Proiect SSI

Master: PCSAMStudenti: Mergeani Toni

Balduino Camachi Ovidiu Neculau

Petru Gabriel Cercel

Cuprins

Arhitectura fizica a cladirii.....................................................................................................................3

Securitatea fizica...................................................................................................................................5

Arhitectura controalelor de securitate:.................................................................................................6

Hardware...........................................................................................................................................6

Software............................................................................................................................................7

Sisteme de supraveghere si alarma.......................................................................................................9

Sistem video de supraveghere, monitorizare si inregistrare............................................................10

Caracteristici centru de date...............................................................................................................11

Un server folosit pe post de router..................................................................................................11

Servere ce ofera servicii angajatilor (HTTP, e-mail, FTP si NFS)...........................................................11

Server folosit pentru alte task-uri pentru a imbunatati securitatea si auditul.....................................13

Un sistem de stocare a datelor............................................................................................................13

Cluster de inalta disponibilitate a serviciilor si a serverelor.................................................................14

Recuperare in caz de dezastru.............................................................................................................16

Auditul de securitate...........................................................................................................................23

Politici de securitate............................................................................................................................24

Utilizarea Permanenta a Resurselor Informatice si de Comunicatii.................................................24

Regulament privind Confidentialitatea Serviciilor Informatice si de................................................25

Comunicatii......................................................................................................................................25

Regulament de Acces Administrativ................................................................................................25

Regulament privind Accesul Fizic la RIC...........................................................................................26

Regulament de Acces la Reteaua de Comunicatii............................................................................27

Regulament privind Configurarea Sistemelor Informatice pentru Acces la.....................................28

Reteaua de Comunicatii...................................................................................................................28

Regulament de Tratare a Incidentelor de Securitate.......................................................................28

Regulament de Monitorizare a RIC..................................................................................................29

Regulament de Securizare a Serverelor...........................................................................................30

Regulament de Administrare a Conturilor.......................................................................................30

Reguli pentru Parolele de Acces......................................................................................................31

Regulament de Detectare a Virusilor...............................................................................................31

2

Arhitectura fizica a cladirii

Cladirea propriu-zisa este formata din parter si 3 etaje dupa cum urmeaza:

- parterul:

- etajul 1:

3

- etajul 2

- etajul 3

4

Parter: 1. Cafenea2. Loc de relaxare 3. Camera administrativa a cladirii (curatenie)4. Toaleta5. Restaurant

Etaj 1 – HR + Administrativ + Management + Marketing:1. Sala HR2. Sala Management3. Sala Marketing4. Sala Administrativ5. Sala de conferinta

Etaj 2 – Dezvoltare IT + Testate + Mentenanta software:1. Sala dezvoltare IT2. Sala dezvoltare IT + Mentenanta software3. Sala testare4. Centru de date5. Sala de conferinta

Etaj 3 – Suport IT + Securitate :1. Sala Suport IT2. Sala Securitate3. Sala Suport IT4. Sala echipamente IT5. Sala de conferinta

Securitatea fizica

Centrul de date se afla la etajul 2, camera numarul 4, aceasta nu are ferestre, iar accesul se face pe baza de cartele de acces. In caz de incendiu, se evacueaza (aspira) tot aerul din incapere. Podeaua este falsa pentru o cablare optima, spatiul fiind suficient de mic sa nu incapa o persoana.

Linia de tensiune de 380V si fibra optica pentru conectarea cladirii la internet se afla sub pamant. Acestea sunt separate, fibra optica facand parte dintr-un program metropolitan similar cu Netcity.

La parter se afla receptia cladirii (pe hol), un restaurant, o cafenea cu spatiu pentru fumatori, toaletele si un loc pentru relaxare a angajatilor din cladire.

Intrarea in cladire se face liber, pana la receptie. Cei cu card pot intra liber in cladire. Cardul are poza, se poarta tot timpul la

vedere, nu intra mai multe persoane pe usa.(toti inregistreaza cardul)

5

Vizitatorii se inregistreaza la receptie, primesc card de acces de 1 zi, cu acces limitat doar la primul etaj.

Orice vizitator este permanent insotit. Gardienii lucreaza in schimburi de 12h cu 24h, si 12h cu 48h. In concediu ceilalti gardieni ii tin locul. Se aproba ca maxim 1 gardian sa aiba

concediu intr-o luna. Laptopurile se asigura cu kensington lock + screen lock (parola) pe toata

perioada cat sunt nesupravegheate. Parola pe HDD, gresirea de 3 ori duce la pierderea informatiilor ireversibil, parolele se schimba la 1-3 luni, fara repetarea ultimelor 8 parole. Folosim shredder pentru informatiile confidentiale, iar hartiile de la xerox trebuie ridicate in maxim 30 min.

Alarmele: ultima persoana care paraseste etajul, activeaza alarma. prima persoana care intra in cladire pe etajul respectiv dezactiveaza alarma. alarme provenite de la senzori (prezenta fumului sau temperaturi ridicate,

prezenta gazului metan sau a monoxidului de carbon, semnale de la detectorii de inundatie sau detectorii de inghet) sunt activate in permanenta caracteristice sistemului de detectie (baterie descarcata, tentative de sabotaj);

Arhitectura controalelor de securitate:

Hardware

Pentru controalele de securitate folosim ca si arhitectura hardware platforma celui mai implementat firewall din industrie, Cisco Adaptive Security Appliance, cu solutia de Securitate Sensibila la Context, Cisco ASA 5505.

Aceasta solutie pozitioneaza platforma ASA mult deasupra actualelor firewall-uri de “generatie urmatoare”, oferind o experienta fara precedent in fata amenintarilor de securitate si aplicatii customizabile pentru acces si control.

Cisco ASA 5505 ofera administratorilor de sistem posibilitatea de a controla care utilizatori si ce fel de terminale au acces la retea, ce fel de acces si catre ce fel de resurse ale retelei.

6

Cisco ASA 5505

Deoarece compania cuprinde mai multi utilizatori - de la angajati la contractori sau colaboratori/competitori - carora trebuie sa li se ofere acces la aplicatii, dispozitive si resurse, folosim aceasta arhitectura. In plus, utilizatorii primesc acces la anumite aplicatii, date si functionalitati.

Software

Pentru controlul software al securitatii folosim aplicatia Nagios.Nagios este un proiect open source pentru monitorizarea serverelor si a serviciilor,

capabil sa trimita alerte in cazul aparitiei unei probleme.A fost initiat de catre Ethan Galstad impreuna cu o echipa de programatori si lansat

in luna martie a anului 1999. Pe langa monitorizarea serviciilor online (SMTP, POP3, HTTP, FTP, SSH si altele) mai monitorizeaza starea si resursele serverelor (incarcarea procesorului, consumul de memorie, utilizarea discurilor) si log-urile de sistem.

Exista o multime de plugin-uri pentru monitorizarea temperaturii sau a alarmelor externe, monitorizarea de la distanta prin SSH sau tuneluri encriptate, crearea de grafice pe baza datelor existente, se pot crea handlere ce intervin pentru rezolvarea proactiva a problemelor aparute si se poate implementa un sistem redundant de monitorizare. Alertele pot fi trimise prin email, pager, SMS sau alte metode, in functie de plugin-ul ales.

Dezavantajele solutiei sunt multitudinea de pluginuri ce trebuiesc instalate, configurate, testate si analizate pentru a le alege pe cele care corespund cerintelor, (fara a avea experienta in utilizarea sa urmarea acestor pasi consumand mult timp) precum si lipsa partii de management sau pretul in cazul variantelor enterprise.

Inainte de a implementa o solutie de monitorizare trebuie sa ne asiguram ca ceasurile tuturor sistemelor din retea sunt sincronizate. In caz contrar, evenimentele monitorizate nu pot fi corelate. Protocolul care realizeaza acest lucru este NTP (Network Time Protocol).

In continuare este prezentata o solutie de configurare pentru Nagios.

InstalareSe ruleaza apt-get update, apoi se instaleaza pachetele nagios3, nagios3-doc si

nagios-snmp-plugins. apt-get update

7

apt-get install nagios3 nagios3-doc nagios-snmp-plugins

In continuare, se modifica fisierul de configurare /etc/nagios3/nagios.cfg astfel incat sa se activeze acceptarea comenzilor externe:

check_external_commands=1Acest pas este necesar pentru a putea interactiona cu Nagios prin intermediul

interfetei web.

In plus, sunt executate comenzile:chmod -R 777 /var/lib/nagios3/chown -R www-data:www-data /var/lib/nagios3/

Se restarteaza daemon-ul Nagios:/etc/init.d/nagios3 restart

Mai departe se ajunge in directorul /etc/nagios3/conf.d si se observa urmatoarele: Este definit un template pentru un host generic in generic-host_nagios2.cfg; Este definit un template pentru un serviciu generic in generic-

service_nagios2.cfg; Sistemul local este definit in localhost_nagios2.cfg, pe baza template-ului

generic. Tot aici sunt definite servicii specifice acestui host; Serviciile HTTP si SSH sunt definite in services_nagios2.cfg; In hostgroups_nagios2.cfg sunt definite cateva grupuri de host-uri, din care

face parte momentan doar localhost.

Dupa cum se observa, exista multiple posibilitati de definire a obiectelor: mai multe in acelasi fisier (chiar si toate), sau fiecare in fisierul sau separat.

Pentru a forta o alarma, modificati serviciul Total processes din localhost_nagios2.cfg astfel incat sa afiseze warning la 10 procese si alarma la 20 de procese:

define service{use generic-service Name of service template to use host_name localhostservice_description Total Processescheck_command check_procs!10!20

}

Apoi se restarteaza daemon-ul Nagios si se observa alarma in interfata web.

Mai departe creem un fisier nou, /etc/nagios3/conf.d/paranoid.cfg in care adaugam:define host{ use generic-host host_name paranoid alias Paranoid address XXX.XX.X.XXX }

Se sterge fisierul /var/cache/nagios3/objects.cache, apoi se restarteaza serviciul Nagios.

Se observa modificarile in interfata web. Momentan nu avem niciun serviciu asociat

8

In fisierul services_nagios2.cfg vom defini urmatoarele servicii:

pentru monitorizarea interfetelor:define service{ use generic-service host paranoid service_description Interfaces check_command check_ifstatus!public normal_check_interval 1 retry_check_interval 1}

pentru monitorizarea delay-ului:define service{ use generic-service host paranoid service_description Ping check_command check_ping!3.0,98%!5.0,99% normal_check_interval 1 retry_check_interval 1}

Bitdefender Security pentru serverul de mail protejeaza windows-ul sau serverele de

mail bazate pe Unix de amenintarile cunoscute cat si necunoscute asupra securitatii, comportandu-se ca un antivirus proactiv, antispyware, antispam, antiphishing, filtru de atasamente si continut. Aceasta solutie asigura serviciile de e-mail ale organizatiilor si ofera o productivitate prin blocarea spam-ului si furnizeaza instrumente comune de management.

In afara de instrumentul bazat pe linia de comanda "bdsafe" care poate fi utilizat intr-o maniera detaliata , este pusa la dispozitie si o interfata web Bitdefender Remote Admin, care ofera aproape toate optiunile de configurare disponibile cu "bdsafe".

Pentru inceput este necesara conexiunea la Remote Admin si vom scrie in browser adresa socketului setat la instalarea produsului. Adresa respectiva poate fi obtinuta prun rularea ca root bdsafe:

# ./bdsafe registry get /BDUX/Radmin/HostIn directorul /opt/Bitdefender/bin trebuie introduse userul si parola setate

la instalareIn cazul in care acestea au fost uitate se poate rula urmatoarea

comanda:# /opt/Bitdefender/bin/bd setupDe asemenea, pot fi schimbate configurarile pentru parola prin apasarea

unui link din fereastra principala.Dupa ce s-a efectuat logarea va aparea o fereastra in care se pot

vizualiza toate serviciile care ruleaza.

Sisteme de supraveghere si alarma

Ca si sistem de alarma vom folosi alarma antiefractie, care dupa cum bine stim este conceputa pentru a proteja caile prin care un infractor poate patrunde intr-o cladire. Scopul acestui sistem este de a imbunatati securitatea

9

locurilor protejate. Modul in care va fi detectata prezenta infractorului se face in functie de elementul protejat: usi, geamuri, spatii interioare.

Sistemul antiefractie folosit contine urmatoarele componente :

● centrala de detectie si alarmare, prevazuta cu software de operare propriu si elemente de armare/dezarmare locale;

● detectoare de prezenta pentru interior si exterior, cu posibilitatea reglarii sensibilitatii de detectie si imunitate la perturbatii electromagnetice

● detectoare de geam spart cu functie de analizare a spectrului audio si infrasunetelor; se instaleaza pentru a creste gradul de protectie perimetrala prin detectarea spargerii geamurilor de la usi sau ferestre.

● detectoare de soc cu sensibilitate de detectie reglabila● contacte magnetice folosite pentru protejarea usilor si ferestrelor, pot fi instalate in

punctele de acces vulnerabile, asigurand o protectie perimetrala.● tastatura ce permite armarea si dezarmarea intregului sistem, pentru comenzi

speciale (armari partiale, taste cu semnificatii speciale), pentru programarea centralei, pentru afisarea starii sistemului si pentru citirea istoriei de evenimente

● module periferice (amplificatoare, module extensie, multiplexoare, interfete);● sisteme de avertizare audio si optice;● elemente de alarmare la distanta (comunicator telefonic, interfata de conectare la

dispeceratul de supraveghere)● acumulatori ce mentin sistemul in functiune dupa caderea sursei principale de

energie electrice in functie de consumul sistemului si de capacitatea acumulatorilor.

Un lucru important este faptul ca sistemele de alarma antiefractie si componentele lor sunt clasificate prin grade, pentru a indica nivelul de securitate oferit. Gradele de securitate tin seama de nivelul de risc la efractie, in functie de natura locurilor protejate, de evaluarea continutului locurilor protejate si de profilul posibililor intrusi.

Gradul de securitate si clasa de mediu impun practic configuratia optima a sistemului de alarma antiefractie.

Sistem video de supraveghere, monitorizare si inregistrare

Cladirea este supravegeata video atat in exterior cat si in interior. Toate camerele sunt supravegheate, inclusiv holurile, cu autorul camerelor se monitorizeaza si inregistreaza actiunile din toate unghiurile cladirii.

Echipamentul video cuprinde:

● unitate de supraveghere si inregistrare video (DVR) cu 4 canale, include HDD 160GB si telecomanda;

10

● camere color de exterior, cu leduri in infrarosu pentru vedere pe timp de noapte, antena si suport incluse;

● materiale auxiliare pentru instalare (adaptoare video, conectori BNC, alimentatoare, cablu UTP etc).

Posibilitati de configurare:

● sistemul poate fi programat sa inregistreze manual, continuu, dupa un program de timp prestabilit sau doar la miscare;

● vizualizarea imaginilor live se poate face pe un monitor TV sau pe un televizor.● Sensor de monoxid de carbon● Senzor de gaz● Senzor de inundatie● Senzor de temperatura● Conectare la sistemul de supraveghere (in cazul in care se declanseaza alarma,

toate camere montate inregistreaza automat o perioada determinata in secunde la cererea clientului).

Caracteristici centru de date

Un server folosit pe post de router

Folosim acelasi tip de server, ca si cel de la securitate, si anume Cisco ASA 5505, cu urmatoarele caracteristici hardware:

dinamica de control a transferului: pana la 150Mbps transferul ASA IPS: pana la 75Mbps cu AIP SSC-5 sesiuni concurente: 10000/25000 conexiuni pe secunda: 4000 pachete pe secunda (64 de biti): 85000 transferul 3DES/AES VPN: 100Mbps site la site si sesiuni de utilizator VPN IPsec IKEv1: 10/25 Cisco AnyConnect sau sesiuni de utilizator VPN fara clienti: 25 utilizatori Cisco Cloud Web Security: 25 VLAN-uri: 3 (trunking disabled) / 20 (trunking enabled) suport pentru inalta disponibilitate: Stateless Active/Standby Only intrari, iesiri integrate: 8 port-uri FE cu 2 porturi de alimentare prin Ethernet

(PoE) alimentare: AC/DC

Servere ce ofera servicii angajatilor (HTTP, e-mail, FTP si NFS)

Se folosesc trei servere de acelasi tip pentru a oferi servicii angajatilor si anume serverul Dell PowerEdge R720 2U, ilustrat in figura urmatoare:

11

Dell PowerEdge R720 2U

SpecificatiiSerie Dell PowerEdge R720Tipodimensiune(U) 2Model procesor Intel® Xeon® Processor E5-2640Frecventa procesor(MHz) 2500FSB(MHz) 800, 1066, 1333Socket 2011Dimensiuni cache procesor(KB) 15360Nucleu procesor 6Numar procesoare instalate 1Numar procesoare suportate 2Tehnologie Intel® vPro Technology

Intel® Hyper-Threading TechnologyIntel® Virtualization Technology (VT-x)Intel® Virtualization Technology for Directed I/O (VT-d)Intel® VT-x with Extended Page Tables (EPT)Intel ® 64Idle StatesEnhanced Intel SpeedStep ® TechnologyIntel® Demand Based SwitchingThermal Monitoring TechnologiesAES New InstructionsIntel® Trusted Execution TechnologyExecute Disable Bit

Chipset Intel C600Sloturi memorie 24Sloturi 1 x PCI-E x16

3 x PCI-Express x8Capacitate memorie (GB) 8 (2 x 4 GB)Tip memorie DDR3Tehnologie memorie RDIMMsFrecventa memorie(MHz) 1333Memorie maxima (GB) 768Numar hard-disk-uri 2Capacitate HDD (GB) 300

12

Viteza de rotatie (rpm) 10000Tehnologie HDD SASController hard disk PERC H710Numar maxim HDD-uri 16 x 2.5 inchiUnitate optica DVD RWAltele ReadyRails Sliding Rails With Cable

Management Arm3Y NBD Service

Gigabit 10/100/1000Porturi retea 4Numar surse instalate 1Putere sursa(W) 750Pachete software IDRAC7 Enterprise

Server folosit pentru alte task-uri pentru a imbunatati securitatea si auditul

Pentru alte task-uri compania mai beneficiaza de un server tip, Dell PowerEdge R720 2U, ale carui caracteristici sunt definite mai sus.

Un sistem de stocare a datelor

Network Storage WD Sentinel DX4000, 16TB, Windows Storage Server 2008 R2 Essentials

SpecificatiiProcesor Intel AtomTM D525 1.8 GHz Dual CoreMemorie interna 2 GB RAMNumar hard-disk-uri 4

13

Capacitate maxima HDD 16 TBOperatii RAID RAID 5Porturi 2 x USB 3.0Retea 2 x 10/100/1000 Mbps (RJ-45)Securitate Active DirectoryDimensiuni (D x H x W) 224 x 206 x 160Hard-disk-uri incluse 4 x HDD 4 TBMedia server suport DLNA media serverNetworking protocols NFS, FTP, WebDAV, CIFS, HTTPS, HTTPAlimentare 100 - 240V AC, 50/60 HzFile sharing CIFS, FTP, SMB, WebDav, NFSOS Windows Storage Server 2008 R2 Essentials

Cluster de inalta disponibilitate a serviciilor si a serverelor

Tehnologii de disponibilitate inalta (aproximativ 580 KB) contine urmatoarele subiecte:

● Tehnologie cluster-e● Domeniul administrativ de cluster● Pool-uri de discuri comutabile● Dispozitive comutabile● Oglindirea intre locatii

○ Oglindirea geografica○ Oglinda Metro○ Oglinda globala

● FlashCopy● Gestionarea disponibilitatii inaltePunerea in cluster nu furnizeaza o solutie de disponibilitate inalta completa de una

singura, dar este tehnologia cheie pe care se bazeaza toate solutiile de disponibilitate inalta ale acestei companii.

Functionarea in cluster a infrastructurii, numita servicii de resurse cluster, furnizeaza mecanismele de baza pentru crearea si gestionarea mai multor sisteme si a resurselor lor ca o singura entitate de calcul unificata. De asemenea, functionarea in cluster monitorizeaza sistemele si resursele definite in mediul cu disponibilitate inalta pentru defectari si raspunde corespunzator, in functie de tipul de intrerupere. Functionarea in cluster combina hardware-ul si software-ul pentru a reduce costul si efectul intreruperilor planificate si neplanificate, restaurand rapid servicii cand apar aceste intreruperi. Desi nu este instantanee, recuperarea clusterului este rapida.

O componenta cheie a unei solutii de disponibilitate inalta o reprezinta:

Rezilienta aplicatiei - clasificata dupa efectul asupra utilizatorului. Sub o infrastructura de functionare in cluster pentru aceasta companie, rezilienta aplicatiei este controlata cu un obiect CRG (grup de resurse cluster) al aplicatiei. Acest CRG furnizeaza mecanismul,

14

utilizand un program de iesire, pentru a controla pornirea, oprirea, repornirea si comutarea aplicatiei la sistemele de rezerva. Intregul mediu al aplicatiei, inclusiv replicarea datelor si dispozitivele comutabile pot fi controlate prin infrastructura de functionare in cluster ca o singura entitate.

In cadrul companiei am folosit un cluster de servere Cisco ASA 5505, iar inalta disponibilitate in cadrul cluster-ului ASA este alcatuita din:

unitatea de monitorizare a functionarii:

Unitatea master monitorizeaza fiecare unitate slave prin trimiterea periodica de mesaje “de tinere in viata” pe link-ul de control de cluster (perioada este configurabila).

Fiecare unitate slave monitorizeaza unitatea master, folosind acelasi mecanism.

monitorizarea de interfataFiecare unitate monitorizeaza starea legaturii cu interfetele hardware utilizate, si

raporteaza modificari ale starii acestora unitatii master. Spanned EtherChannel - Utilizeaza Link Aggregation Control Protocol

(cLACP). Fiecare unitate monitorizeaza starea legaturii si a mesajelor de protocol cLACP pentru a determina daca portul este activ in EtherChannel. Starea este raportata la unitatea master.

interfete individuale (numai in modul Rutat), fiecare unitate isi monitorizeaza interfetele si rapoarteaza starea acestora la unitatea master.

esecul unei unitati sau al unei interfete:Cand monitorizarea functionarii este activata, o unitate este scoasa din cluster in

cazul in care acesta sau interfetele acesteia esueaza. Daca o interfata esueaza pe o anumita unitate, dar aceeasi interfata este activa pe alte unitati, atunci unitatea este scoasa din cluster.

Atunci cand o unitate din cluster esueaza, conexiunile gazduite de unitate sunt transferate fara probleme catre alte unitati, informatiile de stare ale fluxurile de trafic sunt transmise pe link-ul de control al cluster-ului.

In cazul in care unitatea master esueaza, un alt membru al cluster-ului cu cea mai mare prioritate (cel mai mic numar) devine master

Cand un ASA devine inactiv (fie manual sau printr-un esec al verificarii functionarii), toate interfetele de date sunt oprite; numai interfata de gestionare poate trimite si primi trafic. Interfata de management ramane activa folosind adresa IP pe care unitatea a primit-o din pool-ul de IP-uri ale cluster-ului. Cu toate acestea, daca reincarcati, iar unitatea este inca inactiva in cluster, interfata de management nu este accesibila (pentru ca foloseste atunci adresa IP principala, care este aceeasi cu cea a unitatii master). In acest caz, trebuie sa utilizati portul consola pentru orice viitoare configuratie.

replicarea Data Path Connection StateFiecare conexiune are un singur proprietar si cel putin un proprietar de rezerva in

cluster. Proprietarul de rezerva nu preia conexiunea in caz de esec, in schimb, stocheaza informatiile de stare TCP/UDP, astfel incat conexiunea poate fi transferata fara probleme unui nou proprietar, in cazul unui esec.

15

In cazul in care proprietarul devine indisponibil, prima unitate care primeste pachete de la conexiune (bazat pe echilibrarea incarcarii) contacteaza proprietarul de rezerva pentru informatiile de stare relevante astfel incat sa poata deveni noul proprietar.

Uneori, traficul necesita informatii de stare care depasesc nivelul TCP sau UDP.

TrafficState SupportNotes

Up TimeYesKeeps track of the system up time.

ARP TableYesTransparent mode only.

MAC address tableYesTransparent mode only.

User IdentityYesIncludes AAA rules (uauth) and indentify firewall

IPv6 Neighbor databaseYes

Dynamic routingYes

SNMP Engine IDNo

VPN (Site-to-Site)NoVPN section will be disconnected if the master

unit fails

Recuperare in caz de dezastru

In cadrul firmei s-a pregatit si se testeaza anual un plan de asigurare a continuitatii afacerii care sa permita restaurarea rapida a tuturor serviciilor in cazul unor dezastre atat naturale cat si cele create de om. De altfel exista un complex de masuri de preventive si corective care sa permita asigurarea unei disponibilitati maxime a serviciilor oferite(planuri de mentenanta, piese de schimb, redundanta a componentelor critice, copii de siguranta a datelor, ghiduri de tratare a erorilor si avariilor etc). Prezenta procedura de lucru stabileste norme cu privire la asigurarea continuitatii operationale si de recuperare a datelor si a informatiilor in caz de dezastru. Punerea in aplicare a prezentei proceduri implica constituirea unor echipe specializate, cu atributii bine stabilite. Daca un incident sau dezastru major se produce, echipele respective vor fi convocate de urgenta, unde se vor intruni si vor evalua situatia incidentului/dezastrului produs.

Responsabilitatea echipelor este de a decide daca este necesar sa puna in aplicare planul de continuitate.

Lista de prioritizare a incidentelor/dezastrelor se prezinta astfel:

16

RiscIncidentImpactProbabilitateServicii afectate

1 MajorIncediu/ExplozieCladire afectata in totalitate, daramata, neaccesibila

ScazutaToate

1 MajorCutremurCladire afectata in totalitate, daramata, neaccesibila

ScazutaToate

1 MajorInundatie in orasCladire inundata partialScazutaPartial

2 MediuInundatie in locatie

Cladire accesibilaMediePartial

2 MediuFactor uman (erori, sabotaj)

Cladire accesibilaMediePartial

2 MediuAtac de tip hacking

Utilizatorii nu au acces la dateMediePartial

2 MediuCapacitate supraincarcata

Performanta degradataMedieTemporar

3 MinimDefectiuni hardware

Utilizatorii nu pot utiliza pc-urile

MareTemporar

3 MinimPierderi de dateUtilizatorii nu au acces la dateMedieTemporar

3 MinimFara acces la software

Utilizatorii nu acces la software

MediumTemporar

3 MinimModificari neautorizate

Mic asupra utilizatorilorScazutaTemporar

Lista echipelor de lucru specializate si activitatile stabilite de catre acestea sunt:

ResponsabilActivitati

Echipa de management a recuperarii dupa dezastru IT (MGMT)

- evalueaza pagubele si, daca este necesar, declara dezastru- coordoneaza eforturile tuturor echipelor- asigura financiar- aproba toate actiunile pre-planificate- ofera o directie strategica- tine legatura cu managementul superior- se ocupa de birocratie- ofera consultanta angajatilor

Echipa de suport administrativ (ADMN)

- notifica toti furnizorii si serviciile de livrare- asigura functiile de contabilitate

17

- asigura raportul cu costurile de recuperare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de aprovizionare (SUPP)

- coordoneaza logistica necesara aprovizionarii- ajuta echipa de echipamente sa contacteze furnizorii- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de comunicatii cu mass-media (PUB)

- asigura ca angajatii nu discuta cu mass-media- asigura controlul informatiei atat pentru angajati cat si pentru public- face anunturi publice interne- tine la distanta oamenii de procesul de recuperare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de echipamente hardware (HARD)

- determina sfera de daune a serverelor si statiilor de lucru- comanda echipamentele necesare activitatilor- configureaza serverele si statiile de lucru-instalarea echipamentelor- notifica utilizatorii- relocarea echipamentelor- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa software (SOFT)- reface pachetele software- reinstaleaza si configureaza sistemele- verifica performanta sistemelor- testarea sistemelor de operare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de retea (NET)- determina echipamentul pentru cerintele pentru comunicatiile de voce si date- instalarea retelei: linii, routere, switchuri, controllere- testeaza reteaua- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de operare (OPS)- inventariaza si selecteaza casetele de restore corect- asigura coordonarea procesului de mutare intr-o locatie alternativa- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Echipa de recuperare (SALV)- conduce relocarea proiectelor- realizeaza o evaluare mai detaliata a pagubelor

18

inregistrate- se ocupa de asigurare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru

Lista activitatilor necesare recuperarii dupa dezastru este prezentata in tabelul urmator:Faza de evaluare a dezastrelor

Nr actAct anterioaraDescriereResponsabil

A010 Coordonarea notificarilor primite cu privire la recuperarea dupa dezastru

MGMT

A020 Asigura ca cei afectati de dezastru primesc atentia necesara

MGMT

A030A010adunarea echipelor de managementMGMT

A040A030Evaluarea daunelor si determinarea duratei de intrerupere

MGMT, HARD

A050A040Declararea dezastruluiMGMT

A060A040Realizarea aranjamentelor cu politia/firma de securitate pentru securizarea ariei

distruse

MGMT

A070A050Discutarea cu managementul de decizieMGMT

Faza de activare a recuperarii dupa dezastru

Nr actAct anterioaraDescriereResponsabil

B010A050Aduna echipele de lucru specializate pentru recuperarea dezastrelor

MGMT

B020B010Activarea centrului de comandaSALV

B030B020Notificarea personaluluiADMN

B040B020Adunarea materialelor stocate in afara amplasamentului

OPS

B050B020Liderii aplicatiilor vor informa utilizatorii cheie

SOFT

B060B020Informarea furnizorilor pentru harwdare si aprovizionare

ADMN

B070B020Informarea furnizorilor softwareADMN

19

B080B020Informarea managerului de riscADMN

B090B020Restabilirea situatieiADMN

B100B030Pregatirea declaratiilor impreuna cu managementul executiv pentru media

PUB

B110B100Stabilirea unde sa lucreze centrul de date alternativ

MGMT

B120B110Stabilirea pentru furnizori unde sa livreze echipamentele pentru centrul de date alternativ

SALV

B130B120Securizarea centrului de date alternativ

SALV

B140B130Coordonarea echipamentelor sosite la centrul de date

HARD

B150B130Daca este necesar, achizitionarea de spatiu pentru birouri

MGMT

B160B150Adunarea si distribuirea de provizii la centrul de comanda

SUPP

B170B150Inceperea evaluarii echipamentului de salvare si de aprovizionare

SALV

B180B150Coordonarea activitatilor tuturor echipelor

MGMT

B190B180Setarea unui centru de informatii la centrul de comanda

SOFT

B200B170Impachetarea si aducerea materialelor la centrul de date alternativ

OPS

B210B200Reevaluarea situatieiMGMT

B220B200Notificarea oficiului postal de noua adresa de trimitere a mailului

ADMN

B230B210Determinarea punctului de recuperare

OPS, SOFT

B240B230Notificarea utilizatorilor cheie a punctului de recuperare

SFT

20

B250B240Realizarea aranjamentelor pentru stabilirea cheltuiellor din timpul dezastrului

ADMN

B260B250Pregatirea pentru a primi echipamentele trimise

NET

B280B260Restabilirea serverelorOPS, SOFT

B290B280Bootarea serverelorOPS

B300B290Determinarea informatiilor necesare pentru a apela centrul de date alternativ

NET

B310B300Stabilirea comunicatiei dintre centru de date alternativ si zona de lucru alternativa

NET

B330B300Testarea sistemelor de operareSOFT

B340B330Testarea retelei de comunicatieNET

B350B340Testarea apelarii la distantaNET

B360B350Inceperea restaurarii aplicatiilor si a datelor utilizatorilor

OPS, SOFT

B370B360Testarea aplicatiilorSOFT

B380B370Furnizarea de rapoarte utilizatorilor adecvati

OPS, SOFT

B390B380Determinarea informatiilor necesare utilizatorilor

SOFT

B400B390Restabilirea situatieiMGMT

B410B400Efectuarea unui orare de operareSOFT,MGMT

B420B410Notificarea utilizatorilor de sistemul valabil

SOFT

B430B420Inceperea procesuluiOPS

B440B430Specificarea necesarului ce trebuie sa mearga la centrul de date

MGMT

B450B250Realizarea unui inventar complet a facilitatilor distruse

SALV

B460 Instruirea angajatilorMGMT

21

In continuare este prezentata o lista cu problemele ce pot aparea intr-o companie IT precum si rezolvarea acestora de catre echipele de lucru specializate

DescriereImpactDetectareaActiune imediata

Actiune ulterioara

Efect asupra utilizatorilor

Atenuare si contingenta

Defectiunea unui disk

MediuNagios Warning

Inlocuirea disk-ului in RAID

Comandarea unui nou disk. Distrugerea diskului existent

Niciun efectMonitorizarea de catre Nagios volumului RAID. Mentine driverele inlocuite valabile

Defectiunea mai multor disk-uri

MinimNagios warning

Inlocuirea disk-urilor nefunctionale

Comandarea de discuri noi. Distrugerea disckurilpor existente

Niciun efectMonitorizarea de catre Nagios a volumului RAID. Mentine driverele inlocuite valabile

Neautorizarea modificarilor de continut

MinimVerificarea periodica a logo-urilor. Monitorizarea aplicatiei

Restore la continutul modificat

Repararea securitatii

Efect mic asupra utilizatorilor

Determinarea vulnerabilitatii si repararea acesteia

Pierderi de dateMinimNagios warning

Restore la backup

Utilizatorii nu vor mai avea acces la datele lor

Realizarea de backup-uri

Nefunctionarea software-ului

MediuNagios warning

Update / reparare software

Update / reparare software

Utilizatorii nu vor avea acces la software

Update software la ultima versiune stabila

Multiple defectiuni a masinilor

MinimNagios warning

Reparare masini folosind backup-ul

Reparare masini folosind backup-ul si comandarea unui nou backup

Efect mic. Performanta va fi compromisa

Monitorizarea masinilor cu Nagios

Capacitate depasita

Mediu / Mare

Nagios warning

Aducerea de noi servere aditionale

Verificarea noilor servere

Degradarea performantei

Monitorizarea capacitatii cu Nagios

22

Defectiune retea

MinimNagios warning

Reparare retea / inlocuire switch-uri sau mutarea pe un backup

Inlocuirea hardware-ului defect

Utilizatorii nu mai au acces la software

Backup la centrul de date

Pierderea conexiunii la Internet

MediuNagios warning

Mutarea pe conexiunea de backup

Revenirea la conexiunea initiala dupa ce a fost stabilizata

Utilizatorii nu mai au acces la software

Backup la conexiune

Defectiuni la alimentarea cu energie

MinimNagios warning sau furnizorul de gazduire

Mutarea aplicatiilor pe backupul centrului de date

Revenirea la centrul de date primar cand devine valabil

Utilizatorii nu mai au acces la software

Backup la centrul de date

Auditul de securitate

Pentru a asigura o activitate continua si eficienta in companie, este nevoie de o

evaluare corecta a sistemelor IT. In doua cuvinte: de un audit IT. Auditul de securitate IT

este o solutie din ce in ce mai importanta pentru companie. Auditul de securitate IT are ca

scop determinarea tuturor vulnerabilitatilor sistemului informatic. Rezultatul acestei actiuni

este evaluarea obiectiva a necesitatilor sistemului informatic al companiei precum si

sugerarea unei solutii viabile pentru eliminarea vulnerabilitatilor sale.

In acest sens compania aloca un buget departamentului IT, fara a face risipa de

resurse financiare. Prin outsourcing IT avem acces la ultimele tehnologii din domeniu si

beneficiem de experienta unei echipe de specialisti care pot face fata oricaror probleme

iminente.

Intr-o economie globalizata si interconectata, a carei complexitate tehnica sporeste

permanent, informatia este una dintre proprietatile cele mai valoroase ale unei companii. In

fiecare zi se proceseaza si se combina informatii cu scopul de a crea alte informatii de

valoare si a spori avantajul competitiv. Daca informatia detinuta nu este securizata,

inlocuirea ei presupune costuri ridicate financiare, de timp si energie.

Procedura de audit de securitate IT cuprinde urmatorii pasi:

● interviuri cu departamentul tehnic al companiei;

● observarea modului de lucru al angajatilor;

● analiza configuratiilor hardware/software ale echipamentelor;

● conceptul si designul unei politici de securitate IT&C;

● implementarea celor mai potrivite solutii de securitate a retelelor;

23

● sisteme de acces protejat, local sau la distanta;

● solutii firewall si VPN;

● detectarea intruziunilor (IDS) si evaluarea vulnerabilitatii;

● securitatea continutului (solutii antivirus, filtrare web si e-mail);

● solutii de autentificare;

● solutii de criptare si semnaturi digitale;

● solutii de management al securitatii;

● elaborarea unui raport complet privind infrastructura IT si a securitatii existente.

Astfel se cunoaste eficacitatea sistemului informatic implementat in companie precum

riscurile la care este expus sistemul informatic. Se aduc la cunostinta riscurile la care este

expusa compania in cazul in care nu sunt luate masurile necesare si se recomanda cea mai

optima solutie.

Punerea in practica a solutiei recomandate este responsabilitatea clientului. Acesta

poate sa se foloseasca de propriile resurse sau de companii din exterior pentru a aplicarea

acesteia.

Politici de securitate

Utilizarea Permanenta a Resurselor Informatice si de Comunicatii (RIC)

Utilizatorii nu trebuie sa divulge sau sa instraineze nume de cont-uri, parole,

Numere de Identificare Personala (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive si/sau informatii similare utilizate in scopuri de autorizare si identificare.

Utilizatorii, prin actiunile lor, nu trebuie sa incerce sa compromita protectia sistemelor informatice si de comunicatii si nu trebuie sa desfasoare, deliberat sau accidental, actiuni care pot afecta confidentialitatea, integritatea si disponibilitatea informatiilor de orice tip in cadrul sistemului RIC (Resurse Informatice si de Comunicatii) al companiei.

Utilizatorii trebuie sa anunte DA (Departamentul Administrativ) in cazul in care se observa orice problema/bresa in sistemul de securitate a RIC din cadrul companiei cat si orice posibila intrebuintare gresita sau incalcare a regulamentelor in vigoare.

Utilizatorii nu trebuie sa incerce sa obtina acces la date sau programe din RIC pentru care nu au autorizatie sau consimtamant explicit.

Utilizatorii nu trebuie sa faca copii neautorizate sau sa distribuie materiale protejate prin legile privind proprietatea intelectuala (copyright).

Utilizatorii nu trebuie: sa se angajeze intr-o activitate care ar putea hartui sau ameninta alte persoane; sa degradeze performantele RIC; sa impiedice accesul unui utilizator autorizat la RIC; sa obtina alte resurse in afara celor alocate; sa nu ia in considerare masurile de securitate impuse prin regulamente.

Utilizatorii nu trebuie sa descarce, instaleze si sa ruleze programe de securitate

24

sau utilitare care expun sau exploateaza vulnerabilitati ale securitatii RIC. De exemplu, utilizatorii nu trebuie sa ruleze programe de decriptare a parolelor, de captura de trafic, de scanari ale retelei sau orice alt program nepermis de regulamente.

RIC ale companiei nu trebuie folosite pentru beneficiul personal. Utilizatorii nu trebuie sa acceseze, sa creeze, sa stocheze sau sa transmita

materiale pe care compania le poate considera ofensive, indecente sau obscene (altele decat cele in curs de cercetare academica unde acest aspect al cercetarii are aprobarea explicita a conducerii companiei).

Accesul la reteaua Internet prin intermediul RIC se supune acelorasi regulamente care se aplica utilizarii din interiorul companiei. Angajatii nu trebuie sa permita membrilor familiei sau altor persoane accesul la RIC ale companiei.

Utilizatorii care au acces la sistemul RIC al companiei au obligatia de a purta acte si sau legitimatii care sa ateste calitatea de utilizator autorizat in spatiile companiei.

Utilizatorii nu trebuie sa se angajeze in actiuni impotriva scopurilor companieifolosind RIC.

Regulament privind Confidentialitatea Serviciilor Informatice si de Comunicatii

Utilizatorii trebuie sa raporteze orice slabiciune in sistemul de securitate al

calculatoarelor din cadrul companiei, orice incident de posibila intrebuintare gresita sau incalcare a acestui regulament (prin contactarea DA).

Un mare numar de utilizatori pot accesa informatii din exteriorul sistemuluide comunicatii al companiei. In aceste conditii este obligatorie pastrarea confidentialitatii informatiilor transmise din exteriorul RIC si a informatiilor obtinute din interior.

Utilizatorii nu trebuie sa incerce sa acceseze informatii sau programe de pe sistemele companiei pentru care nu au autorizatie sau consimtamant explicit.

Nici un utilizator al sistemului RIC al companiei nu poate divulga informatiile la care are acces sau la care a avut acces ca urmare a unei vulnerabilitati a sistemului RIC. Aceasta regula se extinde si dupa ce utilizatorul a incheiat relatiile cu compania.

Confidentialitatea informatiilor transmise prin intermediul resurselor de comunicatii ale tertilor nu poate fi asigurata. Pentru aceste situatii, confidentialitatea si integritatea informatiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligati sa se asigure ca toate informatiile confidentiale ale companiei se transmit in asa fel incat sa se asigure confidentialitatea si integritatea acestora.

Regulament de Acces Administrativ

Departamentele companiei trebuie sa prezinte la DA o lista cu

informatii de contact in plan administrativ pentru toate sistemele conectate la reteaua de comunicatii a companiei. Aceasta lista trebuie refacuta si prezentata la DA de fiecare data cand apar modificari de orice natura.

25

Utilizatorii trebuie sa cunoasca si sa accepte toate regulamentele privind securitatea RIC inainte de a li se permite accesul la un cont.

Utilizatorii care au conturi de acces administrativ trebuie sa aiba instructiuni de administrare, documentare, instruire si autorizare a conturilor. Aceste instructiuni se vor elabora de catre fiecare departament si vor fi incluse in fisa postului.

Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie sa foloseasca in mod abuziv aceste drepturi si trebuie sa faca investigatii numai sub indrumarea DA.

Cei care utilizeaza conturi de acces cu drepturi administrative sau speciale trebuie sa foloseasca tipul de privilegiu cel mai potrivit activitatii pe care o desfasoara.

Accesul administrativ trebuie sa se conformeze cu Regulile de utilizare a Parolelor. Parola pentru un cont cu acces privilegiat nu va fi utilizata de mai multe persoane

decat cu acordul scris al DA si trebuie sa fie schimbata atunci cand persoana care utilizeaza acest cont isi schimba locul de munca din cadrul departamentului sau a companiei, sau in cazul unei modificari a listei de personal ale tertilor (furnizor desemnat) in contractele cu compania.

Trebuie sa existe o procedura prin care o alta persoana, in afara de administrator, sa poata avea acces la contul administratorului in caz de forta majora. Aceasta procedura va fi elaborata de catre DA pentru fiecare departament.

Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau instalare de software sau alte operatiuni definite. Acestea trebuie sa indeplineasca urmatoarele conditii:

o trebuie sa fie autorizate;

o trebuie create cu data de expirare specifica;

o contul va fi sters atunci cand nu mai este necesar

Regulament privind Accesul Fizic la RIC

Toate sistemele de securitate fizica (de exemplu coduri de acces in cladire si

coduri de acces pentru prevenirea incendiilor etc.) a RIC trebuie sa fie instalate in conformitate cu regulamentele companiei.

Accesul fizic la toate incaperile in care sunt instalate RIC trebuie sa fie documentat si monitorizat.

Toate incaperile in care sunt instalate RIC trebuie sa fie protejate fizic, in functie de importanta acestora si tipul datelor vehiculate sau stocate.

Pentru fiecare incapere in care sunt instalate echipamente ale sistemului RIC se aproba accesul doar pentru personalul care raspunde de buna functionare a echipamentelor din incaperea respectiva si, daca este cazul, partilor contractante, ale caror obligatii contractuale implica acces fizic.

Personalul care are drepturi de acces trebuie sa detina legitimatie de serviciu si acte de identitate care sa-i ateste calitatea.

Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face in scris de catre DA sau, dupa caz, departamentul care detine incaperea si resursele.

Nu este permis transferul dreptului de acces indiferent de motiv. Cardurile si/sau cheile de acces care nu mai sunt folosite trebuie predate

departamentului care le-a eliberat.

26

Pierderea sau furtul cardurilor si/sau cheilor de acces trebuie raportate imediat departamentului care le-a eliberat.

Cardurile si/sau cheile nu trebuie sa aiba informatii de identificare, altele decat informatia de contact necesara pentru returnare.

Accesul vizitatorilor in spatiile protejate trebuie documentat pentru fiecare incapere si, in cazul in care este permis, se va delega un insotitor. Vizitatorii trebuie sa fie insotiti in zonele cu acces restrictionat.

Fiecare departament va tine o evidenta a tuturor cardurilor si/sau cheilor de acces emise, retrase, pierdute sau furate.

Pentru fiecare spatiu in care sunt instalate RIC se va pastra o evidenta a accesului pentru verificari de rutina in situatii critice.

Fiecare departament trebuie sa verifice periodic drepturile de acces pe baza de card si/sau cheie si sa anuleze aceste drepturi pentru persoanele care pierd dreptul de acces.

Fiecare departament trebuie sa anuleze drepturile de acces ale cardurilor si/sau cheilor utilizatorilor care isi schimba locul de munca din companie sau nu au relatii contractuale cu compania.

Pentru fiecare spatiu cu acces restrictionat trebuie desemnata o persoana care sa verifice periodic inregistrarile de acces si sa cerceteze orice acces suspect.

Accesul restrictionat trebuie marcat.

Regulament de Acces la Reteaua de Comunicatii

Utilizatorilor le este permis sa utilizeze numai parametrii pentru conectare la retea

specificati de catre DA. Departamentele trebuie sa aprobe, in scris, conectarea dispozitivelor

de calcul la RIC ale companiei. Pentru fiecare sistem conectat trebuie sa existe o persoana care sa raspunda de acesta, numele si datele de identificare ale acesteia se vor comunica catre DA.

Conectarea sistemelor de calcul care nu sunt proprietatea companiei se face numai cu aprobarea in scris a DA la recomandarea departamentelor.

Accesul de la distanta la reteaua companiei se va realiza numai prin echipamente aprobate, sau prin intermediul unui Furnizor de Servicii Internet (Internet Service Provider (ISP)) agreat de catre companie si folosind protocoale aprobate de catre DA.

Utilizatorii RIC din interiorul companie nu se pot conecta la alta retea. Utilizatorii nu trebuie sa extinda sau sa retransmita serviciile de retea in nici un fel

(pe nici o cale). Nu este permisa instalarea de conexiuni de retea neautorizate indiferent de motiv. Autorizarea tuturor conexiunilor se face la propunerea departamentelor de catre DA.

Utilizatorii nu trebuie sa instaleze echipamente hardware sau programe care furnizeaza servicii de retea fara aprobarea DA.

Sistemele computerizate din afara companiei care necesita conectare la retea trebuie sa se conformeze cu standardele retelei interne ale companiei.

Utilizatorii nu au dreptul sa descarce, sa instaleze sau sa ruleze programe de

27

securitate care pot dezvalui slabiciuni in securitatea unui sistem. De exemplu, utilizatorii companiei nu au dreptul sa ruleze programe de spargere a parolei, sustragere de pachete, scanare a porturilor, in timp ce sunt conectati la reteaua acesteia.

Utilizatorii nu au dreptul sa modifice, reconfigureze, instaleze, dezinstaleze echipamente de retea, cabluri, prize de conexiuni.

Serviciul de nume si administrarea adreselor IP sunt deservite exclusiv de catre DA.

Serviciile de interconectare a retelei companiei cu alte retele sunt realizate exclusiv de catre DA.

Nu este permisa instalarea si/sau modificarea echipamentelor utilizate pentru conectare la retea (inclusiv placi de retea) fara aprobarea DA. Tipul si modelul placilor de retea si tuturor echipamentelor care se pot conecta in retea trebuie sa fie aprobate de DA.

Regulament privind Configurarea Sistemelor Informatice pentru Acces la Reteaua de Comunicatii

Infrastructura de comunicatii, reteaua de comunicatii digitale, a companiei este administrata de catre DA, care este responsabil cu intretinerea si dezvoltarea acesteia.

Pentru a furniza o infrastructura de comunicatii unitara cu posibilitati de modernizare toate componentele acesteia sunt instalate de catre DA sau de catre un furnizor avizat explicit de catre DA.

Toate echipamentele, fara exceptie, conectate la reteaua de comunicatii trebuie configurate conform specificatiilor DA.

Orice dispozitiv hardware, inclusiv placile de retea, care se va conecta la reteaua companiei, trebuie sa fie insotit de o aprobare de tip (producator, model etc.) din partea DA. Lista cu dispozitivele care pot fi conectate la reteaua de comunicatii a companiei va fi publicata pe site-ul web al DA.

Modificarea configuratiei oricarui dispozitiv activ conectat la reteaua de comunicatii se face numai cu aprobarea DA.

Infrastructura de comunicatii de date a companiei suporta un set definit de protocoale de retea (TCP/IP). Orice utilizare a altui set de protocoale trebuie sa fie aprobata in scris de catre DA.

Adresele de retea sunt alocate dinamic sau static numai de catre DA. Toate conectarile in reteaua de comunicatii a companiei sunt responsabilitatea

DA, conectarea se va face numai in baza unei cereri standard aprobata de catre departament si de catre conducerea companiei. Formularele vor fi puse la dispozitie prin intermediul site-ului web al DA.

Toate conectarile dintre reteaua de comunicatii a companiei si alte retele de comunicatii, publice sau private, sunt responsabilitatea exclusiva a DA.

Echipamentele de protectie a retelei de comunicatie a companiei(firewall) se vor instala de catre DA.

Utilizarea sistemelor de protectie (firewall) din departamente nu este permisa fara autorizatie scrisa din partea DA. Aceasta restrictie se aplica si in cazul in care se folosesc adrese private de retea.

28

Utilizatorii nu au dreptul sa extinda sau sa retransmita in nici un fel serviciile retelei (este interzisa instalarea unui telefon, fax, modem, router, switch, hub sau punct de acces la reteaua companiei) fara aprobare din partea DA.

Utilizatorilor li se interzice instalarea de dispozitive hardware de retea sau programe care furnizeaza servicii de retea fara aprobarea DA.

Utilizatorilor nu le este permis accesul la dispozitivele hardware ale retelei.

Regulament de Tratare a Incidentelor de Securitate

Membrii DA in cazul incidentelor de securitate din companie au functii si responsabilitati predefinite care pot fi prioritare indatoririlor obisnuite.

Ori de cate ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea unor activitati suspecte, informatii modificate etc., trebuie urmate procedurile standard specifice pentru micsorarea riscurilor.

DA este responsabil cu instiintarea si coordonarea pentru tratarea incidentului. DA este responsabil cu strangerea dovezilor fizice si electronice ce vor face parte

din documentatia pentru tratarea incidentului. Folosind resurse tehnice speciale se va monitoriza nivelul daunelor si gradul de

eliminare sau atenuare a vulnerabilitatilor acolo unde este cazul. DA va stabili continutul comunicatelor pentru utilizatori privind incidentele si va

determina nivelul si modul de distribuire a acestei informatii. DA trebuie sa comunice proprietarului sau producatorului resursei afectate de un

incident informatiile utile pentru eliminarea sau diminuarea vulnerabilitatilor care au cauzat incidentul.

DA este responsabil cu documentarea anchetei privind incidental. DA este responsabil de coordonarea activitatilor de comunicare cu terti pentru

rezolvarea incidentului. In cazul in care incidentul nu implica actiuni contrare legilor in vigoare DA va

recomanda sanctiuni disciplinare. In cazul in care incidentul implica aplicarea legilor civile sau penale DA va

recomanda sesizarea organelor in drept ale statului si va actiona ca ofiter de legatura cu acestea.

Regulament de Monitorizare a RIC

Monitorizarea RIC se va face astfel incat sa fie posibila detectarea in timp util a

atacurilor informatice si a situatiilor de incalcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmari si inregistra:

o Tipul traficului (ex. structura pe protocoale si servicii) extern si continutul

acestuia in cazurile in care acest lucru se impune sau este ordonat. o Tipul traficului in reteaua de campus, a protocoalelor si a echipamentelor

conectate la RIC, continutul acestuia in cazurile in care acest lucru se impune sau este ordonat.

o Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor

de operare).

29

Fisierele jurnal vor fi examinate regulat in vederea detectarii eventualelor atacuri informatice si abateri de la regulamentele de securitate ale companiei. In aceasta categorie intra urmatoarele (fara a se limita doar la acestea):

o Jurnale ale sistemelor de detectarea automata a intrusilor;

o Jurnale Firewall;

o Jurnale ale activitatii conturilor utilizator;

o Jurnale ale scanarilor retea;

o Jurnale ale aplicatiilor;

o Jurnale ale solicitarilor de suport tehnic;

o Jurnale ale erorilor din sisteme si servere.

In mod regulat (cel putin o data la sase luni) se vor efectua verificari, de catre DA sau personalul autorizat al departamentelor pentru detectarea:

o Parolelor utilizator care nu respecta regulamentele;

o Echipamentelor de retea conectate neautorizat;

o Serviciilor de retea neautorizate;

o Serverelor de pagini de web neautorizate;

o Echipamentelor ce utilizeaza resurse comune nesecurizate;

o Utilizarii de modemuri neautorizate;

o Licentelor pentru sistemele de operare si programele instalate.

Orice neregula privind respectarea regulamentelor de securitate va fi raportata catre DA in scopul efectuarii de investigatii.

Regulament de Securizare a Serverelor

Un server nu trebuie conectat la reteaua companiei pana cand nu se afla intr-o

stare sigura acreditata de catre DA. Procedura de securizare a serverelor trebuie sa includa obligatoriu urmatoarele:

o Instalarea sistemului de operare dintr-o sursa aprobata;

o Aplicarea patch-urilor furnizate de producator;

o Inlaturarea programelor, a serviciilor sistem si a driver-lor care nu sunt

necesare; o Setarea/activarea parametrilor de securitate, a protectiilor pentru fisiere si

activarea jurnalelor de monitorizare; o Dezactivarea sau schimbarea parolelor conturilor predefinite;

o Securizarea accesului fizic la aceste echipamente.

DA va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de instalare si aplicare regulata a patch-urilor de securitate si, prin sondaj, pentru serverele departamentale sau a grupurilor de lucru.

Regulament de Administrare a Conturilor

Toate conturile create trebuie sa aiba asociata o cerere si o aprobare

corespunzatoare. Toate conturile utilizator se vor crea in formatul Prenume.Nume.

30

Prin contractul de munca, contractul de scolarizare si/sau alte documente toti utilizatorii accepta prevederile regulamentelor privind securitatea sistemului RIC.

Toti utilizatorii sunt obligati sa pastreze confidentialitatea informatiilor privind contul de acces.

Toate conturile trebuie sa se poata identifica in mod unic, utilizand numele de cont asociat.

Toate parolele pentru conturi trebuie sa fie create si folosite in conformitate cu Regulile privind Parolele de Acces.

Toate conturile utilizator care nu au fost accesate timp de 90 de zile vor fi dezactivate. Dupa inca 90 zile conturile vor fi sterse daca nu s-a solicitat accesul la acestea.

DA rebuie sa aiba o documentatie de modificare a conturilor utilizator pentru a se pune de acord in situatii precum schimbari ale numelor de familie, modificari privind contul (numele contului) modificari ale drepturilor de utilizator.

DA trebuie sa furnizeze o lista cu toti utilizatorii (lista de conturi) pentru sistemele pe care le administreaza, la cererea conducerii autorizate din companie.

Reguli pentru Parolele de Acces

Toate parolele trebuie sa indeplineasca urmatoarele conditii:

o Sa fie schimbate de utilizator in mod regulat, cel putin o data la 45 de zile;

o Sa aiba o lungime minima de 8 caractere;

o Sa fie parole complexe;

o Reutilizarea parolelor este interzisa;

o Parolele stocate trebuie criptate;

o Parolele de cont utilizator nu trebuie divulgate nimanui, nici macar

angajatilor care raspund de securitatea sistemelor informatice. Dispozitivele de securitate (ex. card Smart) trebuie returnate dupa terminarea

relatiilor cu compania. Daca se suspecteaza ca o parola a putut fi divulgata aceasta trebuie schimbata

imediat. Administratorii de sistem nu trebuie sa permita schimbarea parolelor utilizatorilor

folosind contul administrativ. Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face exceptii

pentru anumite aplicatii (precum backup automat) cu aprobarea DA. Pentru ca o exceptie sa fie aprobata, trebuie sa existe o procedura pentru schimbarea parolelor.

Dispozitivele de calcul nu trebuie lasate nesupravegheate fara a activa un sistem de blocare a accesului la acestea; deblocarea trebuie sa se faca folosind parola.

Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie sa respecte urmatoarea procedura:

o Utilizatorul se va legitima, administratorul va verifica drepturile de acces a

persoanei la contul utilizator; o Se va genera o parola care va fi comunicata utilizatorului;

o Utilizatorul va schimba parola temporara, comunicata anterior, in maxim 24 ore.

31

Regulament de Detectare a Virusilor

Toate statiile de lucru de sine statatoare sau conectate la reteaua de comunicatii

a companiei, trebuie sa utilizeze programe antivirus aprobate de catre DA. Programele antivirus nu trebuie dezactivate. Configuratia programului antivirus trebuie sa nu fie modificata intr-un mod care

sa reduca eficacitatea programului. Frecventa actualizarilor automate a programului antivirus trebuie asigurata de

catre utilizator. Orice server de fisiere conectat la reteaua companiei trebuie sa utilizeze un

program antivirus aprobat in scopul detectarii si curatirii virusilor care pot infecta fisierele puse la dispozitie.

Orice server sau gateway pentru e-mail trebuie sa foloseasca un program antivirus pentru e-mail aprobat si trebuie sa respecte regulile de instalare si utilizare a acestui program.

Orice virus care nu a putut fi inlaturat automat de catre programul antivirus constituie un incident de securitate si trebuie raportat imediat DA.

32