Proiect Politica de Securitate

POLITICA DE SECURITATE A SISMTEULUI RESURSELOR INFORMATICE SI DE COMUNICATII ( RIC )

Scop

Confidenialitatease refer la protecia datelor mpotriva accesului neautorizat. Fiierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate n proprietatea, administrarea sau n custodia i sub controlul Cardiv Marketing, sunt proprietatea SC. Cardiv Marketing SRL n condiiile legilor n vigoare. Utilizatorul rspunde personal de confidenialitatea datelor ncredinate prin procedurile de acces la RIC ( Resurse informatice si de comunicatii ) Integritatease refer la msurile i procedurile utilizate pentru protecia datelor mpotriva modificrilor sau distrugerii neautorizate.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizaiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile de administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre Cardiv Marketing n baza unui contract comercial sau de colaborare.

Atribuii i responsabiliti

Atribuiile operatorului includ:

Orice angajat trebuie s se asigure c managementul RIC respect prevederile prezentei Politici i a regulamentelor sau procedurilor asociate. Administratorul de reea/sistem/baze de date trebuie s asigure existena jurnalelor i a traseelor auditrii pentru orice tip de acces n sistem conform regulamentelor sau procedurilor asociate. Administratorul de reea/sistem/baze de date trebuie s asigure activarea tuturor mecanismelor de securitate.

Confidentialitate

n scopul administrrii RIC i pentru asigurarea securitii RIC personalul autorizat poate revizui sau utiliza orice informaie stocat pe sau transportat prin sistemele RIC n conformitate cu legile n vigoare. n aceleai scopuri, este posibil monitorizarea activitii utilizatorilor Utilizatorii trebuie s raporteze orice slbiciune n sistemul de securitate al calculatoarelor din cadrul Cardiv Marketing, orice incident de posibil ntrebuinare greit sau nclcare a acestui regulament. Utilizatorii nu trebuie s ncerce s acceseze informaii sau programe de pe sistemele Cardiv Marketing pentru care nu au autorizaie sau consimmnt explicit. Nici un utilizator al RIC ale nu poate divulga informaiile la care are acces sau la care a avut acces ca urmare a unei vulnerabiliti a sistemului RIC. Aceast regul se extinde i dup ce utilizatorul a ncheiat relaiile cu Cardiv Marketing SRL. Confidenialitatea informaiilor transmise prin intermediul resurselor de comunicaii ale terilor nu poate fi asigurat. Pentru aceste situaii, confidenialitatea i integritatea informaiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligai s se asigure c toate informaiile confideniale Cardiv Marketing se transmit n aa fel nct s se asigure confidenialitatea i integritatea acestora.

Reguli de Utilizare Acceptabil a sistemului RIC

Utilizarea sistemului RIC se face numai n interes de serviciu. Utilizatorii trebuie s anune ARIC n cazul n care se observ orice problem/bre n RIC din cadrul Cardiv Marketing ct i orice posibil ntrebuinare greit sau nclcare a regulamentelor n vigoare. Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit protecia sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau accidental, aciuni care pot afecta confidenialitatea, integritatea i disponibilitatea informaiilor de orice tip n cadrul RIC al Cardiv Marketing. Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din RIC pentru care nu au autorizaie sau consimmnt explicit. Utilizatorii nu trebuie s divulge sau s nstrineze nume de cont-uri, parole, Numere de Identificare Personal (PIN-uri), Coduri numerice personale (CNP-uri), date de contact, dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive i/sau informaii similare utilizate n scopuri de autorizare i identificare. Utilizatorii nu trebuie s fac copii neautorizate sau s distribuie materiale protejate prin legile privind proprietatea intelectual (copyright). Utilizatorii nu trebuie s utilizeze programe de tip shareware sau freeware, fr aprobarea ARIC, cu excepia cazului n care acestea se gsesc pe lista programelor standard folosite n cadrul activitatii Cardiv Marketing. Aceast list va fi ntocmit de ctre managerul Cardiv Marketing si administratorul de retea. Utilizatorii nu trebuie: s se angajeze ntr-o activitate care ar putea hrui sau amenina alte persoane; s degradeze performanele RIC; s mpiedice accesul unui utilizator autorizat la RIC; s obin alte resurse n afara celor alocate; s nu ia n considerare msurile de securitate impuse prin regulamente. Utilizatorii nu trebuie s descarce, instaleze i s ruleze programe de securitate sau utilitare care expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu, utilizatorii Cardiv Marketing nu trebuie s ruleze programe de decriptare a parolelor, de captur de trafic, de scanri ale reelei sau orice alt program nepermis de regulamente. Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit materiale pe care Cardiv Marketing le poate considera ofensive, indecente sau obscene (altele dect cele n curs de cercetare academic unde acest aspect al cercetrii are aprobarea explicit a conducerii organizatiei). Accesul la reeaua Internet prin intermediul RIC se supune acelorai regulamente care se aplic utilizrii din interiorul instituiei iRegulamentului pentru Utilizare Internet i Intranet. Angajaii nu trebuie s permit membrilor familiei sau altor persoane accesul la RIC ale Cardiv Marketing. Utilizatorii nu trebuie s se angajeze n aciuni mpotriva scopurilor Cardiv Marketing folosind RIC.

Reguli de Utilizare Ocazional a RIC

Utilizarea ocazional a RIC nu trebuie s aib drept rezultate costuri directe pentru Cardiv Marketing. Utilizarea ocazional a RIC nu trebuie s afecteze activitatea normal a angajailor. Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot cauza aciuni legale mpotriva Cardiv Marketing sau prejudicierea, indiferent de form, a intereselor Cardiv Marketing. Stocarea mesajelor de email, a mesajelor de voce, a documentelor i fiierelor personale din cadrul RIC trebuie s fie nominal. Toate mesajele, fiierele i documentele incluznd mesajele personale, fiierele i documentele localizate n cadrul RIC sunt proprietatea Cardiv Marketing i pot fi subiectul unor cereri de verificare/inspectare/accesare conform regulamentelor.

Msuri Disciplinare

nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot include: Rezilierea contractului de munc n cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei; Interzicerea accesului la RIC.

Toate aciunile care contravin legilor vor fi raportate organelor competente.

Alte Dispoziii

Acest Regulament are ca parte integrant urmtoarele dispoziii:

ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru aciunile care pot afecta securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la informaii folosind protocoale de genul, dar nu numai, mesagerie electronic, navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n condiiile legilor n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia i datele trebuie protejate fiind proprietatea Cardiv Marketing.

PLAN DE SECURITATEIntroducere

Regulamentele de Utilizare a Resurselor Informatice i de Comunicaii sunt elaborate pentru a stabili un cadru corect, legal i eficient de utilizare a tehnologiei informaiei i comunicaiilor n cadrul Cardiv Marketing. Acestea au ca scop principal protejarea utilizatorilor, colaboratorilor mpotriva atacurilor de orice tip (cu sau fr intenie). De asemenea acestea au ca scop protejarea imaginii companiei i a investiiilor acesteia pentru dezvoltarea sistemul informatic i de comunicaii.

Scop

n acord cu legislaia n vigoare n Romnia, Regulamentele de ordine interioar ale Cardiv Marketing SRL, Resursele Informatice i de Comunicaii sunt valori ale Cardiv Marketing care trebuie exploatate i administrate ca resurse propriii si strict confidentiale. Scopul acestor regulamente este acela de a asigura:1. Stabilirea unor reguli corecte, echitabile i eficiente pentru folosirea resurselor informatice i de comunicaii n vederea confidentialitatii utilizarii datelor personale;2. Protejarea investiiilor Cardiv Marketing pentru dezvoltarea sistemului informatic i de comunicaii propriu;3. Protejarea proprietii intelectuale i a tuturor informaiilor stocate i transportate folosind Sistemul de Securitate Cardiv Marketing ale utilizatorilor autorizai.4. Educarea utilizatorilor resurselor informatice i de comunicaii n ceea ce privete responsabilitile asociate cu utilizarea acestora;

Audien

Regulamentele de utilizare a resurselor informatice i de comunicaii ale Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la acesta.

Proceduri de elaborare, modificare i aprobare a Regulamentelor

1. Regulamentele de utilizare a Resurselor Informatice i de Comunicaii ale Cardiv Marketing se elaboreaz pentru fiecare activitate specific domeniului.2. Regulamentele vor fi elaborate de ctre Administratorul de sistem i vor fi propuse pentru aprobare conducerii Cardiv Marketing.3. Regulamentele de utilizare a sistemului Resurselor Informatice i de Comunicaii vor fi disponibile atat n format electronic peserverul Cardiv Marketing cat si tiparite in sediul organizatiei. Se recomand ca aceste documente s fie disponibile oricand si updatate ori de cate ori este nevoie.

Proceduri i Regulamente Specifice

1. Utilizare Acceptabil a Resurselor Informatice i de Comunicaii2. Declaraii privind Confidenialitatea Serviciilor Informatice i de Comunicaii3. Acces Administrativ4. Accesul Fizic5. Tratarea Incidentelor de Securitate6. Monitorizarea Resurselor Informatice i de Comunicaii7. Securitatea Serverelor8. Crearea i Utilizarea Copiilor de Siguran (Backup)9. Detectarea Tentativelor de Acces Neautorizat10. Modificri i Modernizri ale Sistemului Resurselor Informatice i de Comunicaii11. Utilizare Internet i Intranet12. Administrarea Conturilor13. Parole de Acces

Utilizare Acceptabil a Resurselor Informatice i de Comunicaii

Introducere

n acord cu prevederile Politicii de Securitate, Sistemul de Resurse Informatice i de Comunicaii (SRIC) sunt bunuri strategice ale Cardiv Marketing care trebuiesc administrate ca resurse proprii si confidentiale. Acest regulament este stabilit astfel nct: S fie n conformitate cu Politica de Securitate, statutul, regulamentele, legile i alte documente oficiale n vigoare privind administrarea resurselor informatice, S stabileasc practici prudente i acceptabile privind utilizarea SRIC ale Cardiv Marketing S instruiasc utilizatorii care au dreptul de folosire a SRIC privind responsabilitile lor asociate unei astfel de utilizri.

Audien

Regulamentul de Utilizare Acceptabil a Resurselor Informatice i de Comunicaii al Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a Cardiv Marketing SRL.

Confidenialitate Fiierele electronice create, trimise, primite sau stocate pe resursele informatice proprii, nchiriate, administrate sau n custodia i sub controlul Cardiv Marketing, nu sunt confideniale i pot fi accesate de ctre personalul responsabil cu securitatea SRIC Cardiv Marketing, oricnd fr ntiinarea utilizatorului care are n gestiune sistemul. Coninutul unui fiier electronic poate fi accesat de ctre personalul autorizat n conformitate cu prevederile i normele de securitate ce se regsesc n Regulamentul de Acces Administrativ.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice, incluznd si servere, calculatoare personale, calculatoare-agend (notebook-uri), resurse de telecomunicaii, medii de reea i alte accesorii. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaiile. Administratorul Resurselor Informatice si de Comunicaii (ARIC):Responsabil la nivelul companiei cu administrarea RIC ale Cardiv Marketing. Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile de administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii: Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele Cardiv Marketing i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Furnizor: Persoan fizic/juridic care ofer bunuri sau servicii catre Cardiv Marketing n baza unui contract comercial sau de colaborare.

Regulament de Utilizare Acceptabil a RIC

Utilizatorii trebuie s anune ARIC ( administratorul Resurselor Informatice si de Comunicatii ) n cazul n care se observ orice problem/bre n sistemul de securitate a RIC din cadrul Cardiv Marketing ct i orice posibil ntrebuinare greit sau nclcare a regulamentelor n vigoare. Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit protecia sistemelor informatice i de comunicaii i nu trebuie s desfoare, deliberat sau accidental, aciuni care pot afecta confidenialitatea, integritatea i disponibilitatea informaiilor de orice tip n cadrul sistemului RIC al Cardiv Marketing. Utilizatorii nu trebuie s ncerce s obin acces la date sau programe din RIC pentru care nu au autorizaie sau consimmnt explicit. Utilizatorii nu trebuie s divulge sau s nstrineze nume de cont-uri, parole, Coduri Numerice Personale ( CNP-uri ), sau orice dispozitive i/sau informaii similare utilizate n scopuri de autorizare i identificare. Utilizatorii nu trebuie s utilizeze programe de tip shareware sau freeware, fr aprobarea ARIC, cu excepia cazului n care acestea se gsesc pe lista programelor standard folosite n cadrul companiei. Aceast list va fi ntocmit de ctre administratorul Resurselor informatice si Comunicatie impreuna cu managerul companiei. Utilizatorii nu trebuie: s se angajeze ntr-o activitate care ar putea hrui sau amenina alte persoane; s degradeze performanele RIC; s mpiedice accesul unui utilizator autorizat la RIC; s obin alte resurse n afara celor alocate; s nu ia n considerare msurile de securitate impuse prin regulamente. Utilizatorii nu trebuie s descarce, instaleze i s ruleze programe de securitate sau utilitare care expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu, utilizatorii autorizati RIC nu trebuie s ruleze programe de decriptare a parolelor, de captur de trafic, de scanri ale reelei sau orice alt program nepermis de regulamente. Utilizatorii nu trebuie s acceseze, s creeze, s stocheze sau s transmit materiale pe care politica companiei le poate considera ofensive, indecente sau obscene. Utilizatorii nu trebuie s se angajeze n aciuni mpotriva scopurilor Cardiv Marketing folosind RIC.

Utilizare Ocazional

n anumite situaii este permis utilizarea ocazional a RIC. n aceste situaii se aplic urmtoarele restricii:

Utilizarea personal ocazional a serviciilor de pot electronic, acces internet, telefoane, fax-uri, imprimante, copiatoare, etc. este restricionat la utilizatorii autorizai i nu poate fi extins la membrii familiilor sau alte personae fara acordul ARIC Utilizarea ocazional a RIC nu trebuie s afecteze activitatea normal a angajailor. Nu este permis trimiterea sau recepionarea documentelor sau fiierelor care pot cauza aciuni legale mpotriva Cardiv Marketing sau prejudicierea, indiferent de form, a intereselor companiei. Este interzisa stocarea mesajelor de email, a mesajelor de voce, a documentelor i fiierelor personale din cadrul RIC fara acordul ARIC Toate mesajele, fiierele i documentele incluznd mesajele personale, fiierele i documentele localizate n cadrul RIC sunt proprietatea Cardiv Marketing.Alte Dispoziii


ntreg personalul autorizat este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru aciunile care pot afecta securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la informaii folosind protocoale de genul, dar nu numai, mesagerie electronic, navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie electronic. Administratorul de sistem si managerul sunt raspunzatori de autorizarea utilizatorilor pentru folosirea adecvat a RIC. Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran, tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia i datele trebuie protejate fiind proprietatea Cardiv Marketing ARIC i rezerv dreptul de a terge, de pe orice sistem, orice program sau fiier care nu are legtur cu scopul muncii respective. Exemple de astfel de programe sau fiiere, dar nu limitate la: jocuri, programe de comunicare a mesajelor (AOL, Yahoo Messenger, MSN etc.), fiiere cu muzic (mp3, wav etc.), fiiere grafice (bmp, gif, jpg etc.), programe tip freeware i shareware.

Msuri Disciplinare

nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot include:

Rezilierea contractului de munc n cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei; Interzicerea accesului la RIC.


Declaraii privind Confidenialitatea Serviciilor Informatice i de Comunicaii

Introducere

Regulamentele de Confidenialitate sunt mecanisme utilizate pentru a stabili limite pentru utilizatoriiRIC. Utilizatorii interni nu ar trebui s se atepte la confidenialitate n ceea ce privete utilizarea sistemului RIC. Utilizatorii externi ar trebui s se atepte la confidenialitate total, cu excepia cazului n care se suspecteaz un delict cu privire la sistemul RIC.

Scopul

Scopul Regulamentului privind Confidenialitatea Serviciilor Informatice i de Comunicaii ale Cardiv Marketing SRL este acela de a comunica n mod clar utilizatorilor la ce s se atepte n ceea ce privete confidenialitatea datelor stocate n sistemul RIC.

Audien

Regulamentul privind Confidenialitatea Serviciilor Informatice i de Comunicaii al Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a companiei.

Drept de Proprietate

Fiierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate n proprietatea, administrarea, sau n custodia i sub controlul Cardiv Marketing, sunt proprietatea Companiei n condiiile legilor n vigoare.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Server Web: un sistem de calcul care distribuie n mod public sau difereniat informaii folosind protocolul HTTP. Pagin web:Un document n spaiul World Wide Web (WWW). Fiecare pagin web este identificat printr-un URL (Uniform Resource Locator). Security Hub: unitate de stocare securizata cu posibilitate de conectare prin intermediul (WAN Wide Area Network si LAN Local Area Network )

Regulament privind Confidenialitatea Serviciilor Informatice i de Comunicaii

Fiierele electronice create, trimise, primite sau stocate folosind sistemul RIC, administrate sau n custodia i sub controlul Cardiv Marketing nu sunt confideniale i pot fi accesate oricnd de ctre angajaii autorizai din cadrul RIC fr ntiinarea utilizatorului conform Regulamentului de Acces Administrativ. n scopul administrrii RIC i pentru asigurarea securitii RIC personalul autorizat poate revizui sau utiliza orice informaie stocat pe sau transportat prin sistemele RIC n conformitate cu legile n vigoare. n aceleai scopuri, este posibil monitorizarea activitii utilizatorilor. Utilizatorii trebuie s raporteze orice slbiciune n sistemul de securitate al calculatoarelor din cadrul Cardiv Marketing, orice incident de posibil ntrebuinare greit sau nclcare a acestui regulament ( prin contactarea ARIC ) Utilizatorii nu trebuie s ncerce s acceseze informaii sau programe de pe sistemele Cardiv Marketing pentru care nu au autorizaie sau consimmnt explicit din partea ARIC Nici un utilizator al sistemului RIC al Cardiv Marketing nu poate divulga informaiile la care are acces sau la care a avut acces ca urmare a unei vulnerabiliti a sistemului RIC. Aceast regul se extinde i dup ce utilizatorul a ncheiat relaiile cu Cardiv Marketing.

Regulament pentru Accesul Publicului la Informaii

Modelul de mai jos trebuie folosit pentru toate cazurile n care prin sistemul RIC se ofer informaii publicului. Sit-urile web ale Cardiv Marketing disponibile publicului general conin o declaraie prin care se atenioneaz vizitatorii privind confidenialitatea aciunilor lor. Un exemplu Declaraie este urmtorul:

Urmtoarea declaraie se aplic numai publicului i este destinat atenionrii acestuia cu privire la informaiile nregistrate cu ocazia accesrii informaiei din sistemul Resurselor Informatice i de Comunicaii al Cardiv Marketing.

Cookie-uri:Un cookie este un fiier care conine informaie plasat de ctre un server web pe un calculator al utilizatorului. De obicei, aceste fiiere sunt utilizate pentru a facilita accesul la informaia oferit de sit-ul web. Orice informaie pe care serverele web ale Cardiv Marketing o pot stoca n cookie-uri este utilizat numai n interiorul Cardiv Marketing. Informaia din cookie-uri nu este utilizat pentru a dezvlui, ctre teri, informaii despre vizitator dect n cazul n care Companiei i se cere n mod legal s fac acest lucru n conformitate cu legile n vigoare sau alte proceduri legale sau pentru depunerea documentelor necesare eliberarii diplomelor de participare la anumite evenimente catre Colegiul Medicilor din Romania sau alte institutii publice.

Jurnale i Monitorizare: Cardiv Marketing SRL pstreaz fiierele cu nregistrri ale tuturor accesrilor sit-urilor sale i de asemenea monitorizeaz traficul din reea n scopul administrrii sit-urilor. Aceast informaie este utilizat pentru a ajuta la diagnosticarea eventualelor probleme i pentru a realiza alte sarcini administrative. Uneltele de analiz a jurnalelor sunt de asemenea utilizate pentru statistici n scopul determinrii informaiei cu un grad ridicat de interes pentru utilizatori sau vizitatori. Informaiile incluse n aceste fiiere sunt:

Numele sistemului: numele sistemului i/sau adresa IP a calculatorului care cere accesarea sit-ului. Informatii despre utilizator: tipul browser-ului, versiunea (Mozila Firefox, Google Chrome, Internet Explorer 8 for Windows, Safari for Macintosh, etc.). Referin: pagina web de unde a venit utilizatorul. Data :data i ora accesrii.

Informaia de mai sus nu va fi folosit pe nici o cale care ar putea dezvlui informaii de identificare personal a unei persoane din exteriorul Cardiv Marketing, dect dac se cere n mod legal acest lucru n conformitate cu legile n vigoare sau cu alte proceduri legale si necesare.

Informaie din mesaje electronice sau formulare:Dac un vizitator trimite un mesaj electronic catre Cardiv Marketing sau completeaz un formular web cu o serie de ntrebari sau comentarii ce conin informaii de identificare personal, acea informaie va fi utilizat numai pentru a rspunde cererii i pentru a analiza inteniile. Mesajul poate fi redirectat la alt persoan care este calificat s rspund cererii. Astfel de informaii nu vor fi folosite pe nici o cale prin care s-ar dezvlui informaii de identificare personal terilor, cu excepia cazului n care Companiei se cere n mod legal acest lucru n conformitate cu legile n vigoare sau cu alte proceduri legale. Legturi:Sit-urile pot conine legturi catre alte sit-uri. Cardiv Marketing nu este rspunztoare de politicile de securitate sau coninutul acestor sit-uri.

Alte Dispoziii



Msuri Disciplinare




Acces Administrativ

Introducere

Personalul care asigur suport tehnic, administratorii de sistem i alte persoane pot avea conturi cu drepturi de acces privilegiat n comparaie cu utilizatorii obinuii. Datorit faptului c aceste conturi pentru acces administrativ au mai multe privilegii, aprobarea, verificarea i monitorizarea acestora sunt extrem de importante din punctul de vedere al securitii RIC.

Scopul

Scopul Regulamentului de Acces Administrativ al Cardiv Marketing, este de a stabili regulile pentru crearea, utilizarea, monitorizarea, controlarea i tergerea conturilor cu drepturi speciale de acces.

Audien

Procedura de Acces Administrativ se aplic nediscriminatoriu tuturor persoanelor care au sau pot cere i obine drepturi speciale de acces la orice RIC a Cardiv Marketing.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre Cardiv Marketing n baza unui contract comercial sau de colaborare.

Regulament de Acces Administrativ

Utilizatorii trebuie s cunoasc i s accepte toate regulamentele privind securitatea RIC nainte de a li se permite accesul la un cont. Utilizatorii care au conturi de acces administrativ trebuie sa aib instruciuni de administrare, documentare, instruire i autorizare a conturilor. Aceste instruciuni se vor elabora de catre managerul Companiei i vor fi incluse n fia postului. Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie s foloseasc n mod abuziv aceste drepturi i trebuie s fac investigaii numai sub ndrumarea ARIC. Cei care utilizeaz conturi de acces cu drepturi administrative sau speciale trebuie s foloseasc tipul de privilegiu cel mai potrivit activitii pe care o desfoar. Accesul administrativ trebuie s se conformeze Regulamentului de utilizare a Parolelor. Parola pentru un cont cu acces privilegiat nu va fi utilizat de mai multe persoane dect cu acordul scris al ARIC i trebuie s fie schimbat atunci cnd persoana care utilizeaz acest cont i schimb locul de munc din cadrul Cardiv Marketing SRL Trebuie s existe o procedur prin care o alt persoan, n afar de administrator, s poat avea acces la contul administratorului n caz de fora major. Aceast procedur va fi elaborat de ctre managerul Companiei. Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau instalare de software sau alte operaiuni definite. Acestea trebuie s ndeplineasc urmtoarele condiii: trebuie s fie autorizate; trebuiesc create cu dat de expirare specific; contul va fi ters atunci cnd nu mai este necesar.

Alte Dispoziii


Controalele de Securitate ale Resurselor Informatice nu trebuie s fie ocolite sau dezactivate. Accesul la schimbarea i utilizarea drepturilor de acces la RIC trebuie s fie strict securizat. Trebuie revizuite n mod regulat modul de autorizare a accesului la informaie, drepturile de acces precum i orice modificare a strii postului cum ar fi: transfer, promovare, retrogradare sau terminarea serviciului. ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru aciunile care pot afecta securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Utilizarea RIC se face numai n interes de serviciu. Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la informaii folosind protocoale de genul, dar nu limitate la, mesagerie electronic, navigare Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n condiiile legilor n vigoare. ARIC si managerul Companiei sunt responsabili privind autorizarea utilizatorilor pentru folosirea adecvat a RIC. Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran; tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. Toate programele de calculator, aplicaiile, codul surs, codul obiect, documentaia i datele trebuie protejate fiind proprietatea Companiei.

Msuri Disciplinare




Accesul Fizic

Introducere

Ca parte a atribuiilor de serviciu, personalul care asigur suport tehnic, administratorii de reea, administratorii de sistem sau alte persoane autorizate trebuie s aib acces la echipamentele i componentele sistemului RIC. Procesul de control i monitorizare a drepturilor de acces fizic la resursele RIC este important i va fi reglementat conform prezentului regulament de ctre ARIC i, acolo unde este cazul, de ctre managerul Companiei.

Scopul

Scopul Regulamentului privind Accesul Fizic la RIC este stabilirea regulilor pentru acordarea, controlarea, monitorizarea i ntreruperea drepturilor de acces fizic la echipamentele componente ale RIC.

Audien

Regulamentul privind Accesul Fizic la RIC se aplic tuturor persoanelor care rspund de buna funcionare a infrastructurii, instalarea i ntreinerea unor componente funcionale, a personalului responsabil cu securitatea RIC i utilizatori.

Definitii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan fizic/juridic care ofer bunuri, servicii sau date personale catre Cardiv Marketing n baza unui contract comercial sau de colaborare.

Regulament privind Accesul Fizic la RIC

Accesul fizic la toate ncperile n care sunt instalate RIC trebuie s fie documentat i monitorizat. Toate ncperile n care sunt instalate RIC trebuie s fie protejate fizic, n funcie de importana acestora i tipul datelor vehiculate sau stocate. Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face n scris de ctre managerul Companiei sau, dup caz, de catre ARIC. Cardurile i/sau cheile de acces care nu mai sunt folosite trebuie predate managerului Companiei. Pierderea sau furtul cardurilor i/sau cheilor de acces trebuie raportate imediat managerului Companiei. Managerul Companiei va ine o eviden a tuturor cardurilor i/sau cheilor de acces emise, retrase, pierdute sau furate. Pentru fiecare spaiu n care sunt instalate RIC se va pstra o eviden a accesului pentru verificri de rutin n situaii critice.

Alte Dispoziii

Acest Regulament are ca parte integrant urmtoarele dispoziii: ntreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru aciunile care pot afecta securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Utilizarea RIC se face numai n interes de serviciu. Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la informaii folosind protocoale de genul, dar nu limitate la, pot electronic, navigare pe Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n condiiile legilor n vigoare. ARIC si managerul Companiei sunt responsabili privind autorizarea utilizatorilor pentru folosirea adecvat a RIC. Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran; tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. Controalele de Securitate ale RIC nu trebuie s fie evitate sau dezactivate. Parolele, Numerele de Identificare Personal, Cartelele de Acces precum i alte proceduri de securitate a sistemelor de calcul sau a dispozitivelor din cadrul RIC trebuie s fie protejate de fiecare utilizator n parte astfel nct s nu poat fi utilizate de ali utilizatori. Orice nclcare a sistemului de securitate trebuie raportat catre ARIC si managerul Companiei. Accesul la RIC trebuie s fie strict securizat i s se fac pe baza unor proceduri documentate conform prezentului regulament. Aceste proceduri trebuie revizuite n mod regulat. La terminarea relaiilor dintre utilizatorul RIC i Cardiv Marketing acesta trebuie s predea toate componentele sistemului RIC de care rspunde sau le are n inventar. Toate regulile de securitate pentru sistemul RIC se aplic si rmn n vigoare i dup ncheierea relaiilor dintre utilizator i Cardiv Marketing.

Msuri Disciplinare



Tratarea Incidentelor de Securitate

Introducere

Reeaua de comunicaii a Cardiv Marketing constituie unul din principalele mijloace de exploatare a resurselor informatice. Aceasta include toate echipamentele, cablurile, punctele de acces, punctele de distribuie notebook-urile si desktopurile. Este important ca dezvoltarea reelei de comunicaii s se fac avnd n vedere att cerinele utilizatorilor privind furnizarea de servicii avansate i difereniate ct i cerinele privind securitatea ntregului ansamblu.

Scopul

Acest document descrie cerinele i regulile care trebuie respectate pentru a minimiza impactul incidentelor de securitate. Acestea includ (dar nu sunt limitate la): detectarea programelor de tip virus, vierme informatic etc., folosirea neautorizat a conturilor de acces i a calculatoarelor n sine, precum i reclamaiile privind folosirea improprie a RIC dup cum este subliniat n regulamente.

Audien

Regulamentul privind Tratarea Incidentelor de Securitate se aplic nediscriminatoriu tuturor persoanelor care folosesc orice component a RIC.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Virus:Un program care se auto-ataeaz la un fiier executabil sau la o aplicaie vulnerabil i care genereaz efecte de la cele deranjante pn la cele distructive. Un virus se execut n momentul n care este accesat un fiier infectat. Un virus de macro infecteaz codul executabil ncapsulat n pachetul de programe Microsoft Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului s genereze macro-uri. Vierme:Un program care se auto-copiaz n oricare alt parte a unui sistem informatic. Aceste copii pot fi create pe acelai calculator sau pot fi trimise ctre alte calculatoare prin intermediul reelei. Prima utilizare a termenului descria un program care s-a multiplicat ntr-o reea de calculatoare, folosind resursele sau calculatoarele neutilizate din reea pentru a distribui aceste copii. Unii dintre aceti viermi reprezint o ameninare la adresa securitii datorit faptului c folosesc reeaua pentru a se mprtia, mpotriva voinei proprietarilor de sisteme de calcul, cauznd astfel nefuncionarea sau funcionarea defectuoas a reelei. Un vierme este asemntor unui virus prin faptul c se auto-copiaz, diferena constnd n faptul c un vierme nu are nevoie s se ataeze la anumite fiiere pentru a se multiplica. Trojan:de obicei un virus sau un vierme care este ascuns sub forma unui program atractiv sau inofensiv, cum ar fi un joc, sau program de grafic (o felicitare n format electronic, un program tip screen-saver). Victimele pot primi un astfel de cal troian prin email sau pe o dischet, adeseori de la o alt victim necunoscut sau pot fi ncurajate s descarce un fiier de pe o pagin Web sau un forum. Incident de Securitate:n termeni informatici este definit ca un eveniment prin care se ncearc sau se realizeaz accesul la un sistem informatic, un atac asupra integritii i/sau confidenialitii informaiei de pe un sistem informatic automatizat. Aceasta include examinarea sau navigarea neautorizat, ntreruperea sau anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaiilor, modificarea informaiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau software cu sau fr tiina sau intenia utilizatorului.

Regulament de Tratare a Incidentelor de Securitate Ori de cte ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea unor activiti suspecte, informaii modificate etc., trebuie urmate procedurile standard specifice pentru micorarea riscurilor. ARIC este responsabil de tratarea incidentului. ARIC este responsabil cu strngerea dovezilor fizice i electronice ce vor face parte din documentaia pentru tratarea incidentului. Folosind resurse tehnice speciale se va monitoriza nivelul daunelor i gradul de eliminare sau atenuare a vulnerabilitilor acolo unde este cazul. ARIC trebuie s comunice proprietarului sau productorului resursei afectate de un incident informaiile utile pentru eliminarea sau diminuarea vulnerabilitilor care au cauzat incidentul.

Msuri Disciplinare



Alte Dispoziii



Monitorizarea Resurselor Informatice i de Comunicaii

Introducere

Monitorizarea RIC pentru asigurarea securitii sistemului este o metod utilizat pentru a confirma funcionalitatea i eficiena msurilor de securitate. Aceast activitate const n urmtoarele (fr a se limita numai la aceste exemple): Detectarea automat a intruilor prin intermediul sistemelor de nregistrare Jurnale ale scanrilor reea Jurnale ale aplicaiilor Jurnale ale solicitrilor de suport tehnic Jurnale ale erorilor din sisteme i servere

Scopul

Scopul Regulamentului de Monitorizare a RIC este stabilirea regulilor i procedurilor pentru verificarea funcionalitii i eficienei msurilor de securitate. De asemenea aceast activitate urmrete detectarea situaiilor de evitare sau dezactivare a controalelor. Unul din beneficiile monitorizrii securitii este identificarea din timp a tentativelor de fraud sau a infraciunilor i a vulnerabilitilor sistemelor componente ale RIC. Alte beneficii includ: rezolvarea reclamaiilor, monitorizarea serviciilor, estimarea performanelor sistemelor n vederea ntocmirii planurilor de modernizare, etc.

Audien

Regulamentul de Monitorizare a RIC al Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a Cardiv Marketing.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice aciune ntreprins n mod voit de un utilizator, care vine n contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se poate preveni nfptuirea de ctre utilizator a aciunii respective. Reea local (LAN/WAN):O reea de comunicaii de date ce este distribuit pe o zon restrns (de regul la nivelul unui grup de lucru). Reeaua local ofer comunicaii ntre calculatoare i periferice la o vitez de transfer mare i cu puine erori.

Regulament de Monitorizare a RIC

Monitorizarea RIC se va face astfel nct s fie posibil detectarea n timp util a atacurilor informatice i a situaiilor de nclcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmri i nregistra:a) Tipul traficului (ex. structura pe protocoale i servicii) extern i coninutul acestuia n cazurile n care acest lucru se impune sau este ordonat.b) Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de operare).

Fiierele jurnal vor fi examinate regulat n vederea detectrii eventualelor atacuri informatice i abateri de la regulamentele de securitate ale Cardiv Marketing. n aceast categorie intr urmtoarele (fr a se limita doar la acestea):a) Jurnale ale sistemelor de detectarea automat a intruilor.b) Jurnale ale activitii conturilor utilizatorc) Jurnale ale scanrilor reead) Jurnale ale aplicaiilore) Jurnale ale solicitrilor de suport tehnicf) Jurnale ale erorilor din sisteme i servere.g) Jurnale ale echipamentelor de telefonie

n mod regulat (cel puin o dat la ase luni) se vor efectua verificri, de ctre ARIC pentru detectarea:a) Parolelor utilizator care nu respect regulamenteleb) Echipamentelor de reea conectate neautorizatc) Serviciilor de reea neautorizated) Serverelor de pagini de web neautorizatee) Echipamentelor ce utilizeaz resurse comune nesecurizate

Orice neregul privind respectarea regulamentelor de securitate va fi raportat catre ARIC n scopul efecturii de investigaii.

Msuri Disciplinare



Alte Dispoziii



Securitatea ServerelorIntroducere

Serverele sunt sistemele care stocheaz i distribuie informaia ctre utilizatorii autorizai. n acest context trebuie asigurat integritatea, confidenialitatea i disponibilitatea datelor prin instalarea i meninerea acestora ntr-o manier care s previn accesul neautorizat, utilizarea neautorizat i ntreruperea unor servicii. Serverele se clasifica in doua mari categorii: locale si on-line.

Scopul

Scopul Regulamentului de Securizare a Severelor Cardiv Marketing este de a prezenta cerinele de instalare a unui nou server si de a menine integritatea securitii acestuia i a aplicaiilor.

Audien

Regulamentul de Securizare a Severelor Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a Cardiv Marketing.

Definitii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Server:Un program de calculator care ofer servicii altor programe aflate pe acelai calculator sau pe calculatoare diferite. Un calculator care ruleaz un program tip server este denumit n mod frecvent server, cu toate c pe acelai calculator mai pot rula i alte programe de tip client sau server.

Regulament de Securizare a Serverelor

Un server nu trebuie conectat la reeaua Cardiv Marketing pn cnd nu se afl ntr-o stare sigur acreditat de ctre ARIC.Procedura de securizare a serverelor trebuie s includ obligatoriu urmtoarele: Instalarea sistemului de operare dintr-o surs aprobat Aplicarea patch-urilor necesare furnizate de productor nlturarea programelor, a serviciilor sistem i a driverelor care nu sunt necesare Setarea/activarea parametrilor de securitate, a proteciilor pentru fiiere i activarea jurnalelor de monitorizare Dezactivarea sau schimbarea parolelor conturilor predefiniteARIC va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de instalare i aplicare regulat a patch-urilor de securitate i, prin sondaj, pentru serverele departamentale sau a grupurilor de lucru.

Msuri Disciplinare



Alte Dispoziii



Crearea i Utilizarea Copiilor de Siguran (Backup)Introducere

Copiile de siguran (backup) sunt necesare pentru a permite recuperarea datelor i aplicaiilor n cazul unor evenimente cum ar fi: dezastre naturale, defeciuni ale discurilor de sistem, spionaj, erori de introducere a datelor, erori de funcionare a sistemului etc. Back-upul se face pe unitati externe, aflate in afara sediului Companiei sau a punctelor de lucru, tocmai pentru a putea preveni pierderea informatiilor. Back-ul extern se face pe unitati de stocare externe securizate si criptate cu parole de tip md5 formate din minim 13 caractere alfanumerice.

Scopul

Scopul Regulamentului de Back-up al Cardiv Marketing este de a stabili regulile pentru crearea copiilor de siguran (backup) i stocarea informaiilor electronice ale Cardiv Marketing SRL.

Audien

Regulamentele de utilizare a resurselor informatice i de comunicaii ale Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la acesta.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Copii de Siguran (backup):Copii ale fiierelor i aplicaiilor fcute pentru a evita pierderea datelor i pentru a permite recuperarea n cazul unor evenimente care pot conduce la pierderi de date. Stocarea Extern (Offsite):Stocarea extern trebuie s se realizeze ntr-o zon geografic diferit de punctual de lucru al Companiei n care este puin probabil s se produc efecte de acelai tip n cazul unui dezastru.

Servicii

Administratorul RIC poate avea contracte pentru stocarea copiilor de siguran (backup) n alte zone.

Regulament privind Crearea i Utilizarea Copiilor de Siguran

Procedura de creare a copiilor de siguran i de recuperare pentru fiecare sistem din cadrul RIC trebuie s fie documentat i periodic revizuit. Furnizorul care ofer servicii de stocare a copiilor de siguran n alte zone pentru Cardiv Marketing trebuie s fie acreditat n acest scop. Procedurile stabilite ntre Cardiv Marketing i furnizorii de stocare ale copiilor de siguran n alt zon trebuie s fie revizuite cel puin anual. Verificarea copiilor de siguran se va face dup o procedur documentat i revizuit periodic, cel putin odata la 3 luni. Copiile de siguran trebuie s fie periodic testate pentru a asigura faptul c informaiile stocate sunt recuperabile. Accesul la mediile debackupale Cardiv Marketing stocate la furnizori externi sau n interior se va face folosind card-urile sau proceduri specifice de acces. Acestea trebuie revizuite periodic (anual). Accesul trebuie interzis pentru persoanele autorizate care i schimb locul de munc. Benzile sau mediile utilizate pentru stocarea copiilor de siguran trebuie s aib un sistem de identificare care s conin cel puin urmtoarele date de identificare a informaiei stocate: data crerii copiei; tipul de copie (complet, incremental etc.); clasificarea sensibilitii (siguranei/securitii);

Msuri Disciplinare


Toate aciunile care contravin legilor vor fi raportate organelor competente.Alte Dispoziii



Detectarea Tentativelor de Acces NeautorizatIntroducere

Detectarea tentativelor de acces neautorizat are un rol important n implementarea i aplicarea unui regulament de securitate. Pe msur ce complexitatea sistemelor informaionale i de comunicaii crete, sistemele de securitate trebuie s evolueze. Odat cu creterea numrului de vulnerabiliti prin utilizarea sistemelor distribuite este necesar un mecanism de asigurare a securitii la nivel de sistem precum i la nivel de reea. Sistemele de detectare a accesului neautorizat pot contribui la atingerea acestui scop.

Scopul

Detectarea tentativelor de acces neautorizat furnizeaz dou funcii importante pentru protejarea resurselor informatice: Feedback:informaii referitoare la eficiena componentelor din sistemul de securitate. Dac nu se detecteaz tentative sau chiar acces neautorizat n condiiile n care se folosete un sistem de detectare se consider c mecanismele de aprare funcioneaz. Trigger:un mecanism automat care determin cnd este necesar activarea anumitor msuri specifice ca rspuns la un incident privind accesul neautorizat.

Audien

Regulamentul privind Detectarea Tentativelor de Acces Neautorizat n sistemul RIC al Cardiv Marketing, se aplic tuturor persoanelor responsabile de instalarea de noi RIC precum i persoanelor care rspund de utilizarea RIC existente i persoanelor nsrcinate cu Securitatea RIC.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Incident de Securitate:n termeni informatici, este definit ca un eveniment de ncercare de ptrundere, o intrare neautorizat sau un atac asupra informaiei de pe un sistem automatizat din cadrul RIC. Definiia include examinarea sau navigarea neautorizat, ntreruperea sau anularea serviciilor, alterarea sau distrugerea datelor, a mediilor de stocare sau a datelor de ieire, modificarea informaiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau software cu sau fr tirea, indicaiile sau intenia utilizatorului. Atac informaional:O ncercare de a trece peste msurile i controalele de securitate fizice sau informatice care protejeaz un sistem din cadrul sistemului de RIC. Atacatorul poate altera informaiile, poate acorda sau refuza accesul la ele. Succesul unui eventual atac depinde de gradul de vulnerabilitate al sistemului n particular i de eficacitatea contramsurilor aplicate Gazd (Host):Un sistem care ofer servicii pentru un anumit numr de utilizatori. Server:Un program care ofer servicii altor programe aflate pe acelai sistem de calcul sau pe alte sisteme conectate n reea. Un sistem de calcul care ruleaz un program de tip server este adesea numit server, cu toate c pe acelai calculator mai pot rula i alte programe de tip client sau server. Firewall:Un mecanism de control al accesului care acioneaz ca o barier ntre dou sau mai multe segmente ale unei reele de calculatoare sau ale unei arhitecturi de tip client/server, folosit pentru a proteja reelele interne sau segmente ale acestora mpotriva utilizatorilor sau proceselor neautorizate.

Regulament pentru Detectarea Accesului Neautorizat

Procesele de nregistrare i verificare a activitii sistemelor de operare, conturilor utilizator i programelor trebuie s fie funcionale pe toate sistemele active (host, server, echipamente de reea). Trebuie activate funciile de nregistrare a evenimentelor pe dispozitivele firewall i pe toate sistemele de control al accesului. nregistrrile de verificare ale dispozitivelor de control al accesului trebuie monitorizate/revizuite (examinate) saptamanal de ctre administratorul de sistem. Verificrile privind integritatea fiecrui sistem trebuie s se fac periodic( lunar ). Aceast activitate este obligatorie i pentru dispozitivele de tip firewall sau dispozitive de control al accesului. nregistrrile de verificare pentru serverele i host-urile din reeaua intern trebuie revizuite cel puin odata la 3 luni. Se vor verifica periodic programele utilitare pentru detectarea tentativelor de acces neautorizat. Toate rapoartele privind incidentele trebuie revizuite n vederea detectrii de indicii ce ar putea implica o activitate de acces neautorizat. Toate indiciile suspecte sau confirmate de accesri sau ncercri de accesare neautorizate trebuie raportate imediat ctre ARIC Utilizatorii sunt obligai s raporteze orice anomalii n performana sistemelor utilizate ct i orice semne ale unor posibile infraciuni la ARIC.

Msuri Disciplinare


Toate aciunile care contravin legilor vor fi raportate organelor competente.Alte Dispoziii



Modificri i Modernizri ale Sistemului Resurselor Informatice i de ComunicaiiIntroducere

Sistemul RIC din cadrul Cardiv Marketing este n continu dezvoltare i extindere. La anumite intervale de timp, fiecare element al sistemului RIC trebuie oprit pentru modernizare, ntreinere sau configurare. n plus, pot apare ntreruperi neplanificate care conduc la operaii suplimentare ce afecteaz funcionarea ansamblului RIC. Modul de tratare a acestor modificri reprezint o parte critic n procesul de realizare a unei infrastructuri robuste i utile a RIC

Scopul

Scopul Regulamentului pentru Modificri i Modernizri ale Sistemului RIC este de a stabili un cadru raional i predictibil, astfel nct utilizatorii s-i poat planifica aciunile n consecin. Aciunile de modificare i modernizare necesit o anticipare a evenimentelor, monitorizare i evaluare a performanelor pentru a reduce impactul negativ asupra comunitii de utilizatori i pentru a mbunti serviciile oferite prin RIC.

Audien

Regulamentul pentru Modificri i Modernizri ale Sistemului RIC se aplic tuturor persoanelor care instaleaz, administreaz i ntrein Resursele Informatice i de Comunicaii.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Modificare:Orice implementare a unei noi funcionaliti (adugare de servicii/funcii/echipamente), orice ntrerupere a unui echipament/serviciu, orice reparaie a unui echipament/serviciu existent i orice mutare sau suprimare a unui echipament/serviciu. Modificare planificat:Proces de modificare a unui echipament sau serviciu anunat, documentat, aprobat. Modificare neplanificat:Proces de modificare a unui echipament sau serviciu n care nu s-a reuit anunarea, documentarea i aprobarea prealabil. Aceste modificri vor fi anunate ulterior i sunt acceptate doar n situaiile n care exist motive ntemeiate (ex. defeciuni). Modificare urgent:Proces de intervenie neautorizat imediat asupra unui echipament cauzat de iminena unui eveniment critic n scopul prevenirii distrugerilor pe arii extinse. Controlul Modificrilor:Procesul de control al procedurilor privind modificrile hardware, software sau firmware etc., astfel nct s se asigure protejarea RIC mpotriva modificrilor necorespunztoare.

Regulament pentru Modificri i Modernizri ale RIC

Orice modificare asupra unei componente a RIC din cadrul Cardiv Marketing, cum ar fi: sisteme de operare, componente hardware, echipamente i componente de reea, aplicaii, este supus prezentului regulament i trebuie s urmeze procedurile n vigoare. Toate propunerile de modernizare i extindere a elementelor de infrastructur a sistemului RIC vor fi documentate i aprobate de ctre managerul companiei. Nu este permis modificarea de ctre utilizatori a elementelor de infrastructur a RIC. Modificrile planificate trebuie anunate cu cel putin 48 ore nainte de a fi executate. Cererile de modificare planificat pot fi respinse n urmtoarele cazuri, dar nu numai: planificare inadecvat, planuri de refacere a serviciilor inadecvate, durata modificrii poate afecta n mod negativ o activitate important a instituiei, sau resursele corespunztoare necesare nu pot fi disponibile imediat. Se va ntocmi un raport pentru orice modificare, indiferent dac a fost planificat sau neplanificat, sau dac s-a realizat sau nu cu succes. Trebuie ntreinut o baz de date care s cuprind toate modificrile. Aceasta trebuie s conin cel puin urmtoarele informaii: data la care s-a fcut cererea pentru modificare i data la care s-a fcut modificarea; natura modificrii; indicarea strii modificrii.

Msuri Disciplinare

nclcarea acestui regulament se sancioneaz prin msuri disciplinare care pot include: Rezilierea contractului de munc n cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana la clarificarea situatiei; Interzicerea accesului la RIC

Alte Dispoziii

Acest Regulament are ca parte integrant urmtoarele dispoziii: Infrastructura sistemului RIC se afl sub controlul ARIC. Trebuie obinut aprobarea din partea ARIC nainte de conectarea unui echipament la reea. ARIC i rezerv dreptul de a deconecta orice echipament de reea care nu este conform cu standardele sau care nu este considerat a fi securizat n mod corespunztor. Integritatea programelor de uz general, a programelor utilitare, a sistemelor de operare, a reelelor i respectiv a fiierelor de date sunt responsabilitatea ARIC. Toate modificrile aduse sistemelor, programelor sau datelor trebuie aprobate de ctre Departamentul sau Facultatea care deine echipamentele sau este responsabil de integritatea acestora.

Utilizare Internet i IntranetIntroducere

n acord cu prevederile din prezentul Regulament, Resursele Informatice i de Comunicaii (RIC) sunt bunuri strategice ale Cardiv Marketing. Acest regulament este stabilit pentru a atinge urmtoarele scopuri: S fie n conformitate cu statutele, regulamentele i alte documente oficiale n vigoare pentru administrarea resurselor informatice, S stabileasc practici prudente i acceptabile privind utilizarea reelei Internet, S instruiasc utilizatorii care pot folosi reeaua Internet n ceea ce privete responsabilitile lor asociate unei astfel de utilizri.

Audien

Regulamentul de Utilizare Internet i Intranet se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a Cardiv Marketing SRL care are capacitatea de acces Internet i/sau Intranet.

Definitii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaia. Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Internet:Sistem global care interconecteaz calculatoare i reele de calculatoare. Acestea sunt deinute de mai multe organizaii, agenii guvernamentale, societi, instituii academic etc. Intranet:Reea privat destinat comunicaiilor i partajrii informaiilor, care, ca i reeaua Internet, folosete suita de protocoale TCP/IP, ns este accesibil doar utilizatorilor autorizai din cadrul unei organizaii (instituii). n mod obinuit, reeaua Intranet a unei organizaii este protejat printr-un sistem de protecie (firewall).

Drept de Proprietate

Informaia n format electronic, fiierele create, modificate, trimise, primite sau stocate pe dispozitivele conectate la sistemul RIC, aflate sub administrare, sau n custodia i sub controlul Cardiv Marketing SRL sunt proprietatea Cardiv Marketing, n condiiile legilor n vigoare.

Confidenialitate

Fiierele electronice create, modificate, trimise, primite sau stocate pe Resurse Informatice proprii, nchiriate, administrate sau n custodia i sub controlul Cardiv Marketing, nu sunt confideniale i pot fi accesate de ctre personalul responsabil cu securitatea RIC, fr ntiinarea utilizatorului sau a proprietarului sistemelor. Coninutul unui fiier electronic poate fi accesat de ctre personalul autorizat n conformitate cu prevederile i normele de securitate ce se regsesc n Regulamentul privind Accesul Administrativ.

Regulament de Utilizare reea Internet i Intranet

Toate programele utilizate pentru acces la reeaua Internet trebuie s fac parte din pachetul de programe aprobat de ctre D.C.D. Aceste programe trebuie s includ toate patch-urile de securitate necesare puse la dispoziie de ctre productor. Toate fiierele care provin din reeaua Internet trebuie s fie scanate cu un program antivirus care s fie actualizat cel puin o dat la 72 ore. Toate programele pentru acces Internet/Intranet trebuie s permit folosirea sistemelor proxy i/sau firewall. Toate informaiile accesate n reeaua Internet trebuie s se conformeze Regulamentului de Utilizare Acceptabil a RIC. Orice activitate a utilizatorilor folosind RIC poate fi nregistrat i ulterior examinat. Nu se vor publica pe sit-urile web ale Cardiv Marketing materiale cu caracter ofensiv sau de hruire. Nu este permis utilizarea RIC ale Cardiv Marketing n scop personal sau pentru solicitri personale ce nu au legtur cu Cardiv Marketing. Fiierele electronice se supun acelorai reguli de pstrare ce se aplic i altor documente i trebuie pstrate n conformitate cu regulile stabilite prin prezentele regulamente i regulamentele proprii.

Msuri Disciplinare



Administrarea ConturilorIntroducere

Conturile utilizator sunt mijloacele utilizate pentru a permite accesul laRICale Cardiv Marketing. Astfel, crearea, modificarea, controlul i monitorizarea conturilor utilizator sunt operaiuni foarte importante n cadrul general al asigurrii securitii sistemului RIC si vor fi efectuate doar de ARIC.

Regulament de Administrare a Conturilor

Toate conturile utilizator se vor crea n formatul Prenume.Nume. Prin contractul de munc, contractul de colarizare i/sau alte documente toi utilizatorii accept prevederile regulamentelor privind securitatea sistemului RIC. Toi utilizatorii sunt obligai s pstreze confidenialitatea informaiilor privind contul de acces. Toate conturile trebuie s se poat identifica n mod unic, utiliznd numele de cont asociat. Toate parolele pentru conturi trebuie s fie create i folosite n conformitate cu Regulamentul privind Parolele de Acces.

Administratorul de sistem sau alt personal autorizat:

Sunt responsabili de tergerea conturilor persoanelor (utilizatorilor) care nu mai lucreaz n cadrul Cardiv Marketing, sau care nu mai au relaii cu Cardiv Marketing. Trebuie s aib o documentaie de modificare a conturilor utilizator pentru se pune de acord n situaii precum schimbri ale numelor de familie, modificri privind contul (numele contului) modificri ale drepturilor de utilizator. Sunt subiectul verificrii independente. Trebuie s furnizeze o list cu toi utilizatorii (list de conturi) pentru sistemele pe care le administreaz, la cererea conducerii autorizate a Cardiv Marketing. Trebuie s coopereze cu utilizatorii pentru investigarea problemelor de securitate.

Msuri Disciplinare



Alte Dispoziii

Acest Regulament se completeaz cu urmtoarele dispoziii: Controalele de Securitate ale RIC nu trebuie s fie evitate sau dezactivate. Contientizarea importanei msurilor privind securitatea RIC de ctre utilizatori trebuie s fie permanent subliniat i actualizat. Toi utilizatorii rspund de modul n care folosesc, individual, RIC i sunt direct rspunztori de aciunile legate de securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricrei suspiciuni sau confirmri de nclcare a acestui regulament. Accesul la schimbarea i utilizarea drepturilor asociate unui cont trebuie s fie strict securizat. Trebuiesc revizuite n mod regulat autorizarea accesului la informaie (drepturile de acces), precum i orice modificare a statutului persoanei care deine un cont de acces cum ar fi: transfer, promovare, retrogradare sau terminarea serviciului. Utilizarea conturilor de acces se face numai n interes de serviciu. Nu exist nici o asigurare a confidenialitii datelor personale sau a accesului la informaii folosind protocoale de genul, dar nelimitate la, pot electronic, navigare pe Web, conversaii telefonice, transmisie fax-uri i alte instrumente de conversaie electronic. Utilizarea acestor instrumente de comunicaie electronic poate fi monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri n condiiile legilor n vigoare. Orice informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i n siguran de ctre utilizator. Faptul c informaiile pot fi stocate electronic nu schimb cu nimic obligativitatea de a le pstra confideniale i n siguran; tipul informaiei sau chiar informaia n sine stau la baza determinrii gradului de siguran necesar. La terminarea relaiilor dintre un utilizator i Cardiv Marketing, acesta trebuie s predea toate RIC. Toate regulile de securitate privind RIC se aplic i rmn n vigoare n eventualitatea ncheierii relaiilor cu Cardiv Marketing pn la finalizarea procedurii de predare. Mai mult dect att, Regulamentul rmne valabil i dup ncheierea relaiilor de munc, colaborare etc.

Parole de AccesIntroducere

Autentificarea este necesar pentru a controla accesul utilizatorilor la RIC. Controlul accesului este necesar deoarece accesul neautorizat poate duce la prejudicii cauzate de afectarea confidenialitii, integritii i disponibilitii informaiilor. Acestea pot avea ca efecte pierderi materiale i morale pentru Cardiv Marketing. Autentificarea utilizatorilor se poate realiza folosind diverse metode: conturi i parole de acces, dispozitive de identificare, caracteristici biologice.

Scopul

Regulamentul pentru Parole de Acces al Cardiv Marketing din Iai stabilete reguli i proceduri obligatorii pentru crearea i modificarea parolelor de acces la RIC.

Audien

Regulamentul pentru Parole de Acces al Cardiv Marketing se aplic nediscriminatoriu tuturor persoanelor crora li s-a permis accesul la orice resurs informatic i de comunicaii a Cardiv Marketing din Iai.

Definiii

Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate activitile asociate calculatorului care implic utilizarea oricrui dispozitiv capabil s recepioneze email, s navigheze pe site-uri de Web, cu alte cuvinte, capabil s transmit, stocheze, administreze date electronice, incluznd si servere, calculatoare personale, calculatoare-agend (notebook-uri), resurse de telecomunicaii, medii de reea i alte accesorii. La acestea se adaug procedurile, echipamentul, facilitile, programele i datele care sunt proiectate, construite, puse n funciune (operaionale) i meninute pentru a crea, colecta, nregistra, procesa, stoca, primi, afia i transmite informaiile. Administratorul Resurselor Informatice si de Comunicaii (ARIC):Responsabil la nivelul companiei cu administrarea RIC ale Cardiv Marketing. Desemnarea ARIC are ca scop stabilirea n mod clar a responsabilitii privind crearea, modificarea i aprobarea regulamentelor privind activitile de administrare i utilizare a RIC. Utilizator:O persoan, o aplicaie automatizat sau proces utilizator autorizat de ctre ARIC, n conformitate cu procedurile i regulamentele n vigoare, s foloseasc RIC. Parol:ir de caractere utilizat, de regul, pentru identificarea utilizatorului unui cont de acces, n vederea protejrii informaiilor asociate contului utilizator. Parole complexe:O parol complex este un ir de caractere (secven de caractere, numere i caractere speciale) care nu poate fi asociat cu informaia public despre contul utilizator, nu este copiat dintr-un dicionar etc.

Reguli pentru Parolele de Acces

Toate parolele trebuie s ndeplineasc urmtoarele condiii:

S fie schimbate de ARIC n mod regulat, cel puin o dat la 6 luni; S aib o lungime minim de 8 caractere; S fie parole complexe; Sa nu fie parole de felul numeprenume; Parolele trebuie sa fie formate din litere / cifre dar obligatoriu trebuie sa contina o cifra daca parola este formata doar din litere sau o litera daca parola este formata doar din cifre; Reutilizarea parolelor este interzis; Parolele de cont utilizator nu trebuie divulgate nimnui, nici mcar angajailor care rspund de securitatea sistemelor informatice. Dac se suspecteaz c o parol a putut fi divulgat aceasta trebuie schimbat imediat; Administratorii de sistem nu trebuie s permit schimbarea parolelor utilizatorilor folosind contul administrativ. Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face excepii pentru anumite aplicaii (precum backup automat) cu aprobarea ARIC. Pentru ca o excepie s fie aprobat, trebuie s existe o procedur pentru schimbarea parolelor. Dispozitivele de calcul nu trebuiesc lsate nesupravegheate fr a activa un sistem de blocare a accesului la acestea; deblocarea trebuie s se fac folosind parol.

Reguli pentru Alegerea unei Parole

Parolele trebuiesc schimbate la cel puin 6 luni. Parolele trebuie s aib o lungime minim de 8 caractere. Parolele trebuie s conin litere mici i mari i s aib cel puin 1 caracter numeric. Caracterele numerice nu trebuie s se afle la nceputul parolei. Caractere speciale ar trebui incluse n parole acolo unde sistemul permite.Caracterele speciale sunt: (!@#$%^&*_+=?/~`;:,|).

Parolele trebuie s respecte urmtoarele condiii: Nu trebuie s coincid sau s fie asemntoare cu numele dvs. de utilizator (login-ul); Nu trebuie s coincid sau s fie asemntoare cu numele dvs.; Nu trebuie s coincid sau s fie asemntoare cu o eventual porecl (nickname); Nu trebuie s coincid cu data naterii; Nu trebuie s coincid cu numrul de nmatriculare al mainii; Nu trebuie s coincid cu numele departamentului etc.; Nu trebuie s coincid

Proiect Politica de Securitate

Documents

Transcript of Proiect Politica de Securitate