Scurta prezentare

BRD Groupe Socit Gnrale prezenta in mai mult de 80 de tari avand103.000colaboratoricaredesfasoaraactivitatidiversificate; este a doua banca din Romania dupa capitalizarea bursiera (3,657 mld la sfarsitul lunii august 2012), un nume de referinta atat prin diversitatea si calitatea ofertei sale, cat si prin prestigiul de care sebucura la nivel national si international. BRD detine o retea de peste 800 de agentii si peste 1300 de ATM-uri. Beneficiind de o tehnologie avansata pentru tranzactiile de arbitraj voluntar oferita de Reuters Information Services si Telerate pentru informatiile de specilitate de pe piata bancara international si Reuters Dealing System pentru tranzactii valutare, BRD a actionat pe piata internationala prin operatiuni specifice de tip spot, forward, swap.Arii de activitate Activitatile BRD Groupe Socit Gnrale suntimpartite pe trei axe:

BancapersoanelorfiziceDe la privatizarea sa, BRD s-a angajat intr-o politicavoluntarista de dezvoltare pe piata clientilor persoane fizice, profitand mai ales desinergiacuclientelacomerciala.BRDsenumaraprintrelideriipietei cardurilorbancare si a creditelor pentru consum. Gama sa de produse si servicii comercializatese imbogateste in mod constant, pe masura dezvoltarii pietei bancare.

Banca intreprinderilorBRD se bucura de o experienta bogata in domeniulfinantarii intreprinderilor, fiind prezenta in toate sectoarele economiei si pe toatesegmenteledepiata:microintreprinderi,IMM,mariintreprinderilocalesimultinationale, colectivitati locale. In afara finantarilor clasice, gama de produse siservicii acopera in totalitate gestiunea fluxurilor de numerar, serviciile de leasing sifactoring-ul.

Banca de investitiiBRD este implicata in finantari structurate si ofera solutiicomplexesectoruluipublicsiunuinumar substantial deintreprinderi.Cusprijinulentitatilor specializate ale Socit Gnrale, unul din liderii mondiali pe aceasta piata,BRD isi continua traditia de banca a marilor proiecte de dezvoltare a Romaniei. Deasemenea, este una dintre bancile active pe piata obligatiunilor.

Cadrul normativConceputastfelincatsaraspundacerintelorpersonaluluiimplicatindiferiteactivitati ale bancii, cadrul normativ intern raspunde urmatoarelor principii: Respectarea cadrului legal in vigoare, urmarind atat constrangerile legale cat sispecificul activitatii si organizarii bancii; Uniformitatea stabilirea unor formate tippentru fiecare document normativ; Definirea domenilor de activitate si a activitatilor pe care acestea le cuprindasigura durabilitatea cadrului normativ; Claritatea informatilor limbajul si termenii utilizati nu lasa loc ambiguitatilorsau interpretarilor eronate;Simplitateaformadeprezentaresiexprimareautilizataajutautilizatoruldocumentului normativ sa gaseasca raspunsul/solutia cautata in cel mai scurt timp; Satisfacerea cerintelor utilizatorilor si clientilor deopotriva, prin informarearapidacu privire la noile produse, servicii sau modificarile intervenite in cele existente.Structura organizatorica a bancii Banca Romn pentru Dezvoltare S.A are o structur organizatoric i reguli defuncionare axate pe: asigurarea condiiilor de a crea profit net, prin realizarea activitii bancare pe de o parte,iar pe de alt parte prin exercitarea unui control riguros al costurilor operaionale i al riscurilor; prioritatea acordat clienilor, astfel nct nevoile acestora s fie satisfcute n cele maibune condiii de deservire i de costuri.Sistemul informational bancar Ca orice banc, S.C.B.R.D. S.A.ntreine nactivitatea sacurent-operativ relaiicu toi cei care acioneaz asupra conturilor sale sau ale clienilor ei. De asemenea seexercitoseriederelaiipermanententreunitioperaionaleifuncionalealentreprinderii bancare. Ca orice banc, S.C.B.R.D. S.A.ntreine nactivitatea sacurent-operativ relaiicu toi cei care acioneaz asupra conturilor sale sau ale clienilor ei. Toate aceste activiti i relaii se materializeaz n evenimente pe care instituiaB.R.D.trebuiesaleorganizezencadrulsistemuluipentruprofitabilitateaactivitiisale,corespunztorexigenelorcedecurgdinaplicarenpractic a cerinelor mecanismelor economiei de pia. .Realizarea acestui deziderat presupune organizarea sistemului informaional alB.R.D. potrivit situaiilor actuale, innd seama de realizrile n acest domeniu pe planinternaional irealizarea unei educaii nacest sens a personalului propriu, personalce trebuie s fie n msur a gestiona corect informaia bancar cu costuri ct mai mici iutilitate ct mai ridicat. Sistemul este un ansamblu de elemente materiale sau nemateriale, format ngeneraldinechipamente,metode,tehnici,procedee,modele,personalutilizateninteraciune prin intermediul unui mecanism specific i al unui sistem de control.Acest sistem de control/conducere intr n legtur cu un sistem operant ceasigur , larndul su ,pentru domeniul bancar, transformarea unor fluxuri financiare deintrare n fluxuri financiare de ieire.n sistemele bancare evoluate ntre sistemul de conducere i cel operativ intervineunul informaional, definit ca un set finit de concepte, metode, tehnici, procedee, modele,instrumente i procese utilizate pentru prelucrarea informaiilor i a interaciunilor lorprovenite de la sistemul lor operativ, n vederea transformrii lor n date ce pot fifurnizate sistemului de conducere n condiiile de eficien economic acceptabil, ntr-un context operaional controlabil, n limitele cadrului legal financiar- bancar, n scopulrealizriifunciilororganismuluifinanciar-contabiliaatributelorconduceriiacestuia(comand, coordonare, reglare i control). Astfel se poate afirma c legtura din activitatea de decizie i cea operaional serealizeaz printr-un flux continuu de informaii, n cadrul sistemului informaional bancar. Acestsisteminformaionalbancarlucreazcaunsistemdeinterfantresistemul decizional i cel operativ, avnd la baz un mecanism de freed-back.Se poate afirma c activitatea bancar de calitate este influenat direct deorganizarea i funcionarea sistemului informaional, de operativitate, precizia i calitateainformaiilor culese, prelucrate i transmise ca date.Sistemul informaional bancar ndeplinete rolul de prelucrare normal/automat ainformaiilor transmise de ctre sistemul operant, n scopul furnizrii datelor necesarecontrolului activitii globale asigurate de ctre sistemul de conducere. Practic sistemul informaional are urmtoarele funcii:1.cunoatereafuncionriiispecificulprelucrriirealizatelanivelulsubsistemuluioperant;2.furnizarea de date pertinente, exacte i operative subsistemului de conducere;3.implementarea funciilor eseniale relative la informaiile cu specific financiar-contabil;4.generarea de informaii cu caracter particular financiar-bancar;5.memorarea acestor informaii;6.prelucrarea informaiilor. O analiz a acestor funcii ale sistemului informaional bancar conduce la ideea cacestea pot fi simplificate, diversificate i exploatate prin intermediul tehnicilor operative. n aceste condiii, informatizarea sistemului informaional cuprinde dou nivele distincte:1.nivelulsubsistemuluiinformaionalorganizational -=>carereflectactivitileasociatentreguluiorganismfinanciarbancarprinprismainformaiilor,asarcinilorumane, a sarcinilor informatice, inclusiv a modalitilor de funcionare (servicii, manageri,legturi informaionale directe i indirecte);2.nivelul subsistemului informaionalinformatizat=>prin care se nelege memorarea,prelucrarea si transferul automat al datelor prin intermediul sistemelor electronice decalcul i comunicaie. La nivelul operaional acest sistem informaional este format fizic din reele decalculatoare interdependente instalate la nivelul organismului bancar, iar logic din baze dedatemanipulateprinintermediulunorbazedeproceduriistandardeprelucrate/comunicaie i/sau generatoare de sisteme expert. n sistemul actual de organizare a sistemelor financiar bancare la nivel naional iinternaional,existpatrutendinedeorganizareasubsistemuluiinforma-tionalinformatizat:sistem informatic standard (SIS);sistem expert (SE);sistemul interactiv de asistare a deciziei (SIAD) sau sistem executiv (ESS);sistem informatic mixt (SIM). n concluzie sepoate observa c sistemul informaional bancar structurat pe celedou nivele trebuie s asigure derularea unui flux continuu de informaii intre activitateade conducere i cea operaional, activiti aflate ntr-o interdependen, n care fiecareconstituie suport pentru cealalt. Pentruodinamizareaccentuataacestuifluxinformaionalse impuneostructurare a informaiilor corespunztor necesitilor curente i de perspectiv n ceeace privete prelucrarea automat a datelor.

Analiza aplicatiilor informatice utilizate in cadrul BRD

Urmrindu-i strategia de diversificare continu a gamei de produse i servicii,BancaRomnpentruDezvoltareGroupeSocieteGeneralepuneladispo-ziiaclienilor si un nou serviciu, din gama produselor Electronic Banking: MultiX- serviciude tip banca la distan, menit s faciliteze derularea afacerilor clienilor.MultiXse adreseaz tuturor persoanelor juridice clieni BRD Group SocieteGeneraleinspecialclienilorcareaunevoiesefectuezeunnu-mr maredeoperaiuni de plat i clienilor cu mai multe conturi deschise la uniti diferite.Apelnd la serviciulMultiX, clienii vor putea stabili o legtur direct cu banca,bazat pe un schimb permanent dedate care va permitederularea diverselor operaiunide la sediul firmei clientului. MultiXeste o solutie completa ce integreaza o legatura telematica si un soft, carepermite:recuperarea prin teletransmisie si vizualizarea pe ecranul terminalului propriuinformatiiatat despreconturilebancarealeintreprinderiicatsidesprepiatavalutara;efectuarea deoperatiuni bancarendeplin siguran.Instalarea aplicaiei la client ct i instruirea acestuia cu privire la utilizareaserviciului sunt realizate n mod gratuit de ctre banc.Se poate opta pentru urmatoarele formule: MultiXSTART=utilizareaprincipalelorfunctionalitatipebaza unuiabonament atractiv ; MultiX " la carte"= crearea propriului produs prin combinarea anumitormodule.

Western Union, este liderul mondial n transferul de bani, ofer posibilitatea de atrimite sau primi bani din toat lumea, n cteva minute. Utilizarea sistemului globalWestern Union, este un mijloc sigur, rapid i simplu pentru transfer de bani.Western Unioneste o soluie: Rapid: fondurile sunt disponibile n uniti la aproximativ 10 minute dup efectuareatransferului de ctre expeditor. Simpl: chiar dac nu avei un cont deschis, putei primi banii ntr-una din unitilenoastre. Sigur: transferul are un numr de referin pe care l cunoate numai persoana caretrebuie s primeasc banii i expeditorul. Acest numr va fi folosit la recunoaterea lui. Fiecare transfer este protejat cu ajutorul unui sistem electronic de securitate ipoate fi verificat printr-un Numr de Control i printr-o parol selectat de ctre utilizator.Western Union asigur plata rapid i integral a sumelor, n exclusivitate persoaneiindicate. Banii sunt disponibili n cteva minute de la expedierea acestora. WesternUnion folosete tehnologie electronic de vrf i reeaua global unic de calculatoarepentru plata imediat a sumelor trimise n peste 195 de ri i teritorii.Agenii Western Union din strintate sunt amplasai n locaii avantajoase: oficiipotale, bnci, farmacii, magazine, supermarketuri, gri sau aeroporturi. Majoritateaagenilor au un orar de funcionare convenabil, chiar i la sfrit de sptmn. Celepeste 165.000 de locaii ale agenilor din ntreaga lume fac din Western Union cea maiextins reea de transfer de bani. Fiecare entitate are un server propriu-XUI si utilizatorii acceseaza aceeasi bazade date comuna situata la Centrala Bucuresti.Aplicatia utilizata de BRD se numesteiBankscrisa pe arhitectura CLAINSERVER. In acest mod informatia se scrie direct pe serverul de la Bucuresti. Programul iBank a fost conceput spre sfarsitul anilor 80 de catre o firmaspecializatadinSUA.BRDaachizitionatprodusulin1994/1995 pentruainlocui programul PCBANK, fara insa a transforma aceasta achizitie intr-un veritabil proiect.08.04.2002 este prima zi de lucru in iBank.Vechea aplicatie in PCBANK era scrisa in FOX.Se lucra in DOS, iar iBank este sub sistemul de operare UNI.B. R. D.a implementat sistemul IT, bazat pe aplicaia de software bancar iBank. n decembrie1996, B. R.D. a ncheiat un contract cuICL, princareB. R. D. a cumprat dreptul dea folosi iBank n Romnia pentru un comision anual stabilit n funcie de numrul deutilizatori autorizai. n calitate de integrator de sisteme, ICL s-a angajat s instaleze iBank, n 9 din sucursalele B. R. D. i s pun la dispoziie hard-ul necesar (inclusive servere). ICL a transferat B. R.D. rspunderea privind derularea iBank n ntreaga reea de sucursale. Pentru arealiza acest lucru, B. R.D. beneficiaz deasistenaSocitGnrale, i, nplus, intenioneaz sfoloseasc furnizori locali deservicii n calitate desubcontractori. Simultan, B. R. D. analizeaz procedurile de operare pentru a le facecompatibile cu folosirea iBank. Sub-sistemul de cri de credit a devenit operaional n septembrie1999.Interfaadintresistemuldecridecreditisistemul informatic principal B. R. D. a fost dezvoltat n anul 1999.B. R. D. a implementat un sistem internaional compatibil pentru tranzaciile internaionale, prin instalarea unui pachet software pentru tranzacii financiare, numit BankTradecareproceseazacreditive,scrisoridegaranie,ordinede platincasare. Mai nti se cuvine s notm c iBank este orientat ctre client i nu ctre cont,ceea ce va permite s dispunem de o imagine global despre client, adic s putemalctui n orice moment un inventar al situaiei patrimoniale a clientului, oricare ar fiagenia sau ageniile cu care el lucreaz. Aceast baz de date clieni va putea fi dupaceea definitiv ca sistem de referin pentru toate celelalte aplicaii utilizate de B. R. D.Obiectivele de dezvoltare pentru urmtorii ani depind de capacitatea bncii deadaptare i de anticipare a micrilor pieei. Este vorba de asigurarea structurilor i ainstrumentelorpotriviteidinacestpunctdevedereproiectuldereorga-nizareimodernizare a reelei este cheia de bolt a viitoarei evoluii a bncii.Chiardacestede concepiemai veche,programul iBankrspunde nevoilorB.R. D. mai bine dect Pcbank, att n ceea ce privete concepia (arhitectur client, timpreal), ct i n modul de funcionare, centralizat, care va permite transferul anumitorfuncii de suport, i n special a informaticii, dinspre agenii ctre Central, permind astfel unitilor din reeaua B. R. D. s se concentreze pe funcia lor esenial, cea comercial. Cea mai modern metod de administrare a conturilor la ndemna clienilor B. R.D. G. S. G., avnd acces rapid la banc de oriunde i oricnd, pentru a obineinformaii n timpreal despre situaia conturilor iavnd posibilitatea gestionrii eficientea fondurilor,directdinfaacalculatorului24oredin24,7 ziledin7, prinOn-LineBanking. Astfel pot fi controlate soldul i tranzaciile din conturile personale, pot fitransmise ordine de plat interne sau se pot iniia transferuri interne.Ratele de schimbvalutar,precumirateledobnzilor,suntafiatenmeniulprincipalalsite-uluiwww.brd.ro. n cazul plilor interne sau al schimburilor valutare, clienii trebuie s maiin cont de ora-limit de procesare a acestor tranzacii. Toate ordinele de plat primate de banc vor fi procesate n urmtoarea zi lucrtoare. Ora limit de procesare vadisprea, pentru plile interne, n momentul n care B. N. R. va implementa o platform electronic de prelucrare naional a datelor i sistemul su de compensare naional vafunciona on-line. OnouaaplicaieparalelesteTRANSACTiestefolositnvederea industrializarii creditelor pentru personae fizice. Fiecare utilizator are parol proprie cu care utilizeaz programul iar modificrileefectuate sunt vizualizate i de ceilali utilizatori.Oaltaplicaieeste MEGARA folositpentruFonduldeschisdeinvestitii-SIMFONIA, pentru achiziionare de titluri.

(Valvoi Adelina)

Prezentarea generala a structurii sistemelor informationale la BRD

Adunarea Generala AcionarilorConsiliul de DirectoriConsiliul de ConducereConsiliul de AuditComitete:Comitetul de creditare,Comitetul de gestionare a activelor i pasivelor;Comitetul de risc.Managerul GeneralAuditul internDepartamentul ContabilitateDepartamentul juridicDepartamentul de marketingDepartamentul Resurse UmaneManagerul FinanaciarAdministraiaTrezoreriaDepartamentul Tehnologiilor InformaionaleDezvoltarea Reelelor de ReprezentaneDepartamentul Buget i ControlDepartamentul de CreditareDri de seam(Vasile Andra)

Tipologia sistemelor informationale

( Vasile Andra )

Entitatea auditata: BRDPerioada auditata: 01.01.2012-30.10.2012Auditarea sistemului se securitate al bancii.In urma investigatiilor facute (in urma discutiilor avute cu managerul de securitate) la sediul clientului am obtinut o serie de informatii cu privire la elemente ce tin de securitatea BRD.In ceea ce priveste politica de parole, controlul accesului fizic, clasificarea informatiilor, accesul la internet, procedura de backup si stocare a datelor, programul de antivirus --am realizat verificari si am obtinut dovezi de la client. Am constatat ca banca este conforma cu aceste politici in proportie de 80%. De asemenea, in urma investigatiilor facute, am constatat ca banca nu are definit un plan de actiune in caz de urgenta, pentru evacuare personalului.Banca nu are o politica privind securizarea serverelor, educatie si training de securitate a informatiilor pentru angajati, pentru echipamentele mobile si pentru cei care se conecteaza de la distanta si nici pentru managementul conturilor utilizatorilor.Recomandarile pentru fiecare sectiune auditata se regasesc in fisierele cu politicile testate.

(Scatula Ana Maria)

Manager de securitate + AUDITOR DE SECURITATE

Riscuri asociate sistemului informationala) Riscurile de mediu hardware si retele de comunicatii; A)AMENINTATI NEINTENTIONATE: 1- laptop-urile sunt transportate in conditii improprii, prin urmare exista riscul ca acestea sa se deterioreze fizic mult mai repede2-persoane din exterior pot lua informatii din calculatoarele firmei, pe stick-uri de memorie, prin urmare apare un risc legat de expunerea publica a informatiilor confidentiale ale firmei3-persoane din exterior pot intra in firma cu ajutorul cartelei de acces a anagajatilor4-camerele video de supraveghere sunt oprite pe timpul noptii5-inregistrarile de pe camerele video sunt supravegheate tot de portar: ineficienta, subiectivitate6-senzori de miscare si de zgomot, (inexistenta/neverificarea optima a acestora). B)AMENINTARI INTENTIONATE:1- nu exista un inventar al componentelor externe, prin urmare se pot cheltui sume semnificative in acest sens.2- nu este asigurata o securitate fizica a depozitului3- nu exista un tocator de hartie pentru a distruge documetele folosite softuri de aplicatie; angajatii au acces la mailul personal de pe yahoo/gmail si pot transmite intre ei fisiere virsate sau fisiere cu date confidentiale ale firmei. angajatii au acces pe facebook, si site-uri de stiri "can can".

b) Riscuri asociate mediului : pericole naturale si dezastre; a)NATURAL: angajatii uita sa curete tastatura sau ecranul monitorului de la laptop atunci cand acestea sunt murdare. alterarea sau furtul aplicatiilor, datelor; erori umane sau tehnice; b)UMAN: laptop-urile nu sunt incuiate pe timp de noapte, prin urnare exista riscul ca acestea sa fie furate de catre angajatii firmei sau de catre alte persoane din exterior; incompetenta manageriala; pierderi financiare previzibile.

Politica de clasificare a sistemelor informationale1. Introducere:Aceast politic asigur faptul c resursele informaionale ale BRD primesc un nivel de protecie n conformitate cu importana, nivelul de secretizare i confidenialitatea lor.2. Scop:Obiectivul politicii de clasificare a resurselor informaionale este de a ajuta personalul s determine ce informaii/date pot fi transmise n afara BRD, precum i cele care necesit o autorizare specific n vederea diseminrii lor.3. Aplicabilitate:Resursele informaionale includ informaii stocate electronic, informaii pe hrtie i informaii transmise pe cale oral sau vizual.Politica de clasificare se aplic tuturor resurselor informaionale care se afl stocate pe un suport sau sunt procesate n orice fel de ctre resursele informatice ale BRD n timpul utilizrii resurselor BRD. Toi utilizatorii trebuie s ia la cunotin i s se conformeze acestei politici.4. Politica de clasificare a resurselor informaionale:Informaiile i datele trebuie s fie clasificate n funcie de propriile cerine privind controlul accesului.Emitentul este responsabil de clasificarea informaiei stocate sau procesate de ctreresursele informaionale, pe baza standardelor de evaluare a riscului securitii informaiei, prin cerine specifice de control al accesului i de manevrare.Datele emise i primite de BRD sunt inventariate conform reglementrilor interne privind protecia informaiilor cu caracter restricionat n Banca Comercial Romn.

CLASIFICAREA INFORMATIILOR- INFORMATII SECRETE: datele clientilor bancii, datele angajatilor bancii- INFORMATII CONFIDENTIALE: date privind strategia de dezvoltare, planul de dezvoltare, date privind salariile oferite- INFORMATII INTERNE: regulament de ordine interioara- INFORMATII PUBLICE: rapoartele financiare anuale, detalii despre domeniul de activitate al firmei, servicii si produse oferite, adresa, date de contact.(Vasile Andra)Politica de acces la Internet si Intranet1.Introducere:Aceasta politic definete utilizarea serviciului de internet i intranet. Toi utilizatorii care au acces la internet i intranet, trebuie s cunoasc politica i s se conformeze acesteia. 2. Scop:Aceast politic este stablit pentru a ndeplini urmtoarele:- stabilirea practicilor acceptabile referitoare la folosirea serviciului de internet i intranet;- educarea utilizatorilor care folosesc servicii de internet i intranetn a respecta rspunderile asociate cu aceast utilizare. 3. Aplicabilitate:Aceast politic de acces se aplic tuturor utilizatorilor (personalul BRD, furnizori, parteneri de afaceri, teri) care au acces la internet prin intermediul resurselor informatice ale BRD. Personalul BRD este obligat s cunoasc i s se conformeze acestei.4. Politica de acces la internet i intranet:Utilizarea reelei BRD trebuie s fie conform cu regulile impuse, reglementrile n vigoare i politicile BRD.Toate sistemele de calcul i informaiile create, stocate sau transferate pe alt tip de suport, sunt i vor rmne proprietatea BRD:- router-ele, switch-urile, wireless access-urile sunt puncte vulnerabile i trebuie controlate centralizat pentru a asigura controlul, securitatea i buna funcionare a lor;- echipamentele non-standard (altele dect calculatoarele de birou sau portabile) trebuie aprobate de BRD nainte de a fi conectate la reea n orice locaie sau orice extensie; - BRD poate bloca, restriciona sau limita traficul generat de aplicaii att ct este nevoie pentru a asigura limea de band adecvat pentru aplicaiile prioritare;- ncercrile intenionate i deliberate de a obine informaii nepublicate despre calculatoare din reea sunt interzise;- informaiile sensibile transmise n reele externe trebuie criptate. Utilizarea n interes extraprofesional a internetului este interzis.Toate fiierele i documentele - inclusiv cele personale ( pentru angajare sau pentru acordare de credite unde sunt necesare i documentele personale)- sunt proprietatea BRD i pot fi supuse nregistrrilor, accesate n conformitate cu aceasta politic.(Vasile Andra)AUDIT - VERIFICAREA CONFORMITATII CU POLITICA DE ACCES LA INTERNET In urma observatiilor efectuate la fata locului am constatat urmatoarele:-clientul respecta prevederile din politica de securitate: angajatii nu au acces la site-uri neautorizate, echipamentele folosite sunt autorizate de banca, exista un firewall adecvat si aprobat de banca. Am obtinut, in acest sens, capturi de ecran si confirmari scrise de la client pentru a demostra cele spuse mai sus.Am atasat mai jos una din capturile de ecran primite.

(Scatula Ana Maria)Politica de protectie impotriva virusilor1. Introducere:Implementarea unor politici solide de securitate, blocarea accesului inutil la reele i computere, mbuntirea cunotinelor n domeniul securitii pentru angajai precum i detectarea n faz incipient i reducerea impactului evenimentelor/incidentelor de securitate, sunt cteva msuri care pot fi luate pentru a reduce riscul de securitate a informaiei i pentru a micora costurile cauzate de evenimentele/incidentele legate de viruii informatici.2. Scop :Scopul acestei politici este de a proteja resursele informaionale ale BRD mpotriva viruilor la accesarea resurselor de ctre personalul bncii sau de ctre partenerii de afaceri.3. Aplicabilitate:Aceast politic se aplic anagajailor/terilor ce utilizeaz echipamente care sunt conectate la reeaua BRD prin conexiunea LAN, conexiune wireless sau prin modem.4. Politica de protecie mpotriva viruilor:Computerele deinute de BRD vor folosi un produs software anti-virus(NOD32Antivirus4) , care va fi activ tot timpul. Utilizatorul principal al sistemului este responsabil de meninerea sistemului n conformitate cu aceast politic. - toate staiile de lucru, conectate la reeaua BRD, sau de sine-stttoare, trebuie s foloseasc protecia software mpotriva viruilor i configuraia aprobate de BRD prin reglementrile interne;- protecia software mpotriva viruilor nu trebuie dezactivat sau ocolit;- setrile pentru protecia software mpotriva viruilor nu trebuie modificate pentru a nu reduce eficiena software-ului;- frecvena actualizrilor automate de protecie software mpotriva viruilor nu trebuie modificate prin reducerea numrului acestora;- fiecare server din reeaua BRD trebuie s utilizeze protecia software mpotriva viruilor aprobat de BRD i instalat pentru a detecta i cura viruii din fiierele partajate;- fiecare server de e-mail trebuie s utilizeze protecie software mpotriva viruilor de e-mail i trebuie s fie conform regulilor pentru instalarea i folosirea unui astfel de software;- acei virui care nu sunt automat eliminai de protecia software mpotriva viruilor constituie un eveniment/incident de securitate care trebuie raportat la Help Desk.(Vasile Andra)

AUDIT - VERIFICAREA SISTEMULUI DE ANTIVIRUSAm fost informat de client ca acesta foloseste programul de antivirus NOD 32.Am observat insa ca nu se realizeaza update automat la program. Mai mult, am constatat ca licenta pentru antivirus este expirata, prin urmare nu este asigurata o protectie de 100% a sistemului informatic al bancii.Va rog sa gasiti mai jos captura de ecran cu dovada neregularitatilor gasite pentru programul de antivirus. Clientul nu a putut dovedi ca utilizatorii obisnuiti nu au access la modificarea/dezactivarea antivirusului. Acesta este un punct slab la care banca trebuie sa actioneze pentru a rezolva situatia.

(Scatula Ana Maria)

Politica de control a accesului fizic1. Introducere:Controlul accesului n BRD este fundamental pentru securitatea informaiei, deoarece rolul acestuia este s determine ce persoane i ce sisteme sunt ndreptite s acceseze resursele BRD. Controlul accesului se refer la controalele ce sunt aplicate pentru accesul fizic - de ex. cheile de la o camer sau cldire, i de asemenea se refer i la controalele software destinate s restricioneze accesul la sistemele informatice i la informaiile BRD.2. Scop:Scopul Politicii BRD de control al accesului fizic este reglementarea accesului i utilizarea corespunztoare a resurselor informaionale. Aceste reguli sunt eseniale pentru procesarea, pstrarea integritii, disponibilitii i confidenialitii informaiei n BRD.3. Aplicabilitate:Politica de control al accesului fizic se aplic n mod unitar personalului BRD i terelor pri care au acces la orice resurse informaionale aparinnd bncii.4. Politica de control al accesului fizic:Confidenialitatea i integritatea resurselor informaionale stocate de BRD, trebuie asigurate astfel nct accesul la acestea s fie permis numai persoanelor autorizate. Aceast politic urmrete s reglementeze activitile privind accesul la informaie n scopul prevenirii, detectrii i corectrii evenimentelor/incidentelor de securitate.Aceast politic se aplic tuturor tipurilor de informaii generate, folosite sau deinute de banc utilizate n activitatea proprie.Controalele de securitate informatic nu trebuie s fie eliminate sau nlturate.Toate sistemele de securitate fizic trebuie s fie conforme cu reglementrile interne n vigoare, cum ar fi, dar nelimitndu-se la, msuri de acces n cldire, de prevenire a incendiilor sau de aprare civil.Accesul fizic la resursele informaionale din zonele cu acces restricionat se va face astfel nct accesul s poat fi controlat.Toate locaiile BRD trebuie s fie protejate de accesul fizic neautorizat pe msura importanei i funciunii pe care o ndeplinesc n cadrul BRD.Accesul la resursele informatice pentru diverse intervenii (ntreinere, reparaii) trebuie s fie permis numai personalului de suport al BRD i furnizorilor care, prin natura contractului trebuie s aib acces la aceste resurse (suport tehnic, etc.).Este interzis transmiterea sau mprumutarea cartelelor de acces.Cartelele de acces i cheile care nu mai sunt folosite trebuie returnate persoanei responsabile de securitatea locaiei respective. Acestea nu trebuie re-alocate altei persoane dect prin intermediul unei procedurii specifice.Cartele de acces/cheile pierdute sau furate trebuie s fie anunate persoanei responsabile de securitatea locaiei respective (persoanei care rspunde de administrativ/dispeceratului pentru administraia central) .Cartelele de acces i cheile nu trebuie s conin informaii de identificare n caz de gsire accidental.Persoana responsabil de accesul n sediul BRD trebuie s elimine drepturile de acces persoanelor care se mut din locaie sau nu mai lucreaz n cadrul BRD. n zonele cu acces prin cartel de acces, vizitatorii trebuie s se deplaseze numai nsoii. Acetia trebuie supravegheai iar datele i orele lor de intrare i de ieire trebuie nregistrate. Trebuie meninut n condiii de siguran o istorie a tuturor intrrilor, n scopul auditrii.Tot personalul BRD trebuie s poarte ecuson pentru identificare i trebuie instruit s abordeze persoanele strine nensoite sau care nu poart identificatorul.Drepturile de acces n zonele securizate trebuie revizuite i actualizate permanent de ctre persoana responsabil pentru securitatea sediului. Aceasta trebuie s nlture drepturile de acces ale celor care nu mai au nevoie de acestea.(Vasile Andra)

AUDIT- VERIFICAREA POLITICII DE CONTROL A ACCESULUI FIZIC.In calitate de auditor, am verificat (prin obervare directa la fata locului) prevederile continute de aceasta politica de securitate si am constatat urmatoarele:-cartelele de access sunt imprumutate intre angajati si este permis sa intre mai multe persoane(chiar si straine) cu aceeasi cartela-angajatii poarta foarte rar ecusonul pentru identificare-filmarile de pe camerele de supraveghere sunt stocate in conditii improprii (loc cu umiditate crescuta)-exista un singur portar/paznic care nu face fata fluxului continuu de intrari/iesiri din cladire.

Masuri propuse: -accesul sa se faca pe baza de card+cod unic de access. -sa se angajeze inca un portar/paznic-sa se gaseasca un mediu mai sigur pentru stocarea casetelor.(Scatula Ana Maria)Politica de parole1. Introducere:Politica de parole a BRD se adreseaz ntregului personal BRD care folosete resursele bncii ( calculatoare, calculatoare portabile etc.).Accesul la resursele informaionale ale BRD de ctre o persoan neautorizat, poate conduce la pierderea integritii, confidenialitii i disponibilitii informaiei i poate produce pierderi financiare i scderea credibilitii i ncrederii clienilor i a non-clienilor n BRD.2. Scop:Aceast politic de parole are ca scop restricionarea accesului logic la sisteme, echipamente i informaii proprietatea BRD i limitarea dreptului de acces prin utilizarea parolelor.3. Aplicabilitate:Aceast politic se aplic tuturor persoanelor pentru care sunt generate conturi n baza de date a BRD, care utilizeaz echipamentele bncii n vederea accesrii resurselor informatice ale acesteia (sau de orice alt form de acces care necesit o parol de acces) sau stocheaz orice informaie restricionat aparinnd BRD.4. Politica de parole:Toate parolele, inclusiv cele iniiale, trebuie s fie construite i implementate conform urmtoarelor reglementri BRD:- schimbarea periodic a parolelor;- evitarea meninerii unei evidene pe hrtie a parolelor; - selectarea unor parole a cror complexitate s fie conform tehnicilor avansate din domeniul IT;- s fie uor de inut minte;- s nu aib la baz nimic ce ar putea fi uor de dedus sau obinut din datele personale, de exemplu nume, CNP, numere de telefon, date de natere etc.- s nu conin caractere identice consecutive, sau caractere exclusiv numerice sau alfabetice;- s nu partajeze parolele individuale (s nu foloseasc parole unice pentru mai muli utilizatori);- s evite propagarea altor parole dac le cunosc;- s schimbe parolele iniiale imediat dup instalarea programelor software;- trebuie pstrat un istoric al parolelor pentru a preveni reutilizarea.Parolele de acces ale utilizatorilor nu trebuie divulgate nimnui. BRD i furnizorii lor nu au dreptul s cear utilizatorilor s divulge parola lor.Token-urile de securitate (ex smartcard-urile) trebuie returnate la cerere sau la ncetarea relaiei contractuale cu BRD.Sistemele informatice nu trebuie lsate nesupravegheate far folosirea unui screensaver protejat de parol sau blocrii sistemului.Politicile de schimbare a parolelor de ctre helpdesk trebuie s cuprind urmtoarele:- autentificarea utilizatorului la help-desk nainte de schimbarea parolei;- schimbarea ctre o parol complex;- utilizatorul va trebui s i schimbe parola la prima iniializare de sesiune.- n cazul descoperirii parolelor, trebuie urmai paii:- punerea controlului asupra parolei i protejarea ei;- raportarea descoperirii la helpdesk-ul BRD;

(Vasile Andra)

AUDIT - VERIFICAREA CONFORMITATII CU POLITICA DE PAROLEConform investigatiilor realizate la client am constatat urmatoarele:Angajatii care au incetat contractul de munca cu banca nu returneaza dispozitivele electronice folosite.Am fost informat ca se folosesc urmatoarele setari pentru parole:-lungimea minima a parolei 9 caractere, din care minim o cifra, minin un caracter alfa numeric-dupa 3 incercari nereusite, accesul este blocat-perioada de valabilitate a parolei este de 90 de zile.Recomandari:-perioada de valabilitate a parolei sa fie redusa la 25 de zile-lungimea minima de 10 caractere-sa se ia masuri cu privire la angajatii care nu returneaza dispozitivele bancii(Scatula Ana Maria)Politica de securitate in domeniul resurselor umane1. Introducere:Prin politica de securitate a informaiilor n domeniul resurselor umane se asigur c toi salariaii i terele pri sunt ncunotiinai de ameninrile privind securitatea informaiei i se stabilesc responsabilitile i obligaiile fiecrei pri. 2. Scop: Scopul acestei politici este de a defini modul prin care personalul trebuie s protejeze informaia BRD i resursele informatice precum i responsabilitilor de securitate ce le revin conform reglementrilor interne i a contractului colectiv de munc.3. Aplicabilitate:Aceast politic stabilete cerine specifice pentru ndeplinirea obiectivelor de securitate i se adreseaz tuturor angajailor din BRD i terelor pri cu care colaboreaz.4. Politica de securitate a informaiei n domeniul resurselor umane:Politica general de securitate a informaiei va fi comunicat i disponibil pentru toi angajaii i terele pri care acioneaz n numele BRD i al tuturor celor care pot avea impact asupra securitii i integritii resurselor BRD.Responsabilitile de securitate ale angajailor i terelor pri trebuie s fie bine definite i documentate n concordan cu politicile specifice de securitate a informaiei.Responsabilitile de securitate includ cerine referitoare la: acionarea n concordan cu politica de securitate a informaiei, protejarea resurselor BRD mpotriva accesului neautorizat, modificrii, distrugerii sau interferenelor, desfurarea unor activiti specifice de securitate, pentru asigurarea responsabilitii fiecrui salariat, referitoare la raportarea evenimentelor de securitate a informaiei sau a altor riscuri de securitate pentru BRD.Responsabilitile de securitate trebuie s fie bine definite i comunicate candidailor la angajare n timpul procesului de selectare a acestora naintea angajrii (pre-employment).Ca parte a obligaiilor lor contractuale angajaii, contractanii i terele pri trebuie s accepte i s semneze condiiile impuse prin contract prin care se stabilesc responsabilitile pentru securitatea informaiei.Conducerea executiv a entitii trebuie s solicite angajailor, contractanilor i terelor pri s aplice msurile de securitate n concordan cu politicile specifice pentru securitatea informaiei.Toi salariaii, i dac este cazul contractanii i terele pri, trebuie s primeasc un nivel corespunztor de pregtire i s fie informai periodic cu privire la revizuirea acestora.Evenimentele ce in de nerespectarea reglementrilor interne i politilor specifice pentru securitatea informaiei pot avea ca rezultat msuri disciplinare dispuse de Comisia de disciplin. Aceasta, trebuie s dispun msuri corecte pentru angajaii care sunt suspectai de producerea unor bree de securitate serioase.Toi angajaii, contractanii i terele pri trebuie s napoieze resursele BRD aflate n posesia lor la ncheierea contractului. La ncheierea derulrii contractelor vor fi retrase drepturile de acces la informaie i la facilitile de procesare a informaiei ale angajailor, contractanilor i terelor pri. Riscurile de securitate a informaiei la nivelul sistemelor i informaiilor bncii trebuie reduse prin contientizarea personalului, ncurajarea vigilenei i prin introducerea de sisteme i echipamente de protecie.Contractul individual de munc pentru fiecare angajat BRD trebuie s cuprind clauze privind respectarea drepturilor de proprietate intelectual i de pstrare a confidenialitii asupra rezultatelor activitii desfurate i dup ncetarea relaiilor contractuale cu banca. Clauzele i condiiile de angajare trebuie s defineasc clar responsabilitile angajatului referitoare la securitatea informaiilor.Fr a dori s lezeze dreptul la intimitate al angajailor BRD la locul de munc, banca prin persoane autorizate i rezerv dreptul de a avea acces la toate informaiile coninute i stocate n sistemele bncii.

(Vasile Andra)Politica de stocare a datelor1. Introducere:Dateleconstituie resurse informaionale valoroase ale BRD. Lipsa accesului la datepoate cauza neplceri i poate provoca, n multe cazuri, daune ireparabile BRD-ului. 2. Scop:Scopul acestei politici pentru asemenea date este de protecie att fizic, ct i electronic, i luarea unor msuri de prevedere privind recuperarea lor n cazul unui dezastru sau atac cibernetic ndreptat asupra resurselor informaionale ale BRD..3. Aplicabilitate:Aceast politic stabilete standardele minime privind stocarea datelor accesate de ctre toate sistemele informaionale ale BRD.4. Politica de stocare a datelor:Toate serverele utilizate n activitatea bancar considerate de importan critic i datele asociate acestora sunt amplasate ntr-un mediu fizic securizat cu control acces, care nu permit utilizatorilor neautorizai accesul fizic la datele sau mediile serverelor.Toate datele vor fi salvate n copii de siguran n mod regulat aa dup cum este cerut de ctre responsabilul datelor i aplicaiilor, iar aceste back-up-uri vor fi stocate n afara locaiei surs.Toate mediile de stocare a datelor vor fi protejate de intruziunile electronice prin implementarea de firewall-uri cu caracteristici adecvate pentru detectarea intruziunii. Aceste firewall-uri i implementri de soluii de detectare a intruziunilor vor fi redundante, ori de cte ori acest lucru este cerut de ctre responsabilii datelor i aplicaiilor.Toate datele de importan critic vor ndeplini cerinele curente ale BRD de disponibilitate i integritate.n ceea ce privete BRD sau entitile funcionale/unitile teritoriale specifice, toate resursele de stocare pentru datele de importan critic trebuie s fie amplasate ntr-o locaie fizic care ofer un mediu cu temperatur controlat, putere redundant de back-up, stingere automat a incendiilor, mentenan, monitorizare a serverelor i raportare i controale de acces restrictiv.

(Vasile Andra)

Politica de Back-Up1. Introducere:Back-up-urile electronice sunt o cerin a afacerii bncii pentru a fi permis recuperarea datelor i a aplicaiilor n cazul distrugerii, pierderii sau al deteriorrii lor ca urmare a unor evenimente, cum ar fi dezastre naturale sau provocate, cderi ale hard disk-ului al sistemului n totalitate, spionaj, erori de introducere a datelor sau erori ale operaiilor de sistem.2. Scop:Scopul acestei politici este de a stabili regulile pentru back-up i pentru stocarea informaiilor electronice.3. Aplicabilitate:Politica de back-up a BRD se aplic tuturor persoanelor din cadrul BRD care sunt responsabile de instalarea i suportul resurselor informatice, persoanelor nsrcinate cu securitatea resurselor informatice i responsabililor de date.4. Politica de back-up:Frecvena i extinderea back-up-urilor trebuie s fie n concordan cu importana informaiilor i cu riscul de securitate a informaiei acceptabil, aa dup cum a fost determinat de ctre responsabilul de date.- back-up-ul resurselor informatice ale BRD i procesul de recuperare pentru fiecare sistem trebuie s fie documentate i revizuite periodic;- stocarea datelor de back-up n afara locaiei BRD trebuie s fie capabil s manevreze informaii stocate de cel mai nalt nivel;- controalele de acces fizic implementate la locaiile de stocare ale back-up-urilor n afara locaiilor BRD trebuie s fie cel puin la fel de multe ca celelalte controale de acces fizic ale sistemelor surs. n plus, mediile de back-up trebuie s fie protejate n conformitate cu nivelul de sensibilitate cel mai nalt al BRD pentru informaiile stocate;- trebuie s fie implementat un proces privind verificarea reuitei de realizare a back-up-urilor electronice ale informaiilor BRD;- back-up-urile trebuie s fie testate periodic pentru a se asigura faptul c sunt recuperabile;- cardurile cu semntur digital deinute de ctre tera parte pentru accesul la mediul de back-up din afara locaiilor BRD, trebuie s fie revizuite anual sau ori de cte ori o persoan autorizat prsete BRD;- mediile de stocare a back-up-urilor trebuie s aib cel puin un criteriu de identificare dintre cele menionate mai jos, criteriu care s poat fi identificat prin etichete i/sau sisteme de cod de bare:1) denumire sistem; 2) dat de creare;3) clasificare sensibilitate (pe baza reteniei electronice de nregistrri aplicabil);4) informaii de contact.

(Vasile Andra)AUDIT - POLITICA DE STOCARE SI BACKUPAm obtinut capturi de ecran cu exemple de backup realizate pe parcursul unei saptamani.Insa, la momentul de fata clientul nu are formalizata o procedura in acest sens.(Scatula Ana Maria)

Manager ITAtribuii i responsabiliti ale departamentului de informatica: asigur supervizarea sistemului informatic i de comunicaiiale grupului; supervizeaz activitatea informaticienilor din unitile grupului; mpreun cu departamentul sisteme informatice propune planul de formare al echipei informatice din unitile grupului; supervizeaz organizarea Back-up-ului la nivelul ntregului grup.

Domeniul gestiune riscuri Gestiunea riscurilor intervine asupra tuturor activitilor bancare. Aceste meserii ofer ocazia unic de a dobndi cunotine complete asupra tuturor activitilor bncii. Printre cei care se ocupa de acest aspect se numara si inspectorul care stabilete sauvalideaz normele, instruciunile iproceduriledecontrolintern,de supraveghere, de securitate si protecie bancar, realizeaz aciunile de control i face nconsecin propuneri de ameliorare a activitii, efectueaz controlul n domeniul supravegherii i proteciei bancare.

Amenintari: calculatoarele/laptop-urile sunt lasate conectate la sursa de curent pe timpul noptii, prin urmare exista riscul ca acestea sa fie afectate de socurile electrice angajatii isi lasa sticlele cu apa/suc/cafea fara capac langa unitatea centrala, prin urmare exista riscul ca lichidul sa se verse pe aceasta si sa ii provoace daune fizice angajatii lipesc magenti pe partea din spate a ecranului laptop-ului,prin urmare exista riscul , ca in timp, sa se strice ecranul angajatii au acces liber la instalarea si utilizarea de componente externe(imprimante, stick-uri de memorie). Calculatoarele si echipamentele periferice pot fi bruscate sau utilizate incorect de catre angajati, putand provoca defectiuni importante ce determina costuri cu reparatii anagajatii pot instala programe de pe internet fara licenta,desi nu au drepturi de administrator=>virusare a calculatorului utilizarea unei aplicatii care este depasita dpdv tehnic si nu mai poate tine pasul cu tehnologia=>aplicatie ineficienta=>costuri ridicate, pentru ca apar dificutati in update si spatiu de stocare Personalul in sine e o amenintare pentru ca are acces la datele firmei, mai ales daca e neinstruit

Vulnerabilitati: Angajatii neinstruiti cu privire la confidentialitatea anumitor tipuri de informatii, pot divulga intentionat sau nu acestea producand daune morale sau materiale Daca angajatul nu realizeaza back-up zilnic exista pericolul de pierdere a informatiilor cauzat de intreruperi de current sau alte defectiuni ale sistemului Anumiti angajati permit altor angajati sa acceseze sistemul folosind datele lor de logare, astfel existand riscul de deterioarare a anumitor informatii sau divulgare a lor Daca antivirusul este fara licenta sau nu este instalata o versiune actualizata exista riscuri de contactare a virusilorMasuri de inlaturare a vulnerabilitatilor si amenintarilor: Se organizeaza periodic sesiuni de informare a personalului angajat cu privire la manevrarea calculatoarelor si echipamentelor periferice, precum si la tipurile de date la care acestia au acces (de interes public, clasificate), responsabilitatile privind securitatea datelor procesate si confidentialitatea informatiilor restrictionate publicului Asigurarea conditiilor optime (temperature, protectie) computerelor Se realizeaza periodic revizii de catre tehnicianul IT Angajatii au 3 categorii de user si parola si anume pentru: Windows, Xicom si I-Bank Accesul la programul Xicom se face pe baza de user(teller) si parola, vizualizarea si modificarea datelor se poate face doar de catre persoanele autorizate Accesul la internet este restrictionat, angajatii au acces doar la anumite site-uri necesare realizarii sarcinilor si mai au la dispozitie si intranet-ul folosit principal pentru aplicatii si vizualizare norme, procedure etc. Zilnic se realizeaza back-up pe servere (sunt 3 categorii: la nivel de agentie, la nivel de grup si la nivelul sediului central) pentru tranzatiile realizate in ziua respective Utilizarea doar a programelor cu licenta

Politica utilizrii adecvate (exemplu de politica)

O astfel de politic analizeaza si defineste utilizarea corespunztoare a resurselor informatice din organizaie. Utilizatorii trebuie s o citeasc i semneze atunci cnd i exprim intenia de deschidere a unui cont de utilizator. Utilizatorii trebuie sa protejeze informatiile clasificate ca fiind private Chiar daca utilizatorii au acces la mai multe tipuri de informatii, unele din ele nefiind ale lor, acestia nu trebuie sa citeasa sau sa copieze fisiere despre care stiu ca nu ii priveste sau divulgarea lor poate crea probleme Utilizatorii pot modifica fisierele la care au drept de scriere dar care sa le si apartina, modificarea altor fisiere nu este permisa chiar daca au drept de scriere (cu expectia in cazul in care este specificat expres de catre un superior) Utilizatorii nu trebuie sa faca copii ale fisierelor de configurare a sistemului in scopul folosirii personale sau pentru a le procura altor terte personae Utilizatorii nu trebuie sa aiba dreptul de a face oricate copii de pe softul procurat cu licenta de utilizare

(Vizitiu Claudia)

Auditor ITAmenintari:1.Exista riscul ca echipamentele IT sa fie neprotejate in cazuri de: incendiu, furtuna cutremur, suprasolicitare a retelei electrice. La fata locului am descoperit 3prize de alimentare cu curent electric topite, ca urmare a unei suprasolicitari electrice.Ca masura de evitare a unor astfel de situatii pe viitor, am propus managerului IT inlocuirea prizelor vechi de alimentare cu cele de tipul BRC, dotate cu capace de 8mm.2.La 12 din 56 de calculatoare am observat faptul ca unitatile centrale sunt prevazute cu un mecanism care permite lichidelor sa se mentina calde pe intreaga perioada a zilei, datorita alimentarii cu energie electrica.Exista riscul ca lichidele sa se verse si sa provoace un scurt circuit,tinand cont si de faptul ca prizele de alimentare cu energie electrica sunt dispuse la nivelul podele,fiind neacoperite. 3.Din surse oficiale, am aflat informatii referitoare la datele personale (care, in mod normal sunt date confidentiale) ale clientului Popescu Marius de la unul dintre membrii personalului intern; astfel am remarcat divulgarea neautorizata a informatiilor.4.La calculatorul prevazut cu IP-ul: 169.12.11.07, in istoricul cautarilor prin intermediul Google,am descoperit programe (ex:Torrent) care au generat plantarea de cai troieni la nivelul sistemului de operare.Am apelat la scanarea computerului cu ajutorul programului anti-virus Avast,descoperind astfel la nivelul unitatii D foldere infectate,ce contineau fotografii personale ale utilizatorului calculatorului, precum si clipuri video.5.In timpul vizitei la client,am observant ca unul dintre angajati s-a implicat in instalarea unei imprimante multifunctionale de tipul Canon Pixma IP 2000; aceasta atributie nu a cazut in sarcina administratorului IT.Am aflat, ulterior ca, persoana insarcinata cu instalarea diverselor periferice era plecata din sediul central catre o agentie BRD.6.Pentru siguranta faptului ca la nivelul programelor pe care personalul intern le foloseste,sunt folosite parole si conturi de utilizatori,am testat contul si parola unuia dintre salariati. La deschiderea programului iBank, concomitant s-a declansat o pagina de Internet, dovada a faptului ca la nivelul sistemului de operare a fost inregistrat un virus informatic.7. In holul sediului central am descoperit 5 calculatoare Compaq DX 2983, achizitionate in 1997, puse la dispozitia clientilor pentru a afla diverse informatii de pe Internet. Aceste calculatoare nu mai functioneaza la parametric normali (propun inlocuirea lor in timp util/scoaterea complete din functiune), fiind astfel predispuse mult mai usor la atacuri informatice fara constrangeri.

Vulnerabilitati1. In urma inspectiei antivirusului Avira, am descoperit faptul ca la 5 calculatoare nu a fost instalata o versiune actualizata a acestuia, existand riscul ca fisierele sa fie infectate, denaturand astfel informatiile procesata pana la acel moment dat.2. In componenta user name-ului nu exista o prescurtare a functiei ocupate la nivelul institutiei sau o alta modalitate de diferentiere a personalului operator fata de personalul IT. Exista posibilitatea ca un programatoradministrator IT sa efectueze operatiuni neautorizate, care sa fie descoperite dupa cativa ani (dupa aceasta perioada ar putea exista posibilitatea ca persoana care a denaturat informatiile sa nu mai lucreze in institutie).3. In luna septembrie 2012 a fost achizitionata o imprimanta multifunctionala, iar angajatii nu au fost instruiti cum sa o utilizeze (fax,scanner, Xerox).4. In urma analizei fiselor tehnice, am sesizat faptul ca revizia tehnica a calculatoarelor si perifericelor a fost realizata in urma cu 10 luni. Se recomanda revizia tehnica o data la 6 luni.5. Se recomanda mentinerea sistemului de operare Windows, deoarece este compatibil cu programele in care angajatii isi desfasoara activitatea.6. Deoarece este un process complex si de durata, se recomanda ca back-up-ul pe servere sa se realizeze dupa cum urmeaza: la nivel de agentie- 2 ori pe saptamana, in zilele de miercuri si vineri; la nivel de grup si de sediu central 3 ori pe saptamana, lunea, miercurea si joia.

Auditarea poloticii utilizarii adecvate Ca urmare a analizei politicii utilizatii adecvate, am sesizat ca:- nu exista un registru in care fiecare angajat sa semneze ca a luat la cunostinta politica si ca exista intentia de deschidere a unui cont de utilizator;-nu exista o politica la nivelul departamentului IT, in care sa se regaseasca informatiile clasificate;-informatiile interne la care au acces utilizatorii (inclusiv cele care nu sunt personale) ar trebui securizate

(Valvoi Adelina)Manager de baze de dateAmenintari ale personalului: Operatorii care pot efectua operatiuni neautorizate din greseala sau intentionat. Programatorii care au acces la toate informatiile bazei de date. Proceduri de securitate impotriva acestor amenintari din partea personalului:1. Aplicatia care monitorizeaza baza de date va jurnaliza activitatea fiecarui cont de utilizator: data, ora si operatiunile executate .2. Instruirea periodica a utilizatorilor privind securitatea datelor folosite.3. Folosirea parolelor complexe formate din litere mari si mici, cifre si caractere speciale.4. Dupa 3 incercari nereusite se blocheaza contului.5. Acordarea nivelului de acces la informatii in baza de date se va face in stricta corelatie cu atributiile din fisa postului.Amenintari hardware: Sistemul de stocare a informatiilor din baza de date poate sa sufere defectiuni (ex: defectarea unei piese) astfel informatiile sa numai poata fi utilizate. Procedura de securitate: pentru hard diskuri am ales o configuratie RAID care sa tina informatiile duplicate in permanenta pe un alt hard disk. Absenta back-up-ului sau imperfecta stocare a acestuia Procedura de securitate: realizarea periodica de copii"backup": 5 zile Serverul care gestioneaza baza de date nu poate fi utilizat in cazul in care Firewall-ul nu functioneaza corespunzator

Amenintari software: Nefunctionarea corespunzatoare a programelor instalate care urmaresc si impiedica conectarea altor client neautorizati la serviciile oferite de baza de date. Procedura de securitate: instalarea programelor antivirus, ex: NOD32Antivirus4, care pe langa functia de depistare a programelor de tip virus mai are si functia de depistare a programelor spion care urmaresc si pot furniza in mod illicit date referitoare la baza de date. Exemplu: Programe care pot citi ce se afiseaza pe monitor sau ce se transmite prin intermediul e-mail-urilor. In timpul exploatarii pot fi depistate anumite tipuri de erori in functionarea programului bazei de date. Programe de tip virus Procedura de securitate: folosirea programelor antivirus actualizate in fiecare zi cu ultimele semnaturile de virusi.

Vulnerabilitati: Erorile pe care le descopera si le face cunoscute producatorul programului de baze de date. Procedura de securitate: instalarea update-urilor.

(Vatulescu Alexandra)