Politica Securitate

85
POLITICA DE SECURITATE A INFORMAŢIEI in Remarul 16 Februarie S.A Iniţiator: 2012 Titlul Instrucţiunii: Politica de securitate a informaţiei in S.C. Remarul16Februarie SA Autor: .2012 Ai!at de CAR: 2012 A"robat de CA :.2012

description

Politica Securitate

Transcript of Politica Securitate

POLITICA DE SECURITATE A INFORMAIEI in Remarul 16 Februarie S.AIniiator: 2012

Titlul Instruciunii:

Avizat de CAR: 2012 Aprobat de CA :.2012

Politica de securitate a informaiei in S.C. Remarul16Februarie SA

Autor:

Data publicrii

.2012Amendament la versiunea din data:

N/A

Versiunea

Prima (1)

Data notificrii la BNR:

01.08.2012

Ctre :

Direcia Juridica, Direcia Organizare&Metodologii, Direcia Conformitate, Direcia Tehnologia Informaiei

In atenia:

, Preedinte

Rezumat al coninutului:

In fiecare zi S.C. Remarul 16 Februarie utilizeaz informaii intr-o varietate de forme - scrise, orale sau electronice. Cream, utilizam, procesam, stocam, transmitem si in final eliminam informaiile noastre.

Informaiile sunt unele dintre cele mai importante active comerciale si este vital ca noi sa le protejam ntotdeauna contra abuzului si pierderii. Politica de Securitate a Informaiei este conine cerinele si controalele necesare securizrii informaiilor noastre si a sistemelor ce le susin.

Aceasta versiune conine urmtoarele schimbri:

N/A

PROPUNERE Pentru edina CA S.C. Remarul 16Februarie SA

din .2012

TitlulPolitica de securitate a informaiei in S.C. Remarul 16 Februarie SA

Tipul hotrriiAprobare CA/ Avizare CAR

Numele si semntura autorului si a directoruluiAutor:

Agreata de direciile implicateDenumirea direciilor:Semntura directoruluiData / comentarii

Dir.Juridica

Dir.

Dir.

Dir.

Hotrrea este solicitata de

Avizata/ Aprobata de CAR/CAData: .2012Minuta edinei CA la pct..-

Preedinte

Data predrii la DOMNr / Codul registrul DOM : B476 IX-09/15.03.2012

Data notificrii la BNR.2012

Instruciunea nr 476 privind

Politica de securitate a informaiei Cuprins

Cap. I. Dispoziii generale

1.1 Obiectiv5

1.2 Scop si aplicabilitate5

1.3 Cadrul de reglementare6

1.4 Definiii, Clasificri, Abrevieri7

Cap.II. Dispoziii de coninut

2.2.Utilizarea acceptabila35

2.2. Managementul riscului privind informaiile48

2.3. Controlul accesului58

2.4. Securitatea furnizorilor teri67

2.5. Securitatea in ciclul de dezvoltare a sistemelor73

2.6. Securitatea aplicaiilor78

2.7. Securitatea infrastructurii de calcul86

2.8. Securitatea reelelor97

2.9. Securitatea operaionala104

2.10. Pstrarea documentelor120

Cap.III Dispoziii finale

3.1 Aprobarea120

3.2 Abrogri120

3.3 Intrarea in vigoare120

Cap. I. Dispoziii generale 1.1 Obiectiv

In fiecare zi S.C. Remarul 16 Februarie S.A. utilizeaz informaii intr-o varietate de forme - scrise, orale sau electronice. Cream, utilizam, procesam, stocam, transmitem si in final eliminam informaiile noastre.

Informaiile sunt unele dintre cele mai importante active comerciale si este vital ca noi sa le protejam ntotdeauna contra abuzului si pierderii. Politica de Securitate a Informaiei este destinata securizrii informaiilor noastre si a sistemelor ce le susin. Respectnd Politica Standard noi:

reducem riscul apariiei unor infractiuni rezultand din pierderea sau compromiterea informatiilor

protejam clienii notri curenti si viitori;

ne protejam reputaia si marca; si

ne indeplinim obligatiile legale si de reglementare

Neprotejarea informaiilor poate rezulta in consecine foarte grave pentru entitate si pentru parteneri. Acestea pot include aciuni de executare ale autoritilor de reglementare, rspundere penala, amenzi, precum si nclcri ale securitii ce cauzeaz un impact material asupra funcionarii entitatii, cum ar fi pierderi financiare si prejudicii asupra reputaiei. In plus, informaiile pierdute sau furate ii pot expune pe clienii notri riscului infraciunii financiare, inclusiv furtul de identitate, si submineaz ncrederea clienilor .

1.2 Scop si aplicabilitate

Politica de securitate a informaiei definete principiile si controalele minime necesare protejrii Informaiilor companiei si Sistemelor IT. Politica subliniaz controalele obligatorii ce trebuie urmate pentru a securiza Informaiile companiei de-a lungul ciclului lor de viata. Controalele pun accentul pe "ce" este necesar pentru conformitate mai degrab dect "cum", permind o mai mare flexibilitate pentru ca departamentele si funciile sa determine cum sa se conformeze cel mai bine, prin propriile lor procese si proceduri operaionale.

Directorul general executiv (Chief Executive Officer - CEO) si Vicepreedintele Diviziei creia ii aparine Direcia Operaiuni (Chief Operating Officers - COO) sunt rspunztori pentru implementarea si monitorizarea conformitii continue cu Politica de securitate a informaiei. In cadrul departamentelor si funciilor, directorii de divizii (Divisional Policy Standard Owners - DPSO) si persoanele desemnate din cadrul fiecrei divizii (Funcional Policy Standard Owners - FPSO) conduc si susin implementarea Politicii de securitate a Informaiei si monitorizeaz respectarea continua a acesteia, in conformitate cu Politica standard a cadrului politicilor de grup - GPF.

Unitile din cadrul companiei sunt responsabile pentru implementarea cotidiana a controalelor. Rubrica pe fond gri de sub fiecare control indica funcia responsabila de acel control.

Politica de Securitate a Informaiei este impartita in urmtoarele domenii de control:

Utilizare acceptabila

Managementul riscului privind Informaiile

Controlul accesului

Securitatea furnizorilor teri

Securitatea in ciclul de dezvoltare a sistemelor

Securitatea aplicaiilor

Securitatea infrastructurii de calcul

Securitatea reelelor

Securitatea operaionala

Seciunea de utilizare acceptabila conform Politicii de securitate a informaiei este destinata tuturor angajailor, contractorilor si utilizatorilor tere parti cu acces direct la Informaiile companiei. Celelalte seciuni sunt destinate unor grupuri de audienta mai specifice sau specializate.

Fara controale adecvate de securitate, Informaiile companiei ar putea fi:

furate, sau divulgate fara autoritate;

indisponibile atunci cand sunt necesare pentru utilizare sau pentru procese comerciale;

distruse fara autoritate, sau insuficient pentru a se asigura irecuperabilitatea lor totala;

modificate fara autoritate sau din greeala;

folosite abuziv de ctre angajai sau tere parti; si

neconforme cu cerinele de securitate a informaiei din jurisdiciile legale si de reglementare in care opereaz Companie.

Prezenta politica se aplica tuturor angajailor, contractorilor si utilizatorilor tere parti, inclusiv tuturor departamentelor, funciilor de control si funciilor de asistenta, care opereaz cadrul S.C. Remarul 16Februarie SA.

Politica standard guverneaz toate Informaiile companiei in orice format sau mediu de stocare (fizic sau electronic) create sau primite in desfurarea activitii Companiei. Respectarea Politicii standard este o obligaie pentru toti angajaii, contractorii si utilizatorii tere parti cu acces direct la sistemele IT ale companiei.

1.3 Cadrul de reglementare

Principalele acte normative aplicabile sunt menionate mai jos si trebuie luate in considerare astfel cum au fost si vor fi modificate, nlocuite sau suplimentate:

;

Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date;

Politica de securitate a informaiei a S.C. Remarul 16 Februarie S.A.

Politica de continuitate a afacerii a S.C. Remarul 16 Februarie S.A;

Politica de continuitate IT a S.C. Remarul 16 Februarie S.A;

Politica de management al incidentelor a S.C. Remarul 16 Februarie S.A

1.4 Definiii, Clasificri, Abrevieri

TermenDefiniie

ActiveXActiveX este un cadru pentru definirea de componente software reutilizabile intr-un mod independent de limbajul de programare. Aplicaiile software pot astfel sa fie compuse din una sau mai multe dintre aceste componente pentru a fi funcionale. Multe aplicaii Microsoft Windows, cum ar fi Internet Explorer, Microsoft Office, Microsoft Visual Studio, si Windows Media Player, utilizeaz controale ActiveX. Internet Explorer permite, de asemenea, incorporarea de controale ActiveX in pagini de internet. Exemplele includ aplicaii personalizate pentru colectarea de date, vizualizarea anumitor tipuri de fiiere, precum si afiarea animatiilor.

Controalele ActiveX sunt comparabile cu applet-urile Java: programatorii au proiectat ambele mecanisme pentru a permite programelor de navigare pe internet sa le descarce si sa le execute. Insa applet-urile Java pot rula pe aproape orice platforma, pe cand componentele ActiveX funcioneaz oficial doar cu programul de navigare Internet Explorer al Microsoft si cu sistemul de operare Microsoft Windows. Un software maliios, de ex. virui de calculator si programe spion, poate fi instalat accidental de pe pagini de internet maliioase utiliznd controale ActiveX.

Aplicaie0 aplicaie este un software de calculator ce ajuta utilizatorul sa deruleze o activitate sau o sarcina. Unele aplicaii sunt furnizate ca pachete integrate avnd ca scop oferirea de beneficii firmelor si sporirea productivitii (exemplele includ software de ntreprindere, pachete de contabilitate si suite de birou ca Microsoft Office). Termenul se mai refera si la aplicaii software (adesea prescurtate 'apps') care pot fi utilizate pentru a derula sarcini pe dispozitive portabile si hand-held.

Componentele Aplicaiei0 componenta a unei aplicaii individuale este un pachet software, un serviciu web, sau un modul ce conine un set de funcii sau informaii conexe. Interfeele acestor componente sunt corelate intre ele pentru a crea aplicaia.

Interfee pentru Programarea de Aplicaii (Application Programming Interfaces - API)0 interfaa pentru programarea de aplicaii (API) este un set special de reguli si specificaii pe care programele software le pot urma pentru a comunica intre ele. Aceasta servete ca o interfaa intre diferite programe software si faciliteaz interaciunea acestora, in mod similar cu modul in care interfaa de utilizator faciliteaz interaciunea intre persoane si calculatoare.

Vulnerabiliti tehnice ale aplicaiei0 vulnerabilitate tehnica intr-un sistem IT, care este prezenta la nivel de software al aplicaiei, cum ar fi erori in codul software si programare care ar putea compromite controalele de acces sau acurateea informaiilor procesate.

Operator de scanare avizat (Approved scanning vendor -ASV)0 entitate (persoana fizica sau juridica) ce a fost supusa unui proces de avizare de ctre companie si autorizata sa efectueze scanri de vulnerabilitate convenite asupra sistemelor IT ale companiei.

TermenDefiniie

Chei si algoritmi

criptografici

asimetriciCriptografia asimetrica este utilizata in tehnica ce este cunoscuta ca criptografia cu chei publice, care se refera la un sistem criptografic ce necesita doua chei separate, una care sa blocheze sau sa cripteze textul clar (sau 'plaintext') si una care sa deblocheze sau sa decripteze textul codificat. Nici una dintre chei nu va ndeplini ambele funcii. Una dintre aceste chei este publicata sau publica iar cealalt este inuta secreta. Daca cheia de blocare/criptare este cea publicata, atunci sistemul permite o comunicare privata de la public ctre titularul cheii de deblocare. Daca cheia de deblocare/decriptare este cea publicata, atunci sistemul servete ca verificator de semntura pentru documentele blocate de ctre titularul cheii private. Aceasta abordare criptografica utilizeaz algoritmi cu chei asimetrice, de aici si denumirea mai generala de criptografie cu chei asimetrice. A se vedea si Chei si algoritmi criptografici simetrici.

AutentificareProcesul de verificare a faptului ca utilizatorul este cine pretinde a fi, astfel incat utilizatorului sa i se permit accesul corect la sistemele IT.

Mecanisme de autentificareMecanisme utilizate de persoane pentru a se verifica identitatea lor atunci cand se solicita utilizarea unui sistem si/sau accesul la o resursa din reea. Acestea includ secrete partajate (de ex. parole, coduri PIN), instrumente de acces fizice (de ex. crduri inteligente), sau tehnici de biometrie (de ex. recunoaterea amprentelor) etc.

Instrumente de autentificareInformaiile utilizate de persoane pentru a se verifica identitatea lor in momentul solicitrii utilizrii unui sistem sau accesrii unei resurse din reea. Acestea includ parole, coduri PIN, crduri inteligente, modele biometrice, etc. Cunoscute si ca denumire de proces, autentificare prin instrumente.

Realizare copie de siguranaProcesul de copiere a informaiilor Companiei, inclusiv nregistrri audio si inregistrari video CCTV, pstrate pe sisteme IT, in scopul refacerii acestora in caz de urgenta.

Medii de stocare pentru copii de siguranaMedii de stocare, cum ar fi DVD-uri, benzi magnetice si hard-disk-uri detaabile, pe care sunt scrise datele pentru copia de sigurana.

Autentificare biometricaMecanism de autentificare ce msoar caracteristica fizica a utilizatorilor, cum ar fi modelul de amprenta, voce sau iris, pentru a verifica utilizatorul.

Dispozitive pentru

autentificare

biometricaDispozitive ce verifica identitatea unui utilizator prin citirea sau scanarea caracteristicilor lor fizice cum ar fi modelul de amprenta, voce sau iris.

Blogging, sau blogUn blog este un tip de pagina de internet (sau o parte a unei pagini de internet), meninut de obicei de o persoana fizica, cu actualizri regulate de evenimente, comentarii si tiri personale. Majoritatea blogurilor sunt interactive, permind vizatorilor sa lase comentarii sau mesaje intre ei, iar aceasta interactivitate este cea care le distinge de paginile de internet statice. Microblogging este o varianta de blogging, caracterizata prin postri de mesaje foarte scurte, exemplul curent cel mai bun fiind Twitter.

TermenDefiniie

Depire a memoriei tampon0 depire a memoriei tampon este o anomalie in care un program software, in timp ce scrie date intr-o memorie tampon, depete limitele memoriei tampon si suprascrie memoria adiacenta. Depirile memoriei tampon pot fi declanate de intrri ce au scopul de a executa un cod, sau de a modifica modul in care funcioneaz programul. Acest lucru poate rezulta intr-un comportament neregulat al programului, inclusiv erori de accesare a memoriei, rezultate incorecte, o avarie, sau o incalcare a securitii sistemului. De aceea, acestea constituie baza multor vulnerabiliti software si pot fi exploatate cu rea intenie.

Titularul aplicaiei de business (Business Application Owner - BAO)Un rol din Companie atribuit unei persoane care este responsabila pentru specificarea controalelor la nivel de aplicaie necesare pentru a proteja Informaiile Companiei. Rolul necesita abilitatea de a asigura legtura cu Titularul informaiilor si Titularul de sistem tehnologic, care ar putea fi un furnizor tert, si a traduce cerinele de business intr-o specificaie tehnica, pentru a confirma faptul ca procesul complet de operare si dezvoltare a sistemului asigura nivelul dorit de control.

Planificarea capacitiiPlanificarea capacitii este procesul de determinare a capacitii de procesare, configuraiei, obiectivelor de performanta si proieciilor fluxului de lucru pentru sisteme IT, pentru a confirma faptul ca nevoile de procesare a informaiilor si nivelurile de rspuns experimentate de utilizatorii sistemului sunt acceptabile si pot fi meninute pe durata de viata a sistemului.

Sisteme de crduriSistemele de crduri se refera in principal la Visa si MasterCard, ca titulari ai sistemului de plai, in care o companie sau orice alta instituie financiara eligibila poate deveni membru. Devenind membru al sistemului, acesta obine atunci abilitatea de a emite sau dobndi tranzaciile derulate in cadrul sistemului. A se vedea si Info card client, PCI PA-DSS, PCI SSC si PCI PTS.

Politici privind CertificatelePoliticile privind Certificatele (Certificate Policies - CP) pot fi definite pentru fiecare tip de certificat digital emis de Autoritatea de certificare (Certification Authority -CA), care indica aplicabilitatea certificatelor emise (de ex. potrivite pentru utilizare in e-mail securizat sau tranzacii de comer online).

Lista de Revocare a Certificatelor (Certificate Revocation List -CRL)In operarea unor criptosisteme, de obicei infrastructuri cu chei publice (public key infrastructures - PKI), o lista de revocare a certificatelor (CRL) este o lista de certificate (sau mai precis, o lista de numere de serie pentru certificate) ce au fost revocate, si astfel nu ar mai trebui sa fie invocate.

Autoritatea de certificare (Certification Authority - CA)0 Autoritate de Certificare (CA) este o entitate ce emite certificate digitale. Aceasta cuprinde persoanele, procesele si instrumentele ce sunt responsabile pentru crearea, emiterea si gestionarea certificatelor cheilor publice ce sunt utilizate in cadrul unei Infrastructuri cu chei publice (PKI).

Certificare Declaraie de Practica (Certification Practice Statement - CPS)0 Certificare Declaraie de Practica definete practicile utilizate de Autoritatea de certificare in emiterea certificatelor digitale.

Lant de custodieUn principiu important in tratarea dovezilor si probelor, in contextul oricrei investigaii judiciare, care permite sa se demonstreze ca dovada a fost inuta si transferata in sigurana si intr-un mod ce previne pierderea, contaminarea sau alterarea.

TermenDefiniie

Managementul schimbriiManagementul schimbrii este un proces pentru confirmarea faptului ca schimbrile la sisteme IT, infrastructura si aplicaii sunt fcute intr-un mod planificat si controlat pentru a minimiza numrul si impactul consecinelor schimbrilor neprevzute asupra disponibilitii sistemelor sau integritii informaiilor si procesrii.

Informaii legate de verificareAcestea se refera la utilizarea controalelor impuse in mod tehnic ce sunt incorporate intr-un sistem pentru a preveni activiti neautorizate, de ex. pentru a confirma acurateea detaliilor legate de plata, sau pentru a preveni amendarea sau introducerea frauduloasa a unor plai. A se vedea si autorizare plata.

ClasificareTermenul clasificare poate fi utilizat in doua sensuri.

Definiia 1: o eticheta aplicata, ca parte a Sistemului de clasificare a informaiilor Companiei, unui sistem sau unei resurse de informaii (de ex. un document, fiier sau baza de date), ce transmite cerinele specifice legate de folosire si de nivelul de securitate.

Definiia 2: un nivel de clasificare, derivat in mod tipic dintr-o Evaluare a impactului asupra activitii in ceea ce privete securitatea informaiilor, care definete evaluarea unui serviciu sau sistem al Companiei ca major, semnificativ, important sau minor, in termeni de impact asupra activitii.

Sistemul de clasificareSistemul de clasificare a informaiilor Companiei definete urmtoarele categorii pentru Informaiile Companiei, pe baza sensibilitii si riscului asociat al acestora.

1 - Publice, 2 - Interne, 3 - Confideniale, 4 - Secrete

Controalele Politicii Standard IS definesc cerinele de etichetare, protecie si tratare pentru fiecare categorie de informaii ale Companiei, iar instruciunile cu privire la clasificare furnizeaz exemple ale tipurilor de informaii ce fac parte din fiecare clasificare.

Text ClarAcesta se refera la informaii (denumite uneori si 'plaintext') care sunt intr-o forma lizibila, cu alte cuvinte nu sunt criptate. A se vedea si Criptografie.

Date clientIn contextul testrii sistemelor, acestea se refera la date de producie care, desi nu sunt identificabile personal (si supuse normelor privind confidenialitatea sau protecia datelor), si nici nu sunt legate de crdul clientului (de ex., supuse controalelor PCI DSS), pot avea totui o valoare comerciala sau o sensibilitate pentru client, ceea ce necesita protecie sau control in utilizarea lor pentru testare, inclusiv necesitatea de a fi curate de informaii ce pot identifica in mod unic un client.

TermenDefiniie

"Cloud", sau "cloud computing"'Cloud" este un model de serviciu pentru furnizarea de servicii si facilitai IT flexibile, bazate pe utilizare, cumprtorului. "Cloud Computing" are cteva forme care pot face referire la furnizarea de servere, software sau servicii. Companie definete categoriile de "Cloud" ca:

SaaS (Software as a Service) - Software ca serviciu: Un model de implementare in care aplicaia software este deinuta, configurata si gestionata de furnizor. Un consumator achiziioneaz accesul la o aplicaie sau serviciu ce ruleaz in "cloud", insa nu are nicio responsabilitate sau control asupra implementrii, ntreinerii, sau disponibilitii serviciului, alta dect abonarea la SLA a serviciului.

PaaS (Platform as a Service) - Platforma ca werviciu: Permite unui consumator sa ruleze propriile aplicaii pe o platforma de infrastructura administrata. In mod tipic, aceasta include atat sistemul de operare cat si grupurile de aplicaii "middleware" ce ofer consumatorului abilitatea de a-si depasi propriile capabilitati insa cu control limitat sau fara control asupra configurrii infrastructurii.

laaS (Infrastructure as a Service) - Infrastructura ca serviciu: Acest model ofer consumatorului resurse specificabile din reea si din spaiul de stocare, memorie, oferindu-i acestui control asupra Sistemului de Operare, Software-ului si Aplicaiilor Middleware.

Doua modele majore de servicii de "cloud computing" sunt: "Cloud" public: "cloud-urile" publice reprezint definiia cea mai des neleasa a "cloud computing" in care resursele "cloud-ului" sunt furnizate dintr-unul dintre centrele de date, adesea nespecificabile, ale furnizorului de "cloud". "Cloud"-urile sunt oferite cu principiul gzduirii de cazuri standard, cu utilizare bazata pe produse, ceea ce inseamna ca opiunile de control sau de configurare personalizata sunt puine. Avantajul cheie al modelului de "cloud" public este acela al volumului si proporiei. "Cloud" privat: "cloud-urile" private preiau modelul de "cloud" public insa furnizeaz serviciul pentru utilizarea exclusiva a unei singure ntreprinderi. Acest lucru poate fi fie in cadrul propriei pagini de internet a unei intreprinderi, fie o seciune partiionata a centrului de date al unui furnizor de "cloud" public. Avantajul cheie al unui model de "cloud" privat este acela ca minimizeaz / elimina problemele legate de riscuri si securitate aferente "cloud-ului" public.

Obfuscare a coduluiCodul obfuscat este un cod sursa sau maina ce a fost fcut dificil de inteles pentru persoane. Programatorii pot obfusca in mod deliberat codul pentru a-i ascunde scopul (securitate prin obscuritate) sau logica sa pentru a preveni adaptarea, pentru a mpiedica rescrierea codului sursa, sau ca puzzle ori provocare recreaionala pentru cineva care citete codul sursa. Programele cunoscute ca programe de obfuscare transforma codul lizibil in cod ilizibil folosind diverse tehnici.

Infrastructura de calculInfrastructura de calcul este un subset al definiiei Sistemelor IT ce se refera in mod special la componentele fundamentale de infrastructura utilizate in cadrul Companiei. Exemplele includ PC-uri de birou, servere, baze de date, sistem de operare si software utilitar (adesea denumit si aplicaie "middleware") care confirma rularea adecvata si eficace a Sistemului IT.

Licena ConcurentaAceasta este o licena de software ce permite ca software-ul sa fie utilizat de mai muli utilizatori in acelai timp (in mod concurent). Acest numr este de obicei limitat la un numr specificat de utilizatori concurent! in termenii respectivei licene, trebuind sa se asigure faptul ca utilizarea nu depete numrul convenit. A se vedea si Licena.

Conectare ConcurentaUn utilizator ce se conecteaz pe mai multe sisteme, sau pe un singur sistem de mai multe ori, utiliznd acelai identificator de utilizator unic (sau ID utilizator) in acelai timp.

TermenDefiniie

ConfidenialSistemul de clasificare a informaiilor Companiei are 4 niveluri de clasificare, 1 fiind nivelul de sensibilitate cel mai sczut iar 4 fiind cel mai ridicat. Confidenial reprezint nivelul al 3-lea in Sistemul de clasificare a informaiilor Companiei. Informaiile Confideniale sunt destinate exclusiv unei audiente specifice si limitate. Informaiile Confideniale includ orice informaii protejate in mod legal din motive de confidenialitate a datelor si orice nformatii care ar putea aduce prejudicii Companiei, preului aciunilor sale si clienilor sai daca ar fi pierdute sau furate, compromise sau schimbate.

De asemenea, acestea este clasificarea implicita a informaiilor care nu sunt clasificate altfel.

Facilitai de ConferineOrice tehnologie, software sau hardware cum ar fi de telefonie, internet sau video, ce permite unui numr de participani din diferite locaii sa comunice unul cu altul ca si cand s-ar intalni in acelai loc. Termenul nu se refera la saii de conferina sau la alte facilitai de conferina fizica.

Fiier de coninutUn fiier de coninut este un fiier separat care este utilizat alturi de un ansamblu executabil de cod, insa nu este compilat in ansamblu. In schimb, ansamblele sunt compilate cu metadate ce constituie o asociere cu fiecare fiier de coninut. Fiierele de coninut sunt utilizate atunci cand o aplicaie are nevoie de un anumit set de fiiere cu date ale aplicaiei ce pot fi actualizate fara a recompila ansamblul care le utilizeaz.

Titularul contractului sau protocolului de lucruUn Titular al Contractului sau Protocolului de Lucru este persoana care a ncheiat, in numele Companiei, un contract cu efecte juridice sau un Protocol de lucru (Statement of Work - SoW) cu un furnizor tert. Titularul Contractului este rspunztor de gestionarea contractului, inclusiv crearea si executarea acestuia, intr-un mod care sa minimizeze riscurile pentru Informaiile si Sistemele IT ale Companiei. A se vedea si Furnizor tert.

"Cookie"Cunoscute si ca un cookie de internet, cookie HTTP, sau cookie de program de navigare, un cookie este un fiier cu un mic volum de date stocate pe calculatorul utilizatorului, plasate acolo de pagina de internet de origine in momentul in care utilizatorul navigheaz pe internet. Acesta poate fi utilizat pentru autentificare, identificarea unei sesiuni a utilizatorului, preferina utilizatorului, coninutul courilor de cumpraturi, sau faptul ca utilizatorul a vizitat anterior pagina de internet. Deoarece fiierul cookie conine date privind istoricul navigrii pe internet a utilizatorului, acestea au ridicat probleme legate de securitate si confidenialitate din moment ce pot fi utilizate de programe spion si hackeri.

Nivelul 1 de Stare CriticaIncidentele aferente Nivelului 1 de Stare Critica sunt acele incidente evaluate ca avnd un nivel de impact asupra activitii Important, Semnificativ sau Major in conformitate cu Matricea Companiei de clasificare a impactului.

TermenDefiniie

Algoritmi criptografici, sau algoritmi de dispersie criptograficaIn termeni puri matematici, un algoritm este compus din o serie de operaii pentru realizarea unui rezultat final. In tehnica de calcul, exista diverse tipuri de algoritmi in uzul comun:

Algoritmi ce utilizeaz zero chei (de ex. algoritmi de dispersie sau de asimilare a mesajului) - imposibil de a se intoarce de la valoarea de ieire a algoritmului la valoarea de intrare a algoritmului;

Algoritmi ce utilizeaz o cheie pentru a trece inainte si inapoi - cunoscui ca algoritmi simetrici deoarece aceeai cheie este utilizata pentru a trece inainte de la valoarea de intrare la cea de ieire a algoritmului si aceeai cheie pentru a desfura operaiunea inversa. In mod evident cheia criptografica trebuie sa fie pstrata intotdeauna secreta pentru a preveni compromiterea valorii de ieire a algoritmului;

Algoritmi ce utilizeaz doua chei legate matematic, una pentru a trece inainte si una pentru a trece inapoi - cunoscui ca algoritmi asimetrici. Titularul perechii de chei va tine intotdeauna secreta una dintre chei (denumita cheia privata) pe cand cealalt (denumita cheia publica) poate fi comunicata fara a se compromite valoarea de ieire a algoritmului.

Chei criptograficeIn criptografie, o cheie este o informaie ce determina valoarea de ieire funcionala a unui cifru sau algoritm criptografic. Lungimea cheii si tipul de algoritm se combina pentru a asigura puterea textului codificat si capacitatea sa de a rezista la incercari de decriptare sau 'spargere' de ctre adversari. Cheile sunt utilizate si in alti algoritmi criptografici, cum ar fi sisteme de semntura digitala si coduri de autentificare pentru mesaje.

Soluii criptograficeMecanismele (ce implica persoane, procese si tehnologii) disponibile pentru a asigura servicii de criptare, autentificare, integritate si non-repudiere utiliznd criptografia. Soluia integrala va acoperi de asemenea procesele administrative de determinare a duratei de viata a cheilor, de generare, distribuie si gestionare a cheilor, precum si utilizarea lor operaionala.

Semnat criptograficAcest lucru se refera la procesul de semnare digitala a software-ului aplicaiei mobile, astfel incat sistemele de operare si utilizatorii de sisteme IT sa se poat asigura ca software-ul provine dintr-o sursa autentica recunoscuta, si nu a fost supus modificrii neautorizate. Proba acestei semnaturi digitale este de obicei sub forma unui certificat digital.

Criptografie

TermenDefiniie

Informaii despre crdul clientuluiInformaii ce conin detalii ale crdurilor individuale de plai, de exemplu:

Numrul principal de cont (Primary Account Number - PAN) complet;

numele titularului crdului; si

data expirrii crdului.

Utilizarea de ctre Companie a informaiilor despre crdurile de plata este reglementata prin standardul de securitate a datelor din industria crdurilor de plata (Payment Card Industry Data Security Standard - PCI DSS), care definete standardele minime pentru modul in care aceste informaii trebuie utilizate. A se vedea si Date de autentificare sensibile.

Centru de dateUn centru de date este o facilitate utilizata pentru a gzdui o concentraie de sisteme de calculatoare si componente asociate, cum ar fi sisteme de telecomunicaii si de stocare electronica a informaiilor. Facilitile sale vor include surse de energie electrica gestionate, si dispozitive de alimentare de rezerva, cum ar fi UPS sau generatoare diesel, precum si capacitate redundanta in termeni de hardware de calculator si conexiuni de comunicaii. Acesta va avea de asemenea controale specifice de mediu (cum ar fi aer condiionat si stingerea incendiilor), si procese si perimetre de securitate fizica. Centrele de date pot fi deinute de companie sau gestionate de o tera parte.

Baza de date0 baza de date este o colecie organizata de date, de obicei in forma digitala, care asigura un mijloc de stocare, cutare si procesare a informaiilor in sprijinul scopurilor comerciale. Unele sisteme de management al ntreprinderii sunt conectate la sistemele de management al bazei de date subiacente (database management systems - DBMS) care permit procesarea si stocarea datelor intr-un mod controlat. Exemple de utilizare comuna sunt Oracle DBMS, si Access si SQL Server de la Microsoft.

Certificate digitaleIn criptografie, un certificat digital (sau certificat de identitate) este un document electronic ce utilizeaz o semntura digitala pentru a atribui o identitate unei chei publice informaii cum ar fi numele unei persoane sau denumirea unei organizaii, sau adresele acestora. Certificatul poate fi utilizat pentru a verifica faptul ca o cheie publica aparine unei persoane. A se vedea si Certificate cu chei publice.

Semntura digitala0 semntura digitala este un mecanism matematic, implementat de obicei pe sisteme de calculatoare, pentru a demonstra autenticitatea unui document sau mesaj digital. 0 semntura digitala valabila da destinatarului un motiv sa considere ca mesajul a fost creat de un expeditor cunoscut, si ca nu a fost modificat pe parcurs. Semnaturile digitale sunt utilizate in mod obinuit pentru distribuia de software, tranzacii financiare, si in alte cazuri in care este important sa se detecteze falsuri sau intervenii.

DMZ0 DMZ (De-Militarized Zone) sau Zona de-militarizata este o parte a unei reele ce conine si expune serviciile externe ale unei organizaii la o reea mai mare ce nu prezint sigurana, de obicei internetul, insa este separata de reeaua interna prin intermediul unor tehnologii de blocare, cum ar fi firewall-uri.

Control dualIn contextul Sistemelor de plai, acesta se refera la controlul prin care instalarea si amendarea drepturilor de acces la sistemele de plai necesita cel puin doi membri ai personalului pentru a derula procesul.

Aplicaii de comer electronic (e-commerce)

Aplicaii comerciale ce susin vnzarea si cumprarea de produse sau servicii cu ajutorul unor sisteme electronice cum ar fi internetul si alte reele de calculatoare. Acestea includ, de asemenea, intregul proces online de dezvoltare, marketing, vnzare, livrare, deservire si plata pentru produse si servicii.

Mesaj electronic

Orice mesaj ce este transferat electronic inclusiv e-mail, comunicare de text prin serviciul de mesaje scurte (short message service - SMS) si mesagerie instant (instant messaging - IM).

Soluie de urgenta

Soluii sau schimbri neplanificate ce sunt necesare pentru a remedia probleme operaionale la sisteme comerciale critice, in care circumstanele nu permit urmarea unor proceduri normale de management al schimbrii. Activitile privind soluii de urgenta vor fi nregistrate in jurnal iar schimbrile vor fi verificate retrospectiv.

Fereastra pentru soluia de urgenta

Intervalul specificat de timp in cadrul cruia trebuie ncheiata o soluie de urgenta.

Parole de criptare

Multe sisteme de aplicaii de birou permit ca documentele sa fie protejate prin intermediul tehnicilor de comprimare si criptare, nainte de a fi comunicate sau trimise prin e-mail altor persoane. Exemple comune sunt WinZip, PGP, si funciile de protecie cu parola de criptare a documentelor din Microsoft Office. Parolele de criptare atribuite la momentul protejrii documentelor trebuie sa fie gestionate cu atenie si in sigurana pentru a proteja disponibilitatea si accesul la Informaiile Companiei stocate in acestea.

Aplicaie dezvoltata de utilizatorul final (End User Developed Application - EUDA)

Aplicaii dezvoltate de utilizatori business, si nu de un Furnizor de servicii tehnologice, ce proceseaz date, fie pentru a susine decizii comerciale fie pentru a interfaa cu alte Sisteme IT. EUDA sunt adesea construite utilizandu-se capacitile de programare ale aplicaiilor disponibile utilizatorilor business cum ar fi foi de calcul tabelar sau baze de date. Exemple comune de nstrumente utilizate pentru a dezvolta EUDA includ Microsoft Excel, Lotus Notes, si Microsoft Access. Exemple de EUDA sunt:

Suport decizional - date externe privind ratele dobnzilor sunt utilizate intr-o serie de foi de calcul tabelar pentru a lua decizii de management cu privire la produsele ce vor fi oferite clienilor

Raportare financiara sau reglementata - o foaie de calcul tabelar ce extrage informaii dintr-un sistem central si combina datele in scopuri de raportare SOX.

Aceasta definiie exclude orice foi de calcul tabelar sau baze de date ce acioneaz pur si simplu ca depozitare ale informaiilor stocate, respectiv atunci cand nu exista nicio procesare specifica a informaiilor, cum ar fi informaiile legate de concediile angajailor inute intr-o foaie de calcul tabelar.

TermenDefiniie

Escrow0 nelegere contractuala intre doua parti contractante (clientul si furnizorul), prin care o tera parte independenta de incredere primete si retine un activ, spre a fi eliberat in termenii convenii, de exemplu in cazul in care furnizorul isi nceteaz activitatea. Agenii escrow de informaii si coduri sursa dein proprieti intelectuale cum ar fi coduri sursa de software si alte informaii prin escrow, si le vor divulga clientului in condiiile declanatoare definite.

EvenimentActivitatea unui Sistem IT ce este nregistrata in scopul monitorizrii si inregistrarii in jurnal. Evenimentele includ pornirea sistemului, oprirea sistemului, tranzacii, modificri de date/modificri de sistem, incercari de accesare a sistemului.

DovadaDovada in sensul sau cel mai larg include tot ceea ce este utilizat pentru a determina sau demonstra adevrul unei afirmaii. In contextul Sistemelor IT, dovada digitala este orice lucru ce este stocat in forma digitala si care reprezint o nregistrare a activitii in sistem. Exemplele includ e-mailuri, documente de procesare a textului, istorice de navigare pe internet, jurnale de sistem, coninuturi ale memoriei calculatorului, copii de sigurana, inregistrari audio si CCTV, inregistrari in sistemul de accesare fizica, precum si imprimri pe hrtie ale celor de mai sus. Toate pot fi utilizate in cazul unor incidente si investigaii judiciare.

Probe0 dovada demonstrativa utilizata intr-o instana pentru a demonstra, arata, ilustra, informa sau susine o aciune cu privire la activitile in sisteme IT.

Reea externa0 reea ce nu este deinuta sau gestionata de ctre Companie (de ex. reeaua publica de telefonie, internetul, reeaua interna a unui partener comercial).

Conexiune externa0 conexiune care provine fie dintr-o Reea externa, fie este iniiata dintr-o reea a Companiei ctre o Reea externa.

Rata de falsa acceptare (False acceptance rate - FAR) sau eroare de Tipul IIAceasta se refera la probabilitatea ca sistemul sa valideze in mod incorect modelul de intrare cu un model necorespunzator din baza de date. Aceasta msoar procentajul valorilor de intrare nevalabile ce sunt acceptate in mod incorect.

Rata de falsa respingere (False rejection rate - FRR) sau eroare de Tipul 1Aceasta se refera la probabilitatea ca sistemul sa nu detecteze o validare intre modelul de intrare si un model corespunztor din baza de date. Aceasta msoar procentajul valorilor de intrare valabile ce sunt respinse in mod incorect.

Toleranta, tolerant la defecteCapacitatea unui sistem de a continua sa funcioneze, posibil la un nivel redus (cunoscuta si ca degradare lenta), mai degrab dect sa nu mai funcioneze deloc, atunci cand o parte a sistemului se defecteaz.

Firewall-uriUn firewall este un dispozitiv sau un set de dispozitive la limita reelei, proiectat pentru a permite sau respinge transmisii in reea pe baza unui set de reguli ce definete traficul permis in reea. Acesta este utilizat frecvent pentru a proteja reelele de accesul neautorizat in acelai timp permind trecerea comunicaiilor legitime.

TermenDefiniie

Primul respondentUn prim respondent este persoana care este prezenta in prima instana a unui eveniment sau incident ce afecteaz Sisteme IT ale Companiei, care este pregtit corespunztor pentru a ajuta la pstrarea integritii probatorii si lanului de custodie in scopuri judiciare IT, pentru a susine orice proceduri legale sau investigaii ulterioare.

Analiza judiciara sau investigaie judiciaraInvestigaia si analiza judiciara se refera la identificarea, colectarea si analizarea dovezilor digitale judiciare, de obicei in urmrirea unei investigaii in activitatea neautorizata, si uneori dupa cum este necesar pentru proceduri legale. Scopul expertizei judiciare in informatica este de a examina evidentele si suporturile digitale conform unor proceduri identificabile si sigure din punctul de vedere al expertizei judiciare in vederea identificrii, pstrrii, recuperrii, analizrii si prezentrii faptelor si opiniilor despre informaiile respective.

Rubrici de formular0 rubrica de formular pe o pagina de internet permite unui utilizator sa introduc date ce sunt trimise unui server spre a fi procesate. Rubricile de formular se aseamn cu formularele imprimate pe hrtie sau din baze de date deoarece utilizatorii de pe internet completeaz formularele utiliznd rubrici de text, casete de validare, sau butoane radio. De exemplu, o rubrica de formular poate fi utilizata pentru a introduce date referitoare la expediere sau la crdul de credit pentru a comanda un produs, sau pot fi utilizate pentru a recupera date (de ex., cutare pe un motor de cutare).

Cont genericUn cont generic este un cont cu un cod de identificare generic, respectiv nu este asociat cu o anumita persoana desemnata. Un exemplu de cont generic ar fi 'vizitator' ('guest'), sau 'inginer' ('engineer'). Punctul esenial din perspectiva securitii este acela ca acest cont este partajat de mai multe persoane, facand dificila atribuirea unor aciuni unei anumite persoane.

Informaii ale CompanieiInformaii deinute sau procesate de ctre Companie ce privesc activitatea comerciala anterioara, curenta si viitoare. Informaiile Companiei sunt stocate atat pe suport de hrtie cat si in format electronic, si pot avea anumite cerine reglementate in ce privete controlul si procesarea corespunztoare. In plus, Informaiile Companiei vor acoperi o gama ampla de subiecte. Exemplele includ evidente ale clienilor, evidente ale angajailor, rezultate financiare, strategie comerciala, proceduri de funcionare, documente de proiect si documente

t_i:

Reea IT a Companiei0 reea deinuta si administrata de Companie sau agenii sai care este separata fizic sau logic de alte reele, si care este utilizata pentru a conecta Sistemele IT si partaja Informaiile Companiei in scopuri comerciale.

Spaiu de lucru al CompanieiAcesta se refera la orice mediu de lucru fizic deinut de Companie, de exemplu cldire sau birou, in care Informaiile Companiei, in orice forma, pot fi utilizate sau procesate.

Pentru claritate, spatiile unui furnizor tert in care aceste informaii pot fi procesate, inclusiv locaii de stocare exterioare unde sunt stocate arhive pe suport de hrtie si copii de sigurana IT, sau o situaie in care un contractor sau un angajat al Companiei lucreaz de acas sau de la o alta locaie mobila, nu sunt considerate a fi un spaiu de lucru al Companiei.

TermenDefiniie

HTMLHTML, abrevierea pentru Hypertext Markup Language (Limbaj de Marcare a Hipertextului), este limbajul de programare predominant pentru dezvoltarea paginilor de internet. Blocurile de construcie ale tuturor paginilor de internet sunt elemente HTML, ce conin etichete si instruciuni ce permit formatarea paginilor de internet si incorporarea de imagini, obiecte si legaturi pentru a crea documente structurate si pagini sau formulare interactive.

Dispozitive hand-held si portabileDispozitivele hand-held si portabile sunt dispozitive mici, extrem de mobile, cum ar fi telefoane mobile inteligente si tablete, care pot fi utilizate pentru a accesa informaii ale Companiei. Exemple sunt telefoanele Apple iPhone, Blackberry, Android si tableta Apple iPad.

ntrire, sau dispozitive ori servere intarite0 componenta de infrastructura, cum ar fi un server, un PC sau un dispozitiv mobil, ce este construit la un standard sigur, prin eliminarea serviciilor sau utilitilor ce nu sunt necesare in scopuri comerciale, si implementarea controalelor de securitate in mod implicit.

Funcie de dispersie, sau algoritmi de dispersie0 funcie de dispersie este o funcie matematica sau procedura bine-definita ce convertete o cantitate mare de date, posibil de mrime variabila, intr-o informaie redusa (de obicei un singur intreg ce poate servi ca indice, sau verificare a integritii, de ex. in cazul utilizrii pentru a verifica acurateea unui numr de cont companier sau a unui numr de card de credit). Valorile returnate de o funcie de dispersie sunt denumite valori de dispersie, coduri de dispersie, sume de dispersie, sume de control sau pur si simplu dispersii. Denumite de asemenea algoritmi de dispersie criptografica.

Tranzacie cu risc ridicatAceasta se refera la o tranzacie care poate fi o plata, un transfer sau o schimbare a detaliilor personale de contact.

ImportantAcesta este unul din cele patru niveluri de clasificare niveluri definite de Cadrul de Risc Operaional - Matricea de Clasificare a Impactului. Referire la Matricea de Clasificare a Impactului.

Active de informaiiTermenul active de informaii include toate Informaiile Companiei, in orice forma, care sunt legate de evidentele comerciale si operaionale ale Companiei, precum si Sistemele IT ce transmit si proceseaz aceste informaii. Acesta include, de exemplu, baze de date si fiiere de date pentru aplicaii, toate documentele MS Office create de utilizatori inclusiv contracte si acorduri, proceduri si standarde tehnice, mesaje e-mail si informaii arhivate cum ar fi copii de sigurana si fiiere de inregistrari audio, evidente pe suport de hrtie, infrastructura audio, video si de tehnica de calcul susintoare, de exemplu servere, PC-uri, laptopuri, dispozitive portabile si hand-held, precum si medii de stocare detaabile.

Sistem de clasificare a informaiilorAcesta se refera la procesul de definire a sensibilitii activelor ce conin informaii ale Companiei, derivat de obicei din Evaluarea impactului asupra activitii, si de asemenea de alocare a unei etichete de clasificare respectivelor informaii pentru a confirma modul in care informaiile trebuie utilizate pe parcursul intregului sau ciclu de viata. Exista in prezent patru niveluri de clasificare definite pentru activele ce conin informaii, in ordinea ascendenta a sensibilitii, dupa cum urmeaz: Publice, Interne, Confideniale si Secrete.

TermenDefiniie

Protecie mpotriva Pierderii de Informaii (Information Loss Protection - ILP)

Cunoscuta si ca Prevenirea Pierderii de Date (Data Loss Prevention - DLP)Protecia mpotriva Pierderii de Informaii este un termen utilizat pentru a descrie controalele ce au ca scop detectarea si prevenirea nclcrilor controalelor de securitate ce pot duce la situaii in care Informaiile Companiei sunt accesibile unor persoane neautorizate. Exemple de pierdere de informaii sunt furtul de informaii ale Companiei pe suport de hrtie sau electronic, pierderea benzilor cu copii de sigurana pentru calculator, si ataarea neintenionata a unor informaii ale Companiei la un mesaj e-mail trimis la o adresa externa; chiar si pierderea de informaii prin orice canal.

Incident de pierdere de informaiiAcesta se refera la un incident de securitate in care a fost detectat, confirmat si raportat un caz efectiv de furt sau pierdere de informaii.

Titular al informaiilorUn rol atribuit unei persoane din cadrul Companiei care este responsabila pentru protecia informaiilor specificate ale Companiei, in toate formele sale (electronice si non-electronice), oriunde sunt acestea utilizate pe parcursul intregului lor ciclu de viata. Desi un Titular al Informaiilor poate delega responsabilitatea pentru utilizarea sau procesarea informaiilor ctre alti Titulari desemnai (de ex. aspectele tehnice ale unui Titular de sistem tehnologic), ei pstreaz responsabilitatea in fata organelor de reglementare pentru securitatea tuturor informaiilor din cadrul competentei lor.

Securitatea informaiilorTermenul securitate a informaiilor se refera la organizaia, procesele si tehnologiile ce sunt utilizate pentru a pstra confidenialitatea, integritatea si disponibilitatea informaiilor. Aceasta activitate acoper, de asemenea, definirea politicilor, standardelor si procedurilor pentru ca persoanele sa lucreze in sigurana, si trebuie actualizata permanent cu tehnologiile, trendurile si ameninrile emergente.

Evaluarea impactului asupra activitii in ceea ce privete securitatea informaiilor (ISBIA)0 Evaluare a impactului asupra activitii in ceea ce privete securitatea informaiilor (Information Security Business Impact Assessment - ISBIA) este prima etapa dintr-o evaluare a riscului si a impactului asupra activitii in ceea ce privete securitatea informaiilor, care permite Companiei sa identifice si evalueze importanta (starea critica) a informaiilor Companiei si Sistemelor IT. ISBIA analizeaz impactul unui eveniment negativ si utilizeaz Evaluarea Impactului asupra Companiei pentru a aprecia rezultatul sau. Scopul unei ISBIA este de a determina impactul asupra Companiei a unei pierderi de confidenialitate, de integritate si de disponibilitate.

Evaluarea riscului privind securitatea informaiilorEvaluarea impactului si a riscului privind securitatea informaiilor este procesul de identificare, analiza si evaluare a riscului in totalitatea sa, ca parte a unui proces indreptat asupra gestionarii si diminurii riscurilor fata de Sistemele IT ale Companiei si Informaiile Companiei.

Etapa de evaluare a riscului specific analizeaz rezultatele unor evaluri de Vulnerabilitate si Ameninare si Impact asupra Activitii in ceea ce privete Securitatea Informaiilor, pentru acele Sisteme IT ale Companiei evaluate ca semnificative sau majore, si determina un factor de risc bazat pe aceste contribuii plus probabilitatea materializrii riscului, ca o contribuie la procesul de management al riscului.

TermenDefiniie

Incidente de securitate a informaiilorUn incident de securitate a informaiilor este constituit din unul, sau mai multe, evenimente nedorite sau neateptate ce ar putea in mod foarte probabil compromite securitatea informaiilor si slabi sau submina operaiunile comerciale. Exemplele de incidente de securitate a informaiilor includ:

pierderea sau furtul de informaii ale Companiei si active, cum ar fi dispozitive portabile si hand-held;

accesul neautorizat din interiorul sau exteriorul Companiei (hacking) sau alta brea in reea sau pe internet ce rezulta in pierderea sau compromiterea unor informaii;

orice software maliios sau virui descrcai pe calculatorul Dvs.;

orice mesaje e-mail sau apeluri telefonice suspicioase pe care le-ati primit de la cineva care solicita informaii;

informaii expediate in afara Companiei si care nu ajung la destinaie;

orice incalcare a politicii standard de securitate a informaiilor Companiei ce ar putea fi exploatata (ducnd la pierderea sau compromiterea informaiilor, sau frauda); si

Eliminarea necorespunzatoare a informaiilor Companiei (de ex. pe suport de hrtie sau din calculator).

Analiza a securitii informaiilorAceasta se refera la o analiza specifica, asumata in conformitate cu procedurile Companiei pentru evaluarea si gestionarea riscurilor serviciilor contractate pentru procesarea informaiilor de la furnizori teri. Aceasta implica examinarea potenialelor riscuri din practicile de management al securitii serviciilor furnizate de ctre tera parte, cu scopul final de minimizare a riscului fata de Informaiile Companiei.

Transfer de informaiiAcest termen general include atat mesageria electronica cat si alte forme de transfer de fiiere.

InfrastructuraEchipamentele hardware si reeaua de baza ce susin funcionarea sistemelor, si furnizeaz platforma de baza pe care sunt instalate si funcioneaz aplicaiile si sistemele IT.

Mesagerie instantMesageria instant (denumita adesea pur si simplu IM) este o comunicare bazata pe text ce are loc in timp real intre doi sau mai muli participani, adesea pe Internet. Se ncadreaz in termenul mai cuprinztor 'chat online', care este o caracteristica a multor aplicaii de socializare online.

Integritate

InterneSistemul de clasificare a informaiilor Companiei are 4 niveluri de clasificare, 1 fiind nivelul de sensibilitate cel mai sczut iar 4 fiind cel mai ridicat. Interne reprezint nivelul al 2-lea in Sistemul de clasificare a informaiilor Companiei. Informaiile Interne sunt destinate exclusiv uzului intern. Divulgarea de informaii Interne ar putea aduce prejudicii Companiei (sau reputaiei Companiei).

Sisteme sau aplicaii cu acces la internetUn Sistem IT care este conectat la internet si astfel este vizibil si eventual accesibil utilizatorilor sau clienilor pe internet.

TermenDefiniie

Soluii de detectare a intruziunilor0 soluie de detectare a intruziunilor (intrusion detection solution - IDS) se refera la un sistem, compus dintr-un dispozitiv sau aplicaie software, care monitorizeaz activitile in sistem sau reea pentru aciuni maliioase sau violri ale politicii si produce rapoarte de excepii intr-un jurnal sau o consola de management, pentru a permite analize si intervenii ulterioare.

Soluii de prevenire a intruziunilorSistemele sau soluiile de prevenire a intruziunilor (Intrusion Prevention Solutions - IPS) sunt similare cu soluiile de detectare a intruziunilor (IDS) cu excepia faptului ca, in plus fata de detectarea si nregistrarea activitilor maliioase sau violrilor politicii, IPS pot preveni sau bloca in mod activ intruziunile detectate, pot declana alarme, reseta conexiunile si bloca adresa sursa de internet (IP).

Clauze contractuale ISClauzele contractuale IS sunt incluse in contracte cu furnizori teri (care vor avea acces la informaii ale Companiei), pentru a se asigura respectarea de ctre acetia a bunei practici comerciale, relevante pentru produsele sau serviciile pe care acetia le furnizeaz Companiei. Acoperind in acelai timp cerine generice de control al securitii informaiilor, clauzele contractuale IS includ si cerinele respectrii PCI-DSS si a testrii securitii.

Reele ITToate zonele reelei si Reelele IT ale Companiei, fie interne fie externe pentru Companie.

Pori de reea ITInterconectarea in reea reprezint modalitatea de conectare a unei reele de calculatoare la alte reele, iar o poarta de reea IT este dispozitivul de traducere a protocolului cheie ce face posibila interconectarea, oferind o metoda comuna de rutare a pachetelor de informaii intre reele. Funcionalitatea porii include de obicei conversia protocolului, raportarea si izolarea avariilor, precum si utilizarea proceselor administrative intre ambele reele - si ca atare, este un dispozitiv mai complex dect un router sau switch.

Zone ale reelei ITAcestea se refera la segmente sau straturi ale unei reele care sunt rezultatul segmentrii reelei, prin care o reea de calculatoare este mprita in subretele sau zone de reea, de obicei din motive de securitate si performanta. Performanta poate fi imbunatatita printr-o congestie redusa datorata limitrii traficului din reeaua locala. De asemenea, segmentarea poate imbunatati securitatea prin limitarea vizibilitii structurii reelei si a traficului din exterior, precum si suprimarea unei probleme limitand-o in segmentul sau zona locala.

Sisteme IT0 colecie de hardware si software IT ce proceseaz, transmite sau stocheaz Informaiile Companiei. Exemple de Sisteme IT sunt:

hardware, inclusiv servere, PC-uri desktop, laptopuri si alte dispozitive portabile si hand-held;

software, inclusiv aplicaiile amintite, si suitele de productivitate de birou;

baze de date, inclusiv sisteme de informaii pentru ntreprinderi;

dispozitive de stocare, cum ar fi hard-disk-uri, benzi si medii de stocare detaabile; si,

Reele IT ale Companiei inclusiv dispozitive cum ar fi routere, switch-uri, pori si firewall-uri, si incluznd de asemenea sisteme de telefonie si teleconferinta, cablaj de reea si puncte de acces.

TermenDefiniie

JavaJava este in prezent unul dintre cele mai populare limbaje de programare in uz, in special pentru aplicaii web client-server. Java poate fi utilizat si in aplicaii in afara paginilor de internet, de ex. in documente PDF, programe de navigare specifice unei pagini si widget-uri (utiliti) desktop. Similar cu ActiveX care ruleaz in principal pe platforme Microsoft, acesta ofer un mod mai portabil, independent de sistem, de a dezvolta aplicaii care sunt 'scrie o data, ruleaz oriunde'.

JavaScriptJavaScript (a nu se confunda cu Java, limbajul de programare) este un limbaj de script de nivel ridicat, orientat spre obiect, (considerat un limbaj de programare funcional de sine stttor), care este implementat in principal ca scripturi incorporate in pagini de internet, pentru a oferi o interfaa imbunatatita a utilizatorului pagini de internet dinamice.

Utilizatori noiProcedura aferenta Utilizatorilor noi este o parte a proceselor ce gestioneaz crearea, modificrile si revocrile de conturi, datele de autentificare si autorizaiile pentru utilizatori in sisteme si aplicaii ca rezultat al proceselor aferente Utilizatorilor noi, care si-au schimbat poziia sau care au prsit organizaia.

Cel mai mic privilegiuAcordarea ctre un utilizator sau Sistem IT doar a acelor privilegii (drepturi de acces) care sunt eseniale pentru a face lucrarea alocata.

Utilizatori care au prsit organizaiaProcedura aferenta Utilizatorilor care au prsit organizaia este o parte a proceselor ce gestioneaz crearea, modificrile si revocrile de conturi, datele de autentificare si autorizaiile pentru utilizatori in sisteme si aplicaii ca rezultat al proceselor aferente Utilizatorilor noi, care si-au schimbat poziia sau care au prsit organizaia.

Licena0 licena software este un instrument legal (de obicei acoperit printr-o lege a contractelor) ce guverneaz utilizarea sau redistribuirea de software. 0 licena software tipica acorda unui utilizator final permisiunea de a utiliza una sau mai multe copii ale software-ului in moduri in care aceasta utilizare ar constitui probabil altfel o incalcare a dreptului de autor in ceea ce privete drepturile exclusive ale proprietarului software-ului conform legii drepturilor de autor. Software-ul distribuit in masa este utilizat de persoane sau organizaii pe calculatoare personale conform unei licene din partea dezvoltatorilor software-ului respectiv. Conform unui acord tip de licena pentru utilizatori finali (end user licence agreement - EULA), software-ul poate fi instalat pe un numr limitat de calculatoare.

Repartizarea echilibrata a proceselorRepartizarea echilibrata a proceselor este o metodologie a conectrii in reea a calculatoarelor pentru distribuirea proceselor de lucru pe mai multe calculatoare sau un grup de calculatoare, legaturi in reea, uniti centrale de procesare, hard-disk-uri, sau alte resurse, pentru a realiza o utilizare optima a resurselor, maximiza transferul, minimiza timpul de rspuns, si evita suprasarcina. Utilizarea unor componente multiple cu repartizare echilibrata a proceselor, in locul unei singure componente, poate spori sigurana prin redundanta. Serviciul de repartizare echilibrata a proceselor este de obicei furnizat de un software sau hardware dedicat, cum ar fi un switch multistrat sau un server Domain Name System. Una dintre cele mai comune aplicaii de repartizare echilibrata a proceselor este furnizarea unui singur serviciu de Internet de la multiple servere, cunoscute uneori ca o ferma de servere.

MajoreAcesta este unui din cele patru niveluri de clasificare definite de Cadrul de risc operaional - matricea de clasificare a impactului.

TermenDefiniie

Cod maliiosCod adugat, modificat, sau retras dintr-un sistem software pentru a prejudicia in mod intenionat sau distruge funcia planificata a sistemului. A se vedea si Software maliios, malware.

Software maliios, malwareSoftware-ul maliios (denumit si malware) este un software neautorizat ce poate prezenta un risc pentru Companie, informaiile sale si pentru Sistemele IT. Acesta poate perturba funcionarea normala a Sistemului IT sau colecta informaii fara cunotina utilizatorilor. Exemplele includ virui, viermi si programe spion.

MascareMascarea informaiilor este procesul de ascundere a unor elemente de date specifice in cadrul setului de date. Astfel se asigura faptul ca datele sensibile sunt nlocuite cu date realistice insa nu reale. Scopul este ca informaiile sensibile despre client sa nu fie disponibile in afara mediului autorizat. Mascarea informaiilor este realizata de obicei in timp ce se aprovizioneaz medii non-productie astfel incat copiile create pentru a susine procesele de testare si dezvoltare sa nu expun informaii sensibile evitandu-se astfel riscurile de scurgere de informaii. Algoritmii de mascare au scopul de a fi repetabili astfel incat sa se menin intearitatea referentiala.

Schimbare semnificativa0 schimbare de business sau un eveniment global sau de pe o piaa externa care schimba semnificativ mediul in care funcioneaz Companie. Schimbarea materiala creeaz nevoia de a reevalua ipotezele din jurul securitii informaiilor Companiei sau Sistemelor IT (de exemplu rezultatele evalurii riscului).

Unele exemple de schimbare semnificativa sunt:

adoptarea unei noi tehnologii;

un proiect de transformare comerciala sau IT majora;

externaiizarea unei activiti sau a unui proces IT;

o cretere sau scdere ampla in activitatea comerciala;

introducerea unei noi legislaii sau reglementari;

apariia unei noi ameninri asupra Companiei;

apariia unei vulnerabiliti tehnologice necunoscute anterior; si

reorganizarea unui departament sau a unei uniti comerciale.

MinoreAcesta este unul din cele patru niveluri de clasificare definite de Cadrul de risc operaional - matricea de clasificare a impactului.

Controale de atenuareControalele de atenuare sunt controale interne destinate reducerii riscului unei slbiciuni de control existente sau poteniale.

Aplicaii mobileDezvoltarea de aplicaii mobile este procesul prin care este dezvoltata o aplicaie software pentru dispozitive hand-held mici cu putere redusa cum ar fi PDA (personal digital assistants), telefoane mobile, telefoane inteligente si dispozitive portabile sau hand-held similare. Codul rezultant al aplicaiei software este adesea denumit app - aplicaie mobila.

TermenDefiniie

Utilizatori care si-au schimbat poziiaProcedura aferenta Utilizatorilor care si-au schimbat poziia este o parte a proceselor ce gestioneaz crearea, modificrile si revocrile de conturi, date de autentificare si autorizaiile pentru utilizatori in sisteme si aplicaii ca rezultat al proceselor aferente Utilizatorilor noi, Utilizatorilor care si-au schimbat poziia si Utilizatorilor care au prsit organizaia. De fapt procesul Utilizatorului care si-a schimbat poziia va fi privit ca o etapa a Utilizatorului care a prsit organizaia urmata de etapa Utilizatorului nou, atunci cand este implementat in practica.

Autentificare multi-factor (Autentificarea multi-factor - MFA)

A se vedea si Autentificarea cu 2 factori (Two-factor authentication - 2FA)Un proces de autentificare ce necesita o combinaie de doua sau mai multe metode de autentificare pentru acordarea accesului. Tipuri ale acestei metode de autentificare sunt: ceva cunoscut utilizatorului cum ar fi un CNP, ceva deinut de utilizator cum ar fi un dispozitiv fizic, o caracteristica fizica unica a utilizatorului cum ar fi o amprenta ce poate fi verificata de sistem.

Autentificarea cu 2 factori (2FA) este un subset al conceptului MFA, ce implica utilizarea a doar doi dintre factorii implicai.

Dispozitive pentru reeaAcesta este un termen colectiv ce se refera la o gama de dispozitive tehnice ce indeplinesc un numr de funcii diferite in gestionarea mesajelor de informare si conexiunilor la Reelele IT ale Companiei. Aceste dispozitive includ routere, hub-uri, puni, pori, concentratoare, switch-uri si firewall-uri.

Poarta de reea sau poarta de reea IT0 poarta de reea este un dispozitiv de comunicaii in reea ce acioneaz ca un punct de interconectare intre reele, si executa un numr de funcii ce includ mapare adrese, traducere format (protocol) mesaj si izolare avarii.

Non-electroniceAcest termen se refera la Informaiile Companiei ce sunt inute pe suport de hrtie sau pe microfilm, spre deosebire de cele ce sunt inute electronic in Sistemele IT ale Companiei si in dispozitive de stocare, si care tot vor trebui gestionate in conformitate cu cerinele privind utilizarea si clasificarea informaiilor Companiei.

Non-interactivAcest termen se refera la un cont dintr-un Sistem IT ce este utilizat exclusiv de ctre sistem si nu are nicio interaciune cu un utilizator uman al respectivului cont.

Non-repudiereNon-repudierea se refera la controale de sistem ce impiedica un utilizator sa nege responsabilitatea pentru aciunile derulate prin contul respectivului utilizator, cum ar fi controale ce impiedica o parte sa trimit o comunicare prin care neaga autenticitatea unui mesaj pe care l-a iniiat. A repudia nseamn a nega.

Sisteme de birouAcest termen se refera la acele sisteme si dispozitive (inclusiv foto-copiatoare, scanere, faxuri, imprimante si multifuncionale) care sunt amplasate in spatiile de lucru ale Companiei si care pot stoca, procesa ori transmite informai ale'Companiei, si astfel necesita procese de management al securitii fizice si logice, precum si o intretinere a sistemului pentru a se asigura o funcionare corecta si eficienta.

Protocol online de stare a certificatelor (Online Certification Status

Protocol - OCSP)Protocolul online de verificare a strii certificatelor (OCSP) este un protocol de internet utilizat pentru obinerea strii de revocare a unui certificat digital X.509. Acesta a fost creat ca alternativa la listele de revocare a certificatelor (CRL), adresandu-se in special anumitor probleme asociate utilizrii CRL intr-o infrastructura cu chei publice (PKI).

TermenDefiniie

Tranzacie onlineAceasta este o tranzacie electronica in care persoana fizica utilizeaz in mod interactiv cu o aplicaie, care rspunde in timp real la cererile utilizatorului si confirma sau autorizeaz cererile.

TitularPolitica Standard IS a Companiei specifica faptul ca responsabilitile pentru Informaiile Companiei si Sistemele IT ce le susin trebuie sa fie atribuite in mod clar. Un titular este o persoana fizica ce este rspunztoare si responsabila pentru un activ de informaii. Trei tipuri de responsabiliti specifice au fost definite in cadrul Companiei - a se vedea si: Titular al informaiilor, Titular al aplicaiei de business si Titular de sistem tehnologic.

Fraza secreta0 fraza secreta este o serie de cuvinte sau alt text utilizat pentru a controla accesul la un sistem, program sau date informatice. 0 fraza secreta este similara unei parole in uz, insa este in general mai lunga ca numr de caractere, pentru o securitate sporita.

ParolaUn cuvnt sau o expresie secreta, care trebuie in mod normal sa aiba o anumita lungime, sau sa conin anumite tipuri de caractere, si care este utilizat(a) in combinaie cu un identificator de utilizator unic (ID utilizator) pentru a confirma intr-un Sistem IT sau aplicaie ca un utilizator este cine pretinde a fi.

Actualizare0 actualizare este un software destinat reparrii sau gestionarii unor probleme cunoscute la Sistemele IT. Acesta include repararea vulnerabilitilor de securitate si a altor bug-uri sau defecte din sistemele de operare, si imbunatatirea securitii, utilizabilitatii sau performantei sistemului.

Standarde de securitate din industria crdurilor de plata (Payment Card Industry - PCI)Standardele de securitate din PCI sunt cerine tehnice si operaionale stabilite de Consiliul Standardelor de Securitate din Industria Crdurilor de Plata pentru a proteja datele titularului crdului. Standardele guverneaz pe plan global toti agenii economici si toate organizaiile ce stocheaz, proceseaz sau transmit aceste date.

A se vedea si PCI DSS, PCI PA-DSS, PCI PTS.

Standard de securitate a datelor din industria crdurilor de plata (Payment Card Industry Data Security Standard - PCI DSS)PCI DSS este un set comun de practici de diligenta rezonabila in securitate definite de Consiliul standardelor de securitate din industria crdurilor de plata (PCI SSC).

Standardul este destinat tuturor organizaiilor ce utilizeaz informaii despre crdul clientului pentru majoritatea crdurilor de debit, credit, achitate in avans, e-purse, ATM si POS. Standardul a fost creat pentru a spori controalele din jurul informaiilor despre crdul clientului pentru a reduce frauda prin crduri de plata.

PCI DSS se aplica oricrei entiti ce stocheaz, proceseaz, si/sau transmite date despre titularul crdului. Acesta acoper componente ale sistemul tehnic si operaional incluse in sau conectate la mediul de date al titularului crdului. Daca firma Dvs. accepta sau proceseaz crduri de plata, aceasta trebuie sa indeplineasca PCI DSS.

A se vedea si PA DSS si PCI PTS.

TermenDefiniie

PCI PA-DSSStandardul de securitate a datelor pentru aplicaii de plai (Payment Application Data Security Standard - PA-DSS) este un standard pentru dezvoltatorii de software si integratorii de aplicaii ce stocheaz, proceseaz sau transmit date ale titularilor de crduri ca parte a autorizrii plaii sau regularizrii. Acesta acoper si aplicaii ce sunt vndute, distribuite sau liceniate unor tere parti. Standardul are scopul de a mpiedica faptul ca aplicaiile de plai sa stocheze date securizate interzise cum ar fi banda magnetica, CVC/CVV2, sau PIN.

PCI SSCConsiliul standardelor de securitate PIC (PCI Security Standards Council - PCI SSC) este un organism deschis global constituit pentru a dezvolta, spori, disemina si ajuta la nelegerea standardelor de securitate pentru securitatea conturilor de plai. Consiliul menine, dezvolta si promoveaz un set de standarde de securitate inclusiv Standardul de Securitate a Datelor din Industria Crdurilor de Plata (PCI DSS). Acesta ofer si instrumentele critice necesare pentru implementarea standardelor cum ar fi ghiduri de evaluare si scanare, un chestionar de auto-evaluare, instruire si educaie, si programe de certificare pentru produse.

PCI PTSStandardul de securitate a tranzaciilor cu PIN PCI (PCI PIN Transaction Security - PCI PTS) se aplica furnizorilor care specifica si implementeaz caracteristicile dispozitivelor si managementul dispozitivelor pentru securitatea plailor cum ar fi un puncte de interaciune (Point of Interaction -POI) (de ex. POS) si un modul de securitate hardware (Hardware Security Module - HSM).

Autorizarea plaiiAutorizarea plaii este atat procesul de autorizare a unei plai dintr-un cont dat de client sau de autoritatea deintoare a contului, precum si de nregistrare a utilizrii respectivei autoriti ca parte a inregistrarii unei plai.

Limite de plataAcestea se refera atat la limita de aprobare a plaii (verificarea faptului ca o instruciune de plata a fost autentificata) pe care un aprobator o poate confirma, cat si mandatul sau limita de autorizare a plaii ce acoper valoarea maxima sau o plata pe care un autorizator o poate autoriza sa fie pltit.

Sistem de plaiUn sistem de plai este o aplicaie ce conine funcionalitatea de a elibera fonduri din respectivul sistem pentru a ajunge la destinaie fara niciun alt fel de intervenie manuala, respectiv fondurile respective sunt 'automatizate' de la punctul eliberrii. Termenul include toate aplicaiile ce au aceasta capacitate de a elibera fonduri fie ca aceasta este o funcie primara sau suplimentara a respectivei aplicaii.

PentestingPentesting este o metoda de evaluare a securitii unei reele sau unui Sistem IT prin simularea unui atac dintr-o sursa maliioasa. Procesul implica o analiza a sistemului pentru orice vulnerabiliti poteniale si orice slbiciuni operaionale din proces sau controalele tehnice. Orice probleme de securitate descoperite pot fi apoi reparate iar riscurile atenuate.

Dispozitive personaleDispozitivele personale sunt acele dispozitive achiziionate de o persoana care au fost aprobate de managerul lor executiv pentru conectarea cu Sistemele IT ale Companiei in vederea accesrii Informaiilor Companiei, insa doar prin utilizarea unei soluii IT aprobate.

TermenDefiniie

Informaii ce pot identifica o persoana (Personally Identifiable Information - Pil)Informaiile ce pot identifica o Persoana (sau Pil) semnifica informaii ce pot fi utilizate pentru a identifica, contacta, sau localiza o singura persoana in viata sau decedata sau pot fi utilizate mpreuna cu alte surse de informaii pentru a identifica o singura persoana in viata sau decedata: Pil includ, insa nu sunt limitate la, informaii cu caracter personal.

PhishingPhishing-ul este un mijloc de a ncerca sa se obtina informaii sensibile cum ar fi ID-uri de utilizator, parole si detalii ale crdurilor de credit, prin deghizarea intr-o entitate de incredere intr-o comunicare electronica. Phishing-ul se deruleaz de obicei prin mesaje e-mail, mesagerie instant sau legaturi de la pagini de internet, toate fictive, acestea indrumand adesea utilizatorii sa introduc detaliile lor pe o pagina de internet falsa care are aspectul si se comporta aproape identic ca cea legitima.

PINNumr de identificare personala - o parola, de obicei cuprinznd doar caractere numerice.

Dispozitive portabile si hand-heldDispozitivele portabile sunt dispozitive mici, extrem de mobile, cum ar fi telefoane inteligente si tablete, care pot fi utilizate pentru a accesa Informaii ale Companiei. Exemple sunt Apple iPhone, Blackberry, telefoane Android si Apple iPad.

Dispozitive de stocare portabileA se vedea - Dispozitive de stocare.

Analiza post-incidentAnaliza post-incident este o evaluare derulata pentru a stabili ce a cauzat incidentul, pentru a identifica modul in care sa se imbunatateasca in viitor reacia la un incident similar si pentru a reduce frecventa acestui tip de incident.

Aciune preventivaAciune de limitare a cauzei potenialelor vulnerabiliti sau slbiciuni de control, care ar putea compromite Sistemele IT ale Companiei, reducnd riscul pentru Companie.

Numere principale de cont (Primary Account Numbers -PAN)Acestea e^efjalanuiTiarul principal ce se gsete pe crdurile de credit si in --general pe crdurile companiere. Acesta are o structura interna specifica si are in comun un sistem de numerotare cu alte organizaii din domeniul financiar si al plailor.

Cont privilegiatUn cont privilegiat este unul care ofer un nivel sporit de acces la Sistemele IT ale Companiei. Denumite uneori conturi root, de administrator sau de 'super-utilizator', acestea acorda un nivel mai ridicat de privilegii la utilitile sistemului si controalele sistemului de operare, necesare pentru performanta, reglarea si intretinerea sistemului.

Utilizator privilegiatUn utilizator al unui Cont privilegiat.

PrivilegiiPermisiunile de acces definite pentru rolurile normale de sistem ce specifica tipul de activiti ce pot fi derulate asupra obiectelor, de exemplu citire, scriere sau executare. A nu se confunda cu conturi privilegiate sau utilizatori privilegiai.

TermenDefiniie

Titular al ProcesuluiDefiniia #1 - Persoana care este responsabila pentru proiectarea proceselor necesare pentru gestionarea activelor ce conin informaii ale Companiei. Titularul de proces este responsabil pentru crearea, actualizarea si aprobarea documentelor (proceduri, instruciuni de lucru sau protocoale) pentru a susine procesul.

Definiia #2 - Persoana responsabila pentru funcionarea si mbuntirea proceselor definite si a sub-proceselor aferente.

Mediul de producieMediul de Sisteme IT ce conine sistemele 'live' si informaiile oficiale pe care firma le utilizeaz pentru operaiuni cum ar fi tranzacii financiare. Acesta este diferit de mediile de dezvoltare si testare ce conin informaii fictive sau copii curate de informaii personale ale informaiilor de producie si sunt utilizate doar pentru dezvoltarea si testarea sistemelor.

Cuvinte interzisePentru a proteja reputaia Companiei, sistemele de e-mail trebuie sa scaneze si sa blocheze mesajele de intrare si de ieire ce conin anumite cuvinte interzise. Acestea sunt cuvinte considerate necorespunzatoare utilizrii comerciale deoarece sunt de natura rasista, abuziva, pornografica sau amenintoare, si sunt susceptibile a provoca infraciuni.

PubliceSistemul de clasificare a informaiilor Companiei are 4 niveluri de clasificare, 1 fiind nivelul de sensibilitate cel mai sczut iar 4 fiind cel mai ridicat. Informaiile Publice reprezint primul nivel al Sistemului de clasificare a informaiilor Companiei. Informaiile Publice sunt autorizate in mod special pentru comunicare publicului general, sau sunt deja disponibile in domeniul public.

Certificate cu chei publiceIn criptografie, un certificat cu chei publice (cunoscut si ca certificat digital sau certificat de identitate) este un document electronic ce utilizeaz o semntura digitala pentru a atribui o identitate unei chei publice informaii cum ar fi numele unei persoane sau denumirea unei organizaii, sau adresele acestora. Certificatul poate fi utilizat pentru a verifica faptul ca o cheie publica aparine unei persoane. Certificatul poate fi utilizat pentru a se verifica daca o cheie publica aparine unei persoane.

Infrastructura cu chei publice (Public Key Infrastructura - PKI)Infrastructura cu chei publice (PKI) este un set de hardware, software, persoane, politici si proceduri necesare pentru a crea, gestiona, distribui, utiliza, stoca si revoca certificate digitale. In criptografie, un PKI este un aranjament ce atribuie cheilor publice respectivele identiti de utilizator prin intermediul unei Autoriti de Certificare (CA). Identitatea utilizatorului trebuie sa fie unica in cadrul fiecrui domeniu al CA. Atribuirea se stabilete prin procesul de nregistrare si emitere, care, in funcie de nivelul de asigurare pe care il are atribuirea, poate fi derulat prin software la o CA, sau sub supraveghere umana. Rolul PKI ce asigura aceasta atribuire este denumit Autoritatea de nregistrare (RA). A se vedea si Criptografie si Chei criptografice.

Poziie de redresareDenumita si poziie de rezerva, aceasta se refera la punctul pre-definit dintr-un ciclu de procesare a informaiilor, la care poate reveni procesarea in cazul unei avarii sau coruperi in procesare, aceasta fiind cunoscuta ca 'stare curata' de la care se poate relua cu ncredere procesarea.

TermenDefiniie

Autoritatea de nregistrare (Registration Authority -RA)0 autoritate de nregistrare (RA) reprezint de obicei interfaa intre o autoritate de certificare (CA) si utilizatorii infrastructurii cu chei publice (PKI). RA este adesea o combinaie de tehnologie si persoane responsabile pentru funcii cum ar fi verificarea identitii utilizatorilor PKI, a utilizatorilor ce se nregistreaz, furniznd informaii de stare despre certificate, utiliznd cereri de certificate digitale si revocnd certificate.

Managementul versiunilorProcesul de implementare a unei schimbri controlate si aprobate in cadrul unui mediu 'live' de Sisteme IT.

Acces de la distantaAciunea de accesare a reelei IT a Companiei dintr-o locaie care este in afara spaiului de lucru al Companiei, si astfel neconectata fizic la reeaua IT a Companiei din spatiile Companiei. Metoda de conectare va necesita in mod normal un standard mai ridicat de autentificare a utilizatorului, dect in cazul in care utilizatorul se conecteaz din cadrul spaiului de lucru al Companiei.

ntreinere de la distantaAcces de la distanta prin conectare la reea oferit furnizorilor pentru lucrrile de ntreinere de efectuat. A se vedea si ntreinere sistem.

Medii de stocare detaabileAcest termen se refera la diverse mijloace de stocare a informaiilor digitale din Sisteme IT, prin copiere pe mediile de stocare respective si tergere din sistem. Acesta acoper medii de stocare magnetice cum ar fi hard-disk-uri si benzi magnetice (nu si cele utilizate pentru copie de sigurana), si acoper de asemenea medii de stocare optice, cum ar fi CD-uri si DVD-uri (nu si mediile de stocare optice utilizate exclusiv pentru copie de sigurana prin TSP). Din ce in ce mai mult, acesta se refera si la medii de stocare si crduri de memorie 'solid-state', cum ar fi crduri de memorie SD si suporturi USB.

Evaluarea risculuiA se vedea - Evaluarea riscului privind securitatea informaiilor.

Curarea datelorCurarea datelor, in ceea ce privete protecia informaiilor, include acele, . procese ce pot fi aplicate informaiilor pentru a pstra confidenialitatea acestora. Exemple de curare a informaiilor ar include eliminarea tuturor Informaiilor ce pot identifica o Persoana din datele utilizate in procesul de testare a sistemului, sau utilizarea procesului de mascare a datelor pentru a ascunde informaiile reale. Aceasta poate include si restrictionarea accesului la informaii comerciale din mediul de testare si nregistrarea in jurnal a utilizrii informaiilor respective, precum si distrugerea in sigurana a copiilor respectivelor informaii odat ce testarea s-a ncheiat.

SecreteSistemul de clasificare a informaiilor Companiei are 4 niveluri de clasificare, 1 fiind nivelul de sensibilitate cel mai sczut iar 4 fiind cel mai ridicat. Secrete reprezint nivelul 4, cel mai ridicat din cele patru niveluri ale Sistemului de clasificare a informaiilor Companiei. Informaiile Secrete se refera la informaii destinate si disponibile exclusiv anumitor persoane desemnate din cadrul Companiei, iar acestea ar amenina supravieuirea firmei sau ar afecta semnificativ preul aciunilor Companiei daca ar fi divulgate sau compromise.

TermenDefiniie

Tehnici de codificare securizataTehnicile de codificare securizata au fost dezvoltate ca urmare a unui numr de iniiative, din care Proiectul de securitate a aplicaiilor online (Open Web Application Security Project - OWASP) este un bun exemplu, pentru a promova practicile de codificare securizata si a spori gradul de contientizare asupra erorilor de programare comune ce pot duce la vulnerabiliti de securitate. Erorile, bug-urile si defectele logice de software sunt in mod consecvent principala cauza a vulnerabilitilor de software exploatate in mod obinuit. Identificnd practicile de codificare nesecurizata ce au dus la aceste erori si instruind dezvoltatorii asupra alternativelor securizate, organizaiile pot lua masuri pro-active pentru a ajuta in mod semnificativ la reducerea sau eliminarea vulnerabilitilor din software naintea implementrii.

Date de autentificare sensibile (Sensitive Authentication Data -SAD)Datele de autentificare sensibile sunt informaii legate de securitate (inclusiv, insa fara limitare la, valori sau coduri de validare a crdurilor, date de pe benzi magnetice, coduri PIN si blocri PIN) utilizate pentru a autentifica titularii de crduri sau autoriza tranzacii cu crduri de plata. A se vedea informaii despre crdul clientului.

Segregarea sarcinilorUn principiu de securitate ce imparte o sarcina la mai multe persoane pentru a controla faptul ca o singura persoana nu poate incheia o activitate comerciala de una singura.

ID-uri de sesiuneUn identificator unic ce este generat si trimis unui client dintr-un server pentru a identifica sesiunea de interaciune curenta.

Cont partajatUn cont care este destinat utilizrii de ctre un grup de persoane. Acesta este similar cu contul generic, cu excepia faptului ca denumirea contului poate indica legtura sa cu o anumita funcie sau un anumit departament.

SemnturaIn contextul software-ului, o semntura este un ablon identificabil de caractere sau cod, prezent intr-un virus sau alt software maliios (malware). Pe msura ce noi virui sunt descoperii, furnizorii de software anti-malware trebuie sa actualizeze fiierul lor de referina cu semnaturile malware ce vor fi scanate, iar utilizatorii de Sisteme IT trebuie sa aplice aceste fiiere cu semnaturi actualizate in timp util, pentru ca scanarea sa fie eficienta.

SemnificativeAcesta este unul din cele patru niveluri de clasificare definite de Cadrul de Risc Operaional - Matricea de Clasificare a Impactului. Referire la Matricea de Clasificare a Impactului.

Punct unic de esecParte a unui sistem care, daca se defecteaz, va opri funcionarea ntregului sistem.

Licena de utilizator unicAceasta este o licena de software care permite utilizarea software-ului doar de un singur utilizator la un moment dat. A se vedea si Licena.

Dispozitive de stocareAcest termen include toate formele de dispozitive de stocare capabile sa stocheze informaii ale Companiei, indiferent de tehnologia de stocare utilizata, si include medii de stocare magnetice (hard-disk-uri, discuri floppy si casete magnetice), discuri optice (cum ar fi CD-uri si DVD-uri), si medii de stocare electronice 'solid-state' (cum ar fi crduri de memorie, cipuri si suporturi USB).

TermenDefiniie

Reele de socializareAcest termen se refera la o gama de facilitai, software si pagini de internet ce ofer o comunitate virtuala utilizatorilor pentru a partaja activiti, interese, opinii si a schimba informaii cu alti utilizatori. Exemple curente includ Facebook, Twitter si Linked-ln.

Cod sursaOrice versiune de software pe deplin executabila, fie la nivel de sistem de operare fie la nivel de software al aplicaiei. Acest termen include atat versiunea limbajului de programare la nivel ridicat ce poate fi citit de persoane cat si versiunea echivalenta de cod maina.

Protocol de lucru (Statementof Work-SoW)Un protocol de lucru (SOW) este un document formal ce captureaz si definete activitile de lucru, produsele livrabile si intervalul de timp pe care un furnizor le va executa in derularea unei lucrri specifice pentru un client. Cerinele detaliate si preturile sunt de obicei incluse in Protocolul de Lucru, mpreuna cu termenii si condiiile standard de reglementare si de guvernare.

Chei si algoritmi

criptografici

simetriciAlgoritmii cu chei simetrice sunt o clasa de algoritmi pentru criptografie ce utilizeaz chei criptografice legate in mod trivial, adesea identice, atat pentru criptarea textul clar cat si pentru decriptarea textului cifrat. Cheia de criptare este legata in mod trivial de cheia de decriptare, prin faptul ca acestea pot fi identice sau exista o transformare simpla pentru a trece de la una la cealalt. Cheile, in practica, reprezint un secret partajat intre doua sau mai multe parti, ce pot fi utilizate pentru a menine o legtura la informaii private. A se vedea si Chei si algoritmi criptografici asimetrici.

Cont de sistemAcesta se refera la un cont ce permite un anumit acces privilegiat la un Sistem IT specific, in scopul de a permite utilizatorilor autorizai sa deruleze sarcini de sistem cum ar fi intretinere, reglare, depanare si iniiere a activitilor pe loturi.

Utiliti de sistemInstrumente software ce sunt proiectate pentru a ajuta la analizarea, configurarea, optimizarea si intretinerea calculatorului sau serverului.

Plic securizatUn plic fizic ce profej^^^ilip'^^HSbntiriutuk Plicul este construit astfel irtct orice forare va putea fi recunoscuta in mod clar (de ex. banda perforata de rupere sau alt sigiliu). Acesta este un control utilizat pentru a indica faptul ca interiorul plicului a fost accesat, de ex. pentru stocarea de parole securizate pentru soluii de urgenta, sau expedieri de coduri PIN pentru clieni.

A nu se confunda termenul 'securizat' cu 'anti-fortare', care se refera la impiedicarea totala a forrii, cum ar fi in cazul unor dispozitive ce au controale solide pentru a opri pe oricine sa le foreze in operare.

Vulnerabilitate tehnica0 slbiciune hardware sau software care lasa sistemul deschis unui atac extern sau intern.

Testarea vulnerabilitii tehnice, sau evaluarea vulnerabilitiiAceasta se refera la scanarea si monitorizarea Sistemelor IT si reelelor pentru identificarea vulnerabilitilor si pentru nregistrarea acestor vulnerabiliti spre a fi raportate si evaluate de ctre conducere.

TermenDefiniie

Camera

infrastructurii

tehnologice0 camera a infrastructurii tehnologice este o zona fizica definita specifica, din cadrul unei cldiri sau a unui centru de date, care gzduiete o concentrare de sisteme de calculatoare si componente aferente, cum ar fi sisteme de stocare a informaiilor electronice si de telecomunicaii. Aceasta include de obicei surse de tensiune gestionate, precum si sisteme de rezerva, cum ar fi UPS sau generatoare diesel, si capacitatea redundanta in termeni de hardware de calculator si conexiuni de comunicaii. Aceasta va avea, de asemenea, controale de mediu specifice (cum ar fi cele de aer condiionat si cele de stingere a incendiilor), precum si procese si perimetre solide de securitate fizica. Camera infrastructurii tehnologice poate fi in cadrul unei uniti deinute de Companie, sau poate fi gestionata de o tera parte.

Titular de sistem tehnologicUn rol atribuit unui expert de obiect din cadrul Companiei, sau unui furnizor tert, care este responsabil pentru implementarea si meninerea masurilor de securitate tehnica pentru a proteja Sistemele IT specifice ale Companiei.

Furnizori de servicii tehnologice (Technology Service Providers - TSP)Furnizorii de servicii tehnologice (TSP) proiecteaz, construiesc, implementeaz si susin Sistemele IT ale Companiei. Portofoliul furnizorului de servicii tehnologice poate include toate sau o combinaie a Sistemelor IT ale Companiei inclusiv infrastructura de calcul, reeaua IT, aplicaii si orice servicii tehnologice aferente. Un furnizor de servicii tehnologice este intern fata de Companie si nu un furnizor tert.

Analiza la reziliereAceasta se refera la masurile care trebuie luate pentru a proteja si recupera activele si Informaiile Companiei la sfritul unui contract pentru servicii ale terilor. In timpul rezilierii titularul respectiv al aplicaiei sau informaiilor trebuie sa indeplineasca diverse cerine de securitate importante. Acestea acoper cerina de a pstra confidenialitatea, integritatea si disponibilitatea in ceea ce privete Informaiile Comp