC sau OSRICD.
1. ORGANIZATIA furnizează un număr suficient de copii cu Licenţă pentru toate programele aprobate
spre utilizare astfel încât angajaţii să îşi poată desfăşura munca într-un mod eficient şi rapid.
2. ORGANIZATIA trebuie să se pună de acord în mod adecvat cu furnizorii implicaţi pentru obţinerea
de copii adiţionale ale licenţelor dacă şi când acestea sunt necesare în activitatea organizatiei.
3. Copiile suplimentare ale materialelor protejate prin drepturi de autor nu vor fi stocate pe sistemele
sau resursele reţelei ORGANIZATIA în situaţia în care nu există aprobări specifice. Administratorii de
sistem vor şterge produsele şi toate materialele protejate prin drepturi de autor în situaţia menţionată,
cu excepţia cazului în care utilizatorii implicaţi fac dovada autorizaţiei de folosire sau stocare de la
producătorii de drept.
4. Programele sau alte bunuri informatice aflate sub incidenţa drepturilor de autor aflate în posesia
ORGANIZATIA nu vor fi copiate, cu excepţia cazului în care această copiere este în concordanţă cu
prevederile licenţei.
Orice activitate desfăşurată de furnizor care implică acces la RIC trebuie să se conformeze cu
regulamentele în vigoare ale ORGANIZATIA.
În toate convenţiile şi contractele încheiate cu Furnizori trebuie specificate următoarele:
- Informaţiile din cadrul ORGANIZATIA , la care Furnizorul are drept de acces;
- Modul în care informaţiile la care Furnizorul are drept de acces urmează a fi protejate de către
acesta precum şi măsuri ce vor fi luate în cazul nerespectării clauzelor;
- Metodele de predare, distrugere sau de transfer al drepturilor informaţiilor Organizatiei aflate în
posesia Furnizorului, la încheierea contractului.
- Furnizorul trebuie să folosească sistemul RIC din cadrul ORGANIZATIA numai în scopul stipulat
în contract.
- Orice altă informaţie din sistemul RIC al ORGANIZATIA obţinută de Furnizor pe durata
contractului nu poate fi folosită în interes propriu de către Furnizor sau divulgată altora.
- Toate echipamentele de întreţinere ale Furnizorului, aflate în reţeaua internă a ORGANIZATIA şi
care se pot conecta în exterior prin intermediul reţelei, a liniilor telefonice sau a liniilor închiriate,
precum şi toate conturile de utilizator create temporar pentru Furnizor şi necesare pentru acces la
RIC ale ORGANIZATIA , vor fi scoase din uz la încheierea relaţiilor contractuale.
- Accesul Furnizorului trebuie să fie identificat în mod unic iar administrarea parolelor sau metodele
de autentificare trebuie să fie în conformitate cu Regulamentul privind Parolele de Acces şi
Regulamentul de Acces Administrativ.
- Activităţile principale ale Furnizorului trebuie să fie documentate de acesta şi puse la dispoziţia
conducerii Organizatiei, la cerere. Acestea trebuie să cuprindă, dar să nu fie limitate la,
evenimente precum: schimbări de personal, schimbări de parolă, schimbări majore în derularea
proiectului, timpii de sosire, de plecare şi de livrare.
17
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
- În cazul retragerii din contract a unui angajat al Furnizorului, indiferent de motiv, Furnizorul se va
asigura că toate informaţiile sensibile sunt colectate şi predate ORGANIZATIA sau distruse în cel
mult 24 de ore de la producerea evenimentului.
- În cazul terminării/rezilierii contractului sau la cererea ORGANIZATIA , Furnizorul va preda sau
distruge toate informaţiile ce aparţin Organizatiei şi va oferi certificare în scris privind predarea
sau distrugerea informaţiilor în decurs de 24 de ore de la producerea evenimentului.
- În cazul încheierii contractului sau la cererea ORGANIZATIA, Furnizorul trebuie să predea
imediat toate legitimaţiile, cartelele de acces, echipamentele şi stocurile ORGANIZATIA .
Echipamentele şi/sau stocurile care urmează a fi reţinute de către Furnizor trebuiesc
documentate şi autorizate de Conducerea ORGANIZATIA.
- Toate programele folosite de Furnizor în scopul furnizării serviciilor stipulate în contract către
ORGANIZATIA trebuie să fie inventariate corespunzător si să posede drepturi de utilizare
atestate prin Licenţe.
______________________________________________________________________________
Posibile
Impacturi asupra
accidente şi
sistemului Metode de intervenţii / de control Observaţii
situaţii de
informational
urgenţă
________________________________________________________________________________
18
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
______________________________________________________________________________
Măsuri Disciplinare
Încălcarea prevederilor acestui manual se sancţionează prin măsuri disciplinare care pot include:
1. Întreg personalul este responsabil privind modul de utilizare a RIT; fiecare utilizator este direct
responsabil pentru acţiunile care pot afecta securitatea RIT.
2. Utilizatorii sunt responsabili, nediscriminatoriu, privind raportarea oricărei suspiciuni sau confirmări de
încălcare a acestui manual.
3. Utilizarea RIT se face numai în interes de serviciu.
4. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind
protocoale de genul, dar nelimitate la, poştă electronică, navigare pe Web, conversaţii telefonice, transmisie
fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie
electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în
vigoare.
5. Departamentele sunt responsabile cu autorizarea utilizatorilor pentru folosirea adecvată a RIT.
6. Orice informaţie folosită în sistemul RIT trebuie să fie păstrată confidenţială şi în siguranţă de către
utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra
confidenţiale şi în siguranţă, tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de
siguranţă necesar.
7. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie
protejate fiind proprietatea organizaţiei.
8. Departamentele trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul
monitorizării RIT pentru protejarea datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu
necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod
corespunzător.
_______________________________________________________________________________
19
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Procedura P.01
Intervenţii în cazul defecţiunilor hardware
În cazul în care a fost constatată o defecţiune sau o disfuncţionalitate a vreunui sistem de calcul
şi/sau a unui periferic al acestuia (monitor, tastatură, mouse, imprimantă, etc) se va informa specialistul IT din
cadrul Compartimentului de Informatică. Informarea se va face telefonic.
Poate exista şi cazul în care defecţiunea să fie constatată de către specialistul IT când acesta
execută operaţiuni de întreţinere sau verificări de rutină, conform procedurii P.07.
Specialistul IT va constata în ce constă defecţiunea şi dacă este posibil va proceda la remedierea
acesteia.
În cazul în care nu este posibilă remediere de către specialistul IT, acesta va anunţa firma de service
urmând procedura specifică P.09.
Reprezentantul firmei de service va stabili dacă defecţiunea poate remediată pe loc, în cadrul
organizatiei, sau este necesară deplasarea componentei hardware defecte la sediul firmei. În cel de-a doua
situaţie se va urma procedura P.10.
După remedierea defecţiunii se va respecta procedura P.11, privind receptia componentelor
hardware.
Procedura P.02
Salvările de date, stocarea şi păstrarea acestora
Salvările de date în general se fac pe suport magnetic extern (dischete, CD, benzi magnetice,
memory stick), sau pe suport magnetic intern (hard disk) în funcţie de instrucţiunile existente în manualele
programelor informatice. De asemenea perioada de păstrare a acestor salvări se va face tot în funcţie de
aceste instrucţiuni. Dacă nu există instrucţiuni în acest sens păstrarea se va face pe perioadă nedeterminată.
În cazul salvărilor efectuate pe harddiskurile serverelor prin opţiunile existente în cadrul programelor
informatice, se vor efectua salvari complete de către o persoană desemnată în acest sens de către şeful
departamentului respectiv.
Salvări complete ale harddiskurilor serverelor se va face de către specialistul IT din cadrul
Compartimentului de Informatică al ORGANIZATIA.
Pentru salvările efectuate şi pentru care nu există instrucţiuni privind termenul de păstrare a
salvărilor, păstrarea se va face pe perioadă nedeterminată.
În cazul schimbări unui sistem informatic cu unul mai nou şi în care au fost preluate datele existente
în salvările efectuate anterior, vechile salvări vor fi distruse.
Persoanele care efectuează salvări vor avea un jurnal de evidenţă al acestor salvări în care se va
specifica clar data şi ora când a fost efectuată salvarea.
Procedura P.03
Achiziţii echipamente hardware şi/sau software pe bază de referat de necesitate,
altele decât prin licitaţii
specialistul IT pentru a stabili dacă necesitatea achiziţionării echipamentelor este justificată sau nu. În cazul
unui aviz favorabil referatul de necesitate va fi aprobat ulterior de către conducătorii organizatiei.
Referatele avizate şi aprobate vor fi retransmise Compartimetului de Informatică pentru a fi
achiziţionate echipamentele.
Dacă cuantumul valorii echipamentelor depăşeşte plafonul legal privind achiziţia materialelor, acestea
intrând pe lista de investiţii, referatul respectiv va fi trimis de către Compartimentul de Informatică
departamentului care se ocupă cu achiziţiile publice, conform Procedurii P.08.
Dacă suma este sub plafonul legal privind achiziţia materialelor acestea vor fi achiziţionate direct de
la furnizor.
Recepţionarea acestora se va face respectând Procedura P.11.
Procedura P.04
Modificări sau defecţiuni ale aplicaţiilor software
În cazul în care sunt necesare modificări ale aplicaţiilor software (programe informatice) în urma
modificărilor legislative sau datorită altor cauze, sau constatării funcţionării defectoase, sau a apariţiei unor
erori de funcţionare se va anunţa în scris sau telefonic, sau prin email, sau prin fax, producătorul/autorul
aplicaţiei sau firma care ofera asistenţă, după caz.
Departamentul care solicită modificările va furniza date cât mai amănunţite astfel încât modificările
realizate să fie corecte.
Departamentul care solicită modificarea este răspunzător de datele furnizate.
Realizatorul modificărilor este răspunzător de modificările aduse în aplicaţia software. Acesta este
obligat să informeze sau să instruiască utilizatorii aplicaţiilor despre modificările aduse.
În cazul defecţiunilor dacă se va constata că erorile de funcţionare se datorează unor defecţiuni ale
echipamentului hardware se va anunţa specialistul IT şi se va urma procedura P.01.
Procedura P.05
Exploatarea aplicatiilor informatice
Procedura P.06
Activităţi de mentenanţă privind componentele hardware
Activităţi de mentenanţă privind componentele hardware se vor executa cel puţin o data pe lună la
staţiile de lucru de către firma de service, iar pentru servere se va executa cel puţin o data pe săptămână de
către specialistul IT din cadrul Compartimentului de Informatică şi o dată pe lună de către firma de service.
Verificările de rutină efectuate se vor evidenţia într-un jurnal de activităţi.
În cazul constatării unor nereguli în funcţionarea echipamentelor în urma acestor verificări se va urma
procedura P.01, privind intervenţiile în cazul defecţiunilor hardware.
Procedura P.07
Poşta electronică, sesizări pe site-ul ORGANIZATIA, sesizări pe alte site-uri de specialitate
Mesajele sosite pe cale electronică: e-mailuri, sesizări postate site-ul ORGANIZATIA sau sesizări
postate pe alte site-uri de acest gen, vor fi listate pe suport de hârtie şi depuse la registratura generală a
organizatiei, după care vor fi direcţionate către departamentele de specialitate din cadrul organizatiei.
21
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
În cazul în care unele din aceste mesaje necesită răspuns, acesta va fi întocmit de către
departamentele de specialitate din cadrul organizatiei.
Procedura P.08
Rezolvarea documentelor/problemelor repartizate spe rezolvare
Procedura P.09
Anunţarea defecţiunilor hardware/software firmei de service, garanţii şi/sau asistenţă
În cazul apariţiei unei defecţiuni care nu poate fi rezolvată de către specialistul IT din cadrul
Compartimentului de Informatică, după cum este prevăzut şi în procedura P.01, se va contacta firma de
service, garanţii sau asistenţă hardware/software, după caz.
Anunţarea se va face telefonic, prin email, fax de către specialistul IT. Intervenţia prestatorului de
service se va face cu respectarea termenelor în cazul intervenţiilor prevăzute în contractul de service.
Procedura P.10
Părăsirea temporara a calculatorului. Oprirea Calculatorului
În cazul în care utilizatorul păraseşte temporar calculatorul este obligat să blocheze staţia de lucru
prin utilizarea opţiunii “Log Off”, în cazul în care staţia este utilizată de mai mulţi utilizatori, sau prin utilizarea
opţiunii “Lock Computer”. De asemenea este obligatorie selectarea opţiunii “On resume, password
protect” din cadrul sectiunii “Screen Saver”.
Este interzisă cu desăvârşire părăsirea staţiei de lucru fără a închide aplicaţiile în care se lucrează.
Procedura P.11
Atribuirea/schimbarea/anularea utilizatorilor şi a parolelor de access
22
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
23
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
24
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
25
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
26
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
27
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
28
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
29
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
30
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
A.10.10 Monitorizarea
SCOP: Identificarea activităţilor neautorizate de procesare a informaţiei.
31
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
32
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
33
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
34
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
35
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
1. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea
demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţie
2. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii
private în sectorul telecomunicaţiilor.
3. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date.
4. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
5. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
6. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice
pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
7. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de
date cu caracter personal.
8. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de
Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal
şi libera circulaţie a acestor date.
9. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea
prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
10. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
11. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
36
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
RMI elaboreaza in luna ianuarie a fiecarui an un "Plan / Program de Audit Intern" (822-01-01). Auditarea se va
face pe compartimente.
RMI numeste auditorii, avind in vedere:
- independenta acestora fata de procesul auditat;
- experienta si instruirea necesara pentru auditarea procesului respectiv.
Coordonatorul Echipei de Audit instiinteaza Proprietarul de Proces care urmeaza sa fie auditat, cel putin cu 1
saptamana inainte de audit, sau chiar in ziua auditului, daca e vorba de un audit neprogramat .
La data stabilita de comun acord intre proprietarul de proces si Coordonatorul Echipei de Audit, se va desfasura
o reuniune de deschidere a auditului, al carei obiectiv este de a prezenta scopul auditului si stabilirea unui mod de lucru
comun.
37
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Incepe auditul propriu-zis prin examinarea de catre auditori a procesului avut in vedere si stabilirea daca
documentele aplicabile si implementarea sistemului calitatii in zona auditata sunt corecte si complete (Chestionar de
Audit, Standarde, Procedurile sistemului integrat).
Toate observatiile/neconformitatile evidentiate sunt clar si precis documentate pe baza de dovezi obiective.
Dovezile se obtin prin:
- discutii;
- examinarea documentelor;
- observarea activitatior si situatiilor.
Auditorii inregistreaza toate neconformitatile, observatiile si oportunitatile de imbunatatile pe "Raportul de audit
intern" (822-01-02).
Proprietarul de proces stabileste masurile de tratare a neconformitatilor si actiunile corective/preventive
adecvate, pe care le poate discuta cu echipa de audit, urmind sa le inscrie pe "Raportul de Actiune Corectiva/Preventiva"
(851-01-01).
"Raportul de Audit Intern" (822-01-02) este semnat de echipa de audit si de proprietarul de proces auditat, o
copie ramine la proprietarul de proces, iar originalul este retinut de Coordonatorul Echipei de Audit . In cel mult 2 zile de la
auditul intern, o copie a "Raportului de Audit Intern" (822-01-02) este trimisa de Coordonatorul Echipei de Audit la RMI.
Auditatul are autoritatea de a initia si efectua toate actiunile corective/preventive necesare pentru a elimina
neconformitatile trecute in "Raportul de Audit Intern". Auditul este considerat finalizat numai dupa verificarea implementarii
si inchiderea actiunilor corective/preventive, conform procedurii interne "Actiuni Corective/Preventive" (851-01).
La data stabilita pentru verificarea implementarii actiunilor corective, auditorii interni efectueaza un audit de
eficacitate.
DA
Coordonatorul Echipei de Audit si auditatul incheie "Raportul de Actiune Corectiva/Preventiva" (851-01-01) o
copie ramine la auditat, iar originalul este trimis la RMI.
"Rapoartele de Audit Intern" (822-01-02) sint utilizate ca si date de intrare la sedintele de analiza a sistemului de
management al calitatii, conform procedurii interne "Sedinta de Analiza a Sistemului de Management al Calitatii " (560-
01).
NU
Auditatul stabileste noi actiuni corective/preventive de implementat, iar impreuna cu Coordonatorul Echipei de
Audit stabileste data unui nou audit de eficacitate ("Raport de Audit" - 822-01-02).
38
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
39