Simpozion CCIAT [613241]

Simpozion CCIAT
12 Martie 2019
practic despre GDPR
1 Lector : dipl. ing. Ovidiu Cornea

2 “If you think education is expensive, try
estimating the cost of ignorance ”

Howard Gardner

3
Conformarea este un proces de management si un efort
de echipa :

Juridic
Tehnologia informatiei
Managementul securitatii informatiei
Managementul riscurilor si impactului Conformarea la GDPR efort interdisciplinar

Practic despre GDPR
4 Identificarea si protejarea punctelor vulnerabile d.p.d.v. GDPR
rezultate din analiza :
– circuitului documentelor ,
– cartografierii datelor .

Evaluarea riscului la datele cu caracter personal .
– metoda de evaluare a riscului , exemplu practic

Practic despre GDPR
5 Evaluarea impactului . Decizia ANSPDCP nr. 174 din 18.10.2018
– metoda de evaluare a impactului , exemplu practic

Evaluarea infrastructurii IT
– evaluarea / auditul IT

6 Metode de protejare a datelor cu caracter personal
– protejarea tehnica si organizatorica a datelor

Cybersecurity in contextul GDPR
– ghid de protejare a informatiilor in organizatie
(accesul , stocarea , tranzitul , livrarea ) Practic despre GDPR

7 •Masuri de siguranta

•Fumatul interzis

•Telefoane mobile (silent/ vibratii )

•Toalete

•Obiectele personale

•Intrebarile

Masuri de siguranta / organizare !

8 09:30 – 10:50 Desfasurare prezentare

10:50 – 11:00 Pauza

11:00 – 12:00 Desfasurare prezentare

12:00 – 12:30 Pauza pranz

12:30 – 13:20 Desfasurare prezentare

13:20 – 13:30 Pauza

13:30 – 14:20 Desfasurare prezentare

14:30 – 16:00 Discutii libere .
Sa ne organizam !

9 Prezentare cursanti

Experienta / domenii de activitate

Nivel cunoastere legislatie

Nivel cunoastere standarde de securitate

Prezentare cursanti / trainer

10 Identificarea si protejarea punctelor vulnerabile d.p.d.v.
GDPR rezultate din analiza :
– circuitului documentelor ,
– cartografierii (trasabilitatii ) datelor .

Identificarea si protejarea datelor

11
Identificarea si protejarea datelor
Circuitul documentelor (exemplu didactic, discutii , explicatii , identificare -protejare date)

12 Identificarea si protejarea datelor
Cartografierea datelor (exemplu didactic, discutii , explicatii , identificare -protejare date)

13 “Risk management is about people and processes and not
about models and technology “

Trevor Levine
Managementul riscurilor

14 Evaluarea riscurilor – parte a managementului riscului
Proces structurat prin care se identifica modul in care pot fi
afectate obiectivele
Ofera analize de risc, in termeni de consecinte si probabilitatile lor
inainte de a decide actiunil or viitoare
Incearca sa raspunda la:
Ce se poate intampla si de ce
Care este probabilitatea aparitiei
Factori i ce atenueaza consecintele riscului
Factori ce reduc probabilitatea de aparitie Managementul riscurilor

Managementul riscurilor

15 Scopul :
Ofere informatii si analize bazate pe dovezi pentru a lua decizii in
cunostinta de cauza privitor la tratarea anumitor riscuri . Conduce la
compararea nivelurilor estimate cu cele acceptate si duce la prioritizarea
tratarii riscurilor .

Beneficii :
Evaluarea riscului si impactului asupra obiectivelor
Identifica riscurile si slabiciunile existente in sisteme si organizatii
Furnizeaza informatii factorilor de decizie
Compararea riscurilor in abordari sau tehnologii alternative
Asista in stabilirea prioritatilor
Ajuta in selectarea optiunilor de urmat Managementul riscurilor

16 Tratarea riscului ar putea include :

Evitarea riscului
Asumarea riscului in scopul de a urmari o oportunitate
Indepartarea sursei de risc
Modificarea pluzibilitatii
Modificarea consecintelor
Partajarea riscului cu un tert sau asigurator
Mentinerea riscului daca poate fi argumentata Managementul riscurilor

17 Conducerea trebuie minim sa:

Defineasca si aprobe politica managementului riscului
Sa se asigure ca sunt alocate resursele necesare
Comunic e avantajele tuturor partilor interesate
Determine indicatorii de performanta
Armonizeze politica managementului riscului si cultura organizatiei Managementul riscurilor

18 Clasificarea riscurilor
Nivel :
Critice
De tratat
De monitorizat

Probabilitate de aparitie :
1 / luna
1 / an
1 / 2-4 ani
1 / 5-9 ani
> / 10 ani

Impact :
Foarte scazut
Scazut
Mediu
Ridicat
Foarte ridicat Managementul riscurilor

19 Tratarea riscului

Diminuarea – folosind masuri de reducere a probabilitatii sau impactului
Transfe rul – impartind riscul cu terti sau asiguratori
Evitare a – oprirea sau neinceperea activitatilor generatoare de risc
Acceptarea – asumarea riscului

Evaluarea riscurilor implica :
Analiza riscurilor
Estimarea nivelului

Obligatoriu : la riscurile critice se elaboreaza planuri de recuperare dupa dezastru ! Managementul riscurilor

20 Procesul standard de evaluare a riscurilor

Cine ? Ce ? Unde ? Cum ?
De ce ? Des ? Mult ? Critic ?
Acceptabil ?
Optiuni / Prioritati
Inaccentabil ? Managementul riscurilor

21 Exemplu scala impact/ probabilitate

Managementul riscurilor
Analiza impact/ probabilitate

22
Transpunere numerica impact/ probabilitate

Nivel risc = Probabilitate * Impact
Managementul riscurilor

23 Evaluarea riscurilor  clasificare si prioritizare

Managementul riscurilor

24 Rezultatul riscului mediu

Prioritatea tratarii

Managementul riscurilor

25 ANSPDCP
DECIZIE nr. 174 din 18.10.2018 privind lista operatiunilor pentru care este
obligatorie realizarea evaluarii impactului asupra protectiei datelor cu
caracter personal .

Art. 1(1)
Evaluarea impactului asupra protectiei datelor cu caracter personal de catre
operatori este obligatorie in special in urmatoarele cazuri :

a) prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari
sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice ,
care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri , si care sta la
baza unor decizii care produc efecte juridice privind persoana fizica sau care o
afecteaza in mod similar intr-o masura semnificativa ;

Evaluarea impactului (DPIA)

26 ANSPDCP
DECIZIE nr. 174 din 18.10.2018
Art. 1(1)
Evaluarea impactului asupra protectiei datelor cu caracter personal de catre
operatori este obligatorie in special in urmatoarele cazuri :

b) prelucrarea pe scara larga a datelor cu caracter personal privind originea
rasiala sau etnica , opiniile politice , confesiunea religioasa sau convingerile filozofice
sau apartenenta la sindicate , a datelor genetice , a datelor biometrice pentru
identificarea unica a unei persoane fizice , a datelor privind sanatatea , viata sexuala
sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal
referitoare la condamnari penale si infractiuni ;

Evaluarea impactului (DPIA)

27 ANSPDCP
DECIZIE nr. 174 din 18.10.2018
Art. 1(1)
Evaluarea impactului asupra protectiei datelor cu caracter personal de catre
operatori este obligatorie in special in urmatoarele cazuri :

c)prelucrarea datelor cu caracter personal având ca scop monitorizarea
sistematica pe scara larga a unei zone accesibile publicului , cum ar fi supravegherea
video in centre comerciale , stadioane , piete , parcuri sau alte asemenea spatii ;

d)prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor
vulnerabile , in special ale minorilor si ale angajatilor , prin mijloace automate de
monitorizare si/sau inregistrare sistematica a comportamentului , inclusiv in
vederea desfasurarii activitatilor de reclama , marketing si publicitate ;

Evaluarea impactului (DPIA)

28 ANSPDCP
DECIZIE nr. 174 din 18.10.2018
Art. 1(1)
Evaluarea impactului asupra protectiei datelor cu caracter personal de catre
operatori este obligatorie in special in urmatoarele cazuri :

e) prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea
inovatoare sau implementarea unor tehnologii noi, in special in cazul in care
operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita
drepturile , cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea
facilitarii accesului in diferite spatii ;

Evaluarea impactului (DPIA)

29 ANSPDCP
DECIZIE nr. 174 din 18.10.2018
Art. 1(1)
Evaluarea impactului asupra protectiei datelor cu caracter personal de catre
operatori este obligatorie in special in urmatoarele cazuri :

f) prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care
transmit date prin internet sau prin alte mijloace (aplicatii "Internetul lucrurilor ",
cum ar fi smart TV, vehicule conectate , contoare inteligente , jucarii inteligente ,
orase inteligente sau alte asemenea aplicatii );

g) prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de
localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea
datelor de localizare geografica a pasagerilor in transportul public sau alte
asemenea situatii ) atunci când prelucrarea nu este necesara pentru prestarea unui
serviciu solicitat de persoana vizata .

Evaluarea impactului (DPIA)

30 ANSPDCP
DECIZIE nr. 174 din 18.10.2018
Art. 1(2)

Prin exceptie de la alin. (1), evaluarea impactului asupra protectiei datelor
nu este obligatorie atunci când prelucrarea efectuata in temeiul art. 6 alin. (1) lit.
(c) sau (e) din Regulamentul general privind protectia datelor are un temei juridic
in dreptul Uniunii sau in dreptul intern si deja s-a efectuat o evaluare a impactului
asupra protectiei datelor ca parte a unei evaluari generale a impactului in contextul
adoptarii actelor normative respective .

Evaluarea impactului (DPIA)

31 Evaluarea impactului la datele cu caracter personal
(ISO 29134:2017)

Evaluarea impactului (DPIA)

32 Evaluarea infrastructurii IT

33 Evaluarea infrastructurii IT

34 Evaluarea infrastructurii IT

35 Evaluarea infrastructurii IT
Exemplu didactic schema logica retea

36 Sistemul trebuie sa-si duca pana la finalizare sarcina chiar daca unele
parti din sistem sunt afectate sau nefunctionale

Securitatea informatiei este proces de management, NU un proces
tehnic !

Asigurarea securitatii informatiilor presupune :
Confidentialitate : acces la date pe baza principiului “need -to-know” pentru persoane,
entitati, organizatii, aplicatii etc. Asigurarea ca datele sunt accesibile doar acelora
autorizati sa aiba acces .
Integritate : sunt stabilite si implementate masuri de control pentru a se asigura ca datele
sunt corecte si complete . Protejarea corectitudinii si completitudinii informatiei si
metodelor de procesare .
Disponibilitate : datele sunt accesibile atunci cand sunt necesare . Utilizatorii autorizati au
acces la date si la resurse atunci cand este necesar .
Rezistenta : datele sunt rezistente la amenintari sau pot fi recuperate
Securitatea datelor si informatiilor

37 Cauzele amenintarilor la adresa securitatii informatiilor

Cauze umane

Cauze legate de costuri

Cauze legate de echipament

Cauze legate de mediu
Securitatea datelor si informatiilor

38 Amenintari la adresa securitatii informatiilor
Eroare a umana = primul loc
In principal, angajatii sunt vinovati pentru pierderea celei mai mari cantitati de date prin
eroare sau neglijenta .
Cauzele umane , pot fi:
Eroare , neglijenta , insuficienta instruire
Personal nemultumit
Furtul componentelor
Hacking , cracking
Raspandirea de malware
Sabotaj
Spionaj
Terorism
etc.
Securitatea datelor si informatiilor

39 Amenintari la adresa securitatii informatiilor

Cauze legate de costuri
Minimizarea sau inadecvarea programelor de testare
Insuficienta calificare sau lipsa certificarii sistemelor IT
Procese inadecvate

20% resurse -> 80% rezultate
20% personal -> 80% neconformitati
incidente din interior -> 80%
Securitatea datelor si informatiilor

40 Amenintari la adresa securitatii informatiilor

Cauze legate de echipamente

Defecte hardware

Defecte software

Defecte echipamentele de asigurare a mediului de exploatare

Securitatea datelor si informatiilor

41 Amenintari la adresa securitatii informatiilor

Cauze legate de mediu natural sau fizic

Dezastre naturale

Accidente

Incendii

Intrerupere energie
Securitatea datelor si informatiilor

42 Amenintari la adresa securitatii informatiilor

Intre 85% si 97% dintre fraudele computerizate raman nedescoperite

Suma medie sustrasa in fraude bancare : 9.000 $

Suma medie sustrasa computerizat : 650.000 $

42% dintre companii nu au specialist in securitate IT

17% dintre companii au un singur specialist IT
Securitatea datelor si informatiilor

43 Exemple amenintari

Securitatea fizica si a mediului
Incendiu
Cutremur
Mediu contaminat
Inundatie
Fulger
Furt
Paraziti electromagnetici
Vandalism Securitatea echipamentului
Particule conductive
Defec t climatizare
Contaminare
Cadere alimentare
Incendiu
Inundatie
Deranjament hardware
Eroare de mentenanta
Malware
Accesarea neautorizat a
Furt
Eroare utilizator
Vandalism
Securitatea datelor si informatiilor

44 Exemple amenintari

Planificarea continuitatii activitatii
Incendiu
Inundatie
Contaminare
Cutremur
Fulger
Lipsa personal
Preturbatii industriale
Vandalism Conformitatea cu cerintele legale
Interceptare a comunicati ilor
Utilizare ilegala software
Substituire identitate
Utilizarea neautorizata a
resurselor
Accesarea neautorizat a a retelei
Furt
Securitatea datelor si informatiilor

45 Urmari ale producerii amenintarilor

Distrugerea sau modificarea datelor datorita malware
Distrugerea sau modificarea datelor datorita erorilor /incompetentei
Modifica rea datelelor de iesire ca urmare a unui atac informatic
Furt de date sau informatii ( determinarea parolelor, interceptarea
traficului , etc.)
Afectarea functiilor sistemului (atacuri DOS , DDOS , etc.)
Preluarea controlului sistemului in vederea ut ilizarii sale in scopuri ilegale
Atacarea site-urilor cu scopul de a include dezinformari, de a provoca
teama , etc.

Securitatea datelor si informatiilor

46 Cauze ale producerii amenintarilor

Informatia circula fara protectie adecvata
Determinarea usoara a proceduril or de logare
Accesul n eprotejat la reteaua interna
Aplicatii software ce stocheaza / transmit parole neprotejate
Parolele care contin o referinta personala sau usor de memorat

Securitatea datelor si informatiilor

47 Vulnerabilitati

Umane
Naturale
De mediu
Hardware/Software
De comunicatie
De emisie (Tempest)

Securitatea datelor si informatiilor

48 Vulnerabilitati – exemple

Securitate personal
Personal subdimensionat (lipsa
personal)
Nesupravegherea personalului de
curatenie (furt)
Instruire de securitate insuficienta
(erori ale personalului de suport)
Documentatie insuficienta (erori ale
personalului de suport)
Lipsa unui mecanism de monitorizare
(utilizare software in mod neautorizat)
Lipsa procedurilor de utilizare a
comunicatiilor (utilizarea retelei in mod
neautorizat)
Procedura de selectare personal
inadecvata (sabotare) Securitatea fizica si a mediului
Control al accesului in cladire si
birouri neadecvat (sabotare, furt)
Lipsa protectiei fizice la cladire,
camere etc. (furt)
Amplasare intr-o zona cu pericol
de inundatie (inundatie)
Depozitare neprotejata (furt)
Lipsa unui program de inlocuire
echipament (deteriorarea
mediilor de stocare)
Echipament sensibil la variatii de
temperatura (temperaturi
extreme)
Securitatea datelor si informatiilor

49 Vulnerabilitati – exemple

Administrare calculator si retea
Linii de comunicatie neprotejate
Puncte de conexiune neprotejate
Lipsa mecanismelor de identificare si
autentificare
Transferul parolelor in clar
Administrare retea neadecvata
Lipsa unor mecanisme de evidenta
transmitere/primire mesaje Sistem de control a accesului
Interfata de utilizator complicata
Lipsa unei proceduri de stergere
a mediilor de stocare inainte de
reutilizare
Lipsa unui control adecvat al
modificarilor
Administrare defectuoasa a
parolelor
Lipsa control la descarcare si
utilizare de software
Securitatea datelor si informatiilor

50 Reguli generale de securitate informatica

Daca utilizati calculatorul personal la serviciu , aplicati toate regulile de mai jos
aplicarea masurilor de securitate ale organizatiei pe calculatorul personal, fiind
obligatorie .
Informatiile de serviciu , obligatoriu sa fie copiate intr-un echipament de back -up.
Utilizati sisteme de operare moderne , preferabil pe 64 de biti. Caracteristicile de
securitate ale acestor sisteme sunt acum implicit activate si pot preveni o parte din
atacurile des intalnite .
Indiferent de sistemul de operare pe care il folositi , trebuie sa activati actualizarea
automata a sistemului de operare .

Protejarea datelor cu caracter personal

51 Reguli generale de securitate informatica

Fiecare user trebuie sa lucreze doar sub contul si parola sa.
Divulgarea credentialelor este interzisa (pentru cazuri de urgenta acestea pot fi
depuse intr-un plic inchis si consultat sub semnatura de o comisie ).
Schimbul de informatii intre angajati trebuie facut prin solutii dedicate, nu prin
folosirea aceluiasi calculator si acelorasi credentiale .
Parolele trebuie sa aiba minim 10 caractere avand in componenta litere mari , litere
mici, cifre si caractere speciale , toate simultan .

Protejarea datelor cu caracter personal

52 Reguli generale de securitate informatica

Credentialele trebuie pastrate criptat , utilizand aplicatii dedicate si validate de
personalul IT. Nu stocati credentialele scrise pe hartie in locuri vizibile !
 Folosirea wifi trebuie evitata iar daca nu este posibil , parola trebuie sa respecte
regulile de formare prezentate anterior, iar reteaua sa fie in alt vlan, sa nu fie
vizibila (trebuie setata pe "hide") si sa functioneze pe baza de "whitelist “.
Alocati in calculatorul personal folosit in interes de serviciu un spatiu dedicat
informatiilor organizatiei , pe care va recomandam sa-l criptati .
Utilizati calculatoarele de serviciu numai in scop profesional , de serviciu .

Protejarea datelor cu caracter personal

53 Reguli generale de securitate informatica

Instalati pe calculatoarele de serviciu numai aplicatii utilizate in scop profesional ,
necesare desfasurarii activitatii de serviciu .
Folositi o solutie de securitate ce include minim protectie antimalware, antispam si
antiphishing . Actualizarea acesteia este recomandat sa fie facuta la inceputul
programului de activitate ! O solutie completa de securitate ofera suplimentar
firewall , IPS (Intrusion Prevention System) si IDS (Intrusion Detection System),
scanare real time si navigare securizata . Aceste facilitati de protejare utilizate
impreuna , pot oferi o aparare in adancime impotriva amenintarilor informatice
uzuale .
Protejarea datelor cu caracter personal

54 Reguli generale de securitate informatica

Orice mesaj de atentionare primit de la solutia de securitate trebuie tratat cu
seriozitate iar daca se intampla in timpul navigarii pe o pagina web, trebuie sa
parasiti imediat pagina respectiva !
Solicitati compartimentului IT al institutiei dumneavoastra o copie a regulilor de
utilizare in interiorul organizatiei a calculatoarelor .
Dezactivati executarea script -urilor in browsere . Dezactivarea executiei de scripturi
poate afecta utilizarea facila a browserului , dar este o tehnica foarte eficienta
pentru a elimina o serie de riscuri .

Protejarea datelor cu caracter personal

55 Reguli generale de securitate informatica

Link-urile indicate ca fiind periculoase de catre solutia de securitate sau de catre
browser -ul de internet, NU trebuie accesate !
Link-urile si atasamente ce vin din partea unor expeditori necunoscuti NU trebuie
accesate . Daca totusi este necesara deschiderea unui atasament , acesta trebuie
anterior descarcat si scanat antivirus .
NU deschideti atasamentele si nu dati click pe link-urile din mesajele spam .
In cazul oricarei probleme de securitate suspectata sau identificata , deconectati
calculatorul de la reteaua de date si cereti sprijinul personalului IT.

Protejarea datelor cu caracter personal

56 Reguli generale de securitate informatica

Utilizati pe calculatoarele de serviciu numai aplicatii software aprobate de
managementul organizatiei si departamentul IT.
Toate aplicatiile instalate pe calculatoarele de serviciu trebuie sa fie cu licenta
valida si sa provina din surse sigure , verificabile .
Asigurati securitatea fizica a calculatoarelor de serviciu , in acest fel reduceti riscul
de efractie si furt de date .
NU lasati niciodata nesupravegheat si in locatii cu risc ridicat de furt un calculator
ce contine informatii de serviciu .
Protejarea datelor cu caracter personal

57 Reguli generale de securitate informatica

NU instalati software de pe site-uri indoielnice de care nu sunteti sigur . Daca doriti ,
puteti accesa pagina producatorului pentru a descarca programul .
Actualizati -va aplicatiile informatice ! Majoritatea utilizatorilor nu au rabdare sa
verifice daca aplicatiile instalate sunt actualizate . O metoda uzuala de a ataca un
sistem este de a cauta versiunile neactualizate ale aplicatiilor ce ruleaza si a cauta
vulnerabilitatile acestora in bazele de date aflate in internet .
NU folositi niciodata calculatoare publice pentru a efectua tranzactii bancare , sau
pentru alte tipuri de achizitii online . Aceste calculatoare ar putea contine programe
care inregistreaza datele personale (datele cardurilor bancare ).
Protejarea datelor cu caracter personal

58 Reguli generale de securitate informatica

Evitati sa faceti online operatii ce implica credentiale atunci cand sunteti conectati
la un hotspot Wi-Fi public, precum cele din aeroporturi , cafenele , etc. In cazul in
care conexiunea dumneavoastra nu este securizata printr -un VPN . Deasemenea
accesul din exterior trebuie blocat prin firewall . Functia ”Network Share” trebuie
dezactivata inainte de a va conecta la un hotspot public .
Atunci cand gasiti in inbox mesaje privind cardurile bancare , sau invitatii din partea
unor necunoscuti , luati legatura cu banca pentru a va asigura ca totul este in regula .
Protejarea datelor cu caracter personal

59 Reguli generale de securitate informatica

NU trimiteti niciodata parole prin e-mail sau atasamente .
Nici un furnizor nu trebuie sa solicite astfel de informatii .
Tratati astfel de mesaje cu suspiciune si NU accesati link-urile sau
atasamentele continute de acel mesaj .

Protejarea datelor cu caracter personal

60 Reguli generale de securitate informatica

Nici o agentie guvernamentala nu va contacteaza prin e-mail pentru a plati vreo
amenda , deci nu reactionati la astfel de mesaje .
Cand cumparati un produs online asigurati -va ca aveti informatii suficiente despre
acel site, despre parerile celorlalti cumparatori si ca plata se face fara ca respectivul
site sa aiba acces la datele dumneavoastra de plata .
Incercati sa folositi versiunile criptate ale protocoalelor web . Criptarea la nivel de
aplicatie (SSL – Secure Soket Layer) asigura protectia informatiilor in tranzit . Aceasta
previne furtul de identitate (vizualizarea credentialelor ) prin interceptarea traficului
din retea .

Protejarea datelor cu caracter personal

61 Reguli generale de securitate informatica

Evitati schimbul de date intre calculatorul de acasa si cel de serviciu fara o scanare
antivirus . Retelele companiilor sunt configurate mai sigur , avand implementate o
serie de masuri de securitate (Firewall, Proxy Server, IPS, IDS, scanarea traficului in
timp real, etc.) care pot detecta continutul malitios . Utilizatorii casnici neavand
aceleasi posibilitati organizatorice si materiale , computerele personale sunt mult
mai usor de compromis . Astfel , schimbul de date intre cele doua computere induce
riscuri si trebuie evitat pe cat posibil .

Protejarea datelor cu caracter personal

62 Reguli generale de formare a parolelor

Pentru toate parolele utilizate la accesarea oricarei aplicatii sau oricarui echipament ,
utilizatorii trebuie sa respecte urmatoarele reguli si cerinte minimale :
Parola va avea minim 10 caractere
Parola va contine toate categoriile de caractere precizate mai jos:
 Litere mari (A pana la Z)
 Litere mici (a pana la z)
 Cifre in baza 10 (0 pana la 9)
 Caractere non-alfabetice (de exemplu : !, $, #, %)
Parola nu va contine numele sau prenumele utilizatorului , numele animalului de
companie , sau referiri asupra oricaror elemente deductibile din viata privata a
utilizatorului .

Protejarea datelor cu caracter personal

63 Frecventa schimbarii parolei

In functie de clasificarea sistemelor si aplicatiilor , parolele vor fi setate sa expire
la intervale de timp diferite conform politicii declarate si asumate de conducerea
organizatiei .
Indiferent de nivelul de clasificare a sistemelor informatice si aplicatiilor , parola
trebuie schimbata cel putin odata la un numar de zile, periodicitatea fiind stabilita prin
procedurile de implementare a politicii de securitate a informatiilor .

Protejarea datelor cu caracter personal

64 Definirea parolei

Recomandari :
La definirea parolei utilizatorii vor avea in vedere urmatoarele recomandari :
Utilizatorii nu vor repeta ultime le 3 parole folosite
Utilizatorii nu vor folosi cuvinte (ex: laptop )
Utilizatorii nu vor folosi informatii cu caracter personal (ex: nume , prenume ,
data nastere )
Utilizatorii nu vor folosi denumiri de aplicatii (ex: Microsoft )
Utilizatorii nu vor folosi tipare de litere sau cifre (ex: 123456 sau abcdef )
Utilizatorii nu vor incrementa parolele vechi (ex: lJH@%01! in lJH@%02! )

Protejarea datelor cu caracter personal

65 Protejarea parolei

Recomandari :
Toate parolele implicite vor fi schimbate in momentul instalarii / includerii lor in
retea (ex: aplicatii , baze de date, echipamente de retea , etc.)
Utilizatorii nu vor dezvalui nimanui parola . Utilizarea de conturi partajate este
interzisa !
Parolele nu vor fi stocate , scris e, transmise in clar, fara criptare !
Parolele nu vor fi transmise via e-mail !
Conturile utilizatorilor trebuie sa fie blocate dupa maxim 3-5 incercari de logare
esuate
Timpul minim de blocare a ecranului va fi de 5 minute
Sistemele trebuie sa fie astfel configurate incat sa nu permite reutilizarea
ultimelor 3 parole

Protejarea datelor cu caracter personal

66 Securitatea echipamentelor si datelor critice
Recomandari :
Toate usile de acces la echipamentele critice trebuie blocate
Este necesara prezenta sistemelor de supraveghere video
Stocarea inregistrarilor si al log-urilor este obligatorie conform legislatiei
Inchiderea si deschiderea geamurilor si usilor salilor de echipamente trebuie
monitorizata
Accesul fizic la echipamente trebuie sa fie selectiv si limitat la personalul
autorizat
Persoanele cu acces autorizat in cladiri sa nu aiba acces fara autentificare la
echipamente

Protejarea datelor cu caracter personal

67
Recomandari :
Echipamentele critice nu trebuie sa atraga atentia asupra lor
Sistemele de aer conditionat din camera echipamentelor trebuie sa fie
functionale si redundante
Alimentarea cu energie ar trebui sa se faca din puncte geografic diferite pentru
a preveni caderile accidentale
Sursele de alimentare de urgenta trebuie sa fie disponibile pentru un interval cit
mai mare de timp
Securitatea echipamentelor si datelor critice
Protejarea datelor cu caracter personal

68
Recomandari :
Trebuie create proceduri care sa asigure siguranta informatiilor
Birourile si fisetele care contin informatii sensibile , trebuie sa fie permanent
inchise
Consolele de conectare trebuie sa fie controlate intr-o maniera care sa impiedice
accesul neautorizat si neautentificat
Mediile de stocare cu informatii sensibile vor fi criptate si vor fi stocate in spatii
cu acces limitat
Personalul de paza va fi ales aleator din cadrul firmelor de paza
Securitatea echipamentelor si datelor critice
Protejarea datelor cu caracter personal

69
Recomandari :
Toate persoanele care intra sau ies trebuie legitimate si inregistrate
In perioadele de varf usile de la intrare trebuie sa fie monitorizate , cu paza
permanenta sau alte forme de control al accesului
Accesul prin usile nepazite trebuie sa fie controlat intr-o forma, ce permite
identificarea persoanei intrate
Usile nepazite trebuie prevazute cu sisteme ce previn intrarea unei persoane
neautorizate impreuna cu una autorizata
Usile care in mod normal nu sint folosite (iesirile de urgenta ) sa fie dotate cu
sisteme de alarma
Securitatea echipamentelor si datelor critice
Protejarea datelor cu caracter personal

70
Recomandari :
Se va mentine o evidenta a accesului in toate incaperile
Personalul de service si furnizorii trebuie de asemenea legitimat si inregistrat
Accesul neautorizat va fi detectat si reactia la aceasta va fi rapida
Procedurile prin care o persoana introdusa este escortata sau circula liber ,
trebuie sa fie clare
Ecusoanele sa fie diferite pentru angajati si vizitatori
Ecusoanele sa nu permita accesul nerestrictionat ci limitarea accesului la zonele
necesare desfasurarii activitatii
Securitatea echipamentelor si datelor critice
Protejarea datelor cu caracter personal

71
Recomandari :
Ecusoanele personalului care si-a incheiat contractul de munca (sau pierdute ,
defecte , deteriorate) trebuie anulate pentru a nu putea fi folosite abuziv
Testele de penetrare sunt un indicator valoros pentru a determina gradul de
instruire a angajatilor si a personalului de paza
Securitatea echipamentelor si datelor critice
Protejarea datelor cu caracter personal

72 Recomandari IAPP (International Association of Privacy Professionals)

Securitatea personalului :
crearea in randul personalului a unei culturi de securitate
constientizarea personalului privitor la riscuri
stabilirea regulilor pe care sa le respecte de la angajare pana la incetarea
contractelor
crearea si implementarea unor programe de instruire si educare a personalului

Politici si proceduri de securitate :
reguli pentru procesele operationale
reguli pentru clasificarea si gestionarea datelor aliniate cu obiectivele pe
termen lung /mediu /scurt de securitate
definirea rolurilor, responsabilitatilor, drepturilor de acces si a procesului
disciplinar
aliniate cu standarde de securitate : ISO 27001 , ISO 27002 , ISO 27017 , ISO
27018
Securitatea in practica

73 Recomandari IAPP

Securitatea fizica :
evaluarea de risc la securitate fizica (cerinta obligatorie – Legea 333/2003 , HG
301/2012 , HG 1002 /2015 )
sisteme de control al accesului fizic, CCTV, detectie incendiu, stingere incendiu
etc.)
sisteme de monitorizare si gestionare a conditiilor de mediu (temperatura,
umiditate)

Tehnologia informatiilor :
solutii antivirus, firewall, backup, IDS-IPS, VPN, criptare, IP log , etc.

Managementul incidentelor de securitate :
identificare, clasificare si prioritizare a incidentelor de securitate
proceduri de raspuns la incidente de securitate
Securitatea in practica

74 Recomandari IAPP

Stabilirea unei echipe multidisciplinare de management al securitatii datelor
Stabilirea rolurilor si responsabilitatilor in cadrul echipei
Identificarea, analiza, evaluarea riscurilor si consecintelor
Stabilirea masurilor tehnice si organizatorice de securitate a datelor
Elaborarea politicilor si procedurilor de securitate
Instruirea si constientizarea personalului
Implementarea masurilor de securitate
Evaluarea eficacitatii masurilor (audit, teste de penetrare)
Evaluarea eficacitatii masurilor de management al incidentelor (testare)
Monitorizarea continua a riscurilor la orice schimbare in organizatie, tehnologie,
aplicatii, legislatie, personal etc.
Securitatea in practica

75 Recomandari IAPP

Plan de raspuns la incidente :
detectia incidentului
raspunsul la incident
analiza/revizuirea planului dupa revenire
Plan de raspuns la incidente :
elaborat, testat , aprobat
metodologie de identificare, analiza si raspuns la evenimente de tip “necunoscut/anormal”
echipa multidisciplinara de investigare a incidentelor (forensics) si colectare a dovezilor
model de gestionare a incidentelor si de revenire dupa dezastru
echipe de raspuns la incidente antrenate sa recunoasca tipuri de incidente si de raspuns
roluri si responsabilitati pentru persoanele implicate in managementul incidentelor
testarea planurilor si antrenarea periodica a angajatilor si echipelor de raspuns la incidente
analiza, evaluarea si imbunatatirea planurilor
Raspunsul la incidente de securitate

76 114 masuri de control si obiective, 14 grupe

1. Politici de securitate de informatii
2. Organizarea securitatii informatiei
3. Securitatea resurselor umane inainte , in timpul , sau dupa angajare
4. Managementul resurselor
5. Controlul accesului
6. Criptografie
7. Securitatea fizica si a mediului
8. Securitatea operatiunilor ISO 27001 – sistem de management al securitatii informatiilor

Securitatea in practica

77 114 masuri de control si obiective, 14 grupe

9. Securitatea comunicatiilor
10. Achizitii de sistem , dezvoltare si intretinere
11. Relatiile cu furnizorii
12. Managementul incidentelor de securitate a informatiei
13. Aspecte de securitate de informare ale managementului continuitatii afacerii
14. Conformitatea cu cerintele interne (politicile ), si cu cerintele externe (legile ) ISO 27001 – sistem de management al securitatii informatiilor

Securitatea in practica

78 ISO 27001 – sistem de management al securitatii informatiilor

Politica de securitate a informatiei
Scop : Sa furnizeze directii de urmat pentru management si sustinere pentru securitatea
informatiei.
Documentul de politica a securitatii informatiilor
Revizuirea politicii de securitate a informatiilor

Organizarea interna
Scop : Stabilirea cadrului pentru initierea si controlul implementarii si operarii securitatii
informatiei.
Roluri si responsabilitati in securitatea informatiei
Segregarea responsabilitatilor
Contactul cu autoritatile
Contactul cu grupuri speciale de interese
Securitatea informatiilor in managementul de proiect
Securitatea in practica

79 ISO 27001 – sistem de management al securitatii informatiilor

Echipamente mobile si teleworking
Scop : Asigurarea securitatii lucrului la distanta si a echipamentelor mobile
Politica echipamentelor mobile
Lucrul la distanta

Securitatea personalului

Inaintea angajarii
Scop : Asigurarea ca angajatii si colaboratorii inteleg responsabilitatile si rolurile ce le revin
Screening
Termeni si conditii la angajare

Securitatea in practica

80 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea personalului

Pe durata angajarii
Scop : Asigurarea ca angajatii si colaboratorii inteleg responsabilitatile si rolurile ce le revin
Responsabilitati manageriale
Constientizare, instruire, educatie
Procesul disciplinar

La incetarea angajarii sau la schimbar ea relatiil or de munca
Scop : Protejarea intereselor organizatiei la schimbarile de personal survenite
Responsabilitati la incetarea relatiilor de munca/colaborare sau la schimbarea
acestora
Securitatea in practica

81 ISO 27001 – sistem de management al securitatii informatiilor

Managementul resurselor (activelor )
Respo nsabilitatea pentru active
Scop : Identificarea resurselor si definirea responsabilitatilor adecvate de protejare a
acestora
Inventarul resurselor (activelor)
Responsabilitatea asupra resurselor
Utilizare acceptabila a resurselor
Returnarea activelor

Clasificarea informatiilor
Scop : Asigurarea unui nivel adecvat de protectie a informatiei in concordanta cu importanta
acesteia
Clasificarea informatiilor
Etichetarea informatiilor
Manipularea resurselor
Securitatea in practica

82 ISO 27001 – sistem de management al securitatii informatiilor

Managementul resurselor (activelor )

Manipularea mediilor de stocare
Scop : Prevenirea diseminarii, modificarii, distrugerii informatiilor stocate
Managementul mediilor de stocare
Pastrarea mediilor de stocare
Transportul/transferul mediilor de stocare

Controlul accesului
Cerinte specifice de afaceri pentru controlul accesului
Scop : Limitarea accesului la informatii si la facilitatile de procesare a acestora
Politica de control al accesului
Accesul la retea si la servicii de retea

Securitatea in practica

83 ISO 27001 – sistem de management al securitatii informatiilor

Managementul accesului utilizatorilor
Scop : Asigurarea accesului autorizat al utilizatorilor si prevenirea accesului neautorizat la
sisteme si servicii
Inregistrarea si stergerea utilizatorilor (de -registration)
Planificarea accesului utilizatorilor
Managementul drepturilor privilegiate de acces
Managementul informatiilor secrete de autentificare
Revizuirea drepturilor de acces ale utilizatorilor
Retragerea sau modificarea drepturilor de acces

Controlul accesului
Responsabilitatile utilizatorilor
Scop : Responsabilizarea utilizatorilor pentru prezervarea informatiilor de autentificare
Utilizarea informatiilor secrete de autentificare

Securitatea in practica

84 ISO 27001 – sistem de management al securitatii informatiilor

Controlul accesului la sisteme si aplicatii
Scop : Prevenirea accesului neautorizat la sisteme si aplicatii
Restrictionarea accesului la informatii
Proceduri sigure de logare
Managementul parolelor
Utilizarea programelor utilitare
Controlul accesului la codul sursa

Criptografie

Controale criptografice
Scop : Asigurarea utilizarii adecvate si eficiente a masurilor criptografice pentru protejarea
confidentialitatii, autenticitatii si integritatii informatiilor
Politica de utilizare a controalelor criptografice
Managementul cheilor

Securitatea in practica

85 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea fizica si a mediului

Zone le securizate
Scop : Prevenirea accesului fizic neautorizat la informatii, sisteme, facilitati si echipamente
Perimetrul de securitate fizica
Controale de securitate fizica
Securizarea birourilor, incaperilor si facilitatilor
Protectia impotriva amenintarilor externe si de mediu
Lucrul in zone securizate
Zone de livrare si receptie
Securitatea in practica

86 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea fizica si a mediului

Echipament
Scop : Prevenirea pierderii, deteriorarii, furtului sau compromiterii activelor si intreruperii
activitatilor
Amplasarea si protectia echipamentelor
Utilitati de suport
Securitatea cablarii
Mentenanta echipamentului
Scoaterea activelor din organizatie
Securitatea activelor in afara organizatiei
Scoaterea din uz sau reutilizarea in mod sigur
Echipament nesupravegheat
Politica biroului si monitorului curat
Securitatea in practica

87 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea operationala

Proceduri si responsabilitati operationale
Scop : Asigurarea operarii corecte si sigure a facilitatilor de procesare
Proceduri operationale documentate
Managementul schimbarilor
Managementul capacitatilor
Separarea mediilor de dezvoltare, testare de cel operational

Protectia impotriva codului malitios (malware)
Scop : Asigurarea ca informatia si facilitatile de procesare sunt protejate impotriva codului
malitios
Controale/masuri impotriva codului malitios

Backup
Scop : Protectia impotriva pierderii informatiilor
Salvari de siguranta

Securitatea in practica

88 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea operationala

Log-uri si monitorizare
Scop : inregistrarea evenimentelor si colectarea de dovezi
Log-uri de evenimente
Protejarea log -urilor
Log-urile administratorilor si operatorilor
Sincronizarea ceasurilor (NTP protocol)

Controlul software -ului operational
Scop : Asigurarea integritatii sistemelor operationale
Instalarea software -ului operationa l
Securitatea in practica

89 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea operationala

Managementul vulnerabilitatii tehnice
Scop : Prevenirea exploatarii vulnerabilitatilor tehnice
Managementul vulnerabilitatilor tehnice
Restrictionarea instalarii aplicatiilor software

Consideratii asupra sistemelor de audit informatic
Scop : Minimizarea impactului activitatilor de audit asupra sistemelor operationale
Controalele sistemelor de audit informatic
Securitatea in practica

90 ISO 27001 – sistem de management al securitatii informatiilor

Securitatea comunicatiilor

Managementul securitatii retelei
Scop : Asigurarea protectiei informatiei in retele si a facilitatilor de procesare
Controalele retelei
Securitatea serviciilor de retea
Segregarea retelelo r

Transferul de informatii
Scop : Pastrarea securitatii informatiei transferate in interiorul si exteriorul organizatiei
Politica si proceduri de transfer al informatiei
Acorduri pentru transferul de informatii
Mesageria electronica
Acorduri de confidentialitate si nediseminare
Securitatea in practica

91 ISO 27001 – sistem de management al securitatii informatiilor

Achizitia, dezvoltarea si mentenanta sistemelor

Cerinte de securitate pentru sistemele informationale
Scop : Asigurarea ca securitatea informatiei este o parte integranta a sistemelor
informationale pe toata durata lor de viata
Analiza si specificatia cerintelor de securitate
Securizarea serviciilor/aplicatiilor in retele publice
Protejarea serviciilor de tranzactii
Securitatea in practica

92 ISO 27001 – sistem de management al securitatii informatiilor

Achizitia, dezvoltarea si mentenanta sistemelor

Securitatea in procesele de dezvoltare si suport
Scop : Asigurarea ca securitatea informatiei este proiectata si implementata adecvat pe toata
durata de viata a dezvoltarii sistemelor
Politica de securitate a dezvoltarii
Proceduri de control al schimbarilor
Revizuirea tehnica a aplicatiilor dupa schimbarea platformei de operare
Restrictionarea modificarilor in pachetele software
Principii ale ingineriei securitatii sistemelor
Securitatea mediului de dezvoltare
Dezvoltarea externalizata
Testarea securitatii sistemelor
Testarea de acceptare a sistemelo r

Datele de test
Scop : Asigurarea protectiei datelor utilizate in testare
Protectia datelor de test
Securitatea in practica

93 ISO 27001 – sistem de management al securitatii informatiilor

Relatia cu furnizorii

Securitatea informatiei in relatia cu furnizorii
Scop : Asigurarea protectiei activelor organizatiei accesibile de catre furnizori
Politica de securitate in relatia cu furnizorii
Securitatea in acordurile cu furnizorii
Tehnologia informatiei si comunicatiilor in lantul de distributie

Managementul serviciilor furnizorilor
Scop : Mentinerea unui nivel stabilit al securitatii informatiilor si al serviciilor furnizate
Monitorizarea si revizuirea serviciilor furnizate (de furnizor)
Managementul schimbarilor in serviciile furnizorului
Securitatea in practica

94 ISO 27001 – sistem de management al securitatii informatiilor

Managementul incidentelor de securitate a informatiei

Managementul incidentelor de securitate a informatiei si imbunatatirea
Scop : Asigurarea unei abordari consistente si eficace a incidentelor de securitate, incluzand
comunicarea evenimentelor si vulnerabilitatilor de securitate
Proceduri si responsabilitati
Raportarea evenimentelor de securitate
Raportarea vulnerabilitatilor de securitate
Analiza si luarea deciziilor in cazul evenimentelor de securitate
Raspunsul la incidentele de securitate
invatarea din incidente de securitate
Colectarea dovezilor
Securitatea in practica

95 ISO 27001 – sistem de management al securitatii informatiilor

Aspecte ale securitatii informatiei referitoare la business continuity management

Sisteme redundante
Scop : Asigurarea disponibilitatii facilitatilor de procesare a informatiilor
Disponibilitatea facilitatilor de procesare a informatiei

Conformitatea
Conformitatea cu cerintele legale si contractuale
Scop : Evitarea breselor in cerintele legale, statutare, contractuale sau de reglementare
Identificarea cerintelor legale si contractuale
Drepturi de proprietate intelectuala
Protectia inregistrarilor
Protectia informatiilor cu caracter personal
Reglementarea utilizarii controalelor criptografice
Securitatea in practica

96 ISO 27001 – sistem de management al securitatii informatiilor

Aspecte ale securitatii informatiei referitoare la business continuity management

Revizuirea securitatii informatiei
Scop : Asigurarea ca securitatea informatiei este implementata si operata in conformitate cu
politicile si procedurile organizatiei
Revizuirea independenta a securitatii informatiei
Conformitatea cu standardele si politicile de securitate
Revizuirea conformitatii tehnice
Securitatea in practica

97 ISO 27001 – sistem de management al securitatii informatiilor

Concluzie :
Prin masurile efective de planificare , implementare , control si corectie
permanenta , un sistem de management al securitatii informatiei contribuie in
mare masura la planul de conformare a unei organizatii la cerintele GDPR .

Va recomand conformarea organizatiei dumneavoastra la ISO 27001 ,
sau orice alt standard considerat util de managementul de top cel putin ca ghid
de buna practica !
Securitatea in practica

98 Spatiul cibernetic – nu exista un consens privind definitia acestuia , dar cu certitudine
reprezinta interactiunea dintre hardware (fizic), software/date (virtual) si persoane
(cognitiv ).
2005 , Departamentului Apararii al SUA a declarat spatiul cibernetic al cincilea domeniu de
lupta alaturi de cel terestru, maritim, aerian si spatial, fiind este cea mai noua si
importanta adaugare la bunurile comune globale .
2007 atacurile cibernetice intra in atentia opiniei publice odata cu afectarea unui stat
intreg , Estonia . Aici ministerele , bancile si numeroase companii au trebuit sa-si
suspende activitatile datorita atacurilor deosebit de agresive asupra serverelor proprii .
2008 cu ocazia conflictelor dintre Rusia si Georgia au fost lansate atacuri de o intensitate
deosebita asupra serverelor institutiilor guvernamentale georgiene , termenul de razboi
cibernetic avand din acel moment o imagine reala .
Cybersecurity in contextul GDPR

99 2010 putem spune cu adevarat ca a inceput razboiul cibernetic odata cu aparitia primei
arme cibernetice , virusul Stuxnet . Dezvoltarea acestui virus nu era posibila decat cu
sprijin si resursele unui stat iar sarcina lui era de a ataca si controla infrastructura critica
a unei tari.

Fazele unui atac cibernetic
(Cyber Kill Chain – Lockheed Martin)
recunoasterea
inarmarea
livrarea
exploatarea
instalarea
comanda si controlul
actiunile propriu -zise

Cybersecurity in contextul GDPR

100 Metode de detectare si prevenire a unui atac cibernetic

IDS – sistem de detectie a intruziunilor
IPS – sistem de preventie a intruziunilor
Honeypot – sistem destinat probarii , atacarii , compromiterii in orice mod
neautorizat , in scopul de a strange date despre atacator si de a schimba fazele
atacului
Firewall
Software antimalware
Instruirea personalului – 80 % din vulnerabilitati sunt datorate personalului,
motivele fiind diverse, de la lipsa de interes la nemultumirea angajatului
Cybersecurity in contextul GDPR

101 Principalele amenintari informatice intalnite la nivel de utilizator

Adware : program care afiseaza reclame nesolicitate . Acestea pot fi afisate prin
deschidea unor ferestre noi ce contin reclame , bannere in fereastra programului ,
sau de tip pop-up. Nu sunt considerate virusi deoarece nu produc pagube
calculatorului .

Spyware : categorie de malware, atasate de obicei la programe gratuite (jocuri ,
etc.), care obtine fara stiinta utilizatorului date de marketing (analizeaza site-uri)
folosite apoi pentru a transmite utilizatorului reclame nesolicitate dar cu acelasi
profil al site-urilor vizitate .

Cybersecurity in contextul GDPR

102 Principalele amenintari informatice intalnite la nivel de utilizator

Virusi : programe care se autocopiaza , fara stirea utilizatorului pe sistemul infectat .
Va infecta parti ale sistemului de operare sau alte programe informatice . Scopul
unui virus este de a infecta cat mai multe sisteme informatice , de obicei in vederea
efectuarii simultane a unui atac informatic sau pentru simpla distrugere a datelor
prin coruperea sau modificarea fisierelor de pe computerul gazda .

Troieni : se prezinta sub aparenta unor programe legitime , dar in realitate sunt
create cu scopul de a sustrage date confidentiale , sau de a permite accesul
neautorizat la sistemul infectat in scopuri obscure .
Cybersecurity in contextul GDPR

103 Principalele amenintari informatice intalnite la nivel de utilizator

Rootkit : colectie de utilitare proiectate sa preia si mentina accesul si controlul unui
calculator . Uzeaza de functii ale sistemului de operare pentru a ramane nedetectat .
Unele pot fi folosite in scopuri legale , dar in general utilizarea lor se face in scopuri
malitioase .
Viermi : programe care se auto -copiaza si "mananca " biti de pe discul gazda . Acestia
folosesc reteaua de calculatoare pentru a-si trimite propriile copii ȋn alte
calculatoare din retea . Fac acest lucru fara interventia utilizatorilor . Spre deosebire
de un virus, viermele informatic nu are nevoie sa fie atasat la un program existent .
Viermii provoaca daune in special prin distrugerea aleatoare sau in ordine a biti-lor
de pe discul gazda dar uneori si prin traficul generat in retea .

Cybersecurity in contextul GDPR

104 Principalele amenintari informatice intalnite la nivel de utilizator

Ransomware : este un malware ce impiedica accesul la unele tipuri de fisiere , sau la
intregul sistem infectat prin criptare asimetrica a acestora . Atacatorul va cere o
suma de bani pentru livrarea cheii si indicatiilor de decriptare , de obicei in moneda
virtuala .

Cybersecurity in contextul GDPR

105 Principalele amenintari informatice intalnite la nivel de utilizator

Spam : mesaje e-mail nesolicitate , de obicei cu caracter comercial , ce fac publicitate
pentru produse si servicii . Mesajele spam sunt trimise cu ajutorul unor calculatoare
infectate cu troieni , acestea facand parte dintr -o retea de calculatoare compromise
folosite pentru trimiterea de spam sau atacuri informatice (botnet ). Sunt folosite de
industria marketing -ului online si de proprietarii de site-uri ce promoveaza un
continut dubios . Mesajele spam, pot include atasamente care contin malware
informatic . Pot fi premergatoare unui atac de tip phishing sau de alta natura .

Cybersecurity in contextul GDPR

106 Principalele amenintari informatice intalnite la nivel de utilizator

Scam : provine de la cuvantul scammer, in traducere excroc . Metoda este des
intalnita in retelele sociale sau pe site-urile de dating si consta in apropierea pe cale
sentimentala de victima , urmand ca mai apoi sa-i fie solicitate acesteia sume de
bani pentru rezolvarea unor probleme de sanatate personale sau a unor membrii ai
familiei , pentru cumpararea unor obiecte de valoare mica (camera web de
exemplu ), pentru achitarea costului transportului unei excursii catre victima , etc.

Cybersecurity in contextul GDPR

107 Principalele amenintari informatice intalnite la nivel de utilizator

Phising : una dintre cele mai intalnite infractiuni informatice , avand scopul colectarii
de informatii personale de genul : nume , numar de cont, numar de card, cod PIN,
etc. si apoi folosirea acestora pentru sustragerea de bani . De obicei in cadrul unui
astfel de atac , victima primeste mesaje prin email ca fiind din partea unei anumite
companii al carei client este si in care se solicita completarea cu datele personale a
unui formular . Motivatia exprimata este de obicei o campanie de premiere, sau
disfunctionalitati si lipsa unor date in sistem . De cele mai multe ori, adresele de
email ale victimelor sunt colectate prin metodele folosite de spammeri . Totusi
uneori atacul are la origine furtul bazei de date cu clientii .

Cybersecurity in contextul GDPR

108 Statistici – surse de atac

CISCO 2017 Annual Cybersecurity Report

Cybersecurity in contextul GDPR
Statistici – volum spam

109 Statistici – malware detectat

CISCO 2017 Annual Cybersecurity Report

Cybersecurity in contextul GDPR

110 Statistici – librarii infectate

CISCO 2017 Annual Cybersecurity Report

Statistici – vulnerabilitati producatori

Cybersecurity in contextul GDPR

111 Statistici – timp mediu detectie brese

CISCO 2017 Annual Cybersecurity Report

Cybersecurity in contextul GDPR

112 Vizualizare atacuri cibernetice in timp real – exemplu
Cybersecurity in contextul GDPR
Kaspersky Cybersecurity Map

113
Observam din cele prezentate , conformarea este
un proces de management si un efort de echipa :

Juridic
Tehnologia informatiei
Managementul securitatii informatiei
Managementul riscurilor si impactului Concluzie

114 Regulamentul (UE) 2016 /679 al Parlamentului European și al Consiliului din 27
aprilie 2016 privind protecția persoanelor fizice in ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date și de abrogare
a Directivei 95/46/CE (Regulamentul general privind protecția datelor )

Legea nr. 190/2018 privind măsuri de punere in aplicare a Regulamentului (UE)
2016 /679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind
protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor)

Handbook_data_protection_ 02ENG Bibliografie

115
Ghid_RGPD
ANSPDCP DECIZIE nr. 174 din 18.10.2018 privind evaluarea impactului
Ghid DPO wp243rev01_ro
Ghid consimtamant wp259 rev 0.1_RO
Ghid Transparenta wp260rev01_ro
Ghid portabilitate wp242rev01_ro
Ghid DPIA -wp248 rev.01_ro
Recomandarile_wp_ 250_en
Recomandarile_wp_ 251_en
Handbook_data_protection_ 02ENG

Bibliografie

116 Standarde :
ISO 27001 :2013
ISO 27002 :2013
SR ISO/CEI 27005 :2016
SR ISO 31000 :2010
SR EN ISO/CEI 31010 :2010
BS ISO/IEC 29134 :2017 Bibliografie

117 Link-uri utile :
Nvd.nist.gov
Securityfocus .com
Sans .org
cnil.fr
dataprotection .ro
ec.europa .eu
Bibliografie

118 Succes !