POLITICA DE SECURITATE A SISMTEULUI RESURSELOR INFORMATICE SI DE
COMUNICATII ( RIC )
Scop
Confidenialitatease refer la protecia datelor mpotriva accesului
neautorizat. Fiierele electronice create, trimise, primite sau
stocate pe sistemele de calcul aflate n proprietatea, administrarea
sau n custodia i sub controlul Cardiv Marketing, sunt proprietatea
SC. Cardiv Marketing SRL n condiiile legilor n vigoare.
Utilizatorul rspunde personal de confidenialitatea datelor
ncredinate prin procedurile de acces la RIC ( Resurse informatice
si de comunicatii ) Integritatease refer la msurile i procedurile
utilizate pentru protecia datelor mpotriva modificrilor sau
distrugerii neautorizate.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizaiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile de administrare i utilizare a
RIC. Utilizator:O persoan, o aplicaie automatizat sau proces
utilizator autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice
aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv
cazul n care, din punct de vedere tehnic, nu se poate preveni
nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan
fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de
colaborare.
Atribuii i responsabiliti
Atribuiile operatorului includ:
Orice angajat trebuie s se asigure c managementul RIC respect
prevederile prezentei Politici i a regulamentelor sau procedurilor
asociate. Administratorul de reea/sistem/baze de date trebuie s
asigure existena jurnalelor i a traseelor auditrii pentru orice tip
de acces n sistem conform regulamentelor sau procedurilor asociate.
Administratorul de reea/sistem/baze de date trebuie s asigure
activarea tuturor mecanismelor de securitate.
Confidentialitate
n scopul administrrii RIC i pentru asigurarea securitii RIC
personalul autorizat poate revizui sau utiliza orice informaie
stocat pe sau transportat prin sistemele RIC n conformitate cu
legile n vigoare. n aceleai scopuri, este posibil monitorizarea
activitii utilizatorilor Utilizatorii trebuie s raporteze orice
slbiciune n sistemul de securitate al calculatoarelor din cadrul
Cardiv Marketing, orice incident de posibil ntrebuinare greit sau
nclcare a acestui regulament. Utilizatorii nu trebuie s ncerce s
acceseze informaii sau programe de pe sistemele Cardiv Marketing
pentru care nu au autorizaie sau consimmnt explicit. Nici un
utilizator al RIC ale nu poate divulga informaiile la care are
acces sau la care a avut acces ca urmare a unei vulnerabiliti a
sistemului RIC. Aceast regul se extinde i dup ce utilizatorul a
ncheiat relaiile cu Cardiv Marketing SRL. Confidenialitatea
informaiilor transmise prin intermediul resurselor de comunicaii
ale terilor nu poate fi asigurat. Pentru aceste situaii,
confidenialitatea i integritatea informaiilor se poate asigura
folosind tehnici de criptare. Utilizatorii sunt obligai s se
asigure c toate informaiile confideniale Cardiv Marketing se
transmit n aa fel nct s se asigure confidenialitatea i integritatea
acestora.
Reguli de Utilizare Acceptabil a sistemului RIC
Utilizarea sistemului RIC se face numai n interes de serviciu.
Utilizatorii trebuie s anune ARIC n cazul n care se observ orice
problem/bre n RIC din cadrul Cardiv Marketing ct i orice posibil
ntrebuinare greit sau nclcare a regulamentelor n vigoare.
Utilizatorii, prin aciunile lor, nu trebuie s ncerce s compromit
protecia sistemelor informatice i de comunicaii i nu trebuie s
desfoare, deliberat sau accidental, aciuni care pot afecta
confidenialitatea, integritatea i disponibilitatea informaiilor de
orice tip n cadrul RIC al Cardiv Marketing. Utilizatorii nu trebuie
s ncerce s obin acces la date sau programe din RIC pentru care nu
au autorizaie sau consimmnt explicit. Utilizatorii nu trebuie s
divulge sau s nstrineze nume de cont-uri, parole, Numere de
Identificare Personal (PIN-uri), Coduri numerice personale
(CNP-uri), date de contact, dispozitive pentru autentificare (ex.:
Smartcard) sau orice dispozitive i/sau informaii similare utilizate
n scopuri de autorizare i identificare. Utilizatorii nu trebuie s
fac copii neautorizate sau s distribuie materiale protejate prin
legile privind proprietatea intelectual (copyright). Utilizatorii
nu trebuie s utilizeze programe de tip shareware sau freeware, fr
aprobarea ARIC, cu excepia cazului n care acestea se gsesc pe lista
programelor standard folosite n cadrul activitatii Cardiv
Marketing. Aceast list va fi ntocmit de ctre managerul Cardiv
Marketing si administratorul de retea. Utilizatorii nu trebuie: s
se angajeze ntr-o activitate care ar putea hrui sau amenina alte
persoane; s degradeze performanele RIC; s mpiedice accesul unui
utilizator autorizat la RIC; s obin alte resurse n afara celor
alocate; s nu ia n considerare msurile de securitate impuse prin
regulamente. Utilizatorii nu trebuie s descarce, instaleze i s
ruleze programe de securitate sau utilitare care expun sau
exploateaz vulnerabiliti ale securitii RIC. De exemplu,
utilizatorii Cardiv Marketing nu trebuie s ruleze programe de
decriptare a parolelor, de captur de trafic, de scanri ale reelei
sau orice alt program nepermis de regulamente. Utilizatorii nu
trebuie s acceseze, s creeze, s stocheze sau s transmit materiale
pe care Cardiv Marketing le poate considera ofensive, indecente sau
obscene (altele dect cele n curs de cercetare academic unde acest
aspect al cercetrii are aprobarea explicit a conducerii
organizatiei). Accesul la reeaua Internet prin intermediul RIC se
supune acelorai regulamente care se aplic utilizrii din interiorul
instituiei iRegulamentului pentru Utilizare Internet i Intranet.
Angajaii nu trebuie s permit membrilor familiei sau altor persoane
accesul la RIC ale Cardiv Marketing. Utilizatorii nu trebuie s se
angajeze n aciuni mpotriva scopurilor Cardiv Marketing folosind
RIC.
Reguli de Utilizare Ocazional a RIC
Utilizarea ocazional a RIC nu trebuie s aib drept rezultate
costuri directe pentru Cardiv Marketing. Utilizarea ocazional a RIC
nu trebuie s afecteze activitatea normal a angajailor. Nu este
permis trimiterea sau recepionarea documentelor sau fiierelor care
pot cauza aciuni legale mpotriva Cardiv Marketing sau
prejudicierea, indiferent de form, a intereselor Cardiv Marketing.
Stocarea mesajelor de email, a mesajelor de voce, a documentelor i
fiierelor personale din cadrul RIC trebuie s fie nominal. Toate
mesajele, fiierele i documentele incluznd mesajele personale,
fiierele i documentele localizate n cadrul RIC sunt proprietatea
Cardiv Marketing i pot fi subiectul unor cereri de
verificare/inspectare/accesare conform regulamentelor.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
PLAN DE SECURITATEIntroducere
Regulamentele de Utilizare a Resurselor Informatice i de
Comunicaii sunt elaborate pentru a stabili un cadru corect, legal i
eficient de utilizare a tehnologiei informaiei i comunicaiilor n
cadrul Cardiv Marketing. Acestea au ca scop principal protejarea
utilizatorilor, colaboratorilor mpotriva atacurilor de orice tip
(cu sau fr intenie). De asemenea acestea au ca scop protejarea
imaginii companiei i a investiiilor acesteia pentru dezvoltarea
sistemul informatic i de comunicaii.
Scop
n acord cu legislaia n vigoare n Romnia, Regulamentele de ordine
interioar ale Cardiv Marketing SRL, Resursele Informatice i de
Comunicaii sunt valori ale Cardiv Marketing care trebuie exploatate
i administrate ca resurse propriii si strict confidentiale. Scopul
acestor regulamente este acela de a asigura:1. Stabilirea unor
reguli corecte, echitabile i eficiente pentru folosirea resurselor
informatice i de comunicaii n vederea confidentialitatii utilizarii
datelor personale;2. Protejarea investiiilor Cardiv Marketing
pentru dezvoltarea sistemului informatic i de comunicaii propriu;3.
Protejarea proprietii intelectuale i a tuturor informaiilor stocate
i transportate folosind Sistemul de Securitate Cardiv Marketing ale
utilizatorilor autorizai.4. Educarea utilizatorilor resurselor
informatice i de comunicaii n ceea ce privete responsabilitile
asociate cu utilizarea acestora;
Audien
Regulamentele de utilizare a resurselor informatice i de
comunicaii ale Cardiv Marketing se aplic nediscriminatoriu tuturor
persoanelor crora li s-a permis accesul la acesta.
Proceduri de elaborare, modificare i aprobare a
Regulamentelor
1. Regulamentele de utilizare a Resurselor Informatice i de
Comunicaii ale Cardiv Marketing se elaboreaz pentru fiecare
activitate specific domeniului.2. Regulamentele vor fi elaborate de
ctre Administratorul de sistem i vor fi propuse pentru aprobare
conducerii Cardiv Marketing.3. Regulamentele de utilizare a
sistemului Resurselor Informatice i de Comunicaii vor fi
disponibile atat n format electronic peserverul Cardiv Marketing
cat si tiparite in sediul organizatiei. Se recomand ca aceste
documente s fie disponibile oricand si updatate ori de cate ori
este nevoie.
Proceduri i Regulamente Specifice
1. Utilizare Acceptabil a Resurselor Informatice i de
Comunicaii2. Declaraii privind Confidenialitatea Serviciilor
Informatice i de Comunicaii3. Acces Administrativ4. Accesul Fizic5.
Tratarea Incidentelor de Securitate6. Monitorizarea Resurselor
Informatice i de Comunicaii7. Securitatea Serverelor8. Crearea i
Utilizarea Copiilor de Siguran (Backup)9. Detectarea Tentativelor
de Acces Neautorizat10. Modificri i Modernizri ale Sistemului
Resurselor Informatice i de Comunicaii11. Utilizare Internet i
Intranet12. Administrarea Conturilor13. Parole de Acces
Utilizare Acceptabil a Resurselor Informatice i de
Comunicaii
Introducere
n acord cu prevederile Politicii de Securitate, Sistemul de
Resurse Informatice i de Comunicaii (SRIC) sunt bunuri strategice
ale Cardiv Marketing care trebuiesc administrate ca resurse proprii
si confidentiale. Acest regulament este stabilit astfel nct: S fie
n conformitate cu Politica de Securitate, statutul, regulamentele,
legile i alte documente oficiale n vigoare privind administrarea
resurselor informatice, S stabileasc practici prudente i
acceptabile privind utilizarea SRIC ale Cardiv Marketing S
instruiasc utilizatorii care au dreptul de folosire a SRIC privind
responsabilitile lor asociate unei astfel de utilizri.
Audien
Regulamentul de Utilizare Acceptabil a Resurselor Informatice i
de Comunicaii al Cardiv Marketing se aplic nediscriminatoriu
tuturor persoanelor crora li s-a permis accesul la orice resurs
informatic i de comunicaii a Cardiv Marketing SRL.
Confidenialitate Fiierele electronice create, trimise, primite
sau stocate pe resursele informatice proprii, nchiriate,
administrate sau n custodia i sub controlul Cardiv Marketing, nu
sunt confideniale i pot fi accesate de ctre personalul responsabil
cu securitatea SRIC Cardiv Marketing, oricnd fr ntiinarea
utilizatorului care are n gestiune sistemul. Coninutul unui fiier
electronic poate fi accesat de ctre personalul autorizat n
conformitate cu prevederile i normele de securitate ce se regsesc n
Regulamentul de Acces Administrativ.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice, incluznd si servere, calculatoare personale,
calculatoare-agend (notebook-uri), resurse de telecomunicaii, medii
de reea i alte accesorii. La acestea se adaug procedurile,
echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea,
colecta, nregistra, procesa, stoca, primi, afia i transmite
informaiile. Administratorul Resurselor Informatice si de
Comunicaii (ARIC):Responsabil la nivelul companiei cu administrarea
RIC ale Cardiv Marketing. Desemnarea ARIC are ca scop stabilirea n
mod clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile de administrare i utilizare a
RIC. Utilizator:O persoan, o aplicaie automatizat sau proces
utilizator autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii: Orice
aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele Cardiv Marketing i/sau legile n
vigoare, inclusiv cazul n care, din punct de vedere tehnic, nu se
poate preveni nfptuirea de ctre utilizator a aciunii respective.
Furnizor: Persoan fizic/juridic care ofer bunuri sau servicii catre
Cardiv Marketing n baza unui contract comercial sau de
colaborare.
Regulament de Utilizare Acceptabil a RIC
Utilizatorii trebuie s anune ARIC ( administratorul Resurselor
Informatice si de Comunicatii ) n cazul n care se observ orice
problem/bre n sistemul de securitate a RIC din cadrul Cardiv
Marketing ct i orice posibil ntrebuinare greit sau nclcare a
regulamentelor n vigoare. Utilizatorii, prin aciunile lor, nu
trebuie s ncerce s compromit protecia sistemelor informatice i de
comunicaii i nu trebuie s desfoare, deliberat sau accidental,
aciuni care pot afecta confidenialitatea, integritatea i
disponibilitatea informaiilor de orice tip n cadrul sistemului RIC
al Cardiv Marketing. Utilizatorii nu trebuie s ncerce s obin acces
la date sau programe din RIC pentru care nu au autorizaie sau
consimmnt explicit. Utilizatorii nu trebuie s divulge sau s
nstrineze nume de cont-uri, parole, Coduri Numerice Personale (
CNP-uri ), sau orice dispozitive i/sau informaii similare utilizate
n scopuri de autorizare i identificare. Utilizatorii nu trebuie s
utilizeze programe de tip shareware sau freeware, fr aprobarea
ARIC, cu excepia cazului n care acestea se gsesc pe lista
programelor standard folosite n cadrul companiei. Aceast list va fi
ntocmit de ctre administratorul Resurselor informatice si
Comunicatie impreuna cu managerul companiei. Utilizatorii nu
trebuie: s se angajeze ntr-o activitate care ar putea hrui sau
amenina alte persoane; s degradeze performanele RIC; s mpiedice
accesul unui utilizator autorizat la RIC; s obin alte resurse n
afara celor alocate; s nu ia n considerare msurile de securitate
impuse prin regulamente. Utilizatorii nu trebuie s descarce,
instaleze i s ruleze programe de securitate sau utilitare care
expun sau exploateaz vulnerabiliti ale securitii RIC. De exemplu,
utilizatorii autorizati RIC nu trebuie s ruleze programe de
decriptare a parolelor, de captur de trafic, de scanri ale reelei
sau orice alt program nepermis de regulamente. Utilizatorii nu
trebuie s acceseze, s creeze, s stocheze sau s transmit materiale
pe care politica companiei le poate considera ofensive, indecente
sau obscene. Utilizatorii nu trebuie s se angajeze n aciuni
mpotriva scopurilor Cardiv Marketing folosind RIC.
Utilizare Ocazional
n anumite situaii este permis utilizarea ocazional a RIC. n
aceste situaii se aplic urmtoarele restricii:
Utilizarea personal ocazional a serviciilor de pot electronic,
acces internet, telefoane, fax-uri, imprimante, copiatoare, etc.
este restricionat la utilizatorii autorizai i nu poate fi extins la
membrii familiilor sau alte personae fara acordul ARIC Utilizarea
ocazional a RIC nu trebuie s afecteze activitatea normal a
angajailor. Nu este permis trimiterea sau recepionarea documentelor
sau fiierelor care pot cauza aciuni legale mpotriva Cardiv
Marketing sau prejudicierea, indiferent de form, a intereselor
companiei. Este interzisa stocarea mesajelor de email, a mesajelor
de voce, a documentelor i fiierelor personale din cadrul RIC fara
acordul ARIC Toate mesajele, fiierele i documentele incluznd
mesajele personale, fiierele i documentele localizate n cadrul RIC
sunt proprietatea Cardiv Marketing.Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul autorizat este responsabil privind modul de
utilizare a RIC; fiecare utilizator este direct responsabil pentru
aciunile care pot afecta securitatea RIC. Utilizatorii sunt
responsabili nediscriminatoriu privind raportarea oricrei
suspiciuni sau confirmri de nclcare a acestui regulament. Nu exist
nici o asigurare a confidenialitii datelor personale sau a
accesului la informaii folosind protocoale de genul, dar nu numai,
mesagerie electronic, navigare Web, conversaii telefonice,
transmisie fax-uri i alte instrumente de conversaie electronic.
Administratorul de sistem si managerul sunt raspunzatori de
autorizarea utilizatorilor pentru folosirea adecvat a RIC. Orice
informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i
n siguran de ctre utilizator. Faptul c informaiile pot fi stocate
electronic nu schimb cu nimic obligativitatea de a le pstra
confideniale i n siguran, tipul informaiei sau chiar informaia n
sine stau la baza determinrii gradului de siguran necesar. Toate
programele de calculator, aplicaiile, codul surs, codul obiect,
documentaia i datele trebuie protejate fiind proprietatea Cardiv
Marketing ARIC i rezerv dreptul de a terge, de pe orice sistem,
orice program sau fiier care nu are legtur cu scopul muncii
respective. Exemple de astfel de programe sau fiiere, dar nu
limitate la: jocuri, programe de comunicare a mesajelor (AOL, Yahoo
Messenger, MSN etc.), fiiere cu muzic (mp3, wav etc.), fiiere
grafice (bmp, gif, jpg etc.), programe tip freeware i
shareware.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include:
Rezilierea contractului de munc n cazul angajailor; Suspendarea
drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Declaraii privind Confidenialitatea Serviciilor Informatice i de
Comunicaii
Introducere
Regulamentele de Confidenialitate sunt mecanisme utilizate
pentru a stabili limite pentru utilizatoriiRIC. Utilizatorii
interni nu ar trebui s se atepte la confidenialitate n ceea ce
privete utilizarea sistemului RIC. Utilizatorii externi ar trebui s
se atepte la confidenialitate total, cu excepia cazului n care se
suspecteaz un delict cu privire la sistemul RIC.
Scopul
Scopul Regulamentului privind Confidenialitatea Serviciilor
Informatice i de Comunicaii ale Cardiv Marketing SRL este acela de
a comunica n mod clar utilizatorilor la ce s se atepte n ceea ce
privete confidenialitatea datelor stocate n sistemul RIC.
Audien
Regulamentul privind Confidenialitatea Serviciilor Informatice i
de Comunicaii al Cardiv Marketing se aplic nediscriminatoriu
tuturor persoanelor crora li s-a permis accesul la orice resurs
informatic i de comunicaii a companiei.
Drept de Proprietate
Fiierele electronice create, trimise, primite sau stocate pe
sistemele de calcul aflate n proprietatea, administrarea, sau n
custodia i sub controlul Cardiv Marketing, sunt proprietatea
Companiei n condiiile legilor n vigoare.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Server Web: un sistem de
calcul care distribuie n mod public sau difereniat informaii
folosind protocolul HTTP. Pagin web:Un document n spaiul World Wide
Web (WWW). Fiecare pagin web este identificat printr-un URL
(Uniform Resource Locator). Security Hub: unitate de stocare
securizata cu posibilitate de conectare prin intermediul (WAN Wide
Area Network si LAN Local Area Network )
Regulament privind Confidenialitatea Serviciilor Informatice i
de Comunicaii
Fiierele electronice create, trimise, primite sau stocate
folosind sistemul RIC, administrate sau n custodia i sub controlul
Cardiv Marketing nu sunt confideniale i pot fi accesate oricnd de
ctre angajaii autorizai din cadrul RIC fr ntiinarea utilizatorului
conform Regulamentului de Acces Administrativ. n scopul
administrrii RIC i pentru asigurarea securitii RIC personalul
autorizat poate revizui sau utiliza orice informaie stocat pe sau
transportat prin sistemele RIC n conformitate cu legile n vigoare.
n aceleai scopuri, este posibil monitorizarea activitii
utilizatorilor. Utilizatorii trebuie s raporteze orice slbiciune n
sistemul de securitate al calculatoarelor din cadrul Cardiv
Marketing, orice incident de posibil ntrebuinare greit sau nclcare
a acestui regulament ( prin contactarea ARIC ) Utilizatorii nu
trebuie s ncerce s acceseze informaii sau programe de pe sistemele
Cardiv Marketing pentru care nu au autorizaie sau consimmnt
explicit din partea ARIC Nici un utilizator al sistemului RIC al
Cardiv Marketing nu poate divulga informaiile la care are acces sau
la care a avut acces ca urmare a unei vulnerabiliti a sistemului
RIC. Aceast regul se extinde i dup ce utilizatorul a ncheiat
relaiile cu Cardiv Marketing.
Regulament pentru Accesul Publicului la Informaii
Modelul de mai jos trebuie folosit pentru toate cazurile n care
prin sistemul RIC se ofer informaii publicului. Sit-urile web ale
Cardiv Marketing disponibile publicului general conin o declaraie
prin care se atenioneaz vizitatorii privind confidenialitatea
aciunilor lor. Un exemplu Declaraie este urmtorul:
Urmtoarea declaraie se aplic numai publicului i este destinat
atenionrii acestuia cu privire la informaiile nregistrate cu ocazia
accesrii informaiei din sistemul Resurselor Informatice i de
Comunicaii al Cardiv Marketing.
Cookie-uri:Un cookie este un fiier care conine informaie plasat
de ctre un server web pe un calculator al utilizatorului. De
obicei, aceste fiiere sunt utilizate pentru a facilita accesul la
informaia oferit de sit-ul web. Orice informaie pe care serverele
web ale Cardiv Marketing o pot stoca n cookie-uri este utilizat
numai n interiorul Cardiv Marketing. Informaia din cookie-uri nu
este utilizat pentru a dezvlui, ctre teri, informaii despre
vizitator dect n cazul n care Companiei i se cere n mod legal s fac
acest lucru n conformitate cu legile n vigoare sau alte proceduri
legale sau pentru depunerea documentelor necesare eliberarii
diplomelor de participare la anumite evenimente catre Colegiul
Medicilor din Romania sau alte institutii publice.
Jurnale i Monitorizare: Cardiv Marketing SRL pstreaz fiierele cu
nregistrri ale tuturor accesrilor sit-urilor sale i de asemenea
monitorizeaz traficul din reea n scopul administrrii sit-urilor.
Aceast informaie este utilizat pentru a ajuta la diagnosticarea
eventualelor probleme i pentru a realiza alte sarcini
administrative. Uneltele de analiz a jurnalelor sunt de asemenea
utilizate pentru statistici n scopul determinrii informaiei cu un
grad ridicat de interes pentru utilizatori sau vizitatori.
Informaiile incluse n aceste fiiere sunt:
Numele sistemului: numele sistemului i/sau adresa IP a
calculatorului care cere accesarea sit-ului. Informatii despre
utilizator: tipul browser-ului, versiunea (Mozila Firefox, Google
Chrome, Internet Explorer 8 for Windows, Safari for Macintosh,
etc.). Referin: pagina web de unde a venit utilizatorul. Data :data
i ora accesrii.
Informaia de mai sus nu va fi folosit pe nici o cale care ar
putea dezvlui informaii de identificare personal a unei persoane
din exteriorul Cardiv Marketing, dect dac se cere n mod legal acest
lucru n conformitate cu legile n vigoare sau cu alte proceduri
legale si necesare.
Informaie din mesaje electronice sau formulare:Dac un vizitator
trimite un mesaj electronic catre Cardiv Marketing sau completeaz
un formular web cu o serie de ntrebari sau comentarii ce conin
informaii de identificare personal, acea informaie va fi utilizat
numai pentru a rspunde cererii i pentru a analiza inteniile.
Mesajul poate fi redirectat la alt persoan care este calificat s
rspund cererii. Astfel de informaii nu vor fi folosite pe nici o
cale prin care s-ar dezvlui informaii de identificare personal
terilor, cu excepia cazului n care Companiei se cere n mod legal
acest lucru n conformitate cu legile n vigoare sau cu alte
proceduri legale. Legturi:Sit-urile pot conine legturi catre alte
sit-uri. Cardiv Marketing nu este rspunztoare de politicile de
securitate sau coninutul acestor sit-uri.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include:
Rezilierea contractului de munc n cazul angajailor; Suspendarea
drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Acces Administrativ
Introducere
Personalul care asigur suport tehnic, administratorii de sistem
i alte persoane pot avea conturi cu drepturi de acces privilegiat n
comparaie cu utilizatorii obinuii. Datorit faptului c aceste
conturi pentru acces administrativ au mai multe privilegii,
aprobarea, verificarea i monitorizarea acestora sunt extrem de
importante din punctul de vedere al securitii RIC.
Scopul
Scopul Regulamentului de Acces Administrativ al Cardiv
Marketing, este de a stabili regulile pentru crearea, utilizarea,
monitorizarea, controlarea i tergerea conturilor cu drepturi
speciale de acces.
Audien
Procedura de Acces Administrativ se aplic nediscriminatoriu
tuturor persoanelor care au sau pot cere i obine drepturi speciale
de acces la orice RIC a Cardiv Marketing.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice
aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv
cazul n care, din punct de vedere tehnic, nu se poate preveni
nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan
fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de
colaborare.
Regulament de Acces Administrativ
Utilizatorii trebuie s cunoasc i s accepte toate regulamentele
privind securitatea RIC nainte de a li se permite accesul la un
cont. Utilizatorii care au conturi de acces administrativ trebuie
sa aib instruciuni de administrare, documentare, instruire i
autorizare a conturilor. Aceste instruciuni se vor elabora de catre
managerul Companiei i vor fi incluse n fia postului. Utilizatorii
cu drepturi administrative sau speciale de acces nu trebuie s
foloseasc n mod abuziv aceste drepturi i trebuie s fac investigaii
numai sub ndrumarea ARIC. Cei care utilizeaz conturi de acces cu
drepturi administrative sau speciale trebuie s foloseasc tipul de
privilegiu cel mai potrivit activitii pe care o desfoar. Accesul
administrativ trebuie s se conformeze Regulamentului de utilizare a
Parolelor. Parola pentru un cont cu acces privilegiat nu va fi
utilizat de mai multe persoane dect cu acordul scris al ARIC i
trebuie s fie schimbat atunci cnd persoana care utilizeaz acest
cont i schimb locul de munc din cadrul Cardiv Marketing SRL Trebuie
s existe o procedur prin care o alt persoan, n afar de
administrator, s poat avea acces la contul administratorului n caz
de fora major. Aceast procedur va fi elaborat de ctre managerul
Companiei. Unele conturi sunt necesare pentru audit (verificare,
control) intern sau extern, pentru dezvoltare sau instalare de
software sau alte operaiuni definite. Acestea trebuie s ndeplineasc
urmtoarele condiii: trebuie s fie autorizate; trebuiesc create cu
dat de expirare specific; contul va fi ters atunci cnd nu mai este
necesar.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
Controalele de Securitate ale Resurselor Informatice nu trebuie
s fie ocolite sau dezactivate. Accesul la schimbarea i utilizarea
drepturilor de acces la RIC trebuie s fie strict securizat. Trebuie
revizuite n mod regulat modul de autorizare a accesului la
informaie, drepturile de acces precum i orice modificare a strii
postului cum ar fi: transfer, promovare, retrogradare sau
terminarea serviciului. ntreg personalul este responsabil privind
modul de utilizare a RIC; fiecare utilizator este direct
responsabil pentru aciunile care pot afecta securitatea RIC.
Utilizatorii sunt responsabili nediscriminatoriu privind raportarea
oricrei suspiciuni sau confirmri de nclcare a acestui regulament.
Utilizarea RIC se face numai n interes de serviciu. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu limitate la,
mesagerie electronic, navigare Web, conversaii telefonice,
transmisie fax-uri i alte instrumente de conversaie electronic.
Utilizarea acestor instrumente de comunicaie electronic poate fi
monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri
n condiiile legilor n vigoare. ARIC si managerul Companiei sunt
responsabili privind autorizarea utilizatorilor pentru folosirea
adecvat a RIC. Orice informaie folosit n sistemul RIC trebuie s fie
pstrat confidenial i n siguran de ctre utilizator. Faptul c
informaiile pot fi stocate electronic nu schimb cu nimic
obligativitatea de a le pstra confideniale i n siguran; tipul
informaiei sau chiar informaia n sine stau la baza determinrii
gradului de siguran necesar. Toate programele de calculator,
aplicaiile, codul surs, codul obiect, documentaia i datele trebuie
protejate fiind proprietatea Companiei.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include:
Rezilierea contractului de munc n cazul angajailor; Suspendarea
drepturilor de utilizator a RIC pana la clarificarea situatiei;
Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Accesul Fizic
Introducere
Ca parte a atribuiilor de serviciu, personalul care asigur
suport tehnic, administratorii de reea, administratorii de sistem
sau alte persoane autorizate trebuie s aib acces la echipamentele i
componentele sistemului RIC. Procesul de control i monitorizare a
drepturilor de acces fizic la resursele RIC este important i va fi
reglementat conform prezentului regulament de ctre ARIC i, acolo
unde este cazul, de ctre managerul Companiei.
Scopul
Scopul Regulamentului privind Accesul Fizic la RIC este
stabilirea regulilor pentru acordarea, controlarea, monitorizarea i
ntreruperea drepturilor de acces fizic la echipamentele componente
ale RIC.
Audien
Regulamentul privind Accesul Fizic la RIC se aplic tuturor
persoanelor care rspund de buna funcionare a infrastructurii,
instalarea i ntreinerea unor componente funcionale, a personalului
responsabil cu securitatea RIC i utilizatori.
Definitii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice
aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv
cazul n care, din punct de vedere tehnic, nu se poate preveni
nfptuirea de ctre utilizator a aciunii respective. Furnizor:Persoan
fizic/juridic care ofer bunuri, servicii sau date personale catre
Cardiv Marketing n baza unui contract comercial sau de
colaborare.
Regulament privind Accesul Fizic la RIC
Accesul fizic la toate ncperile n care sunt instalate RIC
trebuie s fie documentat i monitorizat. Toate ncperile n care sunt
instalate RIC trebuie s fie protejate fizic, n funcie de importana
acestora i tipul datelor vehiculate sau stocate. Acordarea
drepturilor de acces (folosind card-uri, chei, parole etc.) se face
n scris de ctre managerul Companiei sau, dup caz, de catre ARIC.
Cardurile i/sau cheile de acces care nu mai sunt folosite trebuie
predate managerului Companiei. Pierderea sau furtul cardurilor
i/sau cheilor de acces trebuie raportate imediat managerului
Companiei. Managerul Companiei va ine o eviden a tuturor cardurilor
i/sau cheilor de acces emise, retrase, pierdute sau furate. Pentru
fiecare spaiu n care sunt instalate RIC se va pstra o eviden a
accesului pentru verificri de rutin n situaii critice.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
ntreg personalul este responsabil privind modul de utilizare a RIC;
fiecare utilizator este direct responsabil pentru aciunile care pot
afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Utilizarea RIC se face
numai n interes de serviciu. Nu exist nici o asigurare a
confidenialitii datelor personale sau a accesului la informaii
folosind protocoale de genul, dar nu limitate la, pot electronic,
navigare pe Web, conversaii telefonice, transmisie fax-uri i alte
instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. ARIC si managerul Companiei sunt responsabili privind
autorizarea utilizatorilor pentru folosirea adecvat a RIC. Orice
informaie folosit n sistemul RIC trebuie s fie pstrat confidenial i
n siguran de ctre utilizator. Faptul c informaiile pot fi stocate
electronic nu schimb cu nimic obligativitatea de a le pstra
confideniale i n siguran; tipul informaiei sau chiar informaia n
sine stau la baza determinrii gradului de siguran necesar.
Controalele de Securitate ale RIC nu trebuie s fie evitate sau
dezactivate. Parolele, Numerele de Identificare Personal, Cartelele
de Acces precum i alte proceduri de securitate a sistemelor de
calcul sau a dispozitivelor din cadrul RIC trebuie s fie protejate
de fiecare utilizator n parte astfel nct s nu poat fi utilizate de
ali utilizatori. Orice nclcare a sistemului de securitate trebuie
raportat catre ARIC si managerul Companiei. Accesul la RIC trebuie
s fie strict securizat i s se fac pe baza unor proceduri
documentate conform prezentului regulament. Aceste proceduri
trebuie revizuite n mod regulat. La terminarea relaiilor dintre
utilizatorul RIC i Cardiv Marketing acesta trebuie s predea toate
componentele sistemului RIC de care rspunde sau le are n inventar.
Toate regulile de securitate pentru sistemul RIC se aplic si rmn n
vigoare i dup ncheierea relaiilor dintre utilizator i Cardiv
Marketing.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Tratarea Incidentelor de Securitate
Introducere
Reeaua de comunicaii a Cardiv Marketing constituie unul din
principalele mijloace de exploatare a resurselor informatice.
Aceasta include toate echipamentele, cablurile, punctele de acces,
punctele de distribuie notebook-urile si desktopurile. Este
important ca dezvoltarea reelei de comunicaii s se fac avnd n
vedere att cerinele utilizatorilor privind furnizarea de servicii
avansate i difereniate ct i cerinele privind securitatea ntregului
ansamblu.
Scopul
Acest document descrie cerinele i regulile care trebuie
respectate pentru a minimiza impactul incidentelor de securitate.
Acestea includ (dar nu sunt limitate la): detectarea programelor de
tip virus, vierme informatic etc., folosirea neautorizat a
conturilor de acces i a calculatoarelor n sine, precum i
reclamaiile privind folosirea improprie a RIC dup cum este
subliniat n regulamente.
Audien
Regulamentul privind Tratarea Incidentelor de Securitate se
aplic nediscriminatoriu tuturor persoanelor care folosesc orice
component a RIC.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Virus:Un program care se
auto-ataeaz la un fiier executabil sau la o aplicaie vulnerabil i
care genereaz efecte de la cele deranjante pn la cele distructive.
Un virus se execut n momentul n care este accesat un fiier
infectat. Un virus de macro infecteaz codul executabil ncapsulat n
pachetul de programe Microsoft Office (Word, Excel, PowerPoint) sau
alte programe care permit utilizatorului s genereze macro-uri.
Vierme:Un program care se auto-copiaz n oricare alt parte a unui
sistem informatic. Aceste copii pot fi create pe acelai calculator
sau pot fi trimise ctre alte calculatoare prin intermediul reelei.
Prima utilizare a termenului descria un program care s-a
multiplicat ntr-o reea de calculatoare, folosind resursele sau
calculatoarele neutilizate din reea pentru a distribui aceste
copii. Unii dintre aceti viermi reprezint o ameninare la adresa
securitii datorit faptului c folosesc reeaua pentru a se mprtia,
mpotriva voinei proprietarilor de sisteme de calcul, cauznd astfel
nefuncionarea sau funcionarea defectuoas a reelei. Un vierme este
asemntor unui virus prin faptul c se auto-copiaz, diferena constnd
n faptul c un vierme nu are nevoie s se ataeze la anumite fiiere
pentru a se multiplica. Trojan:de obicei un virus sau un vierme
care este ascuns sub forma unui program atractiv sau inofensiv, cum
ar fi un joc, sau program de grafic (o felicitare n format
electronic, un program tip screen-saver). Victimele pot primi un
astfel de cal troian prin email sau pe o dischet, adeseori de la o
alt victim necunoscut sau pot fi ncurajate s descarce un fiier de
pe o pagin Web sau un forum. Incident de Securitate:n termeni
informatici este definit ca un eveniment prin care se ncearc sau se
realizeaz accesul la un sistem informatic, un atac asupra
integritii i/sau confidenialitii informaiei de pe un sistem
informatic automatizat. Aceasta include examinarea sau navigarea
neautorizat, ntreruperea sau anularea unui serviciu, date alterate
sau distruse, prelucrarea (procesarea), stocarea sau extragerea
informaiilor, modificarea informaiilor sistemului referitoare la
caracteristicile componentelor hardware, firmware sau software cu
sau fr tiina sau intenia utilizatorului.
Regulament de Tratare a Incidentelor de Securitate Ori de cte
ori un incident de securitate este suspectat sau confirmat, precum
un virus, vierme, descoperirea unor activiti suspecte, informaii
modificate etc., trebuie urmate procedurile standard specifice
pentru micorarea riscurilor. ARIC este responsabil de tratarea
incidentului. ARIC este responsabil cu strngerea dovezilor fizice i
electronice ce vor face parte din documentaia pentru tratarea
incidentului. Folosind resurse tehnice speciale se va monitoriza
nivelul daunelor i gradul de eliminare sau atenuare a
vulnerabilitilor acolo unde este cazul. ARIC trebuie s comunice
proprietarului sau productorului resursei afectate de un incident
informaiile utile pentru eliminarea sau diminuarea vulnerabilitilor
care au cauzat incidentul.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Monitorizarea Resurselor Informatice i de Comunicaii
Introducere
Monitorizarea RIC pentru asigurarea securitii sistemului este o
metod utilizat pentru a confirma funcionalitatea i eficiena
msurilor de securitate. Aceast activitate const n urmtoarele (fr a
se limita numai la aceste exemple): Detectarea automat a intruilor
prin intermediul sistemelor de nregistrare Jurnale ale scanrilor
reea Jurnale ale aplicaiilor Jurnale ale solicitrilor de suport
tehnic Jurnale ale erorilor din sisteme i servere
Scopul
Scopul Regulamentului de Monitorizare a RIC este stabilirea
regulilor i procedurilor pentru verificarea funcionalitii i
eficienei msurilor de securitate. De asemenea aceast activitate
urmrete detectarea situaiilor de evitare sau dezactivare a
controalelor. Unul din beneficiile monitorizrii securitii este
identificarea din timp a tentativelor de fraud sau a infraciunilor
i a vulnerabilitilor sistemelor componente ale RIC. Alte beneficii
includ: rezolvarea reclamaiilor, monitorizarea serviciilor,
estimarea performanelor sistemelor n vederea ntocmirii planurilor
de modernizare, etc.
Audien
Regulamentul de Monitorizare a RIC al Cardiv Marketing se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul
la orice resurs informatic i de comunicaii a Cardiv Marketing.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Abuz de privilegii:Orice
aciune ntreprins n mod voit de un utilizator, care vine n
contradicie cu regulamentele RIC i/sau legile n vigoare, inclusiv
cazul n care, din punct de vedere tehnic, nu se poate preveni
nfptuirea de ctre utilizator a aciunii respective. Reea local
(LAN/WAN):O reea de comunicaii de date ce este distribuit pe o zon
restrns (de regul la nivelul unui grup de lucru). Reeaua local ofer
comunicaii ntre calculatoare i periferice la o vitez de transfer
mare i cu puine erori.
Regulament de Monitorizare a RIC
Monitorizarea RIC se va face astfel nct s fie posibil detectarea
n timp util a atacurilor informatice i a situaiilor de nclcare a
regulamentelor de securitate. Echipamentele utilizate pentru
monitorizare (dedicate sau nu) vor urmri i nregistra:a) Tipul
traficului (ex. structura pe protocoale i servicii) extern i
coninutul acestuia n cazurile n care acest lucru se impune sau este
ordonat.b) Parametrii de securitate pentru sistemele individuale
(la nivelul sistemelor de operare).
Fiierele jurnal vor fi examinate regulat n vederea detectrii
eventualelor atacuri informatice i abateri de la regulamentele de
securitate ale Cardiv Marketing. n aceast categorie intr urmtoarele
(fr a se limita doar la acestea):a) Jurnale ale sistemelor de
detectarea automat a intruilor.b) Jurnale ale activitii conturilor
utilizatorc) Jurnale ale scanrilor reead) Jurnale ale aplicaiilore)
Jurnale ale solicitrilor de suport tehnicf) Jurnale ale erorilor
din sisteme i servere.g) Jurnale ale echipamentelor de
telefonie
n mod regulat (cel puin o dat la ase luni) se vor efectua
verificri, de ctre ARIC pentru detectarea:a) Parolelor utilizator
care nu respect regulamenteleb) Echipamentelor de reea conectate
neautorizatc) Serviciilor de reea neautorizated) Serverelor de
pagini de web neautorizatee) Echipamentelor ce utilizeaz resurse
comune nesecurizate
Orice neregul privind respectarea regulamentelor de securitate
va fi raportat catre ARIC n scopul efecturii de investigaii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Securitatea ServerelorIntroducere
Serverele sunt sistemele care stocheaz i distribuie informaia
ctre utilizatorii autorizai. n acest context trebuie asigurat
integritatea, confidenialitatea i disponibilitatea datelor prin
instalarea i meninerea acestora ntr-o manier care s previn accesul
neautorizat, utilizarea neautorizat i ntreruperea unor servicii.
Serverele se clasifica in doua mari categorii: locale si
on-line.
Scopul
Scopul Regulamentului de Securizare a Severelor Cardiv Marketing
este de a prezenta cerinele de instalare a unui nou server si de a
menine integritatea securitii acestuia i a aplicaiilor.
Audien
Regulamentul de Securizare a Severelor Cardiv Marketing se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul
la orice resurs informatic i de comunicaii a Cardiv Marketing.
Definitii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Server:Un program de
calculator care ofer servicii altor programe aflate pe acelai
calculator sau pe calculatoare diferite. Un calculator care ruleaz
un program tip server este denumit n mod frecvent server, cu toate
c pe acelai calculator mai pot rula i alte programe de tip client
sau server.
Regulament de Securizare a Serverelor
Un server nu trebuie conectat la reeaua Cardiv Marketing pn cnd
nu se afl ntr-o stare sigur acreditat de ctre ARIC.Procedura de
securizare a serverelor trebuie s includ obligatoriu urmtoarele:
Instalarea sistemului de operare dintr-o surs aprobat Aplicarea
patch-urilor necesare furnizate de productor nlturarea programelor,
a serviciilor sistem i a driverelor care nu sunt necesare
Setarea/activarea parametrilor de securitate, a proteciilor pentru
fiiere i activarea jurnalelor de monitorizare Dezactivarea sau
schimbarea parolelor conturilor predefiniteARIC va monitoriza
obligatoriu pentru serverele principale (enterprise) procesul de
instalare i aplicare regulat a patch-urilor de securitate i, prin
sondaj, pentru serverele departamentale sau a grupurilor de
lucru.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Crearea i Utilizarea Copiilor de Siguran (Backup)Introducere
Copiile de siguran (backup) sunt necesare pentru a permite
recuperarea datelor i aplicaiilor n cazul unor evenimente cum ar
fi: dezastre naturale, defeciuni ale discurilor de sistem, spionaj,
erori de introducere a datelor, erori de funcionare a sistemului
etc. Back-upul se face pe unitati externe, aflate in afara sediului
Companiei sau a punctelor de lucru, tocmai pentru a putea preveni
pierderea informatiilor. Back-ul extern se face pe unitati de
stocare externe securizate si criptate cu parole de tip md5 formate
din minim 13 caractere alfanumerice.
Scopul
Scopul Regulamentului de Back-up al Cardiv Marketing este de a
stabili regulile pentru crearea copiilor de siguran (backup) i
stocarea informaiilor electronice ale Cardiv Marketing SRL.
Audien
Regulamentele de utilizare a resurselor informatice i de
comunicaii ale Cardiv Marketing se aplic nediscriminatoriu tuturor
persoanelor crora li s-a permis accesul la acesta.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia. Copii
de Siguran (backup):Copii ale fiierelor i aplicaiilor fcute pentru
a evita pierderea datelor i pentru a permite recuperarea n cazul
unor evenimente care pot conduce la pierderi de date. Stocarea
Extern (Offsite):Stocarea extern trebuie s se realizeze ntr-o zon
geografic diferit de punctual de lucru al Companiei n care este
puin probabil s se produc efecte de acelai tip n cazul unui
dezastru.
Servicii
Administratorul RIC poate avea contracte pentru stocarea
copiilor de siguran (backup) n alte zone.
Regulament privind Crearea i Utilizarea Copiilor de Siguran
Procedura de creare a copiilor de siguran i de recuperare pentru
fiecare sistem din cadrul RIC trebuie s fie documentat i periodic
revizuit. Furnizorul care ofer servicii de stocare a copiilor de
siguran n alte zone pentru Cardiv Marketing trebuie s fie acreditat
n acest scop. Procedurile stabilite ntre Cardiv Marketing i
furnizorii de stocare ale copiilor de siguran n alt zon trebuie s
fie revizuite cel puin anual. Verificarea copiilor de siguran se va
face dup o procedur documentat i revizuit periodic, cel putin odata
la 3 luni. Copiile de siguran trebuie s fie periodic testate pentru
a asigura faptul c informaiile stocate sunt recuperabile. Accesul
la mediile debackupale Cardiv Marketing stocate la furnizori
externi sau n interior se va face folosind card-urile sau proceduri
specifice de acces. Acestea trebuie revizuite periodic (anual).
Accesul trebuie interzis pentru persoanele autorizate care i schimb
locul de munc. Benzile sau mediile utilizate pentru stocarea
copiilor de siguran trebuie s aib un sistem de identificare care s
conin cel puin urmtoarele date de identificare a informaiei
stocate: data crerii copiei; tipul de copie (complet, incremental
etc.); clasificarea sensibilitii (siguranei/securitii);
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Detectarea Tentativelor de Acces NeautorizatIntroducere
Detectarea tentativelor de acces neautorizat are un rol
important n implementarea i aplicarea unui regulament de
securitate. Pe msur ce complexitatea sistemelor informaionale i de
comunicaii crete, sistemele de securitate trebuie s evolueze. Odat
cu creterea numrului de vulnerabiliti prin utilizarea sistemelor
distribuite este necesar un mecanism de asigurare a securitii la
nivel de sistem precum i la nivel de reea. Sistemele de detectare a
accesului neautorizat pot contribui la atingerea acestui scop.
Scopul
Detectarea tentativelor de acces neautorizat furnizeaz dou
funcii importante pentru protejarea resurselor informatice:
Feedback:informaii referitoare la eficiena componentelor din
sistemul de securitate. Dac nu se detecteaz tentative sau chiar
acces neautorizat n condiiile n care se folosete un sistem de
detectare se consider c mecanismele de aprare funcioneaz.
Trigger:un mecanism automat care determin cnd este necesar
activarea anumitor msuri specifice ca rspuns la un incident privind
accesul neautorizat.
Audien
Regulamentul privind Detectarea Tentativelor de Acces
Neautorizat n sistemul RIC al Cardiv Marketing, se aplic tuturor
persoanelor responsabile de instalarea de noi RIC precum i
persoanelor care rspund de utilizarea RIC existente i persoanelor
nsrcinate cu Securitatea RIC.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Incident de Securitate:n
termeni informatici, este definit ca un eveniment de ncercare de
ptrundere, o intrare neautorizat sau un atac asupra informaiei de
pe un sistem automatizat din cadrul RIC. Definiia include
examinarea sau navigarea neautorizat, ntreruperea sau anularea
serviciilor, alterarea sau distrugerea datelor, a mediilor de
stocare sau a datelor de ieire, modificarea informaiilor sistemului
referitoare la caracteristicile componentelor hardware, firmware
sau software cu sau fr tirea, indicaiile sau intenia
utilizatorului. Atac informaional:O ncercare de a trece peste
msurile i controalele de securitate fizice sau informatice care
protejeaz un sistem din cadrul sistemului de RIC. Atacatorul poate
altera informaiile, poate acorda sau refuza accesul la ele.
Succesul unui eventual atac depinde de gradul de vulnerabilitate al
sistemului n particular i de eficacitatea contramsurilor aplicate
Gazd (Host):Un sistem care ofer servicii pentru un anumit numr de
utilizatori. Server:Un program care ofer servicii altor programe
aflate pe acelai sistem de calcul sau pe alte sisteme conectate n
reea. Un sistem de calcul care ruleaz un program de tip server este
adesea numit server, cu toate c pe acelai calculator mai pot rula i
alte programe de tip client sau server. Firewall:Un mecanism de
control al accesului care acioneaz ca o barier ntre dou sau mai
multe segmente ale unei reele de calculatoare sau ale unei
arhitecturi de tip client/server, folosit pentru a proteja reelele
interne sau segmente ale acestora mpotriva utilizatorilor sau
proceselor neautorizate.
Regulament pentru Detectarea Accesului Neautorizat
Procesele de nregistrare i verificare a activitii sistemelor de
operare, conturilor utilizator i programelor trebuie s fie
funcionale pe toate sistemele active (host, server, echipamente de
reea). Trebuie activate funciile de nregistrare a evenimentelor pe
dispozitivele firewall i pe toate sistemele de control al
accesului. nregistrrile de verificare ale dispozitivelor de control
al accesului trebuie monitorizate/revizuite (examinate) saptamanal
de ctre administratorul de sistem. Verificrile privind integritatea
fiecrui sistem trebuie s se fac periodic( lunar ). Aceast
activitate este obligatorie i pentru dispozitivele de tip firewall
sau dispozitive de control al accesului. nregistrrile de verificare
pentru serverele i host-urile din reeaua intern trebuie revizuite
cel puin odata la 3 luni. Se vor verifica periodic programele
utilitare pentru detectarea tentativelor de acces neautorizat.
Toate rapoartele privind incidentele trebuie revizuite n vederea
detectrii de indicii ce ar putea implica o activitate de acces
neautorizat. Toate indiciile suspecte sau confirmate de accesri sau
ncercri de accesare neautorizate trebuie raportate imediat ctre
ARIC Utilizatorii sunt obligai s raporteze orice anomalii n
performana sistemelor utilizate ct i orice semne ale unor posibile
infraciuni la ARIC.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele
dispoziii:
ntreg personalul este responsabil privind modul de utilizare a
RIC; fiecare utilizator este direct responsabil pentru aciunile
care pot afecta securitatea RIC. Utilizatorii sunt responsabili
nediscriminatoriu privind raportarea oricrei suspiciuni sau
confirmri de nclcare a acestui regulament. Nu exist nici o
asigurare a confidenialitii datelor personale sau a accesului la
informaii folosind protocoale de genul, dar nu numai, mesagerie
electronic, navigare Web, conversaii telefonice, transmisie fax-uri
i alte instrumente de conversaie electronic. Utilizarea acestor
instrumente de comunicaie electronic poate fi monitorizat n scopul
unor investigaii sau al rezolvrii unor plngeri n condiiile legilor
n vigoare. Orice informaie folosit n RIC trebuie s fie pstrat
confidenial i n siguran de ctre utilizator. Faptul c informaiile
pot fi stocate electronic nu schimb cu nimic obligativitatea de a
le pstra confideniale i n siguran, tipul informaiei sau chiar
informaia n sine stau la baza determinrii gradului de siguran
necesar. Toate programele de calculator, aplicaiile, codul surs,
codul obiect, documentaia i datele trebuie protejate fiind
proprietatea Cardiv Marketing.
Modificri i Modernizri ale Sistemului Resurselor Informatice i
de ComunicaiiIntroducere
Sistemul RIC din cadrul Cardiv Marketing este n continu
dezvoltare i extindere. La anumite intervale de timp, fiecare
element al sistemului RIC trebuie oprit pentru modernizare,
ntreinere sau configurare. n plus, pot apare ntreruperi
neplanificate care conduc la operaii suplimentare ce afecteaz
funcionarea ansamblului RIC. Modul de tratare a acestor modificri
reprezint o parte critic n procesul de realizare a unei
infrastructuri robuste i utile a RIC
Scopul
Scopul Regulamentului pentru Modificri i Modernizri ale
Sistemului RIC este de a stabili un cadru raional i predictibil,
astfel nct utilizatorii s-i poat planifica aciunile n consecin.
Aciunile de modificare i modernizare necesit o anticipare a
evenimentelor, monitorizare i evaluare a performanelor pentru a
reduce impactul negativ asupra comunitii de utilizatori i pentru a
mbunti serviciile oferite prin RIC.
Audien
Regulamentul pentru Modificri i Modernizri ale Sistemului RIC se
aplic tuturor persoanelor care instaleaz, administreaz i ntrein
Resursele Informatice i de Comunicaii.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Modificare:Orice
implementare a unei noi funcionaliti (adugare de
servicii/funcii/echipamente), orice ntrerupere a unui
echipament/serviciu, orice reparaie a unui echipament/serviciu
existent i orice mutare sau suprimare a unui echipament/serviciu.
Modificare planificat:Proces de modificare a unui echipament sau
serviciu anunat, documentat, aprobat. Modificare
neplanificat:Proces de modificare a unui echipament sau serviciu n
care nu s-a reuit anunarea, documentarea i aprobarea prealabil.
Aceste modificri vor fi anunate ulterior i sunt acceptate doar n
situaiile n care exist motive ntemeiate (ex. defeciuni). Modificare
urgent:Proces de intervenie neautorizat imediat asupra unui
echipament cauzat de iminena unui eveniment critic n scopul
prevenirii distrugerilor pe arii extinse. Controlul
Modificrilor:Procesul de control al procedurilor privind
modificrile hardware, software sau firmware etc., astfel nct s se
asigure protejarea RIC mpotriva modificrilor necorespunztoare.
Regulament pentru Modificri i Modernizri ale RIC
Orice modificare asupra unei componente a RIC din cadrul Cardiv
Marketing, cum ar fi: sisteme de operare, componente hardware,
echipamente i componente de reea, aplicaii, este supus prezentului
regulament i trebuie s urmeze procedurile n vigoare. Toate
propunerile de modernizare i extindere a elementelor de
infrastructur a sistemului RIC vor fi documentate i aprobate de
ctre managerul companiei. Nu este permis modificarea de ctre
utilizatori a elementelor de infrastructur a RIC. Modificrile
planificate trebuie anunate cu cel putin 48 ore nainte de a fi
executate. Cererile de modificare planificat pot fi respinse n
urmtoarele cazuri, dar nu numai: planificare inadecvat, planuri de
refacere a serviciilor inadecvate, durata modificrii poate afecta n
mod negativ o activitate important a instituiei, sau resursele
corespunztoare necesare nu pot fi disponibile imediat. Se va ntocmi
un raport pentru orice modificare, indiferent dac a fost planificat
sau neplanificat, sau dac s-a realizat sau nu cu succes. Trebuie
ntreinut o baz de date care s cuprind toate modificrile. Aceasta
trebuie s conin cel puin urmtoarele informaii: data la care s-a
fcut cererea pentru modificare i data la care s-a fcut modificarea;
natura modificrii; indicarea strii modificrii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC
Alte Dispoziii
Acest Regulament are ca parte integrant urmtoarele dispoziii:
Infrastructura sistemului RIC se afl sub controlul ARIC. Trebuie
obinut aprobarea din partea ARIC nainte de conectarea unui
echipament la reea. ARIC i rezerv dreptul de a deconecta orice
echipament de reea care nu este conform cu standardele sau care nu
este considerat a fi securizat n mod corespunztor. Integritatea
programelor de uz general, a programelor utilitare, a sistemelor de
operare, a reelelor i respectiv a fiierelor de date sunt
responsabilitatea ARIC. Toate modificrile aduse sistemelor,
programelor sau datelor trebuie aprobate de ctre Departamentul sau
Facultatea care deine echipamentele sau este responsabil de
integritatea acestora.
Utilizare Internet i IntranetIntroducere
n acord cu prevederile din prezentul Regulament, Resursele
Informatice i de Comunicaii (RIC) sunt bunuri strategice ale Cardiv
Marketing. Acest regulament este stabilit pentru a atinge
urmtoarele scopuri: S fie n conformitate cu statutele,
regulamentele i alte documente oficiale n vigoare pentru
administrarea resurselor informatice, S stabileasc practici
prudente i acceptabile privind utilizarea reelei Internet, S
instruiasc utilizatorii care pot folosi reeaua Internet n ceea ce
privete responsabilitile lor asociate unei astfel de utilizri.
Audien
Regulamentul de Utilizare Internet i Intranet se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul
la orice resurs informatic i de comunicaii a Cardiv Marketing SRL
care are capacitatea de acces Internet i/sau Intranet.
Definitii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice. La acestea se adaug procedurile, echipamentul,
facilitile, programele i datele care sunt proiectate, construite,
puse n funciune (operaionale) i meninute pentru a crea, colecta,
nregistra, procesa, stoca, primi, afia i transmite informaia.
Administratorul RIC (ARIC):Responsabil la nivelul organizatiei cu
administrarea RIC . Desemnarea ARIC are ca scop stabilirea n mod
clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile administrare i utilizare a RIC.
Utilizator:O persoan, o aplicaie automatizat sau proces utilizator
autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Internet:Sistem global
care interconecteaz calculatoare i reele de calculatoare. Acestea
sunt deinute de mai multe organizaii, agenii guvernamentale,
societi, instituii academic etc. Intranet:Reea privat destinat
comunicaiilor i partajrii informaiilor, care, ca i reeaua Internet,
folosete suita de protocoale TCP/IP, ns este accesibil doar
utilizatorilor autorizai din cadrul unei organizaii (instituii). n
mod obinuit, reeaua Intranet a unei organizaii este protejat
printr-un sistem de protecie (firewall).
Drept de Proprietate
Informaia n format electronic, fiierele create, modificate,
trimise, primite sau stocate pe dispozitivele conectate la sistemul
RIC, aflate sub administrare, sau n custodia i sub controlul Cardiv
Marketing SRL sunt proprietatea Cardiv Marketing, n condiiile
legilor n vigoare.
Confidenialitate
Fiierele electronice create, modificate, trimise, primite sau
stocate pe Resurse Informatice proprii, nchiriate, administrate sau
n custodia i sub controlul Cardiv Marketing, nu sunt confideniale i
pot fi accesate de ctre personalul responsabil cu securitatea RIC,
fr ntiinarea utilizatorului sau a proprietarului sistemelor.
Coninutul unui fiier electronic poate fi accesat de ctre personalul
autorizat n conformitate cu prevederile i normele de securitate ce
se regsesc n Regulamentul privind Accesul Administrativ.
Regulament de Utilizare reea Internet i Intranet
Toate programele utilizate pentru acces la reeaua Internet
trebuie s fac parte din pachetul de programe aprobat de ctre D.C.D.
Aceste programe trebuie s includ toate patch-urile de securitate
necesare puse la dispoziie de ctre productor. Toate fiierele care
provin din reeaua Internet trebuie s fie scanate cu un program
antivirus care s fie actualizat cel puin o dat la 72 ore. Toate
programele pentru acces Internet/Intranet trebuie s permit
folosirea sistemelor proxy i/sau firewall. Toate informaiile
accesate n reeaua Internet trebuie s se conformeze Regulamentului
de Utilizare Acceptabil a RIC. Orice activitate a utilizatorilor
folosind RIC poate fi nregistrat i ulterior examinat. Nu se vor
publica pe sit-urile web ale Cardiv Marketing materiale cu caracter
ofensiv sau de hruire. Nu este permis utilizarea RIC ale Cardiv
Marketing n scop personal sau pentru solicitri personale ce nu au
legtur cu Cardiv Marketing. Fiierele electronice se supun acelorai
reguli de pstrare ce se aplic i altor documente i trebuie pstrate n
conformitate cu regulile stabilite prin prezentele regulamente i
regulamentele proprii.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Administrarea ConturilorIntroducere
Conturile utilizator sunt mijloacele utilizate pentru a permite
accesul laRICale Cardiv Marketing. Astfel, crearea, modificarea,
controlul i monitorizarea conturilor utilizator sunt operaiuni
foarte importante n cadrul general al asigurrii securitii
sistemului RIC si vor fi efectuate doar de ARIC.
Regulament de Administrare a Conturilor
Toate conturile utilizator se vor crea n formatul Prenume.Nume.
Prin contractul de munc, contractul de colarizare i/sau alte
documente toi utilizatorii accept prevederile regulamentelor
privind securitatea sistemului RIC. Toi utilizatorii sunt obligai s
pstreze confidenialitatea informaiilor privind contul de acces.
Toate conturile trebuie s se poat identifica n mod unic, utiliznd
numele de cont asociat. Toate parolele pentru conturi trebuie s fie
create i folosite n conformitate cu Regulamentul privind Parolele
de Acces.
Administratorul de sistem sau alt personal autorizat:
Sunt responsabili de tergerea conturilor persoanelor
(utilizatorilor) care nu mai lucreaz n cadrul Cardiv Marketing, sau
care nu mai au relaii cu Cardiv Marketing. Trebuie s aib o
documentaie de modificare a conturilor utilizator pentru se pune de
acord n situaii precum schimbri ale numelor de familie, modificri
privind contul (numele contului) modificri ale drepturilor de
utilizator. Sunt subiectul verificrii independente. Trebuie s
furnizeze o list cu toi utilizatorii (list de conturi) pentru
sistemele pe care le administreaz, la cererea conducerii autorizate
a Cardiv Marketing. Trebuie s coopereze cu utilizatorii pentru
investigarea problemelor de securitate.
Msuri Disciplinare
nclcarea acestui regulament se sancioneaz prin msuri
disciplinare care pot include: Rezilierea contractului de munc n
cazul angajailor; Suspendarea drepturilor de utilizator a RIC pana
la clarificarea situatiei; Interzicerea accesului la RIC.
Toate aciunile care contravin legilor vor fi raportate organelor
competente.
Alte Dispoziii
Acest Regulament se completeaz cu urmtoarele dispoziii:
Controalele de Securitate ale RIC nu trebuie s fie evitate sau
dezactivate. Contientizarea importanei msurilor privind securitatea
RIC de ctre utilizatori trebuie s fie permanent subliniat i
actualizat. Toi utilizatorii rspund de modul n care folosesc,
individual, RIC i sunt direct rspunztori de aciunile legate de
securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu
privind raportarea oricrei suspiciuni sau confirmri de nclcare a
acestui regulament. Accesul la schimbarea i utilizarea drepturilor
asociate unui cont trebuie s fie strict securizat. Trebuiesc
revizuite n mod regulat autorizarea accesului la informaie
(drepturile de acces), precum i orice modificare a statutului
persoanei care deine un cont de acces cum ar fi: transfer,
promovare, retrogradare sau terminarea serviciului. Utilizarea
conturilor de acces se face numai n interes de serviciu. Nu exist
nici o asigurare a confidenialitii datelor personale sau a
accesului la informaii folosind protocoale de genul, dar nelimitate
la, pot electronic, navigare pe Web, conversaii telefonice,
transmisie fax-uri i alte instrumente de conversaie electronic.
Utilizarea acestor instrumente de comunicaie electronic poate fi
monitorizat n scopul unor investigaii sau al rezolvrii unor plngeri
n condiiile legilor n vigoare. Orice informaie folosit n sistemul
RIC trebuie s fie pstrat confidenial i n siguran de ctre
utilizator. Faptul c informaiile pot fi stocate electronic nu
schimb cu nimic obligativitatea de a le pstra confideniale i n
siguran; tipul informaiei sau chiar informaia n sine stau la baza
determinrii gradului de siguran necesar. La terminarea relaiilor
dintre un utilizator i Cardiv Marketing, acesta trebuie s predea
toate RIC. Toate regulile de securitate privind RIC se aplic i rmn
n vigoare n eventualitatea ncheierii relaiilor cu Cardiv Marketing
pn la finalizarea procedurii de predare. Mai mult dect att,
Regulamentul rmne valabil i dup ncheierea relaiilor de munc,
colaborare etc.
Parole de AccesIntroducere
Autentificarea este necesar pentru a controla accesul
utilizatorilor la RIC. Controlul accesului este necesar deoarece
accesul neautorizat poate duce la prejudicii cauzate de afectarea
confidenialitii, integritii i disponibilitii informaiilor. Acestea
pot avea ca efecte pierderi materiale i morale pentru Cardiv
Marketing. Autentificarea utilizatorilor se poate realiza folosind
diverse metode: conturi i parole de acces, dispozitive de
identificare, caracteristici biologice.
Scopul
Regulamentul pentru Parole de Acces al Cardiv Marketing din Iai
stabilete reguli i proceduri obligatorii pentru crearea i
modificarea parolelor de acces la RIC.
Audien
Regulamentul pentru Parole de Acces al Cardiv Marketing se aplic
nediscriminatoriu tuturor persoanelor crora li s-a permis accesul
la orice resurs informatic i de comunicaii a Cardiv Marketing din
Iai.
Definiii
Resurse Informatice i de Comunicaii (RIC):toate dispozitivele de
tiprire/imprimare, dispozitive de afiare, uniti de stocare, i toate
activitile asociate calculatorului care implic utilizarea oricrui
dispozitiv capabil s recepioneze email, s navigheze pe site-uri de
Web, cu alte cuvinte, capabil s transmit, stocheze, administreze
date electronice, incluznd si servere, calculatoare personale,
calculatoare-agend (notebook-uri), resurse de telecomunicaii, medii
de reea i alte accesorii. La acestea se adaug procedurile,
echipamentul, facilitile, programele i datele care sunt proiectate,
construite, puse n funciune (operaionale) i meninute pentru a crea,
colecta, nregistra, procesa, stoca, primi, afia i transmite
informaiile. Administratorul Resurselor Informatice si de
Comunicaii (ARIC):Responsabil la nivelul companiei cu administrarea
RIC ale Cardiv Marketing. Desemnarea ARIC are ca scop stabilirea n
mod clar a responsabilitii privind crearea, modificarea i aprobarea
regulamentelor privind activitile de administrare i utilizare a
RIC. Utilizator:O persoan, o aplicaie automatizat sau proces
utilizator autorizat de ctre ARIC, n conformitate cu procedurile i
regulamentele n vigoare, s foloseasc RIC. Parol:ir de caractere
utilizat, de regul, pentru identificarea utilizatorului unui cont
de acces, n vederea protejrii informaiilor asociate contului
utilizator. Parole complexe:O parol complex este un ir de caractere
(secven de caractere, numere i caractere speciale) care nu poate fi
asociat cu informaia public despre contul utilizator, nu este
copiat dintr-un dicionar etc.
Reguli pentru Parolele de Acces
Toate parolele trebuie s ndeplineasc urmtoarele condiii:
S fie schimbate de ARIC n mod regulat, cel puin o dat la 6 luni;
S aib o lungime minim de 8 caractere; S fie parole complexe; Sa nu
fie parole de felul numeprenume; Parolele trebuie sa fie formate
din litere / cifre dar obligatoriu trebuie sa contina o cifra daca
parola este formata doar din litere sau o litera daca parola este
formata doar din cifre; Reutilizarea parolelor este interzis;
Parolele de cont utilizator nu trebuie divulgate nimnui, nici mcar
angajailor care rspund de securitatea sistemelor informatice. Dac
se suspecteaz c o parol a putut fi divulgat aceasta trebuie
schimbat imediat; Administratorii de sistem nu trebuie s permit
schimbarea parolelor utilizatorilor folosind contul administrativ.
Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot
face excepii pentru anumite aplicaii (precum backup automat) cu
aprobarea ARIC. Pentru ca o excepie s fie aprobat, trebuie s existe
o procedur pentru schimbarea parolelor. Dispozitivele de calcul nu
trebuiesc lsate nesupravegheate fr a activa un sistem de blocare a
accesului la acestea; deblocarea trebuie s se fac folosind
parol.
Reguli pentru Alegerea unei Parole
Parolele trebuiesc schimbate la cel puin 6 luni. Parolele
trebuie s aib o lungime minim de 8 caractere. Parolele trebuie s
conin litere mici i mari i s aib cel puin 1 caracter numeric.
Caracterele numerice nu trebuie s se afle la nceputul parolei.
Caractere speciale ar trebui incluse n parole acolo unde sistemul
permite.Caracterele speciale sunt: (!@#$%^&*_+=?/~`;:,|).
Parolele trebuie s respecte urmtoarele condiii: Nu trebuie s
coincid sau s fie asemntoare cu numele dvs. de utilizator
(login-ul); Nu trebuie s coincid sau s fie asemntoare cu numele
dvs.; Nu trebuie s coincid sau s fie asemntoare cu o eventual
porecl (nickname); Nu trebuie s coincid cu data naterii; Nu trebuie
s coincid cu numrul de nmatriculare al mainii; Nu trebuie s coincid
cu numele departamentului etc.; Nu trebuie s coincid