Actualitatea temei. Se cunoaște faptul că, actualmente, cea mai dinamică evoluție o înregistrează Tehnologia Informației. Unitățile /întreprinderile… [624365]

5
PREZENTAREA GENERALĂ

Actualitatea temei. Se cunoaște faptul că, actualmente, cea mai dinamică evoluție
o înregistrează Tehnologia Informației. Unitățile /întreprinderile sunt constrânse să
reacționeze la noile cerințe ale societății în timp real, în care scopul este să -și amplifice sau
să-și restructureze procesele din business și să le administreze cu eficiență sporită.
Un Sistem informațional pe larg utilizat atât în sectorul public cât și în cel privat,
în ultimii ani, este sistemul de management al d ocumentelor. Acest tip de sistem presupune
gestionarea electronică a documentelor.
Practic, nu există domeniu în economie (sfera socială, energetică, educațională,
apărare etc.) în care să nu existe, cel puțin, un sistem informațional, care să controleze
diferite elemente ale activității acelor domenii.
Serviciul informatic reprezintă o activitate de evaluare a sistemelor informatice
prin prisma optimizării gestiunii resurselor informatice disponibile (date, aplicații,
tehnologii, facilități, resurse umane, etc.), în scopul atingerii obiectivelor entității, prin
asigurarea unor criterii specifice: eficiență, confidențialitate, integritate, disponibilitate,
siguranță în funcționare și conformitate cu un cadru de referință (standarde, bune practici,
cadru legi slativ, etc.).
Pentru a asigura funcționarea în parametrii optimi ai orcărui sistem informatic unul
dintre pașii care trebuie parcurși îl reprezintă managementul riscurilor.
Managementul riscurilor constă în identificarea și evaluarea acestora și luarea
unor măsuri pentru a reduce expunerea la riscuri la un nivel acceptabil. Evalurea riscurilor
reprezintă primul pas în metodologia evaluării riscurilor. Rezultatul acestui proces constă
în identificarea unor mecanisme ce pot fi folosite pentru a reduce sau elimina riscurile.
Pentru determinarea probabilității producerii riscului au fost analizate posibilele
vulnerabilități care pot conduce la producerea acestuia precum și mecanismele de control a
acestor vulnerabilități. Impactul reprezintă dimensiunea dau nelor cauzate, deci impactul
este exprimat prin costuri.
Urmare a evaluării riscurilor pentru S.C.D.L. Buzău, au fost identificate
vulnerabilități în zonele de securitate a sistemelor tehnice. Vulnerabilitățile reprezintă zone
parțial sau neprotejate ale unui sistem ce pot fi exploatate de un anumit tip sau grup de
amenințări. Vulnerabilitățile pot fi diminuate prin măsuri de protecție. Măsurile de
protecție reprezintă facilități de securitate și control care, în momentul în care sunt incluse

6
în mediul teh nologiei informației reduc riscurile asociate de operare la niveluri usor
administrabile.
Măsurile de securitate recomandate vor permite conducerii instituției să evalueze o
serie de decizii care, odata implementate, vor adresa problemele de securitate id entificate.

7
INTRODUCERE

Scopul cercetării analizei de risc este de a evalua conformitatea securității
infrastructurii IT la Stațiunea de Cercetare -Dezvoltare pentru Legumicultură Buzău.
Lucrarea de față oferă o analiză calitativă structrată a mediului operațional. Lucrarea
adresează confidențialitatea, amenințările interne și externe, vulnerabilitățile, riscurile și
măsurile de prevenire. Aceasta cup rinde recomandări pentru metode de prevenire optime
din punctul de vedere al costului pentru a reduce efectul vulnerabilitățior asociate.
Cuprinsul acestei lucrări de evaluarea riscurilor include gradul de utilizare a
resurselor si a modalităților de cont rol (deja implementate sau în stadiul de proiect) create
cu scopul de a gestiona vulnerabilitățile exploatabile de către amenințările interne sau
externe.

Motivația alegerii temei – Obiectivul

Într-o eră a informației, abilitatea de a reacționa rapid și eficient la diferitele
necesități este cel mai important factor în orice domeniu de activitate al societății. În acest
caz, volumul și complexitatea informațiilor care se vehiculează pot fi covarșitoare, iar
eficiența folosirii informațiilor depinde în ce a mai mare masură de capacitatea de
organizare a unui volum mare de date într -un timp cat mai scurt.
Am ales aceasta temă, respectiv “Evaluarea riscurilor informaționale la
Stațiunea de Cercetare -Dezvoltare Legumicol ă Buzău” ținand cont de importanța
informațiilor, avand în vedere că unitatea desfășoară activitate de cercetare, sistemul
informațional se bazează, conform denumirii, în special pe informații. Acesta cuprinde
ansamblul informațiilor interne și externe utilizate în cadrul instituției precu m și datele care
au stat la baza obținerii lor, procedurile și tehnicile de obținere a informațiilor (plecând de
la datele primare) și de difuzare a informațiilor, precum și personalul implicat în culegerea,
transmiterea, stocarea și prelucrarea datelor.
Cerințele actuale de dezvoltare de sisteme informatice integrate pentru
managementul instituțiilor conduc la necesitatea perfecționarii modalităților de analiză,
proiectare și implementare a acestora. Lucrarea își propune ca, pornind de la conceptele
teoret ice și de la experiențele specialiștilor, să ilustreze analiza și posibilitățile de
îmbunatățire ale sistemului informațional al unei unei unități de cercetare.

8
Am studiat în acest sens activitatea sistemul informatic, programele de aplicație și
datele tr anzacției care trebuie să fie protejate față de modificări neautorizate prin utilizarea
de controale adecvate. Sistemul informațional nu se referă doar la modul în care se
utilizează instrumentele puse la dispoziție ci și la modul în care oamenii interacți onează cu
tehnologia într -o instituție.
În viața noastră de zi cu zi, calculatoarele sunt ceva obișnuit, ba chiar
indinspensabile în unele cazuri. Se poate spune, pe drept cuvânt că traim într -o societate
informatizată. În zilele noastre toate domeniile de activitate se bazează pe utilizarea, într -o
măsură mai mare sau mai mică, a tehnologiilor informatice și a calculatorului. A devenit
omniprezentă utilizarea mijloacelor TIC (Tehnologia Informației și Comunicațiilor) în
desfășurarea activităților celor mai diverse și pentru luarea deciziilor care au la bază
informații ce sunt obținute din prelucrarea unor date culese cu privire la obiectul activității
respective.
Toate acestea se datorează faptului că ne dăm seama din ce în ce mai mult ca PC -ul
ne ușurează munca. Dar trebuie subliniat faptul că un calculator este de fapt o "mașinarie"
care prelucrează o serie de informații pe care i le dăm. Informația, este elementul esențial
din acest întreg lanț. De fapt, în practică întâlnim, printre altele, două concept e legate de
aceasta și anume sistemul informațional și sistemul informatic .
Obiectivul principal urmărit prin introducerea unui sistem informatic îl constituie
asigurarea conducerii cu informații reale și în timp util, necesare fundamentării și
elaborării operative a deciziilor.

9
CAPITOLUL I

1.1 Stadiul actual al cunoașterii în domeniu

Informația obținută la timp, relevantă și usor de accesat constituie un element -cheie
în funcționarea unei organizații moderne. Într -o abordare sistemică a societății comerciale,
sistemul informațional realizează legătura dintre componentele sistemului de conducere și
celelalte subsisteme la nivel microeconomic.
Prin componentele sale, sistemul informațional asigură atât transmiterea
informatiilor necesare diverselor niveluri de decizie, cât si a conținutului deciziilor către
nivelurile operaționale. Într -o primă abordare, sistemul informațional este definit ca fiind
aspectul organizării care furnizează, utilizează și distribuie informația, împreună cu
resursele organizaționale (umane și tehnice).
În acceptiunea majorității specialiștilor în management și a firmelor consacrate în
dezvoltarea de aplicații informatice pentru conducere, sistemul informațional (SI) este
definit ca un ansamblu interconectat într -o concepție sistemică a datelor, informațiilor,
fluxurilor informaționale, procedurilor informațional e și a mijloacelor de prelucrare și
stocare a informațiilor care acționează intercorelat în vederea realizării obiectivelor
fundamentale ale unei unități.
Toate organizațiile, atât din sectorul public cât și privat au un sistem informațional
care le ajută în a-și conduce activitățile proprii. Un SI poate fi bazat pe hârtie (paper –
based), poate fi parțial sau complet automatizat (computerised). Sistemul informațional al
unei organizații constituie un element -cheie de succes sau chiar de supraviețuire a acel ei
organizații.
Dinamica schimbărilor din lumea modernă conduce la necesitatea unor SI din ce în
ce mai puternice și mai flexibile. Achiziționarea unui SI nu este o sarcină usoară,
implicând definirea scopurilor urmărite, a unei strategii de implementare, de contractare a
părților componente și de integrare a acestora într -un SI coerent cât și cu procesele
lucrative de afaceri ale organizației. Evolția SI contribuie la creșterea oportunităților SI, dar
și la creșterea riscurilor de achiziție.
Tehnologiile evoluează rapid, oferind o mare varietate de soluții: sisteme
distribuite, interfețe -utilizator grafice, noi sisteme de stocare -regăsire a datelor,
multimedia, pachete integrate, realitate virtuală etc.

10
Aceste tehnologii, la rândul lor crează noi oportun ități dar și noi riscuri. SI este tot
mai clar perceput ca un sistem complex, care include aspecte umane și sociale, în care
tehnologia are numai rolul de suport. De aici decurg o serie de riscuri privind factorul
uman si respectiv implicatiile organizatio nale ale SI.
Practica dovedește că studiul sistemului informațional al unei firme nu poate fi
abordat de la început în totalitatea sa, ci trebuie efectuat întâi în domenii restrânse, pe
subsisteme, între care se vor stabili ulterior legăturile de interdepe ndență. Lucrările
efectuate au arătat că este rațional ca elaborarea studiilor de perfecționare a sistemului
informațional să se facă pe activități sau la nivel de funcțiune. Sistemul informațional
trebuie să fie studiat în toată complexitatea sa. Fiecare instituție, care este în situația de a -și
analiza sistemul informațional, trebuie să -și identifice activitățile proprii și să se stabilească
o ordine de prioritate pentru elaborarea studiilor privind perfecționarea sistemului.
Metodologie – Management ul riscului, este analizat și evaluat d.p.d.v la tuturor
riscurilor. Evenimentele nedorite trebuiesc să fie analizate și evaluate având în vedere
impactul și probabilitatea apariție i. Se vor analiza și evalua măsurile de diminuare a
riscurilor din perspec tiva eficacității acestora. Rezultatele obținute vor fi utilizate pentru
alegerea soluțiilor optime în ceea ce privește îmbunătățirea resurselor alocate, pentru
administrarea adecvată a riscurilor și pentru întreținerea acestora în limitele de toleranță
acceptate de conducerea instituției.
În ceea ce privește identificarea, analiza si evaluarea riscurilor aceasta trebuie
rreexaminată periodic , astfel :

11
Argumentul fundamental al evaluării bazate pe risc este acela că livrarea serviciilor
informatice jo acă un rol semnificativ în toate aspectele activităților unei organizații.
Impactul asupra unei afaceri, în condițiile în care anumite părți ale livrării serviciilor IT
eșuează, este adesea critic, motivul fiind, în cele mai multe cazuri, lipsa informării privind
riscurile potențiale. Din acest motiv, în lucrare este prezentat un stusiu de caz care descrie
serviciile informatice specifice instituțiilor publice și riscurile asociate care apar cel mai
frecvent.
Ceea ce este indispensabil în tratarea riscuril or, pe lângă identificarea, evaluarea și
analiza acestora, este dezvoltarea unei strategii pentru managementul riscurilor. Pentru
completitudine, pe lângă evaluarea riscurilor, în lucrare sunt descrise atât impactul pe care
acestea îl au asupra organizație i cât și strategiile tipice de management al riscurilor
recomandate.
Sunt necesare informații pentru a cunoaște ce acțiuni ar putea evolua într -o direcție
greșită, care sunt cauzele și probabilitatea unui impact posibil, care este probabilitatea ca
un ris c identificat să apară, ce trebuie făcut pentru a preveni apariția unui risc, ce ar trebui
știut dacă acest risc apare, ce ar trebui făcut pentru a diminua impactul riscului, precum și
dacă acțiunile alternative ar putea produce alte riscuri și dacă aceste a pot fi mai severe.

1.2 Etape în procesul de management al riscurilor

Realizarea efectivă a managementului riscurilor se asigură printr -o secvență
complexă de acțiuni care include:

12

Acestea sunt trecute în revistă pe scurt, urmând a fi tratate în detaliu în conținutul
lucrării.

1.3 Prezentarea generală a unității studiate

Stațiunea de Cercetare si Dezvoltare pentru Legumicultură Buzău a fost înființată
în anul 1957, luna aprilie, prin Hotărârea Consiliului de Miniștri (H.C.M.) nr.
425/01.04.1957 sub numele de Stațiunea Experimentală Buzău, în subordinea I.C.H.V.
fiind înzestrată cu 143.44 ha teren. În anul 1967, Stațiunea Experimentală Legumicolă
Buzău se transformă în Stațiunea de Cercetări Legumicole Buzău . În anul 1969 ia ființă
I.C.L.F. Vidra, iar Stațiunea trece în subordinea institutului. În anul 1980 unitatea se
reorganizează sub numele de Stațiunea de Cercetare și Producție Legumicolă Buzău , în
subordinea A.S.A.S. Bucureș ti, deținând în continuare suprafața de 510 ha teren. În anul
2002, prin Legea nr. 290/14.05.2002 unitatea se reorganizează sub numele de Stațiunea de
Cercetare -Dezvoltare pentru Legumicultură Buzău , în subordinea A.S.A.S. București. În
anul 2004 apare H.G . 1635, act normativ de reînființare a unității sub numele de Stațiunea
de Cercetare -Dezvoltare pentru Legumicultură Buzău, cu întregul patrimoniu, suprafața de
teren fiind diminuată nejustificat de la 510 ha la 419.31 ha teren, conform articolului 2 din
lege.
Din punct de vedere al personalului unitatea și -a început activitatea cu trei
cercetători, iar în anul 1988, în sectorul de cercetare activau 14 cadre cu studii superioare
(cercetători atestați și ingineri la cercetare). În momentul de față, tematica de cercetare este
susținută de 8 cadre cu studii superioare, din care 7 cercetători atestați și 1 asistent
cercetare.
Stațiunea funcționează de 58 de ani, în interesul cultivatorilor de legume, cu scopul
de a promova legumicultura modernă, bazată pe cunoșt ințe științifice, în perimetrul
tradițional al zonei Buzău. Este o unitate strategică de cercetare și producție pentru zona
bazinului legumicol Buzău și a județelor limitrofe și are preocupări în domeniul cercetării
referitoare la:
– Ameliorarea speciilor de legume – Solanum lycopersicum, Capsicum annuum,
Brassica oleracea, Allium cepa, Cucumis melo, Solanum melongena, Cucumis sativus,
Phaseolus vulgaris, Pisum sativum, Daucus carota, Petroselinum crispum, Lactuca

13
sativa, Spinacia oleracea, Apium graveolens, Ocimum basilicum și flori, Tagetes
patula, Dianthus chabaud, Antirrhinum majus, Cosmos bipinnatus.
– Crearea de soiuri și hibrizi de legume și flori, superiori calitativ, adaptați condițiilor
pedoclimatice din România, cu rezistență/toleranță la agenți patog eni cu importanță
economică;
– Selecția conservativă și menținerea purității varietale la soiurile omologate de
unitate și la alte soiuri la care unitatea este “menținător”. Anual unitatea efectuează
lucrări de selecție la peste 22 specii si 45 soiuri/hibri zi de legume si 4 soiuri de flori,
dintre care 29 soiuri și 2 hibrizi omologați între anii 2007 -2015, la care se realizează
sămânță de Prebază și Bază, cu parametri calitativi superiori, oferind la unele specii
cantități suficiente de semințe pentru toate zonele țării.
– Tehnologii agricole specifice pentru – producerea răsadurilor, specii cultivate in
solarii, ceapa – cultură prin semănare directă, cultura verzei de toamnă, secvențe
tehnologice optimizate pentru semincerii legumicoli, tehnologii specifice p entru plante
legumicole cu multiple întrebuințări, plante legumicole mai puțin răspândite,
medicinale, culturi anticipate, asociate și succesive și secvențe tehnologice referitoare la
altoire la tomate, pepeni, castraveți, pătlăgele vinete, fertilizare, me canizare – agregate
și utilaje noi – 5 brevete de invenție în domeniu, aplicarea substanțelor biostimulatoare,
combaterea integrată a agenților patogeni și dăunătorilor la speciile tomate, ardei,
castraveți, ceapă și varză, pătlăgele vinete, pepeni, tehnol ogii performante și prietenoase
față de mediu și consumator.
– Tipuri constructive noi – seră verticală, destinate producerii de răsaduri de legume și
flori și uscării semințelor la toate speciile la care unitatea produce semințe.
– Îndrumare, consultanță și t ransfer tehnologic al rezultatelor activității de cercetare în
domeniul culturii plantelor legumicole și floricole în sistem clasic și ecologic prin
intermediul Centrului Regional de Consultanță în Horticultură Buzău, la sediul unității
si online la adresa www.scdlbuzau.ro .
– Diseminarea si implementarea rezultatelor cercetărilor proprii prin cursuri,
seminarii, mese rotunde, publicații, consultanță și asistență tehnică de specialitate.
– Producerea de semințe din categ orii biologice superioare
– Producerea de legume destinate consumului proaspăt și industrializării .

14
Unitatea este specializată în obținerea de noi soiuri și hibrizi de legume și flori,
producerea semințelor de legume și flori, cultura legumelor în solarii, sere și câmp
deschis, utilizarea, diseminarea și implementarea rezultatelor cercetării.
1.4 Riscurile generate de existența mediului informatizat
Înțelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT,
precum și a procedurilor d e evaluare și management al riscurilor este fundamentală.
Evaluarea riscurilor generate de funcționarea sistemului informatic , prin analiza
unor factori cu impact în desfășurarea activității entității, respectiv: dependența de IT,
resurse și cunoștințe IT , încrederea în IT, schimbări în IT, externalizarea IT, securitatea
informației, evaluarea sistemelor IT prin prisma respectării legislației în vigoare , este
esențială.
Pornind de la aceste considerente, managementul serviciilor IT, bazate pe
principiile evaluării și managementului riscurilor este indispensabilă pentru dezvoltarea
unei stra tegii adecvate în acest domeniu.
Dependența de IT : este un factor cheie în condițiile în care tendința actuală este de
a se generaliza utilizarea calculatoarelor în toat e domeniile economice și sociale.
În scopul evaluării dependenței conducerii de tehnologiile informației, auditorul va
examina următoarele aspecte relevante: gradul de automatizare al entității, complexitatea
sistemelor informatice utilizate și timpul de supraviețuire al entității în lipsa sistemului IT.
Factori de risc:
(a) Gradul de automatizare se determină prin inventarierea echipamentelor și
tehnologiilor software existente, aprecierea numărului și importanței sistemelor
informatice sau aplicațiilor care funcționează și sunt utilizate în cadrul entității pentru
conducerea proceselor, evaluarea ponderii activităților informatizate în totalul activităților
entității, precum și a gradului de acoperire a necesităților în compartimentele funcționale și
la nivelul conducerii.
(b) Complexitatea sistemelor IT este determinată de complexitatea și specificul
activității (economică, industrială, socia lă, culturală, de învățământ, cercetare, etc.) și poate
fi caracterizată de volumul tranzacțiilor gestionate de sistemele informatice, de forma de
prezentare (alfanumerică, multimedia, analogică), de tehnologia folosită, de modul de
operare (în timp real sau în loturi), de volumul tranzacțiilor generate automat de către
aplicații.

15

(c) Timpul de supraviețuire fără IT poate fi un factor de risc major în cazul
sistemelor pentru care timpul de răspuns este critic (mai ales pentru sistemele cu
funcționare în timp real ), al sistemelor care prelucrează un volum mare de tranzacții, al
sistemelor care au la bază algoritmi și modele complexe a căror rezolvare nu se poate
efectua manual, precum și în entitățile care au întreaga activitate informatizată iar
substituir ea procedurilor automate prin proceduri manuale este foarte costisitoare sau
imposibilă. În unele cazuri, întârzierile datorate nefuncționării sistemului informatic se
transferă în costuri semnificative suportate de către entitate, cu impact major asupra
afacerii.
1.5 Resurse și cunoștințe IT

Politica de personal și de instruire : Erorile și omisiunile umane sunt cele mai
mari surse de probleme. Pentru reducerea riscurilor cauzate de greșelile umane, entitatea
trebuie să implementeze controale și proceduri în c adrul unor politici de personal adecvate:

Factori de risc:
(a) Aptitudinile curente se constituie în cadrul structurii profesionale a angajaților
IT prin acțiuni care influențează nivelul de pregătire al angajaților IT în raport cu
necesitățile entității. Se determină prin evaluarea personalului IT și prin analiza diseminării

16
cunoștințelor la nivelul întregului personal. Este de dorit ca aceste cunoștințe să nu fie
concentrate la nivelul unui număr restrâns de personal.
(b) Resursele comparate cu volumul de muncă indică gradul de încărcare a
personalului și acoperirea în raport cu cerințele activității entității. Este un factor de risc
important întrucât repartizarea dezechilibrată a sarcinilor poate genera suprasolicita re și,
implicit, insatisfacția personalului.
(c) Structura conducerii departamentului IT este determinantă în ceea ce privește
coordonarea proiectelor informatice și valorificarea rezultatelor implementării și utilizării
acestora pentru asigurarea succesului afacerii.
(d) Fluctuația personalului se referă la o perioadă de un an și este deter minată în
principal de satisfacția profesională și materială și de moralul personalului IT.

1.6 Schimbări în domeniul sistemelor IT /IS

Cu toate că în urma procesului de dezvoltare un sistem nou a fost acceptat, pe
durata sa de viață el trebuie întreținut, schimbat sau modificat, fapt care are impact asupra
controalelor existente și poate afecta funcționalitatea de bază a acestuia. Revizuirea
controalelor schimbării și schimbarea acestora sunt necesare pentru a asigura
continuitatea sistemelor în ceea ce pr ivește funcționalitatea și modul de operare.
Factori de risc
Controalele privind schimbarea sunt implementate pentru a asigura că toate
schimbările configurațiilor de sisteme sunt autorizate, testate, documentate, controlate, că
sistemul operează potrivit cerințelor și este implementat un "traseu" adecvat al
schimbărilor. Riscurile asociate cu controale ale schimbării neadecvate sunt:
 Schimbări neautorizate accidentale sau deliberate ale sistemelor: de exemplu,
modificări neautorizate din partea programatorilor făcute în mediul de producție;
 Termene depășite pentru implementarea unor probleme: de exemplu,
schimbarea nu este efectuată la timp pentru a satisfa ce cerințele afacerii (o
aplicație privind plata unor taxe la termene stabilite prin lege);
 Raportări și prelucrări eronate: sisteme care nu efectuează prelucrările conform
cerințelor și pot genera: plăți eronate, raportări confuze, etc.;

17
 Insatisfacția utilizatorului: poate genera erori de introducere a datelor, moral
scăzut al personalului, scăderea productivității, acțiuni sindicale;
 Dificultăți de întreținere: calitatea scăzută a sistemelor care generează cheltuieli
mari de întreținere, calitatea scăz ută sau lipsa documentației tehnice, schimbările
multiple ale sistemului fără o gestiune a versiunilor instalate în mediul de
producție, lipsa unor proceduri privind managementul problemelor;
 Utilizarea de hardware și software neautorizate: poate conduce l a
incompatibilități între diferite părți ale sistemului, sau la incidența cu legislația
referitoare la drepturile de autor;
 Probleme privind schimbările de urgență: schimbările de urgență necontrolate
în mediul de producție pot conduce la alterarea sau pie rderea datelor și a
fișierelor.
 Pentru evaluarea impactului pe care îl au schimbările sistemului informatic în
viața organizației se examinează următoarele aspecte:
 Care sunt nivelul și natura activității departamentului IT și dacă sunt în
desfășurare proi ecte semnificative.
 Dacă achiziția și/sau dezvoltarea de programe s -au realizat pe baza cerințelor
afacerii.
 Care este reputația furnizorilor externi IT și a sistemelor folosite în cazul
achiziției de software, precum și metodologia de dezvoltare internă a aplicațiilor.
 Dacă noua platformă hardware/software are în vedere tehnologii de ultimă
generație.
 În ce măsură se vor impune în viitorul apropiat modificări în sistemele IT
generate de modificări structurale ale proceselor afacerii.
1.7 Securitatea informației

Poziția entității referitoare la securitatea informației trebuie exprimată în Politica
de securitate IT, care stabilește cu claritate politicile, principiile și standardele specifice
privind securitatea, precum și cerințele de conformitate cu acestea, controalele detaliate
privind securitatea, responsabilitățile și sarcinile personalului în ceea ce privește
securitatea IT, modalitățile de raportare în caz de incidente.

18
Politica de securitate se exprimă într -o formă concisă, narativă, este apro bată de
managementul de vârf, trebuie să fie disponibilă pentru toți funcționarii responsabili cu
securitatea informației și trebuie să fie cunoscută de toți cei care au acces la sistemele de
calcul.
Politica de securitate trebuie să conțină următoarele elemente:
 definiție a securității informației, obiectivele sale generale și scopul;
 declarație de intenție a managementului prin care acesta susține scopul și
principiile securității informației;
 detaliere a politicilor, principiilor și standardelor specif ice privind securitatea,
precum și a cerințelor de conformitate cu acestea:

 definire a responsabilităților generale și specifice pentru toate aspectele legate de
securitate;
 descriere a procesului de raportare în cazul apariției incidentelor privind
securitatea.

Entitatea trebuie să implementeze metode de monitorizare a conformității cu
politica de securitate și să furnizeze asigurarea că politica este de actualitate.
Responsabilitatea pentru securitatea IT este asignată unei funcții de administrare a
securității.

Factori de risc :
(a) Motivația pentru fraudă / infracțiuni (internă și externă). Se analizează care
sunt tipurile de informații gestionate de către sistemele IT, din punctul de vedere al
confidențialității și în ce măsură ar fi afectată reputația entității în caz de fraudă.

19
(b) Senzitivitatea datelor . Având în vedere că tentativele de fraudă asupra datelor
din sistemul informatic sunt stimulate de interesul manifestat pentru informațiile
confidențiale, se apreciază cât de confidențiale su nt datele gestionate de către sistemele IT,
pentru a evalua probabilitatea de atac asupra acestora și pentru a stabili dacă controalele
implicate de politica de securitate sunt suficient de riguroase.
(c) Legislație și regulamente . Se evaluează modul de a liniere a entității la
contextul legislativ și de reglementare, prin prisma caracterului informațiilor gestionate de
sistemele IT (de exemplu, privind protecția datelor cu caracter personal).
Riscurile asociate cu controale ale accesului logic neadecvate.
Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic
sunt:
 Dezvăluiri neautorizate prin acces la informații confidențiale;
 Modificări neautorizate;
 Afectarea integrității sistemului.
Dacă sistemul este conectat într -o rețea d e arie largă, cum ar fi rețeaua Internet,
riscurile sunt cu mult mai mari, iar controalele accesului logic cu mult mai importante
pentru a asigura integritatea, disponibilitatea și confidențialitatea sistemului.
Pierderi financiare: pot fi directe, decurgâ nd dintr -o fraudă sau indirecte,
decurgând din costurile modificărilor și corectării datelor și programelor.
Obligații legale: entitatea poate avea obligații legale privind stocarea și dezvăluirea
datelor. De exemplu, informațiile dezvăluite pot intra sub incidența legii protecției datelor
cu caracter personal, sau, pierderea integrității într -un mediu bancar poate produce
încălcarea regulilor bancare și acțiuni disciplinare pentru aceasta.
Pierderea credibilității: sunt foarte grave în special în sectorul serviciilor financiare
(bănci, fonduri de investiții) unde pot conduce la pierderea afacerii.
Distrugerea activităților afacerii: de exemplu, dacă un hacker pătrunde în sistemul
de fabricație asistată de calculator al unei organizații și schimbă toate dime nsiunile
produselor.
Riscuri asociate rețelelor și conexiunilor la Internet.
Prin conectarea sistemelor entității în rețea apare potențialul unor riscuri majore
generate de accesul unor utilizatori anonimi externi sau al unor funcționari neautorizați
care conduce la:
 Pierderea datelor prin ștergere intenționată sau în timpul transmisiei;

20
 Alterarea datelor de către utilizatori sau datorate erorilor de transmisie;
 Fraudă generată de surse interne sau externe;
 Indisponibilitatea sistemului: legăturile în rețea pot fi deteriorate cu ușurință.
Liniile de comunicație se extind în general în afara granițelor de control ale
entității (de exemplu, clientul se poate lega pe o rețea telefonică locală prin linii ISDN
(Integrated Services Digital Network);
 Dezvăluirea neautorizată a informațiilor confidențiale, accidentală sau deliberată;
 Infectarea cu viruși și viermi. Infecțiile cu viermi sunt proiectate special pentru a
fi răspândite în rețele. Infecțiile cu viruși sunt cu mult mai posibile întrucât
măsurile tradiționale de protecție (scanarea) sunt mai puțin eficace.
 Contravenții la legislația privind drepturile de proprietate intelectuală și de
protecție a datelor private.
 Implicațiile privind securitatea și contr olul, care decurg din conectarea la Internet a
unei organizații au la origine o serie de caracteristici ale comunicației în rețeaua
Internet care pot genera riscuri majore pentru securitatea sistemului entității. Cele
mai importante sunt:
 caracterul anoni m al unor utilizatori care vor să contravină principiilor accesului în
Internet;
 vulnerabilitatea confidențialității prin interceptarea parolei cu ajutorul unor
programe specializate în cursul înregistrării pe anumite site -uri;
 acțiunile hackerilor, pirate ria și pornografia;
 acțiunea unui software rău intenționat (viruși, programe de tip "cal troian").
Protecția securității are aspecte specifice acestui tip de comunicație: educarea
utilizatorilor proprii privind consecințele unui comportament neadecvat sau ale neglijării
unor precauții legate de utilizarea rețelei Internet, utilizarea serviciilor unui provider în
locul conexiunii fizice la Internet, în scopul evitării expunerii directe a sistemului de calcul
propriu la atacuri din rețeaua Internet.
1.8 Operarea sistemelor IT

Rolul și îndatoririle privind operarea sistemelor IT se reflectă în următoarele
activități:

21
 Planificarea capacității: asigurarea că sistemele de calcul vor continua să asigure
servicii cu nivel de performanță satisfăcător pe o perio adă mare de timp. Aceasta
implică: personal de operare IT, capacitate de calcul și de memorare, capacitate de
încărcare a rețelei.
 Monitorizarea performanței: monitorizarea zilnică a performanței sistemului în
termenii măsurării timpului de răspuns.
 Încărc area inițială a programelor: inițializarea sistemelor sau instalarea de
software nou.
 Managementul suporților tehnici: include controlul discurilor, al benzilor, al
discurilor compacte (CD ROM), al dischetelor, etc.
 Programarea proceselor de calcul: include programarea proceselor care se
desfășoară în paralel cu programele curente și efectuează în principal actualizări
de fișiere. Acestea se execută în general periodic (zilnic, săptămânal, lunar,
trimestrial sau anual).
 Salvări și recuperări în caz de de zastru: salvarea datelor și a programelor se
efectuează regulat de către personalul de operare.
 Asigurarea suportului (Helpdesk) și managementul problemelor: helpdesk
reprezintă modalitatea de a face legătura între utilizatori și personalul din
departament ul IT, ori de câte ori apar probleme în operarea calculatorului.
Problemele pot să apară în programe individuale (aplicații și sisteme), hardware,
sau telecomunicații.
 Întreținerea: se referă atât la hardware, cât și la software.
 Monitorizarea rețelei și a dministrare: majoritatea calculatoarelor utilizate în
afaceri sau în administrație funcționează în rețea. Funcția de operare IT presupune
responsabilitatea asigurării că legăturile de comunicație sunt întreținute și
furnizează utilizatorilor accesul în reț ea la nivelul aprobat. Rețelele sunt în mod
special importante când clientul utilizează schimburi electronice de date.
Riscuri asociate
(a) A plicațiile nu se execută corect : decurge din operarea greșită a aplicațiilor sau
utilizarea unei versiuni incorecte, a unor parametri de configurare incorecți introduși de

22
personalul de operare (de exemplu, ceasul sistemului și data setate incorect pot genera
erori în calculul dobânzilor , al penalităților, al salariilor,etc.).
(b) Pierderea sau alterarea aplicațiilor financiare sau a fișierelor de date: poate
rezulta dintr -o utilizare greșită sau neautorizată a unor programe utilitare.
(c) Personalul IT nu știe să gestioneze rezolvarea p roblemelor sau raportarea
erorilor: încercarea de a le rezolva singuri poate provoca pierderi și mai mari;
(d) Întârzieri și întreruperi în prelucrare: sunt alocate priorități greșite în
programarea unor sarcini date;
(e) Lipsa salvărilor și a planificării incidentelor probabile : crește riscul
incapacității de a continua prelucrarea în urma unui dezastru.
(f) Lipsa capacității (resurselor) sistemului: sistemul poate fi incapabil de a
prelucra tranzacțiile deoarece este supraîncărcat.
(g) Timpul mare al căd erilor de sistem până la remedierea erorii : când sistemele
sunt indisponibile se poate construi un jurnal provizoriu care să conțină tranzacțiile
netransmise.
(h) Probleme ale utilizatorilor nerezolvate datorită funcționării defectuoase a
facilității Helpd esk.

23
CAPITOLUL II
RISCURILE INFORMATICE LA S.C.D.L. BUZĂU

2.1 Descrierea funcțională
Stațiunea de Cercetare – Dezvoltare pentru Legumicultura Buzau este unitate
cu personalitate juridică, înființată ca instituție publică finanțată din venituri proprii și de
la bugetul de stat, aflându -se în subordinea Academiei de Științe Agricole și Silvice
„Gheorghe Ionescu Șișești”, – instituție specializată afl ată în coordonarea Ministerului
Agriculturii, Pădurilor și Dezvoltării Rurale.
Unitatea a fost înființată în scopul desășurării activității de cercetare științifică și
dezvoltare tehnologică în domeniul producției de legume de consum, semințe legume si
flori, participarii la elaborarea strategiei de dezvoltare a legumiculturii și floriculturii în
câmp și spațiu protejat și pentru realizarea unor obiective științifice prevăzute în programul
național.
Obiectivul de activitate al Stațiunii este:
A. Activități de cercetare – dezvoltare (desfășoară activitate de cercetare cu
caracter fundamental și aplicativ ce îi revine din planul tematic național de cercetare
științifică)
B. Activități conexe activității de cercetare -dezvoltare (asistență tehnică și
consultanță în producerea materialului de plantat și a legumelor de consum, organizarea,
amenajarea și ameliorarea terenurilor, înființarea și exploatarea culturilor de legume;
furnizarea de servicii știinifice și tehnologice agenților economici sau oricăr or beneficiari
interesați, expertize de specialitate, prestații privind înființarea și exploatarea culturilor de
legume și a semincerilor legumicoli; elaborarea la cerere și contra cost a unor studii de
fezabilitate și de marketing în domeniul de activita te).
C. Formarea si specializarea de cercetători și de cadre de specialitate în domeniul
propriu de activitate: cursuri de tehnică experimentală doctorat, specializări și stagii de
documentare și perfecționare în țară și străinătate.
D. Relații de coopera re științifică cu instituții de cercetare și învățământ privind
tematica din domeniu.
E. Activitate de valorificare a rezultatelor cercetării (multiplicarea și difuzarea în

24
producție a creațiilor biologice (materialului legumicol, a semințelor de legume cu valoare
biologică ridicată, a legumelor de consum și a altor produse legumicole); desfacerea
produselor din activitatea de cercetare -dezvoltare și prestații).
F. Activitate de comerț interior și exterior direct și prin comision legat de
domeniul sau de activitate.
G. Participarea și organizarea de concursuri și expoziții interne și internaționale în
domeniul de activitate.
Conducerea stațiunii este asigurată de:
 Consiliul de Administrație;
 Director.
Stațiunea are în cadrul structurii sale organizat orice pe lângă activitatea de
cercetare descrisă mai sus, domenii strans legate între ele astfel:
 activitatea de producție;
 activitatea de marketing;
 actvitatea de personal;
 activitatea financiar -contabilă;
 activitatea de IT ;
 alte structuri organizatorice necesare realizării obiectului său de activitate.
În cadrul mecanismului economico -financiar un rol de seamă îi revine sistemului
informațio nal, promovării metodelor moderne. Sistemul informaționa l fiind un ansamblu
bine structurat și corel at de proceduri și echipamente electronice de calcul, ce permit
culegerea, transmiterea și prelucrarea datelor precum și obținerea de informații ce conferă
conducerii operativitate și flexibilitat e.
Prin aplicarea procedeelor și tehnicilor recente se asigură nu numai reducerea
activității decizionale, dar și concretizarea obiectivului primar, si anume extinderea
eficienței întregii activități.
Pornind de la funcția sa, sistemul informaț ional are o funcție specială de
interdependență între cele două subsis teme: sistemul decizional și sistemul operațional.
Particularităț ile celorlalte sisteme, mecanismele de funcționare influențează structura,
obiectivele și funcționalita tea sistemului informaț ional.

25

2.2 Integrarea sistemului informațional în activitatea financiar -contabilă

Operațiile contabile care se realizează prin intermediul sistemului informatic
de contabilita te ajută la rezolvarea unor probleme specifice ca evidența contabilă a
operațiilor pe conturi și calcularea balantelo r contabile. Aceasta se face prin preluarea
datelor din documentele de intrare și stocarea lor și prelucrarea datelor și obținerea
rezultatelor . Preluarea datelor se face automat cu ajutorul perifericelor de intrare conectate
la sistemul informatic. Stocarea datelor se obține cu ajutorul unui sistem de gestiune a
fișierelor și cu a unui sistem de gestiune a bazelor de date.

2.3 Caracterizarea sistemului

Pentru organizarea contabilității societatea a achiziționat un program specializat de
la firma Saga, fiind o soluție care permite informatizarea activității pentru instituții
bugetare. Programul este gratuit plătindu -se actualizările și asistența conform licenței de
utilizare.

Programul conține:
 ALOP (propuneri / angajamente bugetare, ordonanțări de plată, situație
angajamen te / ordonanțări, registru CFP, cont de execuție bugetară, detalierea
cheltuielilor).
 Contabilitate financiară (fișe de cont, balanțe, registrul jurnal, registrul inventar,
bilanț cu generarea fișierelor pentru raportare, calcul impozit pe profit, declaraț ii).
 Imobilizări.
 Clienți / Furnizori (situații facturi, scadențar, situație avize de expediție, jurnale,
declarațiile 300, 301, 390, 394).
 Casa (lei, valută) / Banca (lei, valută) / Deconturi.
 Salarii (cu generarea automată a declarațiilor în format elect ronic și a registrului de
evidență, plata pe card).
 Operații interne cu stocuri (bonuri de consum, bonuri de predare/primire,
transferuri, inventariere etc.).

26
 Suport pentru operațiuni în valută (intrări, ieșiri, calcul diferențe de curs).

Avantajele programului:
 Actualizare rapidă la modificările legislative;
 Multi -firmă, Multi -user;
 Accesare simultană a acelorași opțiuni de program, prin rețea;
 Ușurință în asimilare și utilizare;
 Extrem de manevrabil;
 Rapid și robust;
 Ajutor interactiv.
Sistemul informatic de contabilitate este format din următoarele componente:
a) hardware;
b) software;
c) comunicație;
d) baza științ ifică și metodo logică (metode le, procedeele și mijloacele de prelucrare
a datelor) ;
e) baza informat ională, fluxurile informaționale și suporturile de informatii;
f) utilizatorii;
g) cadrul organizatoric.
Componenta hardware se constituie din totalitate a mijloacelor tehnice de culegere,
stocare, transmitere și prelucrare automată a datelor. Acestea includ calculatoare , scannere,
case de marcat, dispozitivele de comunicare, dispozitivele de interconectare.
Componenta software se constituie din totalitatea programelor și aplicațiilor care
realizează funcționarea sistemului informatic. Din această categorie fac parte sistemel e de
operare utilizate, aplicațiile software de comunicație în retea, programelede prelucrare în
scopul obținerii unor informații contabile, programele de editare detexte și de creare
a rapoartelor, etc.
Componenta de comunicație se constituie din toate echipamentele și tehnolog iile
utilizate pentru comunicația datelor între părțile componente ale sistemului informatic.

27
Baza științifică și metodologică se compune din modelele matematice ale
proceselor de contabilitate, din meto dologiile, metodele și tehnicile de realizare asistemelor
informatice.
Baza informațională se constituie din totalitatea fluxurilor informa ționale și
ale datelor de prelucrat.
Utilizatorii sunt componenta formată din totalitate a persoanelor angajate în
funcționarea sistemului informatic.
Cadrul organizatoric este asigurat de regulamentul de organizare și funcționare,
regulamentul de ordine interioară și de actele legislative care reglementează sistemul
bugetar .
2.4 Evaluarea riscurilor sistemului informatic

Pentru stabilirea valorii resurselor și a operațiunilor, s-au luat în considerare, numai
resursele informatice și operațiunile care presupun interacțiunea cu aceste resurse. S-a
definit valoarea resurselor/operațiunilor utilizand următoarea scară de valori în funcție de
impactul asupra organizației: puțin importantă; necesară și vitală.
În ceea ce privește stabilirea valorilor se analizează importanța, gradul de
dependență față de resursă/operațiune și pericolul pe care îl reprezintă pentru procesele
unității, asupra unității in general și asupra clienților acesteia, atunci cand informația sau
resursa își pierde integritatea, confidențialitatea și disponibilitatea.
Pentru identificarea factorilor de risc se întocmește o listă a tuturor amenință rilor
aplicabile, iar pentru fiecare amenințare se identifică vulnerabilitătile existente.
 Probabilitatea riscului (probalilitate a exploatării vulnerabilității)
Probabilitatea de a se manifesta în conditiile date este evaluată astfel:

28
 Nivelul de vulnerabilitate (poate să aparea un incident pentru ca vulnerabilitatea să
fie mai ușor sau mai greu exploatată).
Criteriile pentru evaluarea vulnerabilitatii sunt:

Conducătorii structurilor organizatorice și întreg personalul ce le compun au
obligația de a identifica, evalua și de a raporta riscurile generate de sistemele informatice.
Cadrul pentru administrarea riscurilor generate de sistemele informatice într-o instituție
presupune parcurgerea anumitor etape:

29
Mai jos se vor prezenta riscurile operaționale generate de sistemul informatic
pentru instituția a cărei structură organizatorică și infrastructură IT a fost descrisă la
începutul materialului.

Evaluarea riscurilor informatice la compartimenntul financiar -contabil

30

31

32
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea
riscurilor)

ANEXA 1 la registrul riscurilor

33

34
Concluzii

1. Prin aplicarea procedeelor și tehnicilor recente se asigură nu numai reducerea
activității decizionale, dar și concretizarea obiectivului primar, si anume extinderea
eficienței întregii activități.
2. Operațiile contabile care se realizează prin intermediul sistemului informatic
de contabilita te ajută la rezolvarea unor probleme specifice ca evidența contabilă a
operațiilor pe conturi și calcularea balantelo r contabile.
3. Baza științifică și metodologică se compune din modelele matematice ale
proceselor de contabilitate, din metodo logiile, metodele și tehnicile de realizare
asistemelor informatice.
4. Cadrul organizatoric este asigurat de regulamentul de organizare și funcționare,
regulamentul de ordine interioară și de actele legisl ative care reglementează
sistemul bugetar.
5. Pentru identificarea factorilor de risc se întocmește o listă a tuturor amenințărilor
aplicabile, iar pentru fiecare amenințare se identifică vulnerabilitătile existente.
6. Conducătorii structurilor organizatorice și întreg personalul ce le compun au
obligația de a identifica, evalua și de a raporta riscurile generate de sistemele
informatice.

35
BIBLIOGRAFIE

1. Cezar Braicu – Management general, Ed. Fundatiei Romanie i de
Maine, Bucuresti, 2006 2. 2. Nicolesu O.,Verboncu I. – Management, Ed Economica ,
Bucuresti, 1996 3.
3.Gherasim, Z. – 3 Programare si baze de date, Ed Funda tiei Romania de Maine,
Bucuresti,20054.
4.Mihai Istrate – Bazele informaticii , Ed. Renaissance, Bucuresti, 2010 5.
5.Gabriela Mesnita, Dumitru Oprea – Sistem informationale pentru manageri, Ed.
Polirom,Iasi, 20026.
6.Claudia Carstea – Asistarea deciziei in managementul proiectelor infor matice, Ed.
Eco-nomica, Bucuresti, 2006
https://www.scribd.com/doc/316443972/Exemplul -Metodologie -Evaluarea –
Riscurilor -Operationale -Norma -6-2015 -1-1