Manual de Securitate

Manual
SISTEMUL RESURSELOR
INFORMATICE ŞI DE COMUNICAŢII
____________
Manual, Politica, Regulament de Securitate şi Proceduri de lucru privind sistemul Resurselor Informatice şi de
Comunicaţii
Politica de Securitate privind Sistemul Resurselor Informatice şi de Comunicaţii
În acord cu prevederile din prezentul document, Resursele Informatice şi de Comunicaţii (RIC) sunt
bunuri strategice ale ORGANIZATIA care trebuiesc administrate ca resurse ale statului român.
Compromiterea securităţii sistemului RIC poate afecta capacitatea ORGANIZATIA de a oferi serviciile
specifice, poate conduce la fraude sau distrugerea datelor, violarea clauzelor contractuale, divulgarea
secretelor, afectarea credibilităţii ORGANIZATIA în faţa partenerilor săi.
Această politică este stabilită astfel încât:
 Să fie în conformitate cu statutul, regulamentele, legile şi alte documente oficiale în vigoare
privind administrarea resurselor informatice publice;
 Să stabilească practici prudente şi acceptabile privind utilizarea RIC ale ORGANIZATIA;
 Să instruiască utilizatorii care au dreptul de folosire a sistemului RIC privind responsabilităţile
asociate unei astfel de utilizări;
Politica de securitate a sistemului RIC al ORGANIZATIA se aplică nediscriminatoriu tuturor
persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a ORGANIZATIA.
Următoarele entităţi şi utilizatori sunt vizaţi în mod distinct de prevederile Politicii:
 Angajaţii cu contract de muncă pe perioadă determinată sau nedeterminată care au acces la
sistemul informaţional şi de comunicaţii;
 Colaboratorii ORGANIZATIA care au acces la sistemul RIC;
 Furnizorii ORGANIZATIA care au acces la sistemul RIC;
 Studenţii/elevii care fac practică la ORGANIZATIA ;
 Alte persoane, entităţi sau organizaţii care au acces la sistemul RIC.
Scopul politicii de securitate
Având în vedere că majoritatea personalului organizatiei a fost instruit, precum şi faptul ca angajaţii
au trecut de o probă practică de utilizare a calculatorului se presupune că aceştia sunt familiarizaţi cu termenii
tehnici şi de asemenea cunosc sistemul de operare Windows şi pachetul de programe Microsoft Office.
Politica de securitate a sistemului RIC are ca scop asigurarea integrităţii, confidenţialităţii şi
disponibilităţii informaţiei.
Confidenţialitatea se referă la protecţia datelor împotriva accesului neautorizat. Fişierele electronice
create, trimise, primite sau stocate pe sistemele de calcul aflate în proprietatea, administrarea sau în custodia
şi sub controlul ORGANIZATIA, sunt proprietatea organizatiei în condiţiile legilor în vigoare. Utilizatorul
răspunde personal de confidenţialitatea datelor încredinţate prin procedurile de acces la sistemul RIC.
Integritatea se referă la măsurile şi procedurile utilizate pentru protecţia datelor împotriva
modificărilor sau distrugerii neautorizate.
Disponibilitatea se asigură prin funcţionarea continuă a tuturor componentelor sistemului RIC.
Diverse aplicaţii au nevoie de nivele diferite de disponibilitate în funcţie de impactul sau daunele produse ca
urmare a nefuncţionării corespunzătoare a sistemului RIC.
Politica de securitate are ca scop, de asemenea, stabilirea cadrului necesar pentru elaborarea
regulamentelor şi procedurilor de securitate. Acestea sunt obligatorii pentru toţi utilizatorii sistemului RIC.
2
Comunicaţii
Definiţii
Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de

afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv
capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită,
stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare
personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal
Digital Assistant - PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical
conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de
reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul,
facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute
pentru a creea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul ORGANIZATIA

cu administrarea şi finanţarea RIC. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii
privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi
utilizare a RIC. Titlul este atribuit în mod automat ordonatorului de credite, adică Top Management
ORGANIZATIA.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde direct doar în faţa ARIC privind administrarea
funcţiilor de securitate a informaţiei în cadrul ORGANIZATIA. Este persoana de contact intern şi extern a
ORGANIZATIA pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este atribuită
administratorului de reţea (specialistul IT din cadrul organizatiei).
Ofiţer responsabil cu securitatea RIC la nivel Departamental (OSRICD): Persoana responsabilă de

monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui
Departament. Funcţia OSRICD este atribuită şefului de serviciu, birou, departament.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către ORGANIZATIA, în
conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Abuz de privilegii: Orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu
regulamentele ORGANIZATIA şi/sau legile în vigoare, inclusiv cazul în care, din punct de vedere tehnic, nu
se poate preveni înfăptuirea de către utilizator a acţiunii respective.
Furnizor: Persoană fizică/juridică care oferă bunuri şi/sau servicii ORGANIZATIA în baza unui contract
comercial sau de colaborare.
Internet: Sistem global care interconectează calculatoare şi reţele de calculatoare. Acestea sunt deţinute de
mai multe organizaţii, agenţii guvernamentale, societăţi, instituţii academice.
Intranet: Reţea privată destinată comunicaţiilor şi partajării informaţiilor, care, ca şi reţeaua Internet, foloseşte
suita de protocoale TCP/IP, însă este accesibilă doar utilizatorilor autorizaţi din cadrul unei organizaţii
(instituţii). În mod obişnuit, reţeaua Intranet a unei organizaţii este protejată printr-un sistem de protecţie
(firewall).
Echipa de Răspuns la Incidentele de Securitate a RIC (ERIS): persoanele responsabile de acţiunile

desfăşurate în scopul micşorării sau eliminării impactului negativ al unui incident de securitate.
Virus: Un program care se auto-ataşează la un fişier executabil sau la o aplicaţie vulnerabilă şi care
generează efecte de la cele deranjante până la cele distructive. Un virus se execută în momentul în care este
accesat un fişier infectat. Un virus de macro infectează codul executabil încapsulat în pachetul de programe
Microsoft Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului să genereze macro-
uri.
Vierme: Un program care se auto-copiază în oricare altă parte a unui sistem informatic. Aceste copii pot fi
create pe acelaşi calculator sau pot fi trimise către alte calculatoare prin intermediul reţelei. Prima utilizare a
3
Comunicaţii
termenului descria un program care s-a multiplicat într-o reţea de calculatoare, folosind resursele sau
calculatoarele neutilizate din reţea pentru a distribui aceste copii. Unii dintre aceşti viermi reprezintă o
ameninţare la adresa securităţii datorită faptului că folosesc reţeaua pentru a se împrăştia, împotriva voinţei
proprietarilor de sisteme de calcul, cauzând astfel nefuncţionarea sau funcţionarea defectuoasă a reţelei. Un
vierme este asemănător unui virus prin faptul că se auto-copiază, diferenţa constând în faptul că un vierme
nu are nevoie să se ataşeze la anumite fişiere pentru a se multiplica.
Cal troian: de obicei un virus sau un vierme – care este ascuns sub forma unui program atractiv sau
inofensiv, cum ar fi un joc, sau program de grafică (o felicitare în format electronic, un program tip screen-
saver). Victimele pot primi un astfel de cal troian prin email sau pe o dischetă, adeseori de la o altă victimă
necunoscută sau pot fi încurajate să descarce un fişier de pe o pagină Web sau un forum.
Incident de Securitate: În termeni informatici este definit ca un eveniment prin care se încearcă sau se
realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau confidenţialităţii informaţiei de pe
un sistem informatic automatizat. Aceasta include examinarea sau navigarea neautorizată, întreruperea sau
anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea
informaţiilor, modificarea informaţiilor sistemului referitoare la caracteristicile componentelor hardware,
firmware sau software cu sau fără ştiinţa sau intenţia utilizatorului.
Reţea locală (LAN): O reţea de comunicaţii de date ce este distribuită pe o zonă restrânsă (de regulă la
nivelul unui grup de lucru). Reţeaua locală oferă comunicaţii între calculatoare şi periferice la o viteză de
transfer mare şi cu puţine erori.
Server: Un program de calculator care oferă servicii altor programe aflate pe acelaşi calculator sau pe
calculatoare diferite. Un calculator care rulează un program tip server este denumit în mod frecvent server, cu
toate că pe acelaşi calculator mai pot rula şi alte programe de tip client sau server.
Gazdă (Host): Un sistem care oferă servicii pentru un anumit număr de utilizatori.
Copii de Siguranţă (backup): Copii ale fişierelor şi aplicaţiilor făcute pentru a evita pierderea datelor şi
pentru a permite recuperarea în cazul unor evenimente care pot conduce la pierderi de date.
Firewall: Un mecanism de control al accesului care acţionează ca o barieră între două sau mai multe
segmente ale unei reţele de calculatoare sau ale unei arhitecturi de tip client/server, folosit pentru a proteja
reţelele interne sau segmente ale acestora împotriva utilizatorilor sau proceselor neautorizate.
Atac informaţional: O încercare de a trece peste măsurile şi controalele de securitate fizice sau informatice
care protejează un sistem din cadrul sistemului de RIC. Atacatorul poate altera informaţiile, poate acorda sau
refuza accesul la ele. Succesul unui eventual atac depinde de gradul de vulnerabilitate al sistemului în
particular şi de eficacitatea contramăsurilor aplicate.
Protecţie informaţională: Acţiuni întreprinse în vederea afectării informaţiilor şi sistemelor informatice ostile,
în timp ce protejează informaţiile şi sistemele informatice proprii.
Procedura - reprezintă modalitatea specifică de desfăşurare a unei activităţi sau a unui proces.
Clasificarea informatiei
Clasificarea informaţiilor este necesară pentru a permite atât alocarea resurselor necesare protejării acestora
cât şi pentru a determina pierderile potenţiale ca urmare a modificărilor, pierderii/distrugerii sau divulgării
acestora.
Pentru a asigura securitatea şi integritatea informaţiilor, ORGANIZATIA a realizat o clasificare proprii a

informaţiilor:
Clasificare informatie – legislatie Legislatie

4
Comunicaţii
Informatie de interes public L 544 – 2001
Secrete de Stat- Informatii Clasificate L 182 – 2002

HG 585 - 2002
Secrete de Serviciu- Informatii Clasificate L 182 – 2002
HG 585 - 2002
ARIC, OSRIC, OSRICD, conducerea organizatiei răspund de evaluarea periodică a schemei de clasificare a
informaţiilor. Toate informaţiile din ORGANIZATIA trebuie să se regăsească în una din următoarele categorii:
Publice. Acestea sunt informaţiile accesibile oricărui utilizator din interiorul sau exteriorul ORGANIZATIA.
Divulgarea, utilizarea neautorizată sau distrugerea acestora nu produce efecte asupra ORGANIZATIA sau
aceste efecte sunt nesemnificative. Utilizatorii care furnizează aceste informaţii sunt responsabili de
asigurarea integrităţii şi disponibilităţii acestora în raport cu cerinţele ORGANIZATIA.
Informatii clasificate ( conform L 182 – 2002, HG 585 – 2002): informatiile, datele, documentele de interes
pentru securitatea nationala, care, datorita nivelurilor de importanta si consecintelor care s-ar produce ca
urmare a dezvaluirii sau diseminarii neautorizate, trebuie sa fie protejate. Clasele de secretizare sunt: secrete
de stat si secrete de serviciu.
Informatii secrete de stat - informatiile care privesc securitatea nationala, prin a caror divulgare se pot
prejudicia siguranta nationala si apararea tarii.
Informatii secrete de serviciu - informatiile a caror divulgare este de natura sa determine prejudicii unei
persoane juridice de drept public sau privat.
Protectia informatiilor clasificate vizeaza:
a) protectia juridical: ansamblul normelor constitutionale si al celorlalte dispozitii legale in vigoare, care
reglementeaza protejarea informatiilor clasificate,
b) protectia prin masuri procedural: ansamblul reglementarilor prin care emitentii si detinatorii de informatii
clasificate stabilesc masurile interne de lucru si de ordine interioara destinate realizarii protectiei informatiilor;
c) protectia fizica : ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control
fizic si prin mijloace tehnice, a informatiilor clasificate;
d) protectia personalului care are acces la informatiile clasificate ori este desemnat sa asigure securitatea
acestora : ansamblul verificarilor si masurilor destinate persoanelor cu atributii de serviciu in legatura cu
informatiile clasificate, spre a preveni si inlatura riscurile de securitate pentru protectia informatiilor clasificate;
e) protectia surselor generatoare de informatii.
Institutia care detine sau utilizeaza informatii clasificate tine un Registru de evidenta a autorizatiilor
acordate personalului, sub semnatura.
Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează sau le
accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri specifice de acces şi
protecţie, în conformitate cu legea.
Informatii secrete de stat

5
Comunicaţii
In categoria informatiilor secrete de stat sunt cuprinse informatiile care reprezinta sau care se refera la:
a) sistemul de aparare a tarii si elementele de baza ale acestuia, operatiile militare, tehnologiile de fabricatie,
caracteristicile armamentului si tehnicii de lupta utilizate exclusiv in cadrul elementelor sistemului national de
aparare;
b) planurile, precum si dispozitivele militare, efectivele si misiunile fortelor angajate;
c) cifrul de stat si alte elemente criptologice stabilite de autoritatile publice competente, precum si activitatile
in legatura cu realizarea si folosirea acestora;
d) organizarea sistemelor de protectie si aparare a obiectivelor, sectoarelor si la retelele de calculatoare

speciale si militare, inclusiv la mecanismele de securitate a acestora;
e) datele, schemele si programele referitoare la sistemele de comunicatii si la retelele de calculatoare

speciale si militare, inclusiv la mecanismele de securitate a acestora;
f) activitatea de informatii desfasurata de autoritatile publice stabilite prin lege pentru apararea tarii si
siguranta nationala;
g) mijloacele, metodele, tehnica si echipamentul de lucru, precum si sursele de informatii specifice, folosite de
autoritatile publice care desfasoara activitate de informatii;
h) hartile, planurile topografice, termogramele si inregistrarile aeriene de orice tip, pe care sunt reprezentate
elemente de continut sau obiective clasificate secrete de stat;
i) studiile, prospectiunile geologice si determinarile gravimetrice cu densitate mai mare de un punct pe

kilometru patrat, prin care se evalueaza rezervele nationale de metale si minereuri rare, pretioase, disperse si
radioactive, precum si datele si informatiile referitoare la rezervele materiale, care sunt in competenta
Administratiei Nationale a Rezervelor de Stat;
j) sistemele si planurile de alimentare cu energie electrica, energie termica, apa si alti agenti necesari
functionarii obiectivelor clasificate secrete de stat;
k) activitatile stiintifice, tehnologice sau economice si investitiile care au legatura cu siguranta nationala ori cu
apararea nationala sau prezinta importanta deosebita pentru interesele economice si tehnico-stiintifice ale
Romaniei;
l) cercetarile stiintifice in domeniul tehnologiilor nucleare, in afara celor fundamentale, precum si programele
pentru protectia si securitatea materialelor si a instalatiilor nucleare;
m) emiterea, imprimarea bancnotelor si baterea monedelor metalice, machetele emisiunilor monetare ale
Bancii Nationale a Romaniei si elementele de siguranta ale insemnelor monetare pentru depistarea falsurilor,
nedestinate publicitatii, precum si imprimarea si tiparirea hartiilor de valoare de natura titlurilor de stat, a
bonurilor de tezaur si a obligatiunilor de stat;
n) relatiile si activitatile externe ale statului roman, care, potrivit legii, nu sunt destinate publicitatii, precum si
informatiile altor state sau organizatii internationale, fata de care, prin tratate ori intelegeri internationale,
statul roman si-a asumat obligatia de protectie.
Nivelurile de secretizare se atribuie informatiilor clasificate din clasa secrete de stat si sunt:
- strict secret de importanta deosebita - informatiile a caror divulgare neautorizata este de natura sa produca
daune de o gravitate exceptionala securitatii nationale;
6
Comunicaţii
- strict secrete - informatiile a caror divulgare neautorizata este de natura sa produca daune grave securitatii
nationale;
- secrete - informatiile a caror divulgare neautorizata este de natura sa produca daune securitatii nationale;
Termenele de clasificare a informaţiilor secrete de stat vor fi stabilite de emitent, în funcţie de importanţa
acestora şi de consecinţele care s-ar produce ca urmare a dezvăluirii sau diseminării lor neautorizate.
Termenele de clasificare a informaţiilor secrete de stat, pe niveluri de secretizare, cu excepţia cazului când
acestea necesită o protecţie mai îndelungată, sunt de până la:
- 100 de ani pentru informaţiile clasificate strict secret de importanţă deosebită;
- 50 de ani pentru informaţiile clasificate strict secret;
- 30 de ani pentru informaţiile clasificate secret.
Aceste Termene pot fi prelungite prin hotărâre a Guvernului, pe baza unei motivaţii temeinice, la solicitarea
conducătorilor unităţilor deţinătoare de informaţii clasificate sau, după caz, a împuterniciţilor şi funcţionarilor
superiori abilitaţi să atribuie nivelurile de secretizare.
Fiecare împuternicit ori funcţionar superior abilitat să atribuie niveluri de secretizare va dispune verificarea
periodică a tuturor informaţiilor secrete de stat cărora le-au atribuit nivelurile de secretizare, prilej cu care,
dacă este necesar, vor fi reevaluate nivelurile şi termenele de clasificare. Documentul elaborat pe baza
prelucrării informaţiilor cu niveluri de secretizare diferite va fi clasificat conform noului conţinut, care poate fi
superior originalelor.
Documentul rezultat din cumularea neprelucrată a unor extrase provenite din informaţii clasificate va primi
clasa sau nivelul de secretizare corespunzător conţinutului extrasului cu cel mai înalt nivel de secretizare.
Rezumatele, traducerile şi extrasele din documentele clasificate primesc clasa sau nivelul de secretizare
corespunzător conţinutului.
Informatii secrete de serviciu
Informatiile secrete de serviciu (Listele cu informaţii secrete de serviciu) se stabilesc de sefii de compartiment
din cadrul ORGANIZATIA. Este interzisa clasificarea ca secrete de serviciu a informatiilor care, prin natura
sau continutul lor, sunt destinate sa asigure informarea cetatenilor asupra unor probleme de interes public
sau personal, pentru favorizarea ori acoperirea eludarii legii sau obstructionarea justitiei.
În listele cu informaţii secrete de serviciu vor fi incluse informaţiile care se referă la activitatea
ORGANIZATIA şi care, fără a constitui secrete de stat, nu trebuie cunoscute decât de persoanele
cărora le sunt necesare pentru îndeplinirea atribuţiilor de serviciu, divulgarea lor putând prejudicia
interesul unităţii.
Atunci cînd aceste informatii sunt destinate strict unor persoane anume determinate, documentele vor purta
pe fiecare pagina si mentiunea "personal".
Neglijenta in pastrarea informatiilor secrete de serviciu atrage, potrivit legii penale, raspunderea persoanelor
vinovate.
7
Comunicaţii
Obligatii, raspunderi si sanctiuni aferente clasificării informaţiilor
Persoanele fizice carora le-au fost incredintate informatii clasificate sunt obligate sa asigure protectia
acestora. Obligatiile se mentin si dupa incetarea raporturilor de munca, de serviciu sau profesionale, pe
intreaga perioada a mentinerii clasificarii informatiei.
Persoana care urmeaza sa desfasoare o activitate sau sa fie incadrata intr-un loc de munca ce presupune
accesul la informatii clasificate va prezenta un angajament scris de pastrare a secretului.
ORGANIZATIA va asigura fondurile necesare in vederea indeplinirii obligatiilor care le revin, precum si luarii
masurilor necesare privitoare la protectia acestor informatii.
Raspunderea privind protectia informatiilor clasificate revine sefilor de compartimente si conducerii

ORGANIZATIA.
Este interzisa transmiterea informatiilor secrete de stat prin cablu sau eter, fara a se folosi mijloace specifice
cifrului de stat sau alte elemente criptografice stabilite de autoritatile publice competente.
Incalcarea normelor privind protectia informatiilor clasificate atrage raspunderea disciplinara,
contraventionala, civila sau penala, dupa caz.
Persoanele incadrate in serviciile de informatii si siguranta sau ale armatei, aflate in serviciul relatiilor externe,
precum si cele special insarcinate cu protectia informatiilor secrete de stat, vinovate de deconspirari voluntare
ori de acte de neglijenta care au favorizat divulgarea ori scurgerea informatiilor secrete, isi pierd irevocabil
calitatea.
1.5 Confidenţialitate
1. Fişierele electronice create, trimise, primite sau stocate folosind sistemul RIC propriu, administrate
sau în custodia şi sub controlul ORGANIZATIA nu au caracter personal şi pot fi accesate oricând de
către angajaţii autorizaţi (specialistul IT/administrator reţea) fără înştiinţarea utilizatorului.
2. În scopul administrării RIC şi pentru asigurarea securităţii RIC personalul autorizat poate revizui sau
utiliza orice informaţie stocată pe sau transportată prin sistemele RIC în conformitate cu legile în
vigoare. În aceleaşi scopuri, este posibilă monitorizarea activităţii utilizatorilor.
3. Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul
ORGANIZATIA, orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament
(prin contactarea OSRIC sau OSRICD).
4. Un mare număr de utilizatori, pot accesa diverse informaţii din sistemul de comunicaţii al
ORGANIZATIA. În aceste condiţii este obligatorie păstrarea confidenţialităţii acestor informaţiilor
transmise din exteriorul RIC şi a informaţiilor obţinute din interior.
5. Utilizatorii nu trebuie să încerce să acceseze informaţii sau programe de pe sistemele ORGANIZATIA
pentru care nu au autorizaţie sau consimţământ explicit.
6. Nici un utilizator al sistemului RIC ale ORGANIZATIA nu poate divulga informaţiile la care are acces
sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemului RIC. Această regulă se extinde
şi după ce utilizatorul a încheiat relaţiile cu ORGANIZATIA, conform angajamentelor personale sau
contractelor de munca semnate, existente in cadrul Serviciului Resurse Umane.
7. Confidenţialitatea informaţiilor transmise prin intermediul resurselor de comunicaţii ale terţilor nu
poate fi asigurată. Pentru aceste situaţii, confidenţialitatea şi integritatea informaţiilor se poate asigura
folosind tehnici de criptare. Utilizatorii sunt obligaţi să se asigure că toate informaţiile confidenţiale ale
ORGANIZATIA se transmit în aşa fel încât să se asigure confidenţialitatea şi integritatea acestora.
__________________________________________________________________________
8
Comunicaţii
_____________________________________________________________________
Regulamentele de Utilizare a Resurselor Informatice şi de Comunicaţii (RIC)
1 Regulament de utilizare a RIC
1. Utilizarea sistemului RIC se face numai în interes de serviciu.

2. Utilizatorii trebuie să anunţe OSRIC sau OSRICD în cazul în care se observă orice problemă/breşă în
sistemul de securitate a RIC din cadrul ORGANIZATIA cât şi orice posibilă întrebuinţare greşită sau
încălcare a regulamentelor în vigoare.
3. Utilizatorii, prin acţiunile lor, nu trebuie să încerce să compromită protecţia sistemelor informatice şi
de comunicaţii şi nu trebuie să desfăşoare, deliberat sau accidental, acţiuni care pot afecta
confidenţialitatea, integritatea şi disponibilitatea informaţiilor de orice tip în cadrul sistemului RIC al
ORGANIZATIA.
4. Utilizatorii nu trebuie să încerce să obţină acces la date sau programe din RIC pentru care nu au
autorizaţie sau consimţământ explicit.
5. Utilizatorii nu trebuie să divulge nimănui numerele de acces Dialup sau Dialback prin modem.
6. Utilizatorii nu trebuie să divulge sau să înstrăineze nume de cont-uri, parole, Numere de Identificare
Personală (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive şi/sau
informaţii similare utilizate în scopuri de autorizare şi identificare.
7. Utilizatorii nu trebuie să facă copii neautorizate sau să distribuie materiale protejate prin legile privind
proprietatea intelectuală (copyright).
8. Utilizatorii nu trebuie să utilizeze programe de tip shareware sau freeware, fără aprobarea OSRIC, cu
excepţia cazului în care acestea se găsesc pe lista programelor standard folosite în cadrul
ORGANIZATIA. Această listă va fi întocmită de către OSRIC împreună cu OSRICD în funcţie de
necesităţile departamentelor.
9. Utilizatorii nu trebuie:
- să se angajeze într-o activitate care ar putea hărţui sau ameninţa alte persoane;
- să degradeze performanţele RIC;
- să împiedice accesul unui utilizator autorizat la RIC;
- să obţină alte resurse în afara celor alocate;
- să nu ia în considerare măsurile de securitate impuse prin regulamente;
- să exploateze defectuos componentele RIC;
- să utilizeze dischete, cd-uri, sau orice alt suport magnetic de stocare a informaţiei din
exteriorul organizatiei fără acordul explicit al OSIRC;
10. Utilizatorii nu trebuie să descarce, instaleze şi să ruleze programe de securitate sau utilitare care
expun sau exploatează vulnerabilităţi ale securităţii RIC. De exemplu, utilizatorii din ORGANIZATIA
nu trebuie să ruleze programe de decriptare a parolelor, de captură de trafic, de scanări ale reţelei
sau orice alt program nepermis de regulamente.
11. RIC ale ORGANIZATIA nu trebuiesc folosite pentru beneficiul personal.
12. Utilizatorii nu trebuie să acceseze, să creeze, să stocheze sau să transmită materiale pe care
ORGANIZATIA le poate considera ofensive, indecente sau obscene (altele decât cele pentru care
aprobarea explicită a conducerii organizatiei).
13. Accesul la reţeaua Internet prin intermediul RIC se supune aceloraşi regulamente care se aplică
utilizării din interiorul organizatiei şi Regulamentului pentru Utilizare Internet şi Intranet.
14. Angajaţii nu trebuie să permită membrilor familiei sau altor persoane străine neautorizate, care nu au
aprobare explicită din partea ARIC, OSRIC, sau a conducerii organizatiei accesul la RIC ale
ORGANIZATIA.
9
Comunicaţii
15. Utilizatorii care au acces la sistemul RIC al ORGANIZATIA au obligaţia de a purta acte şi/sau
legitimaţii/ecusoane care să ateste calitatea de utilizator autorizat în spaţiile ORGANIZATIA.
16. Utilizatorii nu trebuie să se angajeze în acţiuni împotriva scopurilor ORGANIZATIA folosind RIC.
17. În cazul demisiei/plecării definitive din instituţie a unui utilizator acest lucru va fi comunicat OSRIC de
către OSRICD şi/sau Serviciul Resurse Umane din Cadrul organizatiei. OSRIC va recurge la
stergerea conturilor şi parolelor utilizatorului respectiv, iar accesul utilizatorului la RIC va fi interzis.
18. Este interzisă utilizarea RIC de către persoane neautorizate.
2. Utilizarea ocazională a RIC în scopuri personale
În aceste situaţii se aplică următoarele restricţii:

1. Utilizarea personală ocazională a serviciilor de poştă electronică, acces internet, telefoane, fax-uri,
imprimante, copiatoare, etc. este restricţionată la utilizatorii autorizaţi şi nu poate fi extinsă la membrii
familiilor sau alte persoane.
2. Utilizarea ocazională a RIC nu trebuie să aibă drept rezultate costuri directe pentru ORGANIZATIA.
3. Utilizarea ocazională a RIC nu trebuie să afecteze activitatea normală a angajaţilor.
4. Nu este permisă trimiterea sau recepţionarea documentelor sau fişierelor care pot cauza acţiuni
legale împotriva ORGANIZATIA sau prejudicierea, indiferent de formă, a intereselor Organizatiei.
5. Stocarea mesajelor de email, a mesajelor de voce, a documentelor şi fişierelor personale din cadrul
RIC trebuie să fie nominală.
6. Toate mesajele, fişierele şi documentele – incluzând mesajele personale, fişierele şi documentele –
localizate în cadrul RIC sunt proprietatea Organizatiei şi pot fi subiectul unor cereri de
verificare/inspectare/accesare de către ARIC, OSRIC sau OSRICD conform regulamentelor.
3. Accesul Administrativ
1. Utilizatorii trebuie să cunoască şi să accepte toate regulamentele privind securitatea RIC înainte de a
li se permite accesul la un cont.
2. Utilizatorii care au conturi de acces administrativ trebuie sa aibă instrucţiuni de administrare,
documentare, instruire şi autorizare a conturilor. Aceste instrucţiuni se vor elabora de către fiecare
Departament şi vor fi incluse în fişa postului.
3. Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie să folosească în mod abuziv
aceste drepturi şi trebuie să facă investigaţii numai sub îndrumarea OSRIC sau OSRICD.
4. Cei care utilizează conturi de acces cu drepturi administrative sau speciale trebuie să folosească tipul
de privilegiu cel mai potrivit activităţii pe care o desfăşoară.
5. Accesul administrativ trebuie să se conformeze Regulamentului privind Parolelor
6. Parola pentru un cont cu acces privilegiat nu va fi utilizată de mai multe persoane decât cu acordul
scris al OSRIC şi trebuie să fie schimbată atunci când o persoana care utilizează acest cont îşi
schimbă locul de muncă din cadrul Departamentului sau a Organizatiei, sau în cazul unei modificări a
listei de personal ale terţilor (furnizor desemnat) în contractele cu ORGANIZATIA .
7. Trebuie să existe o procedură prin care o altă persoană, în afară de administrator, să poată avea
acces la contul administratorului în caz de forţa majoră. Această procedură va fi elaborată de către
OSRIC şi comunicată OSRICD aflat în cauză.
8. Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau
instalare de software sau alte operaţiuni definite. Acestea trebuie să îndeplinească următoarele
condiţii:
- trebuie să fie autorizate;
- trebuiesc create cu dată de expirare specifică;
- contul va fi şters atunci când nu mai este necesar.
4. Accesul Fizic
1. Accesul fizic la toate încăperile în care sunt instalate RIC trebuie să fie documentat şi monitorizat.
2. Toate încăperile în care sunt instalate RIC trebuie să fie protejate fizic, în funcţie de importanţa
acestora şi tipul datelor vehiculate sau stocate.
10
Comunicaţii
3. Pentru fiecare încăpere în care sunt instalate echipamente ale sistemului RIC se aprobă accesul doar
pentru personalul care răspunde de buna funcţionare a echipamentelor din încăperea respectivă şi,
dacă este cazul, părţilor contractante, ale căror obligaţii contractuale implică acces fizic.
4. Personalul care are drepturi de acces trebuie să deţină legitimaţie de serviciu şi acte de identitate
care să-i ateste calitatea.
5. Nu este permis transferul dreptului de acces indiferent de motiv.
6. Accesul publicului, vizitatorilor, sau a persoanelor străine în cadrul organizatiei se va face doar pe
baza actului de identitate. Vizitatorii/persoanele străine trebuie să fie însoţiţi în zonele cu acces
restricţionat.
7. Pentru fiecare spaţiu în care sunt instalate RIC se va păstra o evidenţă a accesului pentru verificări
de rutină în situaţii critice.
5. Conectarea la Sistemul Resurselor Informatice şi de Comunicaţii
1. Utilizatorilor le este permis să utilizeze numai parametrii pentru conectare la reţea specificaţi de către
administratorul de reţea .
2. Pentru fiecare sistem conectat trebuie să existe o persoană care să răspundă de acesta, numele şi
datele de identificare ale acesteia se vor comunica către OSRIC.
3. Conectarea sistemelor de calcul care nu sunt proprietatea ORGANIZATIA se face numai cu
aprobarea în scris din partea conducerii organizatiei.
4. Accesul de la distanţă la reţeaua ORGANIZATIA se va realiza numai prin echipamente aprobate,
sau prin intermediul unui Furnizor de Servicii Internet (Internet Service Provider (ISP)) agreat de către
ORGANIZATIA şi folosind protocoale aprobate de către OSRIC.
5. Utilizatorii RIC din interiorul ORGANIZATIA nu se pot conecta la altă reţea.
6. Utilizatorii nu trebuie să extindă sau să retransmită serviciile de reţea în nici un fel (pe nici o cale). Nu
este permisă instalarea de conexiuni de reţea neautorizate indiferent de motiv. Autorizarea tuturor
conexiunilor se face la propunerea Departamentelor de către Compartimentul de Informatică.
7. Utilizatorii nu trebuie să instaleze echipamente hardware sau programe care furnizează servicii de
reţea fără aprobarea Compartimentului de Informatică.
8. Sistemele computerizate din afara Organizatiei care necesită conectare la reţea trebuie să se
conformeze cu standardele reţelei interne ale ORGANIZATIA.
9. Utilizatorii nu au dreptul să descarce din Internet, să instaleze sau să ruleze programe de securitate
sau de altă natură care pot dezvălui slăbiciuni în securitatea unui sistem. De exemplu, utilizatorii
ORGANIZATIA nu au dreptul să ruleze programe de spargere a parolei, sustragere de pachete,
scanare a porturilor, în timp ce sunt conectaţi la reţeaua Organizatiei.
10. Utilizatorii nu au dreptul să modifice, reconfigureze, instaleze, dezinstaleze echipamente de reţea,
cabluri, prize de conexiuni.
11. Serviciul de nume şi administrarea adreselor IP sunt deservite exclusiv de către Compartimentul de
Informatică.
12. Serviciile de interconectare a reţelei ORGANIZATIA cu alte reţele sunt realizate exclusiv de către
Compartimentul de Informatică.
13. Nu este permisă instalarea şi/sau modificarea echipamentelor utilizate pentru conectare la reţea
(inclusiv plăci de reţea) fără aprobarea Compartimentul de Informatică. Tipul şi modelul plăcilor de
reţea şi tuturor echipamentelor care se pot conecta în reţea trebuie să fie aprobate de către
6. Configurarea Parametrilor de Acces la Reţea
1. Infrastructura de comunicaţii, reţeaua de comunicaţii digitale, a ORGANIZATIA este administrată de

către Compartimentul de Informatică care este responsabil cu întreţinerea şi dezvoltarea acesteia.
11
Comunicaţii
2. Pentru a furniza o infrastructură de comunicaţii unitară cu posibilităţi de modernizare toate

componentele acesteia sunt instalate de către Compartimentul de Informatică sau de către un
furnizor avizat explicit de către Compartimentul de Informatică
3. Toate echipamentele, fără excepţie, conectate la reţeaua de comunicaţii trebuie configurate conform
specificaţiilor Compartimentul de Informatică
4. Orice dispozitiv hardware, inclusiv plăcile de reţea şi modemuri, care se va conecta la reţeaua
ORGANIZATIA, trebuie să fie însoţit de o aprobare de tip (producător, model etc.) din partea
5. Modificarea configuraţiei oricărui dispozitiv activ conectat la reţeaua de comunicaţii se face numai de
către Compartimentul de Informatică.
6. Infrastructura de comunicaţii de date a ORGANIZATIA suportă un set definit de protocoale de reţea
(TCP/IP, NwLink IPX/ISP). Orice utilizare a altui set de protocoale trebuie să fie aprobată în scris de
7. Adresele de reţea sunt alocate dinamic sau static numai de către Compartimentul de Informatică.
8. Toate conectările în reţeaua de comunicaţii a ORGANIZATIA sunt responsabilitatea Compartimentul
de Informatică, conectarea se va face numai în baza unei cereri standard aprobată de către
conducerea Organizatiei.
9. Toate conectările dintre reţeaua de comunicaţii a ORGANIZATIA şi alte reţele de comunicaţii, publice
sau private, sunt responsabilitatea exclusivă a Compartimentul de Informatică
10. Echipamentele de protecţie a reţelei de comunicaţie a ORGANIZATIA (firewall) se vor instala de
11. Utilizatorii nu au dreptul să extindă sau să retransmită în nici un fel serviciile reţelei (este interzisă
instalarea unui telefon, fax, modem, router, switch, hub sau punct de acces la reţeaua Organizatiei)
fără aprobare din partea Compartimentul de Informatică. Utilizatorilor li se interzice instalarea de
dispozitive hardware de reţea sau programe care furnizează servicii de reţea fără aprobarea
12. Utilizatorilor nu le este permis accesul la dispozitivele hardware ale reţelei.
7. Tratarea Incidentelor de Securitate şi de nerespectare a Politicii şi Regulamentului de Securitate
Membrii Echipei de Răspuns la Incidentele de Securitate (Membrii ERIS) ai ORGANIZATIA , au

funcţii şi responsabilităţi pre-definite care pot fi prioritare îndatoririlor obişnuite.
Ori de câte ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea
unor activităţi suspecte, informaţii modificate etc., trebuie urmate procedurile standard specifice pentru
micşorarea riscurilor.
OSRIC este responsabil cu înştiinţarea şi coordonarea echipei ERIS pentru tratarea incidentului.
OSRIC este responsabil cu strângerea dovezilor fizice şi electronice ce vor face parte din
documentaţia pentru tratarea incidentului.
Folosind resurse tehnice speciale se va monitoriza nivelul daunelor şi gradul de eliminare sau atenuare a
vulnerabilităţilor acolo unde este cazul.
OSRIC, în colaborare cu ARIC va stabili conţinutul comunicatelor pentru utilizatori privind incidentele
şi va determina nivelul şi modul de distribuire a acestei informaţii.
OSRIC şi ERIS trebuie să comunice proprietarului sau producătorului resursei afectate de un incident
informaţiile utile pentru eliminarea sau diminuarea vulnerabilităţilor care au cauzat incidentul.
OSRIC este responsabil cu documentarea anchetei privind incidentul cu asistenţă din partea ERIS.
OSRIC este responsabil de coordonarea activităţilor de comunicare cu terţi pentru rezolvarea
incidentului.
În cazul în care incidentul nu implică acţiuni contrare legilor în vigoare OSRIC va recomanda
ARIC sancţiuni disciplinare.
În cazul în care incidentul implică aplicarea legilor civile sau penale OSRIC va recomanda
ARIC sesizarea organelor în drept ale statului şi va acţiona ca ofiţer de legătură cu acestea.
8. Monitorizarea Resurselor Informatice şi de Comunicaţii
12
Comunicaţii
Monitorizarea RIC se va face astfel încât să fie posibilă detectarea în timp util a atacurilor informatice şi a
situaţiilor de încălcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate
sau nu) vor urmări şi înregistra:
- Tipul traficului (ex. structura pe protocoale şi servicii) extern şi conţinutul acestuia în
cazurile în care acest lucru se impune sau este ordonat.
- Tipul traficului în reţea, a protocoalelor şi a echipamentelor conectate la RIC, conţinutul
acestuia în cazurile în care acest lucru se impune sau este ordonat.
- Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de operare).
Fişierele jurnal vor fi examinate regulat în vederea detectării eventualelor atacuri informatice şi abateri de la
regulamentele de securitate ale ORGANIZATIA.
În această categorie intră următoarele (fără a se limita doar la acestea):
- Jurnale ale sistemelor de detectarea automată a intruşilor.
- Jurnale Firewall
- Jurnale ale activităţii conturilor utilizator
- Jurnale ale scanărilor reţea
- Jurnale ale aplicaţiilor
- Jurnale ale solicitărilor de suport tehnic
- Jurnale ale erorilor din sisteme şi servere.
- Jurnale ale echipamentelor de telefonie
- În mod regulat (cel puţin o dată la şase luni) se vor efectua verificări, de către D.C.D. sau
personalul autorizat al Departamentelor sau Facultăţilor pentru detectarea:
- Parolelor utilizator care nu respectă regulamentele
- Echipamentelor de reţea conectate neautorizat
- Serviciilor de reţea neautorizate
- Serverelor de pagini de web neautorizate
- Echipamentelor ce utilizează resurse comune nesecurizate
- Utilizării de modemuri neautorizate
- Licenţelor pentru sistemele de operare şi programele instalate
Orice neregulă privind respectarea regulamentelor de securitate va fi raportată OSRIC sau OSRICD
în scopul efectuării de investigaţii.
9. Securitatea Serverelor
Un server nu trebuie conectat la reţeaua ORGANIZATIA până când nu se află într-o stare sigură acreditată
de către OSRIC.
Procedura de securizare a serverelor trebuie să includă obligatoriu următoarele:
- Instalarea sistemului de operare dintr-o sursă aprobată
- aplicarea patch-urilor furnizate de producător
- înlăturarea programelor, a serviciilor sistem şi a driver-lor care nu sunt necesare
- setarea/activarea parametrilor de securitate, a protecţiilor pentru fişiere şi activarea
jurnalelor de monitorizare
- dezactivarea sau schimbarea parolelor conturilor predefinite
- securizarea accesului fizic la aceste echipamente
Compartimentul de Informatică va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de
instalare şi aplicare regulată a patch-urilor de securitate şi, prin sondaj, pentru serverele departamentale sau
a grupurilor de lucru.
10 Crearea şi Utilizarea Copiilor de Siguranţă (Backup)
1. Frecvenţa, dimensiunea şi conţinutul copiilor de siguranţă trebuie să fie în concordanţă cu importanţa

informaţiei şi cu riscul acceptat de proprietarul datelor.
2. Procedura de creare a copiilor de siguranţă şi de recuperare pentru fiecare sistem din cadrul RIC
trebuie să fie documentată şi periodic revizuită.
3. Verificarea copiilor de siguranţă se va face după o procedură documentată şi revizuită periodic.
4. Copiile de siguranţă trebuie să fie periodic testate pentru a asigura faptul că informaţiile stocate sunt
recuperabile.
13
Comunicaţii
5. Accesul la mediile de backup ale ORGANIZATIA se va face numai de personalul abilitat în acest
sens.
6. Acestea trebuie revizuite periodic (anual).
7. Accesul trebuie interzis pentru persoanele autorizate care îşi schimbă locul de muncă.
8. Benzile sau mediile utilizate pentru stocarea copiilor de siguranţă trebuie să aibă un sistem de
identificare care să conţină cel puţin următoarele date de identificare a informaţiei stocate:
9. numele sistemului;
10. data creării copiei;
11. tipul de copie (completă, incrementală etc.);
12. clasificarea sensibilităţii (siguranţei/securităţii);
13. informaţii de contact.
11 Detectarea Tentativelor de Acces Neautorizat
1. Procesele de înregistrare şi verificare a activităţii sistemelor de operare, conturilor utilizator şi

programelor trebuie să fie funcţionale pe toate sistemele active (host, server, echipamente de reţea).
2. Trebuie activate funcţiile de anunţare a persoanelor responsabile oferite de firewall-uri şi sistemele de
control al accesului la reţea.
3. Trebuie activate funcţiile de înregistrare a evenimentelor pe dispozitivele firewall şi pe toate sistemele
de control al accesului.
4. Înregistrările de verificare ale dispozitivelor de control al accesului trebuie monitorizate/revizuite
(examinate) zilnic de către administratorul de sistem.
5. Verificările privind integritatea fiecărui sistem trebuie să se facă periodic. Această activitate este
obligatorie şi pentru dispozitivele de tip firewall sau dispozitive de control al accesului.
6. Înregistrările de verificare pentru serverele şi host-urile din reţeaua internă trebuie revizuite cel puţin
săptămânal.
7. Se vor verifica periodic (săptămânal) programele utilitare pentru detectarea tentativelor de acces
neautorizat.
8. Toate rapoartele privind incidentele trebuie revizuite în vederea detectării de indicii ce ar putea
implica o activitate de acces neautorizat.
9. Toate indiciile suspecte sau confirmate de accesări sau încercări de accesare neautorizate trebuie
raportate imediat către OSRIC.
10. Utilizatorii sunt obligaţi să raporteze orice anomalii în performanţa sistemelor utilizate cât şi orice
semne ale unor posibile infracţiuni la OSRIC sau OSRICD.
12 Utilizarea Calculatoarelor Portabile
1. OSRIC trebuie să aprobe, în scris, conectarea dispozitivelor portabile la RIC ale Organizatiei.
2. Calculatoarele portabile trebuie să fie protejate prin parole.
3. Se va evita stocarea datelor care privesc ORGANIZATIA pe dispozitivele portabile. În cazul în care
nu există o altă alternativă de stocare locală, toate datele care privesc ORGANIZATIA trebuiesc
criptate.
4. Conectarea sistemelor de calcul care nu sunt proprietatea ORGANIZATIA se face numai cu
aprobarea în scris a Compartimentul de Informatică la recomandarea Departamentelor.
5. Dispozitivele portabile de calcul neutilizate trebuie securizate fizic. Aceasta presupune încuierea lor
într-un birou, într-un dulap.
13 Modificări şi Modernizări ale Sistemului Resurselor Informatice şi de Comunicaţii
1. Orice modificare asupra unei componente a RIC din cadrul ORGANIZATIA, cum ar fi: sisteme de
operare, componente hardware, echipamente şi componente de reţea, aplicaţii, este supusă
prezentului regulament şi trebuie să urmeze procedurile în vigoare.
2. Compartimentul de Informatică trebuie să fie anunţat de toate modificările care afectează mediul de
funcţionare a sistemelor componente ale RIC (ex: aparate de aer condiţionat, instalaţii de apă,
încălzire, instalaţii electrice şi alarme, etc.).
14
Comunicaţii
3. Toate propunerile de modernizare şi extindere a elementelor de infrastructură a sistemului RIC vor fi

documentate şi aprobate de către ARIC. Nu este permisă modificarea de către utilizatori a
elementelor de infrastructură a RIC.
4. Modificările şi modernizările sistemelor de calcul vor fi documentate de către utilizator şi aprobate de
către conducerea organizatiei.
14 Utilizare Internet şi Intranet
1. Programele pentru acces la reţeaua Internet sunt destinate utilizatorilor autorizaţi pentru a fi folosite
în scopuri exclusiv de servici, cu excepţia situaţiei prevăzute în regulamentul Utilizarea ocazională a
RIC în scopuri personale.
2. Toate programele utilizate pentru acces la reţeaua Internet trebuie să facă parte din pachetul de
programe aprobat de către Compartimentul de Informatică. Aceste programe trebuie să includă toate
patch-urile de securitate puse la dispoziţie de către producător.
3. Toate fişierele care provin din reţeaua Internet trebuie să fie scanate cu un program antivirus care să
fie actualizat cel puţin o dată la 24 ore.
4. Toate programele pentru acces Internet/Intranet trebuie să permită folosirea sistemelor proxy şi/sau
firewall.
5. Toate informaţiile accesate în reţeaua Internet trebuie să se conformeze Regulamentului de
Utilizare Acceptabilă a RIC(cap.II subcap.2.1).
6. Orice activitate a utilizatorilor folosind RIC poate fi înregistrată şi ulterior examinată.
7. Nu se vor publica pe sit-urile web ale ORGANIZATIA materiale cu caracter ofensiv sau de hărţuire.
8. Nu se vor publica pe sit-urile web ale ORGANIZATIA, materiale publicitare comerciale sau
personale.
9. Nu se vor publica pe sit-urile web ale ORGANIZATIA date ale ORGANIZATIA fără asigurarea că
materialele sunt disponibile numai persoanelor sau grupurilor autorizate.
10. Nu este permisă utilizarea RIC ale ORGANIZATIA în scop personal sau pentru solicitări personale ce
nu au legătură cu ORGANIZATIA .
11. Cumpărăturile pe internet care nu au legătură cu atribuţiile de serviciu sunt interzise. Cumpărăturile în
interes de serviciu se vor supune regulilor de achiziţie ale ORGANIZATIA .
12. Orice material confidenţial al ORGANIZATIA transmis prin reţeaua Internet trebuie criptat.
13. Fişierele electronice se supun aceloraşi reguli de păstrare ce se aplică şi altor documente şi trebuie
păstrate în conformitate cu regulile stabilite prin prezentele regulamente şi regulamentele proprii
fiecărui Departament.
14. Este interzisă accesarea site-urilor cu caracter pornografic
15. este interzisă folosirea programelor peer-to-peer (exemple: Yahoo messenger, MSN, DC++, etc,)
16. Este interzisă descărcarea/instalarea programelor din reţeaua Internet
15. Administrarea Conturilor
Prin acord individual, fişa postului şi/sau alte documente toţi utilizatorii acceptă prevederile
regulamentelor privind securitatea sistemului RIC.
Toţi utilizatorii sunt obligaţi să păstreze confidenţialitatea informaţiilor privind contul de acces.
Toate parolele pentru conturi trebuie să fie create şi folosite în conformitate cu Regulamentul
privind Parolele de Acces.
Conturile utilizator ale persoanelor plecate din Instituţie pe timp îndelungat (mai mult de 90 de zile)
vor fi dezactivate (conturile nu vor mai putea fi accesate).
Toate conturile utilizator care nu au fost accesate timp de 30 de zile vor fi dezactivate. După încă 30
zile conturile vor fi şterse dacă nu s-a solicitat accesul la acestea.
Administratorii de sisteme sau alt personal autorizat sunt responsabili de ştergerea conturilor
persoanelor (utilizatorilor) care nu mai lucrează în ORGANIZATIA , sau care nu mai au relaţii cu
ORGANIZATIA.
16 Parole de Acces
1. Toate parolele trebuie să îndeplinească următoarele condiţii:

15
Comunicaţii
- Să fie schimbate de utilizator în mod regulat, cel puţin o dată la 90 de zile;

- Să aibă o lungime minimă de 6 caractere;
- Să fie parole complexe;
- Reutilizarea parolelor este interzisă;
- Parolele stocate trebuie criptate;
- Parolele de cont utilizator nu trebuie divulgate nimănui, nici măcar angajaţilor care
răspund de securitatea sistemelor informatice.
2. Dacă se suspectează că o parolă a putut fi divulgată aceasta trebuie schimbată imediat.
3. Administratorii de sistem nu trebuie să permită schimbarea parolelor utilizatorilor folosind contul
administrativ.
Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face excepţii pentru anumite aplicaţii
(precum backup automat) cu aprobarea OSRIC.
Dispozitivele de calcul nu trebuiesc lăsate nesupravegheate fără a activa un sistem de blocare a
accesului la acestea; deblocarea trebuie să se facă folosind parolă.
Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie să respecte
următoarea procedură:
- Utilizatorul se va legitima, administratorul va verifica drepturile de acces a persoanei la
contul utilizator;
- Se va genera o parolă care va fi comunicată utilizatorului
OSRIC va avea o evidenţă cu toţi utilizatorii sistemului RIC precum şi cu parolele pe care le deţin.
17. Sistemul de Mesagerie Electronică
Următoarele activităţi sunt interzise de regulament:

1. Trimiterea de mesaje cu caracter de intimidare sau hărţuire;
2. Folosirea sistemului de mesagerie electronică în scopuri personale;
3. Folosirea sistemului de mesagerie electronică în scopuri politice sau pentru campanii politice;
4. Încălcarea drepturilor de autor prin distribuirea neautorizată a materialelor protejate;
5. Folosirea altei identităţi decât cea reală atunci când se trimite email, exceptând cazurile când
persoana este autorizată în scop de suport administrativ.
6. Folosirea programelor de poştă electronică neautorizate.
7. Următoarele activităţi sunt interzise deoarece împiedică buna funcţionare a comunicaţiilor în reţea şi
eficienţa sistemelor de mesagerie electronică:
8. Trimiterea sau retrimiterea email-urilor în lanţ;
9. Trimiterea mesajelor nesolicitate către grupuri de persoane, exceptând cazurile în care aceste
mesaje deservesc instituţia.
10. Trimiterea mesajelor de dimensiuni foarte mari;
11. Trimiterea sau retrimiterea mesajelor ce pot conţine viruşi.
12. Toate informaţiile şi datele confidenţiale ale ORGANIZATIA , transmise către alte reţele externe,
trebuie să fie criptate.
13. Toate activităţile utilizatorilor ce implică accesul şi/sau folosirea RIC ale ORGANIZATIA pot fi oricând
înregistrate şi analizate.
14. Utilizatorii serviciilor de mesagerie electronică nu trebuie să dea impresia că reprezintă, că îşi spun
opinia sau dau declaraţii în numele ORGANIZATIA, cu excepţia situaţiilor în care aceştia sunt
autorizaţi în mod corespunzător (implicit sau explicit) să facă acest lucru. Atunci când este cazul, se
va include o declaraţie explicită prin care utilizatorul specifică faptul că nu reprezintă ORGANIZATIA.
Un exemplu de declaraţie simplă este: “părerile exprimate sunt personale, şi nu ale ORGANIZATIA .
15. Utilizatorii nu trebuie să trimită, retrimită sau să primească informaţii confidenţiale sau senzitive ce
privesc ORGANIZATIA, folosind conturi utilizator care nu sunt proprietatea ORGANIZATIA. Exemple
de astfel de conturi, sunt (dar nu sunt limitate numai la acestea: Hotmail, Yahoo mail, AOL mail),
precum şi adrese de email puse la dispoziţie de alţi Furnizorii de Servicii Internet.
16. Utilizatorii nu trebuie să trimită, retrimită, primească sau să stocheze informaţii confidenţiale sau
nesigure, ce privesc ORGANIZATIA, folosind dispozitive de comunicaţii mobile care nu sunt
autorizate de ORGANIZATIA. Exemple de astfel de dispozitive (dar nu sunt limitate numai la acestea)
sunt: asistenţi digitali personali, pagere ce permit trimiterea/primirea de informaţii şi telefoanele
mobile.
16
Comunicaţii
18. Detectarea viruşilor
1. Toate staţiile de lucru de sine stătătoare sau conectate la reţeaua de comunicaţii a ORGANIZATIA,
trebuie să utilizeze programe antivirus aprobate de către OSRIC.
2. Programele antivirus nu trebuie dezactivate.
3. Configuraţia programului antivirus trebuie să nu fie modificată într-un mod care să reducă eficacitatea
programului.
4. Frecvenţa actualizărilor automate a programului antivirus trebuie asigurată de către utilizator.
5. Orice server de fişiere conectat la reţeaua Organizatiei trebuie să utilizeze un program antivirus
aprobat în scopul detectării şi curăţirii viruşilor care pot infecta fişierele puse la dispoziţie.
6. Orice server sau gateway pentru e-mail trebuie să folosească un program antivirus pentru e-mail
aprobat şi trebuie să respecte regulile de instalare şi utilizare a acestui program.
7. Orice virus care nu a putut fi înlăturat automat de către programul antivirus constituie un incident de
securitate şi trebuie raportat imediat OSRIC sau OSRICD.
19. Licenţe de utilizare
1. ORGANIZATIA furnizează un număr suficient de copii cu Licenţă pentru toate programele aprobate
spre utilizare astfel încât angajaţii să îşi poată desfăşura munca într-un mod eficient şi rapid.
2. ORGANIZATIA trebuie să se pună de acord în mod adecvat cu furnizorii implicaţi pentru obţinerea
de copii adiţionale ale licenţelor dacă şi când acestea sunt necesare în activitatea organizatiei.
3. Copiile suplimentare ale materialelor protejate prin drepturi de autor nu vor fi stocate pe sistemele
sau resursele reţelei ORGANIZATIA în situaţia în care nu există aprobări specifice. Administratorii de
sistem vor şterge produsele şi toate materialele protejate prin drepturi de autor în situaţia menţionată,
cu excepţia cazului în care utilizatorii implicaţi fac dovada autorizaţiei de folosire sau stocare de la
producătorii de drept.
4. Programele sau alte bunuri informatice aflate sub incidenţa drepturilor de autor aflate în posesia
ORGANIZATIA nu vor fi copiate, cu excepţia cazului în care această copiere este în concordanţă cu
prevederile licenţei.
20. Relaţii cu terţi
Orice activitate desfăşurată de furnizor care implică acces la RIC trebuie să se conformeze cu
regulamentele în vigoare ale ORGANIZATIA.
În toate convenţiile şi contractele încheiate cu Furnizori trebuie specificate următoarele:
- Informaţiile din cadrul ORGANIZATIA , la care Furnizorul are drept de acces;
- Modul în care informaţiile la care Furnizorul are drept de acces urmează a fi protejate de către
acesta precum şi măsuri ce vor fi luate în cazul nerespectării clauzelor;
- Metodele de predare, distrugere sau de transfer al drepturilor informaţiilor Organizatiei aflate în
posesia Furnizorului, la încheierea contractului.
- Furnizorul trebuie să folosească sistemul RIC din cadrul ORGANIZATIA numai în scopul stipulat
în contract.
- Orice altă informaţie din sistemul RIC al ORGANIZATIA obţinută de Furnizor pe durata
contractului nu poate fi folosită în interes propriu de către Furnizor sau divulgată altora.
- Toate echipamentele de întreţinere ale Furnizorului, aflate în reţeaua internă a ORGANIZATIA şi
care se pot conecta în exterior prin intermediul reţelei, a liniilor telefonice sau a liniilor închiriate,
precum şi toate conturile de utilizator create temporar pentru Furnizor şi necesare pentru acces la
RIC ale ORGANIZATIA , vor fi scoase din uz la încheierea relaţiilor contractuale.
- Accesul Furnizorului trebuie să fie identificat în mod unic iar administrarea parolelor sau metodele
de autentificare trebuie să fie în conformitate cu Regulamentul privind Parolele de Acces şi
Regulamentul de Acces Administrativ.
- Activităţile principale ale Furnizorului trebuie să fie documentate de acesta şi puse la dispoziţia
conducerii Organizatiei, la cerere. Acestea trebuie să cuprindă, dar să nu fie limitate la,
evenimente precum: schimbări de personal, schimbări de parolă, schimbări majore în derularea
proiectului, timpii de sosire, de plecare şi de livrare.
17
Comunicaţii
- În cazul retragerii din contract a unui angajat al Furnizorului, indiferent de motiv, Furnizorul se va
asigura că toate informaţiile sensibile sunt colectate şi predate ORGANIZATIA sau distruse în cel
mult 24 de ore de la producerea evenimentului.
- În cazul terminării/rezilierii contractului sau la cererea ORGANIZATIA , Furnizorul va preda sau
distruge toate informaţiile ce aparţin Organizatiei şi va oferi certificare în scris privind predarea
sau distrugerea informaţiilor în decurs de 24 de ore de la producerea evenimentului.
- În cazul încheierii contractului sau la cererea ORGANIZATIA, Furnizorul trebuie să predea
imediat toate legitimaţiile, cartelele de acces, echipamentele şi stocurile ORGANIZATIA .
Echipamentele şi/sau stocurile care urmează a fi reţinute de către Furnizor trebuiesc
documentate şi autorizate de Conducerea ORGANIZATIA.
- Toate programele folosite de Furnizor în scopul furnizării serviciilor stipulate în contract către
ORGANIZATIA trebuie să fie inventariate corespunzător si să posede drepturi de utilizare
atestate prin Licenţe.
______________________________________________________________________________
Planul de Pregătire pentru Situaţii de Urgenţă şi Capacitatea de Răspuns
Posibile
Impacturi asupra
accidente şi
sistemului Metode de intervenţii / de control Observaţii
situaţii de
informational
urgenţă
1. Se închide gazul la locul cel mai apropiat.

-------
2. Se anunţă Şef Departament.
-------
3. Se evacueaza spatiul : documentele,
echipamentele,personalul conform Planului de
Evacuare.
-----
4. Se anunţă Grupul de Pompieri 112.
1. Incendiu / Explozie
In cazul lucrarilor pentru conducte gaze, se
Orice tip de cu efecte asupra Pentru personal
anunta ISCIR-ul in 24h
INCENDIU / sistemului se ţin instruiri
-------
EXPLOZIE informational periodice ,
5. Până la sosirea echipajelor se intervine
(documente pe suport generale şi
conform normelor PSI, sub coordonarea
electronic, hirtie) specifice
Responsabilului PSI / şef departament.
activităţii
-------
6. Se curaţă locul producerii evenimentului.
------
7. Se evaluează efectele asupra sistemului
informational şi se iniţiează acţiuni corective.
------
8. Se analizează Planul de Pregătire pentru
Situaţii de Urgenţă şi Capacitate de Răspuns
şi se revizuieşte după caz.
________________________________________________________________________________
18
Comunicaţii
______________________________________________________________________________
Măsuri Disciplinare
Încălcarea prevederilor acestui manual se sancţionează prin măsuri disciplinare care pot include:
1. Rezilierea contractului de muncă în cazul angajaţilor;

2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau a altor
persoane care acţionează în numele ORGANIZATIA;
3. Interzicerea accesului la sistemul RIT.
Toate acţiunile care contravin legilor vor fi raportate organelor competente.
Acest manual se completează cu următoarele dispoziţii:
1. Întreg personalul este responsabil privind modul de utilizare a RIT; fiecare utilizator este direct
responsabil pentru acţiunile care pot afecta securitatea RIT.
2. Utilizatorii sunt responsabili, nediscriminatoriu, privind raportarea oricărei suspiciuni sau confirmări de
încălcare a acestui manual.
3. Utilizarea RIT se face numai în interes de serviciu.
4. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind
protocoale de genul, dar nelimitate la, poştă electronică, navigare pe Web, conversaţii telefonice, transmisie
fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie
electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în
vigoare.
5. Departamentele sunt responsabile cu autorizarea utilizatorilor pentru folosirea adecvată a RIT.
6. Orice informaţie folosită în sistemul RIT trebuie să fie păstrată confidenţială şi în siguranţă de către
utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra
confidenţiale şi în siguranţă, tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de
siguranţă necesar.
7. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie
protejate fiind proprietatea organizaţiei.
8. Departamentele trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul
monitorizării RIT pentru protejarea datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu
necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod
corespunzător.
_______________________________________________________________________________
4. Proceduri generale de lucru privind exploatarea sistemului Resurselor Informatice şi de

Comunicaţii din ORGANIZATIA
- Procedura P.01 – Intervenţii în cazul defecţiunilor hardware;

- Procedura P.02 – Salvările de date, stocarea şi păstrarea acestora;
19
Comunicaţii
- Procedura P.03 – Achiziţii echipamente hardware şi/sau software pe bază de referat de

necesitate, altele decât prin licitaţii;
- Procedura P.04 – Modificări sau defecţiuni ale aplicaţiilor software;
- Procedura P.05 – Exploatarea programelor informatice;
- Procedura P.06 – Activităţi de mentenanţă privind componentele harware;
- Procedura P.07 – Poşta electronică, sesizări pe site-ul ORGANIZATIA, sesizări pe alte site-uri
de specialitate;
- Procedura P.08 – Rezolvarea documentelor/problemelor repartizate spe rezolvare;
- Procedura P.09 – Anunţarea defecţiunilor hardware firmei de service;
- Procedura P.10 – Părăsirea temporara a calculatorului;
- Procedura P.11 – Atribuirea/schimbarea/anularea utilizatorilor şi a parolelor de access;
Procedura P.01
Intervenţii în cazul defecţiunilor hardware
În cazul în care a fost constatată o defecţiune sau o disfuncţionalitate a vreunui sistem de calcul
şi/sau a unui periferic al acestuia (monitor, tastatură, mouse, imprimantă, etc) se va informa specialistul IT din
cadrul Compartimentului de Informatică. Informarea se va face telefonic.
Poate exista şi cazul în care defecţiunea să fie constatată de către specialistul IT când acesta
execută operaţiuni de întreţinere sau verificări de rutină, conform procedurii P.07.
Specialistul IT va constata în ce constă defecţiunea şi dacă este posibil va proceda la remedierea
acesteia.
În cazul în care nu este posibilă remediere de către specialistul IT, acesta va anunţa firma de service
urmând procedura specifică P.09.
Reprezentantul firmei de service va stabili dacă defecţiunea poate remediată pe loc, în cadrul
organizatiei, sau este necesară deplasarea componentei hardware defecte la sediul firmei. În cel de-a doua
situaţie se va urma procedura P.10.
După remedierea defecţiunii se va respecta procedura P.11, privind receptia componentelor
hardware.
Procedura P.02
Salvările de date, stocarea şi păstrarea acestora
Salvările de date în general se fac pe suport magnetic extern (dischete, CD, benzi magnetice,
memory stick), sau pe suport magnetic intern (hard disk) în funcţie de instrucţiunile existente în manualele
programelor informatice. De asemenea perioada de păstrare a acestor salvări se va face tot în funcţie de
aceste instrucţiuni. Dacă nu există instrucţiuni în acest sens păstrarea se va face pe perioadă nedeterminată.
În cazul salvărilor efectuate pe harddiskurile serverelor prin opţiunile existente în cadrul programelor
informatice, se vor efectua salvari complete de către o persoană desemnată în acest sens de către şeful
departamentului respectiv.
Salvări complete ale harddiskurilor serverelor se va face de către specialistul IT din cadrul
Compartimentului de Informatică al ORGANIZATIA.
Pentru salvările efectuate şi pentru care nu există instrucţiuni privind termenul de păstrare a
salvărilor, păstrarea se va face pe perioadă nedeterminată.
În cazul schimbări unui sistem informatic cu unul mai nou şi în care au fost preluate datele existente
în salvările efectuate anterior, vechile salvări vor fi distruse.
Persoanele care efectuează salvări vor avea un jurnal de evidenţă al acestor salvări în care se va
specifica clar data şi ora când a fost efectuată salvarea.
Procedura P.03
Achiziţii echipamente hardware şi/sau software pe bază de referat de necesitate,
altele decât prin licitaţii
Pentru achiziţionarea echipamente hardware şi/sau software pe bază de referat de necesitate,

referatul de necesitate înainte de a fi trimis spre aprobare conducerii organizatiei va fi avizat de către
20
Comunicaţii
specialistul IT pentru a stabili dacă necesitatea achiziţionării echipamentelor este justificată sau nu. În cazul
unui aviz favorabil referatul de necesitate va fi aprobat ulterior de către conducătorii organizatiei.
Referatele avizate şi aprobate vor fi retransmise Compartimetului de Informatică pentru a fi
achiziţionate echipamentele.
Dacă cuantumul valorii echipamentelor depăşeşte plafonul legal privind achiziţia materialelor, acestea
intrând pe lista de investiţii, referatul respectiv va fi trimis de către Compartimentul de Informatică
departamentului care se ocupă cu achiziţiile publice, conform Procedurii P.08.
Dacă suma este sub plafonul legal privind achiziţia materialelor acestea vor fi achiziţionate direct de
la furnizor.
Recepţionarea acestora se va face respectând Procedura P.11.
Procedura P.04
Modificări sau defecţiuni ale aplicaţiilor software
În cazul în care sunt necesare modificări ale aplicaţiilor software (programe informatice) în urma
modificărilor legislative sau datorită altor cauze, sau constatării funcţionării defectoase, sau a apariţiei unor
erori de funcţionare se va anunţa în scris sau telefonic, sau prin email, sau prin fax, producătorul/autorul
aplicaţiei sau firma care ofera asistenţă, după caz.
Departamentul care solicită modificările va furniza date cât mai amănunţite astfel încât modificările
realizate să fie corecte.
Departamentul care solicită modificarea este răspunzător de datele furnizate.
Realizatorul modificărilor este răspunzător de modificările aduse în aplicaţia software. Acesta este
obligat să informeze sau să instruiască utilizatorii aplicaţiilor despre modificările aduse.
În cazul defecţiunilor dacă se va constata că erorile de funcţionare se datorează unor defecţiuni ale
echipamentului hardware se va anunţa specialistul IT şi se va urma procedura P.01.
Procedura P.05
Exploatarea aplicatiilor informatice
Exploatare/utilizarea aplicaţiilor informatice se face doar de către personalul autorizat în conformitate

cu instrucţiunile prevăzute în manualul aplicaţiei.
Utilizatorii noi care vor utiliza un program informatic vor fi instruiti de către persoanele abilitate în
acest sens, de exemplu utilizatori cu vechime în exploatare acestuia sau de către un reprezentat al
producătorului.
În cazul unui program informatic nou instruirea se face de către un reprezentant al producătorului
programului informatic.
Dacă apar modificări din diverse motive se va urma procedura P.04.
Procedura P.06
Activităţi de mentenanţă privind componentele hardware
Activităţi de mentenanţă privind componentele hardware se vor executa cel puţin o data pe lună la
staţiile de lucru de către firma de service, iar pentru servere se va executa cel puţin o data pe săptămână de
către specialistul IT din cadrul Compartimentului de Informatică şi o dată pe lună de către firma de service.
Verificările de rutină efectuate se vor evidenţia într-un jurnal de activităţi.
În cazul constatării unor nereguli în funcţionarea echipamentelor în urma acestor verificări se va urma
procedura P.01, privind intervenţiile în cazul defecţiunilor hardware.
Procedura P.07
Poşta electronică, sesizări pe site-ul ORGANIZATIA, sesizări pe alte site-uri de specialitate
Mesajele sosite pe cale electronică: e-mailuri, sesizări postate site-ul ORGANIZATIA sau sesizări
postate pe alte site-uri de acest gen, vor fi listate pe suport de hârtie şi depuse la registratura generală a
organizatiei, după care vor fi direcţionate către departamentele de specialitate din cadrul organizatiei.
21
Comunicaţii
În cazul în care unele din aceste mesaje necesită răspuns, acesta va fi întocmit de către
departamentele de specialitate din cadrul organizatiei.
Procedura P.08
Rezolvarea documentelor/problemelor repartizate spe rezolvare
Documente/probleme repartizate spre rezolvare Compartimentului Informatică vor fi soluţionate în cel

mai scurt timp de către specialistul IT, cu respectarea procedurilor de lucru şi a regulamentelor de securitate
a informaţiei. În cazul în care vreun document/problemă repartizate duce la încălcarea vreunei proceduri de
lucru sau a unei reguli de securitate se va înştiinţa în scris conducerea organizatiei despre această situaţie.
Dacă documentele nu sunt de competenţa Compartimentului de Informatică acestea vor fi returnate
spre registratura generală a organizatiei.
Procedura P.09
Anunţarea defecţiunilor hardware/software firmei de service, garanţii şi/sau asistenţă
În cazul apariţiei unei defecţiuni care nu poate fi rezolvată de către specialistul IT din cadrul
Compartimentului de Informatică, după cum este prevăzut şi în procedura P.01, se va contacta firma de
service, garanţii sau asistenţă hardware/software, după caz.
Anunţarea se va face telefonic, prin email, fax de către specialistul IT. Intervenţia prestatorului de
service se va face cu respectarea termenelor în cazul intervenţiilor prevăzute în contractul de service.
Procedura P.10
Părăsirea temporara a calculatorului. Oprirea Calculatorului
În cazul în care utilizatorul păraseşte temporar calculatorul este obligat să blocheze staţia de lucru
prin utilizarea opţiunii “Log Off”, în cazul în care staţia este utilizată de mai mulţi utilizatori, sau prin utilizarea
opţiunii “Lock Computer”. De asemenea este obligatorie selectarea opţiunii “On resume, password
protect” din cadrul sectiunii “Screen Saver”.
Este interzisă cu desăvârşire părăsirea staţiei de lucru fără a închide aplicaţiile în care se lucrează.
Procedura P.11
Atribuirea/schimbarea/anularea utilizatorilor şi a parolelor de access
Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie să respecte

următoarea procedură:
- Utilizatorul se va legitima, administratorul va verifica drepturile de acces a persoanei la
contul utilizator;
- Se va genera o parolă care va fi comunicată utilizatorului
- Se va întocmi/actualiza fişa utilizatorului de către administrator.
În cazul în care un utilizator paraseşte definitiv sau temporar instituţia OSRIC va recurge la ştergerea
contului acestei persoane.
5. Codul de Bună Practică pt Managementul Securităţii Informaţiei SR ISO – CE 117799
A.5 Politica de securitate
A.5.1 Politica de securitate a informaţiei

SCOP: Să asigure orientarea generală de management şi sprijinul pentru securitatea informaţiei în
conformitate cu cerinţele afacerii, legislaţia şi reglementările aplicabile.
22
Comunicaţii
A.5.1.1 Document de politică Măsură de securitate

a securităţii Documentul de politică a securităţii informaţiei este aprobat de către
informaţiei management si este publicat şi comunicat tuturor angajaţilor şi terţelor părţi
relevante.
Vezi Politica referitoare la Securitatea informatiei
A.5.1.2 Revizuirea politicii Măsură de securitate

de securitate a Politica de securitate a informaţiei se revizuieste la intervalele planificate sau
informaţiei atunci când apar schimbări semnificative, pentru a se asigura permanenta ei
adecvare, compatibilitate şi eficienţa.
Ea va fi analiza cel putin o data pe an in cadrul analizei efectuate de
management.
Vezi Pv al Analiza Efectuata de Management.
A.6 Organizarea securităţii informaţiei
A.6.1 Organizarea interna

SCOP: Să administreze securitatea informaţiei în cadrul organizaţiei.
A.6.1.1 Angajamentul echipei Măsură de securitate
de management privind Managementul susţine în mod activ securitatea informaţiei prin
securitatea informaţiei direcţie clară, angajament demonstrat, atribuţii explicite şi
asumarea responsabilităţilor în ceea ce priveşte securitatea
informaţiei.
Vezi Politica referitoare la Securitatea informatiei
A.6.1.2 Coordonarea securităţii Măsură de securitate

informaţiei Activităţile de asigurare a securităţii informaţiei trebuie să fie
coordonate de reprezentanţi din diferite sectoare ale organizaţiei
cu roluri şi funcţii adecvate.
Vezi Plan de Ampasare a Resurselor Informatice ,
Organigrama, Fisa Postului
A.6.1.3 Alocarea Măsură de securitate
responsabilităţilor pentru Toate responsabilităţile pentru securitatea informaţiei trebuie să
securitatea informaţiei fie în mod clar definite.
Vezi Decizii de munire in functie , Organigrama, Fisa
Postului
A.6.1.4 Procesul de autorizare Măsură de securitate
pentru sistemele de Pentru noile sisteme de procesare a informaţiei trebuie să fie
procesare a informaţiei. definit şi implementat un proces formal de autorizare de către
management.
Vezi Evidentele Sistemelor de Procesare a Informatiei
A.6.1.5 Acorduri de Măsură de securitate

confidenţialitate Cerinţele de protejare a informaţiei se realizeaza prin contracte de
confidenţialitate şi/sau nedivulgare care sunt identificate şi
revizuite periodic.
Vezi Acorduri de Confidentialitate
23
Comunicaţii
A.6.1.6 Contactul cu autorităţile Măsură de securitate

Organizatie menţie contacte corespunzătoare cu autorităţile
competente.
A.6.1.7 Contactul cu grupuri Măsură de securitate

specializate de interes Organizatia mentine relatia cu grupurile specializate de interes
sau cu alte forumuri de specialişti în securitate şi asociaţii
profesionale (firme IT) prin intermediul Contractelor.
A.6.1.8 Revizuirea independentă Măsură de securitate

a securităţii informaţiei Abordarea organizaţiei pentru managementul securităţii informaţiei
şi a implementării acestuia (Obiective de Măsură de securitate,
măsuri de securitate, politici, procese şi proceduri pentru
securitatea informaţiei) este evaluată independent la intervalele
stabilite sau atunci când apar schimbări semnificative cu privire la
implementarea securităţii, cel putin o data pe an.
Vezi Obiectivele Generale / Obiective de Control, PV al
Analiza Efectuata de management.
A.6.2 Părţi externe

SCOP: Să menţină securitatea informaţiei în cadrul organizaţiei şi a sistemelor de procesare a informaţiei
care sunt accesate, procesate, comunicate către sau administrate de părţi externe.
A.6.2.1 Identificarea riscurilor Măsură de securitate

legate de părţile din afara Riscurile pentru informaţia din cadrul organizaţiei şi pentru
organizaţiei sistemele de procesare a informaţiei din cadrul proceselor
afacerii care implică părţi din afara ORGANIZATIA se identificate
şi înainte de acordarea accesului să fie implementate măsuri de
securitate corespunzătoare.
Vezi Evaluarea Riscurilor, Procedura privind accesul fizic
la resursele, Accesul fizic in birouri
A.6.2.2 Respectarea cerinţelor de Măsură de securitate

securitate în activităţile care Inainte de a permite accesul clienţilor la informaţia din cadrul
implică clienţii ORGANIZATIA sau la resursele acesteia, se identifica şi
îndeplinesc toate cerinţele de securitate necesare.
Vezi Clauze Contracte cu Clientii
A.6.2.3 Respectarea cerinţelor de Măsură de securitate
securitate în acordurile cu Acordurile cu părţile terţe care implică accesarea, procesarea,
terţii comunicarea sau administrarea informaţiei din cadrul organizaţiei
sau a sistemelor de procesare a informaţiei, sau adăugarea de
produse şi servicii la sistemele de procesare a informaţiei acopera
toate cerinţele de securitate relevante.
Vezi Procedura privind managementul relatiilor cu terti
A.7 Managementul resurselor
A.7.1 Responsabilitatea pentru resurse

SCOP: Să obţină şi să menţină o protecţie corespunzătoare a resurselor organizaţionale.
24
Comunicaţii
A.7.1.1 Inventarul resurselor Măsură de securitate

Toate resursele sunt identificate în mod clar şi este întocmit şi
menţinut un inventar al tuturor resurselor importante.
Vezi Lista Dotarilor cu Telefon, Fax, Imprimanta, Evidenta
A.7.1.2 Deţinerea resurselor Măsură de securitate

Toate informaţiile şi resursele asociate cu sistemele de procesare
a informaţiei sunt deţinute de persoane numite in cadrul
ORGANIZATIA.
Vezi Lista Dotarilor cu Telefon, Fax, Imprimanta, Evidenta
si Autorizarea sistemelor de procesare a informatiei,
Clasificarea Resurselor, Plan de Amplasament a
Resurselor Informatice
A.7.1.3 Utilizarea în mod Măsură de securitate
acceptabil a resurselor Regulile pentru utilizarea în mod acceptabil a informaţiei şi
resurselor asociate sistemelor de procesare a informaţiei sunt
identificate, documentate şi implementate.
Vezi Regulament privind Administrarea Resurselor
A.7.2 Clasificarea informaţiei

SCOP: Să asigure faptul ca informaţia beneficiază de un nivel de protecţie adecvat.
A.7.2.1 clasificare Măsură de securitate

Informaţia este clasificată în funcţie de valoare, cerinţe legale,
importanta şi nivel de criticalitate pentru ORGANIZATIA in :
informatii stric secrete, secrete, publice.
Vezi Clasificarea Informatiilor
A.7.2.2 Etichetarea şi Măsură de securitate
manipularea informaţiei Etichetarea informaţiei şi manipularea acesteia este
documentata şi implementata în conformitate cu schema de
clasificare adoptată de către ORGANIZATIA.
Vezi Clasificarea Informatiilor
A.8 Securitatea resurselor umane
A.B. 1 Înaintea angajării

SCOP: Să se asigure că angajaţii, contractanţii şi utilizatorii terţi înţeleg responsabilităţile care le revin şi sunt
corespunzători pentru rolurile pentru care sunt alocaţi precum şi să reducă riscuf de furt, fraudă sau de
folosire necorespunzătoare a sistemelor.
A.8.1.1 Roluri şi responsabilităţi Măsură de securitate

Rolurile şi responsabilităţile angajaţilor privind securitatea
informaţiei este definita şi documentata în conformitate cu politica
de securitate a informaţiei din cadrul organizaţiei.
Vezi Fisa Postului
25
Comunicaţii
A.8.1.2 Verificare Măsură de securitate

Pentru toţi candidaţii pentru angajare se efectueze controale de
verificare de fond în conformitate cu legile aplicabile, reglementări
şi etică, proporţionale cu cerinţele afacerii, clasificarea informaţiei la
care urmează să aibă acces şi riscurile percepute.
Vezi Metoda de angajare
A.8.1.3 Cerinţe şi condiţii de Măsură de securitate

angajare Ca parte a obligaţiilor contractuale, angajaţii, contractanţii şi
utilizatorii terţi trebuie să fie de acord şi să semneze cerinţele şi
condiţiile contractului de angajare, care trebuie să precizeze
responsabilităţile lor şi ale organizaţiei pentru securitatea
informaţiei.
Vezi Metoda de angajare
A.8.2 in timpul perioadei de angajare
SCOP: Să asigure faptul că toţi angajaţii, contractanţii şi utilizatorii terţi sunt conştienţi de ameninţările privind
securitatea informaţiei, responsabilităţile şi răspunderile juridice ale acestora şi sunt pregătiţi să susţină politica
de securitate organizaţională pe durata contractului de muncă şi să asigure reducerea riscului erorilor umane.
A.8.2.1 Responsabilităţile Măsură de securitate

managementului Managementul solicita angajaţilor, contractanţilor şi utilizatorilor
terţi să aplice măsurile de securitate în conformitate cu politicile
stabilite şi cu procedurile organizaţiei.
Vezi Fisa Postului
A.8.2.2 Gradul de calificare, Măsură de securitate

educaţie şi instruire Toţi angajaţii organizaţiei şi, acolo unde este relevant, contractanţii
şi utilizatorii terţi, primeasc o instruire corespunzătoare şi
actualizări periodice în ceea ce priveşte politicile şi procedurile
organizaţionale, în funcţie de atribuţiile specifice funcţiei lor.
Vezi PV de Instruire
A.8.2.3 Procesul disciplinar Măsură de securitate

Existe un proces formal disciplinar pentru angajaţii care produc o
încălcare a securităţii informaţiei
A.8.3 încetarea contractului sau schimbarea locului de munca

SCOP: Să asigure faptul că angajaţii, contractanţii şi utilizatorii terţi părăsesc organizaţia sau schimbă
locul de muncă într-o manieră reglementată.
A.8.3.1 Responsabilităţile privind Măsură de securitate

terminarea contractului Responsabilităţile privind încetarea contractului de muncă sau
schimbarea locului de muncă sunt în mod clar definite şi alocate.
Vezi Contracte de Munca
A.8.3.2 Returnarea resurselor Măsură de securitate

Toţi angajaţii, contractanţii şi utilizatorii terţi trebuie să înapoieze
ORGANIZATIA resursele pe care le deţin la încetarea angajării,
contractului de muncă sau acordului de muncă.
Vezi Fisa Individuala de utilizare in munca a echipamentelor
de procesare a informatiei
26
Comunicaţii
A.8.3.3 înlăturarea drepturilor de Măsură de securitate

acces Drepturile de acces la informaţie şi la sistemele de procesare a
informaţiei ale tuturor angajaţilor, contractanţilor şi utilizatorilor terţi
este revocate la terminarea angajării, contractului de muncă sau
acordului de muncă sau ajustate în funcţie de schimbări.
A.9 Securitatea fizica şi a mediului de lucru
A.9.1 Zone de securitate

SCOP: Să prevină accesul fizic neautorizat, distrugerile şi pătrunderea în interiorul organizaţiei precum şi
accesul la informaţii.
A.9.1.1 Perimetrul fizic de Măsură de securitate

securitate Pentru a proteja zonele care conţin informaţii şi sisteme de
procesare a informaţiei sunt folosite perimetre de securitate
(bariere precum pereţi, porţi de acces controlat pe baza de cârd
sau birouri de recepţie cu personal de securitate).
Vezi Regulament privind accesul fizic la resursele, Accesul
fizic in birouri
A.9.1.2 Controlul accesului fizic Măsură de securitate

Zonele de securitate sunt protejate prin controale adecvate
ale accesului fizic pentru a se asigura că accesul este
permis doar personalului autorizat.
Vezi Registrul Intrari / Iesiri Persoane
A.9.1.3 Securizarea birourilor, Măsură de securitate
încăperilor şi a sistemelor Organizaţia proiecteaza şi implementeaza măsuri pentru
informaţionale securizarea fizică a birourilor, încăperilor şi a sistemelor
informaţionale.
Vezi Regulament privind accesul fizic la resursele,
Accesul fizic in birouri
A.9.1.4 Protejarea împotriva Măsură de securitate

ameninţărilor externe şi Organizatia aplica măsuri de protecţie fizică împotriva incendiilor,
de mediu inundaţiilor, cutremurelor, exploziilor, revoltelor publice şi a
oricăror alte forme de dezastre naturale sau produse de oameni.
Vezi Tratarea Incidentelor de Securitate şi de nerespectare
a Politicii şi Regulamentului de Securitate
A.9.1.5 Desfăşurarea activităţii în Măsură de securitate ..

zone de securitate Organizatia proiecteaza şi aplica măsuri pentru protecţia fizica şi
pentru desfăşurarea activităţii în zone de securitate.
A.9.1.6 Zone de acces public, Măsură de securitate

punctele de livrare şi Accesul in cadrul ORGANIZATIA este prezentat in cadrul
încărcare Planului de Amplasament a Resurselor Informationale
A.9.2 Securitatea echipamentelor

SCOP: Să prevină pierderea, avarierea, furtul sau compromiterea resurselor şi întreruperea activităţilor
din cadru! organizaţiei.
27
Comunicaţii
A.9.2.1 Amplasarea şt protejarea Măsură de securitate

echipamentelor Echipamentele sunt amplasate şi protejate astfel încât să se
reducă riscurile faţă de ameninţările şi pericolele de mediu şi faţă
de posibilitatea de acces neautorizat.
Vezi Planului de Amplasament a Resurselor Informationale
A.9.2.2 Utilităţile suport pentru Măsură de securitate

afacere Echipamentele sunt protejate împotriva penelor de curent sau a
altor întreruperi cauzate de probleme ale utilităţilor suport.
Vezi Planului de Amplasament a Resurselor Informationale
A.9.2.3 Securitatea reţelelor de Măsură de securitate

cablu Cablurile de energie şi reţelele de telecomunicaţii purtătoare
de date sau servicii de suport pentru informaţie sunt protejate
faţă de interceptări sau avarii.
A.9.2.4 Întreţinerea Măsură de securitate

echipamentelor Echipamentele sunt corect întreţinute pentru a se asigura
disponibilitatea continuă şi integritatea acestora.
Vezi Fisa Echipamentului
A.9.2.5 Securitatea Măsură de securitate

echipamentului în afara Pentru echipamentele scoase în afara locaţiei este asigurată o
locaţiei securitate corespunzătoare, ţinându-se cont de riscurile diferite
pentru activităţile care se desfăşoară în afara locaţiei.
Vezi Procedura cu privire la utilizarea calculatoarelor
portabile
A.9.2.6 Scoaterea din uz sau Măsură de securitate

reutilizarea în condiţii de Toate părţile din echipament care conţin medii de stocare trebuie
siguranţă verificate pentru a se asigura că orice date importante sau
produse software licenţiate au fost înlăturate sau suprascrise într-
un mod sigur înainte de distrugere.
Vezi Proces Verbal de Casare
A.9.2.7 Scoaterea activelor Măsură de securitate

Echipamentele, informaţiile sau produsele software nu trebuie
scoase în afara spaţiului de lucru fără o autorizare prealabilă.
A.10 Managementul comunicaţiilor şl operaţiunilor
A.10.1 Proceduri operaţionale şi responsabilităţi

SCOP: Să asigure operarea corectă şi în condiţii de securitate a sistemelor de procesare a informaţiei.
A.10.1.1 Proceduri de operare Măsură de securitate

documentate Procedurile de operare sunt documentate, păstrate şi puse la
dispoziţia tuturor celor care au nevoie de ele.
28
Comunicaţii
A.10.1.2 Managementul Măsură de securitate

schimbărilor Toate schimbările privind sistemele de procesare a
informaţiilor se fac într-un mod controlat.
Vezi PV analiza de management
A.10.1.3 Separarea atribuţiilor Măsură de securitate

Atribuţiile şi domeniile de responsabilitate trebuie separate
pentru a reduce posibilitatea de modificări neautorizate sau
neintenţionate sau folosirea într-un mod greşit a resurselor din
cadrul organizaţiei.
A.10.1.4 Separarea sistemelor de • Măsură de securitate

dezvoltare, testare şi a Sistemele de dezvoltare, testare şi sistemele operaţionale
sistemelor operaţionale trebuie să fie separate pentru a reduce riscurile accesului
neautorizat sau schimbărilor asupra sistemelor operaţionale.
A.10.2 Managementul serviciilor furnizate de terţi

SCOP: Să implementeze şi să menţină un nivel corespunzător al securităţii informaţiei şi al livrării serviciilor în
concordanta cu acordurile de furnizare de către terţi.
A. 10.2.1 Furnizarea serviciilor Măsură de securitate

Trebuie asigurat faptul că măsurile de securitate, definiţiile
serviciilor şi parametrii de furnizare incluse în acordurile de
furnizare de către terţi sunt implementate, operate şi întreţinute
corespunzător de către partea terţă.
A. 10.2.2 Monitorizarea şi Măsură de securitate

evaluarea Serviciile, rapoartele şi înregistrările furnizate de partea terţă
serviciilor terţilor trebuie monitorizate şi evaluate în mod periodic iar, auditarea lor
trebuie efectuată în mod regulat.
Vezi Lista Furnizorilor Evaluati
A. 10.2.3 Managementul Măsură de securitate
modificărilor în cazul Modificările privind furnizarea serviciilor, inclusiv întreţinerea şi
serviciilor terţilor îmbunătăţirea politicilor existente de securitate a informaţiei,
procedurilor şi măsurilor de securitate trebuie să se facă într-un
mod controlat, ţinând cont de gradul de criticalitate al sistemelor
şi proceselor de afaceri şi de reevaluarea riscurilor.
A.10.3 Planificarea şi acceptanţa sistemelor

SCOP: Să reducă riscurile de disfuncţionalităţi ale sistemelor.
A.10.3.1 Managementul capacităţii Măsură de securitate

în vederea asigurării nivelului de performanţă cerut de sistem
utilizarea resurselor trebuie să fie monitorizată şi optimizată, iar
necesităţile de capacitate viitoare trebuie să fie prevăzute.
29
Comunicaţii
A. 10.3.2 Acceptanţa sistemului Măsură de securitate

Criteriile de acceptanţa pentru noi sisteme informatice, actualizări
şi noi versiuni trebuie clar stabilite, iar în timpul dezvoltării şi
înainte de acordarea acceptanţei trebuie efectuate teste
adecvate.
A.10.4 Protecţia împotriva codurilor mobile şi dăunătoare

SCOP: Să asigure protejarea integrităţii software-ului şi a informaţiei.
A. 10.4.1 Măsurile de securitate Măsură de securitate

împotriva codului mobii şi Pentru protecţia împotriva codurilor cu potenţial dăunător trebuie
a codurilor cu potenţial implementate măsuri de securitate pentru detectarea, prevenirea
dăunător şi recuperarea datelor şi trebuie implementate procedurile
corespunzătoare de avertizare a utilizatorilor.
Vezi Regulament privind detectarea Virusilor
A.10.4.2 Măsurile de securitate Măsură de securitate

faţă de codul mobil Atunci când utilizarea codului mobil este autorizată, felul în care
este configurat sistemul trebuie să asigure faptul potrivit căruia
codul mobil autorizat funcţionează în conformitate cu o politică de
securitate clar definită, iar codul mobil neautorizat trebuie să fie
împiedicat să se execute.
Vezi Procedura privind detectarea Virusilor
A.10.5 Copie de siguranţă

SCOP: Să menţină integritatea şi disponibilitatea informaţiei şi a sistemelor de procesare a informaţiei.
A.10.5.1 Copii de siguranţă ale Măsură de securitate

informaţiei Copiile de siguranţă ale informaţiilor şi ale produselor software
trebuie testate în mod regulat în conformitate cu politica de
realizare de copii de siguranţa convenită.
Procedura de creare si utilizare a copiilor de siguranta
A. 10.6 Managementul securităţii reţelei –

SCOP: Să asigure protecţia reţelelor de informaţii şi protecţia infrastructurii de suport.
A. 10.7 Manipularea mediilor de stocare

SCOP: Să prevină divulgarea neautorizată, modificarea, îndepărtarea sau distrugerea resurselor şi
întreruperea activităţilor afacerii.
A.10.7.1 Managementul mediilor Măsură de securitate

de stocare amovibile Organizatia utilizeaza ca medii amovibile numai STICK-uri.
A. 10.7.2 Distrugerea mediilor de Măsură de securitate

stocare Mediile de stocare trebuie distruse într-un mod securizat şi
sigur atunci când acest lucru se impune, folosind proceduri
formale pentru aceasta.
30
Comunicaţii
A. 10.7.3 Proceduri de manipulare Măsură de securitate

a informaţiei Pentru a proteja informaţiile împotriva utilizării improprii sau
divulgării neautorizate trebuie stabilite proceduri specifice de
manipulare şi stocare a acestora.
A.10.7.4 Securitatea documentaţiei Măsură de securitate

de sistem Documentaţia de sistem trebuie protejată împotriva accesului
neautorizat.
Vezi Procedura privind Parolele de Acces
A.10.8 Schimbul de informaţii

SCOP: Să menţină securitatea schimbului de informaţie şi software în interiorul unei organizaţii sau cu orice
entitate externă.
A.10.8.1 Proceduri şi politici pentru Măsură de securitate

schimbul de informaţii Pentru protejarea schimbului de informaţii folosind orice tip de
dispozitiv de comunicare trebuie implementate politici, proceduri şi
măsuri de securitate formalizate de schimb.
A.10.8.2 Acorduri de schimb Măsură de securitate

Pentru schimbul de informaţii şi software între organizaţie şi alte
părţi trebuie să fie stabilite acorduri specifice.
A10.8.3 Mediile fizice de stocare Măsură de securitate

în tranzit Mediile de stocare care conţin informaţii trebuie să fie protejate
împotriva accesului neautorizat, utilizării necorespunzătoare sau
falsificării în timpul transportării dincolo de graniţele fizice ale
organizaţiei.
A.10.8.4 Mesageria electronica Măsură de securitate

Informaţia transmisă prin mesageria electronică trebuie protejată
în mod corespunzător.
Vezi Procedura privind utilizarea parolelor de Acces
A. 10.8.5 Sistemele de informaţii Măsură de securitate

ale afacerii Pentru a proteja informaţia trebuie dezvoltate şi implementate
politici şi proceduri corespunzător modului de interconectare a
sistemelor de informaţii ale afacerii.
A.10.9 Serviciile de comerţ electronic – nu se aplica in cadrul ORGANIZATIA

SCOP: Să asigure securitatea serviciilor de comerţ electronic şi utilizarea lor în condiţii de siguranţă.
A.10.10 Monitorizarea
SCOP: Identificarea activităţilor neautorizate de procesare a informaţiei.
31
Comunicaţii
A.10.10.1 Jurnal de audit Măsură de securitate

Jurnalele de audit care înregistrează activităţile utilizatorului,
excepţiile şi evenimentele de securitate a informaţiei trebuie
produse şi păstrate pentru o perioadă de timp determinată pentru a
facilita pe viitor investigaţiile şi pentru monitorizarea de control al
accesului.
A.10.10.2 Monitorizarea utilizării Măsură de securitate

sistemului Trebuie stabilite proceduri pentru monitorizarea, utilizarea
sistemelor de procesare a informaţiilor, iar rezultatele activităţilor
de monitorizare trebuie revizuite în rnod periodic.
A.10.10.3 Protecţia informaţiilor din Măsură de securitate

jurnale Sistemele de înregistrare şi jurnalele de informaţii trebuie
protejate împotriva modificărilor şi accesului neautorizat.
A.10.10.4 Jurnalul activităţilor Măsură de securitate

administratorului şi Activităţile administratorului de sistem şi ale operatorului de sistem
operatorului trebuie înregistrate.
A.10.10.5 înregistrarea erorilor şi Măsură de securitate

deficienţelor în Erorile şi deficienţele în funcţionare trebuie înregistrate, analizate
funcţionare şi trebuie întreprinse acţiuni corespunzătoare.
A.10.10.6 Sincronizarea ceasului Măsură de securitate

Ceasurile tuturor sistemelor relevante de procesare a informaţiei
din cadrul unei organizaţii sau dintr-un domeniu de securitate
trebuie să fie sincronizate cu o sursă de referinţă temporală
precisă agreată.
A.11 Controlul accesului
A.11.1 Cerinţele afacerii pentru controlul accesului

SCOP: Să controleze accesul la informaţie.
A.11.1.1 Politica de control al Măsură de securitate

accesului Pe baza cerinţelor afacerii şi a cerinţelor de securitate trebuie
stabilită, documentată şi revizuită o politică de control al
accesului.
A.11.2 Managementul accesului utilizatorului

SCOP: Să asigure accesul autorizat al utilizatorului şi să prevină accesul neautorizat la sistemele de
informaţii.
32
Comunicaţii
A.11.2.1 înregistrarea utilizatorului Măsură de securitate

Trebuie să fie implementată o procedură formală de înregistrare
a utilizatorului şi de anulare a înregistrării pentru a garanta şi
pentru a revoca accesul la toate sistemele de informaţii şi
servicii.
Vezi Organizatia privind utilizarea parolelor de acces
A.11.2.2 Managementul Măsură de securitate

privilegiilor Alocarea şi utilizarea privilegiilor trebuie restricţionată şi controlată.
A. 11.2.3 Managementul parolei de

utilizator Măsură de securitate
Alocarea parolelor trebuie controlată printr-un proces formal de
management.
A.11.2.4 Revizuirea drepturilor de Măsură de securitate

acces ale utilizatorului Managementul trebuie să revizuiască drepturile de acces ale
utilizatorilor la intervale regulate utilizând un proces formal pentru
aceasta.
A.11.3 Responsabilităţile utilizatorului

SCOP: Să prevină accesul neautorizat al utilizatorului precum şi compromiterea sau furtul de informaţii şi
sisteme de procesare a informaţiilor.
A.11.3.1 Utilizarea parolei Măsură de securitate

Utilizatorilor trebuie să li se ceară să urmeze bunele practici de
securitate în ceea ce priveşte selecţia şi utilizarea parolelor.
A. 11.3.2. Echipamentul Măsură de securitate

nesupravegheat de către Utilizatorii trebuie să se asigure că echipamentul lăsat
utilizatori nesupravegheat este protejat în mod corespunzător.
A.11.3.3 Politica biroului curat şi a Măsură de securitate

ecranului protejat Trebuie adoptată o politică clară de folosire a cât mai puţine
documente şi medii de stocare amovibile şi o politică de păstrare a
ecranului protejat pentru sistemele de procesare a informaţiilor.
A.11.4 Controlul de acces la reţea

SCOP: Să prevină accesul neautorizat la serviciile de reţea.
A.11.5 Controlul accesului la sistemul de operare

SCOP: Să prevină accesul neautorizat la sistemele de operare.
A.11.5.1 Proceduri de autentificare Măsură de securitate

sigura Accesul la sistemele de operare trebuie să se facă în mod
controlat printr-o procedură sigură de logare.
33
Comunicaţii
A. 11.5.2 Identificarea şi Măsură de securitate

autentificarea utilizatorului Fiecare utilizator trebuie să aibă un identificator unic (ID-ul
utilizatorului) numai pentru uz propriu şi trebuie aleasă 0 tehnică
de autentificare adecvată pentru a proba identitatea pe care
utilizatorul pretinde că o are.
A.11.5.3 Sistemul de management Măsură de securitate

al parolelor Sistemele pentru managementul parolelor trebuie să fie
interactive şi să asigure calitatea parolelor.
A. 11.5.4 Utilizarea programelor Măsură de securitate

utilitare de sistem Utilizarea programelor utilitare care pot fi capabile să
depăşească măsurile de securitate de sistem şi de aplicaţii
trebuie să fie restricţionată şi ferm controlată.
A.11.5.5 Limitarea timpului de Măsură de securitate

conectare Pentru a furniza o securitate sporită a aplicaţiilor cu grad ridicat
de risc trebuie utilizate restricţii cu privire la limitarea timpului de
conectare.
A.11.6 Controlul accesului la aplicaţii şi informaţii

SCOP: Să prevină accesul neautorizat la informaţia deţinută în sistemele de aplicaţii.
A. 11.6.1 Restricţii de acces la Măsură de securitate

informaţii Accesul la informaţii şi la funcţiile sistemului de aplicaţii de către
utilizatori şi personalul de suport trebuie restricţionat în
conformitate cu politica de control al accesului.
A. 11.6.2 Izolarea sistemelor critice Măsură de securitate

Sistemele critice pentru afacere trebuie să aibă alocat un spaţiu
dedicat (izolat) pentru desfăşurarea proceselor.
A.11.7 Prelucrarea datelor folosind echipamente mobile şi lucrul la distanţă

SCOP: Să asigure securitatea informaţiei atunci când se folosesc sisteme pentru prelucrarea datelor
folosind echipamente mobile şi de lucru la distanţă
A.11.7.1 Prelucrarea datelor Măsură de securitate

folosind echipamente şi Pentru protecţia împotriva riscurilor care decurg din folosirea
comunicaţii mobile echipamentelor şi comunicaţiilor mobile la distanţă trebuie
implementată o politică formală şi trebuie luate măsuri de
securitate corespunzătoare.
A. 11.7.2 Lucrul la distanţă Măsură de securitate

Pentru activităţile care se desfăşoară la distanţă trebuie dezvoltată
şi implementată o politică, planuri operaţionale şi proceduri
specifice acestui tip de activităţi.
A.12 Achiziţionarea, dezvoltarea şi mentenanţa sistemelor informatice
34
Comunicaţii
A. 12.1 Cerinţe de securitate pentru sistemele informaţionale

SCOP: Să.asigure faptul ca securitatea este parte integrantă a sistemelor informatice.
A.12.1.1 Analiza şi specificarea Măsură de securitate

cerinţelor de securitate Cerinţele de afaceri pentru noi sisteme informatice sau pentru
îmbunătăţirea sistemelor existente trebuie să cuprindă în mod
specific cerinţele pentru măsuri de securitate.
A.12.2 Procesarea corectă a datelor în cadrul aplicaţiilor

SCOP: Să prevină erorile, pierderile, modificările neautorizate sau folosirea greşită a informaţiilor în cadrul
aplicaţiilor.
A. 12.2.1 Validarea datelor de Măsură de securitate

intrare Datele de intrare ale aplicaţiilor trebuie validate pentru a se
asigura că aceste date sunt corecte şi corespunzătoare.
A.12.2.2 Controlul procesării Măsură de securitate

interne în cadrul aplicaţiilor trebuie încorporate verificări de validare
pentru a detecta orice modificare a informaţiei prin procesarea
eronată sau prin acte deliberate.
A.12.2.3 Integritatea mesajului Măsură de securitate

Cerinţele pentru asigurarea autenticităţii şi protejării integrităţii
mesajelor în cadrul aplicaţiilor trebuie să fie identificate şi
măsurile de securitate corespunzătoare trebuie identificate şi
implementate.
A.12.2.4 Validarea datelor de Măsură de securitate

ieşire Datele de ieşire din cadrul unei aplicaţii trebuie să fie validate
pentru a se asigura că procesarea informaţiei stocate este
corect şi adecvat circumstanţelor.
A.12.3 Măsuri criptografice

SCOP: Să protejeze confidenţialitatea, autenticitatea sau integritatea informaţiei prin metode
criptografice.
35
Comunicaţii
LISTA LEGISLTATIE IN DOMENIUL
1. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea
demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţie
2. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii
private în sectorul telecomunicaţiilor.
3. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date.
4. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
5. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
6. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice
pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
7. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de
date cu caracter personal.
8. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de
Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal
şi libera circulaţie a acestor date.
9. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea
prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
10. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
11. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
36
Comunicaţii
PROCEDURA AUDIT INTERN
Se initiaza un audit intern

Situatiile in care se initiaza un audit intern, sint de regula urmatoarele:
- efectuarea evaluarii initiale;
- derularea programului de audit;
- la solicitarea conducerii, pentru a obtine date suplimentare necesare analizei efectuate de
management;
- in cazul unor modificari ale structurii organizatorice;
- pentru pregatirea in vederea unui audit extern cerut si efectuat de un client sau de un organism de
certificare;
- in cazul in care se constata probleme legate de procese.
RMI elaboreaza in luna ianuarie a fiecarui an un "Plan / Program de Audit Intern" (822-01-01). Auditarea se va
face pe compartimente.
RMI numeste auditorii, avind in vedere:
- independenta acestora fata de procesul auditat;
- experienta si instruirea necesara pentru auditarea procesului respectiv.
Coordonatorul Echipei de Audit instiinteaza Proprietarul de Proces care urmeaza sa fie auditat, cel putin cu 1
saptamana inainte de audit, sau chiar in ziua auditului, daca e vorba de un audit neprogramat .
La data stabilita de comun acord intre proprietarul de proces si Coordonatorul Echipei de Audit, se va desfasura
o reuniune de deschidere a auditului, al carei obiectiv este de a prezenta scopul auditului si stabilirea unui mod de lucru
comun.
37
Comunicaţii
Incepe auditul propriu-zis prin examinarea de catre auditori a procesului avut in vedere si stabilirea daca
documentele aplicabile si implementarea sistemului calitatii in zona auditata sunt corecte si complete (Chestionar de
Audit, Standarde, Procedurile sistemului integrat).
Toate observatiile/neconformitatile evidentiate sunt clar si precis documentate pe baza de dovezi obiective.
Dovezile se obtin prin:
- discutii;
- examinarea documentelor;
- observarea activitatior si situatiilor.
Auditorii inregistreaza toate neconformitatile, observatiile si oportunitatile de imbunatatile pe "Raportul de audit
intern" (822-01-02).
Proprietarul de proces stabileste masurile de tratare a neconformitatilor si actiunile corective/preventive
adecvate, pe care le poate discuta cu echipa de audit, urmind sa le inscrie pe "Raportul de Actiune Corectiva/Preventiva"
(851-01-01).
"Raportul de Audit Intern" (822-01-02) este semnat de echipa de audit si de proprietarul de proces auditat, o
copie ramine la proprietarul de proces, iar originalul este retinut de Coordonatorul Echipei de Audit . In cel mult 2 zile de la
auditul intern, o copie a "Raportului de Audit Intern" (822-01-02) este trimisa de Coordonatorul Echipei de Audit la RMI.
Auditatul are autoritatea de a initia si efectua toate actiunile corective/preventive necesare pentru a elimina
neconformitatile trecute in "Raportul de Audit Intern". Auditul este considerat finalizat numai dupa verificarea implementarii
si inchiderea actiunilor corective/preventive, conform procedurii interne "Actiuni Corective/Preventive" (851-01).
La data stabilita pentru verificarea implementarii actiunilor corective, auditorii interni efectueaza un audit de
eficacitate.
Actiuni corective eficace?
DA
Coordonatorul Echipei de Audit si auditatul incheie "Raportul de Actiune Corectiva/Preventiva" (851-01-01) o
copie ramine la auditat, iar originalul este trimis la RMI.
"Rapoartele de Audit Intern" (822-01-02) sint utilizate ca si date de intrare la sedintele de analiza a sistemului de
management al calitatii, conform procedurii interne "Sedinta de Analiza a Sistemului de Management al Calitatii " (560-
01).
NU
Auditatul stabileste noi actiuni corective/preventive de implementat, iar impreuna cu Coordonatorul Echipei de
Audit stabileste data unui nou audit de eficacitate ("Raport de Audit" - 822-01-02).
38
Comunicaţii
39

Manual de Securitate

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual de Securitate

Încărcat de

Drepturi de autor:

Formate disponibile

Manual

Politica de Securitate privind Sistemul Resurselor Informatice şi de Comunicaţii

Scopul politicii de securitate

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de

Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul ORGANIZATIA

Ofiţer responsabil cu securitatea RIC la nivel Departamental (OSRICD): Persoana responsabilă de

Echipa de Răspuns la Incidentele de Securitate a RIC (ERIS): persoanele responsabile de acţiunile

Pentru a asigura securitatea şi integritatea informaţiilor, ORGANIZATIA a realizat o clasificare proprii a

Clasificare informatie – legislatie Legislatie

Informatie de interes public L 544 – 2001

Secrete de Stat- Informatii Clasificate L 182 – 2002

Protectia informatiilor clasificate vizeaza:

e) protectia surselor generatoare de informatii.

Informatii secrete de stat

b) planurile, precum si dispozitivele militare, efectivele si misiunile fortelor angajate;

d) organizarea sistemelor de protectie si aparare a obiectivelor, sectoarelor si la retelele de calculatoare

e) datele, schemele si programele referitoare la sistemele de comunicatii si la retelele de calculatoare

i) studiile, prospectiunile geologice si determinarile gravimetrice cu densitate mai mare de un punct pe

- 100 de ani pentru informaţiile clasificate strict secret de importanţă deosebită;

- 50 de ani pentru informaţiile clasificate strict secret;

- 30 de ani pentru informaţiile clasificate secret.

Informatii secrete de serviciu

Obligatii, raspunderi si sanctiuni aferente clasificării informaţiilor

Raspunderea privind protectia informatiilor clasificate revine sefilor de compartimente si conducerii

Regulamentele de Utilizare a Resurselor Informatice şi de Comunicaţii (RIC)

1 Regulament de utilizare a RIC

1. Utilizarea sistemului RIC se face numai în interes de serviciu.

2. Utilizarea ocazională a RIC în scopuri personale

În aceste situaţii se aplică următoarele restricţii:

5. Conectarea la Sistemul Resurselor Informatice şi de Comunicaţii

6. Configurarea Parametrilor de Acces la Reţea

1. Infrastructura de comunicaţii, reţeaua de comunicaţii digitale, a ORGANIZATIA este administrată de

2. Pentru a furniza o infrastructură de comunicaţii unitară cu posibilităţi de modernizare toate

7. Tratarea Incidentelor de Securitate şi de nerespectare a Politicii şi Regulamentului de Securitate

Membrii Echipei de Răspuns la Incidentele de Securitate (Membrii ERIS) ai ORGANIZATIA , au

8. Monitorizarea Resurselor Informatice şi de Comunicaţii

10 Crearea şi Utilizarea Copiilor de Siguranţă (Backup)

1. Frecvenţa, dimensiunea şi conţinutul copiilor de siguranţă trebuie să fie în concordanţă cu importanţa

11 Detectarea Tentativelor de Acces Neautorizat

1. Procesele de înregistrare şi verificare a activităţii sistemelor de operare, conturilor utilizator şi

12 Utilizarea Calculatoarelor Portabile

13 Modificări şi Modernizări ale Sistemului Resurselor Informatice şi de Comunicaţii

3. Toate propunerile de modernizare şi extindere a elementelor de infrastructură a sistemului RIC vor fi

14 Utilizare Internet şi Intranet

15. Administrarea Conturilor

1. Toate parolele trebuie să îndeplinească următoarele condiţii:

- Să fie schimbate de utilizator în mod regulat, cel puţin o dată la 90 de zile;

17. Sistemul de Mesagerie Electronică

Următoarele activităţi sunt interzise de regulament:

18. Detectarea viruşilor

19. Licenţe de utilizare

20. Relaţii cu terţi

Planul de Pregătire pentru Situaţii de Urgenţă şi Capacitatea de Răspuns

1. Se închide gazul la locul cel mai apropiat.

1. Rezilierea contractului de muncă în cazul angajaţilor;

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

Acest manual se completează cu următoarele dispoziţii:

4. Proceduri generale de lucru privind exploatarea sistemului Resurselor Informatice şi de

- Procedura P.01 – Intervenţii în cazul defecţiunilor hardware;

- Procedura P.03 – Achiziţii echipamente hardware şi/sau software pe bază de referat de

Pentru achiziţionarea echipamente hardware şi/sau software pe bază de referat de necesitate,

Exploatare/utilizarea aplicaţiilor informatice se face doar de către personalul autorizat în conformitate

Documente/probleme repartizate spre rezolvare Compartimentului Informatică vor fi soluţionate în cel