Politica DE Securitate A Informatiilor PE Baza Standardului Iso 27001 LA S.c. Primaserv S.r.l
POLITICA DE SECURITATE A INFORMAȚIILOR PE BAZA STANDARDULUI ISO 27001 LA S.C. PRIMASERV S.R.L.
CUPRINS
TERMENI DE REFERINȚĂ,PRESCURTĂRI ȘI DOCUMENTE
PREZENTARE S.C. PRIMASERV S.R.L
Scurt istoric
Obiectul de activitate
Principalii furnizori
Principalii clienți
Principalii concurenți
Personalul S.C. PRIMASERV S.R.L
Obiective
POLITICA DE SECURITATE A INFORMAȚIILOR LA S.C. PRIMASERV S.R.L
POLITICILE PE DOMENII DE SECURITATE LA S.C. PRIMASERV S.R.L
Politica de management al securității informațiilor
Politica de evaluare a riscurilor
Politica de management al schimbărilor
Politica de audit
Politica de management al resurselor
Inventarul și managementul resurselor
Politica de clasificare a informațiilor
Politica de licențiere
Politica de utilizare acceptabilă a resurselor informatice
Politica de utilizare a echipamentelor mobile
Politica de utilizare a serviciului de email
Politica de utilizare a Internetului
Politica de securitate a personalului
Politica de securitate a accesului
Controlul accesului logic
Accesul terților
Politica de management al operațiilor și comunicațiilor
Managementul conturilor utilizator
Politica de management al drepturilor privilegiate
Politica de parole
Politica privind protecția împotriva virusurilor
Politica de back-up
Politica de detectare a intrușilor
Politica de dezvoltare și administrare a sistemelor
Politica de management al incidentelor
Monitorizarea securității
Politica de management al incidentelor
Politica de relații publice
TERMENI DE REFERINȚĂ, PRESCURTĂRI ȘI DOCUMENTE
Politica de securitate este un set de reguli, cerințe și instrucțiuni aplicabile la nivelul SC PRIMASERV SRL , care stă la baza infrastructurii de securitate și stabilește limitele unui comportament acceptabil în utilizarea resurselor informaționale și de comunicații ale firmei.
Sistemul de Management al Securității Informației (SMSI) este un element al sistemului general de management bazat pe abordarea riscului activității. Este utilizat pentru stabilirea, implementarea, operarea, monitorizarea, menținerea și îmbunătățirea securității informațiilor. Acest sistem de management cuprinde politici și structuri corporative, precum și planificarea activităților, alocarea responsabilităților, practici, proceduri, procese și resurse. Domeniul SMSI poate include întreaga organizație sau numai o parte a sa. Cuprinde activele relevante, sistemele, aplicațiile, serviciile și rețelele, precum și tehnologiile utilizate pentru procesarea, stocarea și comunicarea informațiilor.
Resursele informatice și de comunicații sunt toate activele firmei (informații, documente, echipamente de calcul, de procesare sau de gestiune a informației, resursele de comunicații, resursele umane etc).
Administratorul resurselor informatice și de comunicații este persoana investită cu responsabilitatea privind crearea, modificarea, dezvoltarea și administrarea infrastructurii informatice.
Responsabilul cu securitatea infromațiilor este persoana numită să răspundă de aplicarea politicii de securitate la nivelul S.C. PRIMASERV S.R.L. .
Confidențialitatea – principiul securității informației, care asigură că informația este accesibilă doar acelora autorizați să aibă acces.
Integritatea – principiul securității informației, care asigură acuratețea și integritatea informațiilor și ale metodelor de procesare și stocare.
Disponibilitatea – principiul securității care asigură că utilizatorii au acces la informație atunci când au nevoie.
Utilizatorul este persoana cărei i s-au conferit drepturi de acces la resursele informatice ale firmei.
Abuzul de privilegii reprezintă orice acțiune întreprinsă în mod voit de un utilizator, contrar prevederilor regulamentelor, politicilor, procedurilor și legilor în vigoare.
Conectică – cabluri UTP, BNC, mufe, prize etc.
Echipament – computer, hub, switch, antene, modem, dispozitiv de transfer voce, router, server etc.
Rețeaua reprezintă o structură interconectată de calculatoare având ca scop utilizarea în comun a unor resurse software, dispozitive de intrare-ieșire, date și voce.
Serviciu – o componentă care deservește un grup de utilizatori și/sau echipamente de date și voce.
Grupul însărcinat cu securitatea informației (GSI) este format din Responsabilul SMI, Responsabilul Resurse Umane, Șeful Serviciului Juridic, Responsabilul cu securitatea informațiilor/manager IT, Inspector cu situațiile de urgență.
Responsabilul pe linie de resurse umane se va îngriji de selectarea și angajarea de personal bine pregătit și cu trăsături comportamentale adecvate, calități absolut necesare punerii în aplicare a politicii de securitate. La același nivel vor fi investigate și eventualele abateri de la prevederile cadrului normativ aprobat, precum și punerea în mișcare a proceselor disciplinare.
ISP – Internet Service Provider
PDA – Personal Digital Assistant
IDS – Intrusion Detection System
IRT – Incident Response Team
IM – Incident Management
I.PREZENTARE S.C.PRIMASERV S.R.L.
1.1. Scurt istoric
S.C. PRIMASERV S.R.L. este o companie înființată în anul 2005 în Craiova având ca activitate inițială distribuția de produse de curățenie pentru hoteluri, showroom-uri, benzinării, restaurante etc. Într-un timp relativ scurt, datorită calității și promptitudinii serviciilor oferite, PRIMASERV și-a extins activitatea spre noi domenii, oferind servicii în construcții și mentenanță clădiri și producție semnalistică. PRIMASERV se situează printre puținele firme care pot oferi servicii complete în domeniul construcțiilor, de la pasul inițial – studii de fezabilitate, obținerea documentației necesare construcției, proiectarea, la construcția propriu-zisă și ulterior servicii de mentenanță – amenajări interioare, intradosuri, hidroizolații, instalații electrice, sanitare, termice, tâmplărie de aluminiu și PVC etc.
1.2. Obiectul de activitate
În prezent, societatea realizează lucrări de construcții civile și industriale, lucrări de mentenanță în benzinării (service pe partea de instalații de climatizare, sanitare, electrice) producție tâmplărie aluminiu, lucrări de branșamente gaze naturale precum și comerț cu materiale de construcții. De asemenea, societatea efectuează comerț cu amănuntul pentru carne de pui și de porc, având autorizat codul CAEN aferent comerțului cu carne. Printre cele mai importante lucrări pe care PRIMASERV le-a realizat pe parcursul activității sale, putem enumera: construcții de stații de carburant, construcții de hale industriale, reabilitare instalații de gaze naturale, proiectarea, realizarea și montarea instalațiilor și a tablourilor electrice, consultanță și engineering în domeniul automatizărilor, execuția montarea și întreținerea instalațiilor de climatizare etc. De asemenea, societatea este producătoare de geam termopan , proiectează, montează și execută orice lucrare de tâmplărie PVC și aluminiu. Piața pe care activează societatea este piața producătorilor de părți componente ale structurilor metalice, codul CAEN aferent acestei activități fiind 2511. În această grupă intră și executarea lucrărilor de construcții metalice. Construcțiile metalice prezintă avantajul de a fi adaptabile unei game variate de aplicații și soluții tehnice. Prin urmare, în perioada 2009 – 2011, în pofida scăderii volumului investițiilor și absorției reduse a fondurilor europene, concomitent cu amplificarea efectelor recesiunii, furnizorii și antreprenorii de sisteme de hale nu au consemnat reduceri drastice ale activității precum alți producători de materiale de construcții. Structurile metalice sunt foarte potrivite pentru aplicații industriale, având în vedere posibilitățile practic nelimitate de adaptare la cerințele tehnologice specifice instalațiilor sau utilajelor cu care se vor integra. Piața românească a construcțiilor metalice este dominată, în acest moment de construcțiile industriale, însă capătă tot mai mult teren și fațadele metalice, recomandate de către arhitecți atât în construcțiile industriale, cât și în cele de birouri sau în proiecte rezidențiale.Indiferent că vorbim de hale industriale, service-uri auto, showroom-uri, depozite frigorifice alimentare, centre de distribuție și spații logistice, centre comerciale și supermarket-uri, fabrici de procesare, ferme pentru animale sau clădiri de birouri, avantajele construcțiilor metalice rămân constante: procesul de executare și montaj sunt foarte rapide, asamblarea se face ușor, calitatea și rezistența materialelor sunt net superioare, iar costurile dintre cele mai convenabile pentru client. Conform datelor statistice, publicate de INSSE, reiese faptul că sectorul industrial își continuă evoluția moderat- pozitivă pe o direcție clar definită: execuția de hale industriale, mai precis piața construcțiilor metalice înregistrând astfel un trend ascendent.Ponderea cea mai mare în cifra de afaceri o au lucrările de construcții, reprezentând 40% din cifra de afaceri. Serviciile de mentenanță reprezintă 30% din cifra de afaceri, cele de branșamente gaze naturale 20%, iar comerțul cu materiale de construcții 10%.Societatea PRIMASERV deține în prezent 20 % din cota de piață, la nivelul județului Dolj.
Societatea se încadrează în categoria întreprinderilor mijlocii, care se distinge de concurență prin oferirea de servicii de mentenanță în benzinării la nivel național,precum și prin gama complexă de servicii de construcții oferite. Aceasta a reușit, de-a lungul timpului, să își creeze o imagine foarte bună pe piața construcțiilor, prin serviciile de calitate superioară oferite, promptitudinea și profesionalismul personalului angajat.Având în vedere dezvoltarea cunoscută în ultimii ani, societatea s-a specializat și certificat conform SR EN ISO 9001:2001, SR EN ISO 14001:2005, OHSAS 18001:2004.PRIMASERV este dotată cu echipamente și tehnologii moderne, care eficientizează și minimizează durata de execuție a lucrărilor. Încă de la înființare, societatea a făcut investiții importante în utilaje. Astfel, se poate lăuda cu o gamă largă de utilaje și tehnologii, precum: buldoexcavatoare, autoutilitare, camioane, schele profesionale, mașina de îndoit tabla, aparate de sudură, separator de hidrocarburi, detector gaze, ghilotina, ciocan rotopercutor, mașina de vopsit, mașina de sablare, ciocan demolator, etc. De curând, societatea a achiziționat o linie tehnologică de producere profile metalice pentru construcții metalice, pe care intenționează să o dezvolte tot mai mult. Aceasta este amplasată în cadrul halei industriale din comuna Cârcea, str. Păcii, nr.2, o zonă industrială în plină ascensiune. Realizarea lucrărilor de construcții de către PRIMASERV presupune pe lângă aplicarea unor procese de lucru și tehnologii moderne și mecanizarea lucrărilor din acest domeniu ca una din condițiile principale pentru creșterea productivității muncii, scurtarea muncii, scurtarea duratei de execuție, reducerea costurilor și îmbunătățirea calitativă continuă a lucrărilor executate.
1.3. Principalii furnizori
*** Manualul Calității S.C. PRIMASERV S.R.L.
1.4. Principalii clienți
*** Manualul Calității S.C. PRIMASERV S.R.L.
Având în portofoliu peste 200 de clienți care au apelat la serviciile firmei, satisfacerea exigențelor lor a constituit o prioritate. De asemenea, executarea cu profesionalism a unor lucrări de calitate le-a adus parteneri serioși, cum ar fi: S.C. DOMARCONS S.R.L., Camera de Comerț și Industrie Craiova, Spitalul de Neuropsihiatrie Craiova, Unitatea Militară 02517 Craiova, Complexul Energetic Craiova, GDF SUEZ România, Consiliul Local Ghercești, Hidroelectrica S.A., Rompetrol Downstream, Western Union Services Ireland, Spitalul Clinic de Urgență Craiova și Primăria Brădești cu care au colaborat în foarte multe proiecte de construcții oferind pe lângă produsele de tâmplărie și consultanță de specialitate și asistență tehnică în derularea lucrărilor.
1.5. Principalii concurenți
1. ADESERV este o societate ce oferă pe piață materiale de construcții și deține o pond o zonă industrială în plină ascensiune. Realizarea lucrărilor de construcții de către PRIMASERV presupune pe lângă aplicarea unor procese de lucru și tehnologii moderne și mecanizarea lucrărilor din acest domeniu ca una din condițiile principale pentru creșterea productivității muncii, scurtarea muncii, scurtarea duratei de execuție, reducerea costurilor și îmbunătățirea calitativă continuă a lucrărilor executate.
1.3. Principalii furnizori
*** Manualul Calității S.C. PRIMASERV S.R.L.
1.4. Principalii clienți
*** Manualul Calității S.C. PRIMASERV S.R.L.
Având în portofoliu peste 200 de clienți care au apelat la serviciile firmei, satisfacerea exigențelor lor a constituit o prioritate. De asemenea, executarea cu profesionalism a unor lucrări de calitate le-a adus parteneri serioși, cum ar fi: S.C. DOMARCONS S.R.L., Camera de Comerț și Industrie Craiova, Spitalul de Neuropsihiatrie Craiova, Unitatea Militară 02517 Craiova, Complexul Energetic Craiova, GDF SUEZ România, Consiliul Local Ghercești, Hidroelectrica S.A., Rompetrol Downstream, Western Union Services Ireland, Spitalul Clinic de Urgență Craiova și Primăria Brădești cu care au colaborat în foarte multe proiecte de construcții oferind pe lângă produsele de tâmplărie și consultanță de specialitate și asistență tehnică în derularea lucrărilor.
1.5. Principalii concurenți
1. ADESERV este o societate ce oferă pe piață materiale de construcții și deține o pondere de 5% pe piață. A fost înființată în 2004 și are sediul în Ișalnița,județul Dolj. Avea o cifră de afaceri în 2010 de 460.840 lei,nr.mediu de salariați egal cu 2 și un profit de 11.621 lei. Prezintă avantajul praticării unor prețuri de vânzare mici.
2. A%A DISTRIBUȚIE GAZ oferă pe piață materiale de construcții și deține o pondere tot de 5% . A fost înființată în anul 2010 și are sediul în Cârcea, str.Fântâna de piatră 3, județul Dolj. În anul 2011 avea o cifră de afaceri de 204.257 lei,nr.mediu de salariați egal cu 1, iar profitul în anul 2010 de 59.405 lei. Dezavantajul acesteia este calitatea mai puțin bună a produselor.
3. TINACELA este o întreprindere care oferă materiale de construcții și deține o pondere pe piață de 3%. A fost înființată în anul 2001 și are sediul în Craiova pe strada Brazda lui Novac, județul Dolj. În anul 2010 avea o cifră de afaceri de 292.912 lei, un profit de 44.701 lei iar numărul mediu de salariați era egal cu 1. Un dezavantaj al acestei întreprinderi este necunoașterea pieței datorită inexistenței unui departament de marketing.
4. CONICON PREST oferă pe piață construcții civile și industriale,amenajări și modernizări spații comerciale și tâmplărie din lemn masiv stratificat și are o pondere pe piață de 15%. Are sediul în Craiova,strada Nicolae Romanescu, nr.30-32, județul Dolj și a fost înființată în 1992. Cifra de afaceri în 2010 a fost de 2.075.351 lei, profitul de 76.725 lei, activele totale 2.276.267 lei, iar numărul mediu de salariați 37. Câteva dintre avantajele acesteia sunt experiența în domeniu, fiind înființată din 1992 și situarea ei într-o zonă industrială dezvoltată. Ca dezavantaj, aceștia oferă o gamă de servicii mai restrânsă decât PRIMASERV.
5. MITLIV EXIM este un alt concurent, acesta practicând comerțul cu materiale de construcții, producția de betoane și oțel beton și construcțiile civile și industriale.Dețin o pondere pe piață de 17%. A fost înființată în anul 1994 și are sediul în Craiova, strada Dacia, nr. 69, județul Dolj. În 2010 a înregistrat următoarele date financiare: cifră de afaceri 213.536.430 lei, profit net de 4.022.815 lei, active totale de 91.526.336 lei și un nr. mediu de salariați egal cu 150. Avantaje: este o societate cu un număr mare de personal, cu o experiență vastă în domeniu; societatea dispune de o platformă industrială de producție betoane cu mare capacitate; se întinde pe o arie geografică destul de largă (Gorj, Olt, Vâlcea, Mehedinți, Argeș). Dezavantaje: este mai puțin familiarizată cu domeniul construcțiilor, fiind specializată mai mult pe comerț cu materiale de construcții; distribuția reprezintă 70% din cifra de afaceri totală.
6. STEEL CONSTRUCT realizează lucrări de construcții hale industriale, confecții metalice și structuri și a fost înființată în anul 1993. Are sediul în Craiova, strada Caracal, nr. 172, județul Dolj și deține o pondere pe piață de 15%. Societatea a înregistrat în anul 2010 următorii indicatori: cifra de afaceri 3.223.409 lei, profit net de 42.293 lei, active totale în valoare de 5.403.087 lei și un număr mediu de salariați egal cu 37. Avantaje : înființată în 1993, și-a căpătat un adevărat renume pe piața construcțiilor, realizând lucrări complexe la instituții publice cum ar fi : Universitatea din Craiova, Spitalul Municipal Calafat, showroom Chevrolet, Hyundai, Ford; societatea este dotată cu utilaje moderne. Dezavantaje : practicarea unor prețuri de vânzare mai mari.
7. LEFMAN este un alt concurent important al întreprinderii PRIMASERV și oferă servicii de climatizare, proiectare și execuție instalații (termice, sanitare, climatizare, electrice) și deține o pondere pe piață de 20%. A fost înființată în anul 1996 și are sediul în Craiova, strada Olteț, numărul 12, județul Dolj. Societatea a înregistrat la bilanțul din 2010 următoarele date : cifră de afaceri 1.319.740 lei, profit net 33.527 lei, active totale de 717.714 lei și un număr mediu de salariați egal cu 14. Un avantaj important al societății este faptul că este una dintre puținele firme din domeniu care are toate autorizațiile necesare (ISCIR, ISO 9001). Un dezavantaj este faptul că firma este specializată mai mult pe instalații decât pe construcția de clădiri.
8. Un alt concurent serios este societatea RECON care oferă servicii de construcții civile și industriale și deține o pondere pe piață de 20%. A fost înființată în anul 1994 și are sediul în Craiova, strada Calea București, numărul 116, județul Dolj. A înregistrat în anul 2010 următoarele performanțe financiare : cifră de afaceri 22.285.175 lei, profit net de 347.656 lei, active totale 15.293.278 lei și un număr mediu de salariați egal cu 201. Avantaje : a exxecutat lucrări complexe la firme precum: Dumatruck, Romtelecom, Regionala de căi ferate, DGFP Dolj, Muzeul Olteniei, Uti International, Romstal Impex etc. Acest lucru a dus la crearea unei imagini foarte bune pe piața Olteniei deoarece materialele folosite sunt de bună calitate. Dezavantaje : practicarea unor prețuri ridicate datorită calității materialelor folosite, execută doar lucrări de mari dimensiuni (respectiv doar către persoane juridice, nu și către persoane fizice), riscul de a depinde de un singur client.
1.6. Personalul PRIMASERV
Personalul angajat la S.C. PRIMASERV S.R.L. dispune de competențe și caracteristici specifice postului pe care este încadrat. Societatea are ca angajați: sudori autorizați, electricieni, ingineri constructori, dulgheri, lăcătuși, mecanici, devizieri, tehnicieni constructori, fierar-betoniști, instalatori instalașii sanitare, etc. La nivelul personalului TESA societatea se poate lăuda cu o echipă tânără și dinamică, în continuă ascensiune, cu pregătire de specialitate, dornică de cunoaștere și de mari realizări. Administrarea și conducerea societății este realizată de de către managerul general împreună cu directorii de departamente, iar conducerea operativă este asigurată de către managerul tehnic, orientat către direcțiile esențiale ale afacerii. Structura de tip ierarhic-piramidală îmbină avantajele structurii ierarhice cu cele ale structurii funcționale: existența atât a compartimentelor funcționale cât și a celor operaționale, managerul nu trebuie să aibă o pregătire universală, el beneficiind de asistența compartimentelor funcționale, iar executanții primesc decizii și răspund în fața unui singur șef ierarhic. Angajarea personalului se face în baza contractului de muncă cu normă întreagă sau cu timp parțial de munca. Plata drepturilor salariale se face o dată pe lună, respectiv în data de 15 ale lunii curente pentru luna trecută. Așadar, societatea comercială PRIMASERV S.R.L. dispune de o echipă managerială și de un personal direct productiv competent, cu pregătire profesională adecvată, capabil să asigure dezvoltarea eficientă a întreprinderii. În plus, pentru certificarea calității managementului practicat și pentru întărirea avantajului competitiv pe piața construcțiilor metalice și a părților componente ale structurilor metalice, societatea are implementat și certificat sistemul de management al calității în conformitate cu standardul ISO 9001.
1.7. Obiective
Obiectivul major al S.C. PRIMASERV S.R.L. este creșterea competitivității companiei, activității societății și capacității de producție, în cadrul unei strategii de parteneriat pe termen lung cu clienții săi. În acest sens, S.C. PRIMASERV S.R.L. își va urmări politica de investiții susținute în vederea realizării la scară largă a produselor ce constituie activitatea curentă a firmei. Principalele obiective ale dezvoltării S.C. PRIMASERV S.R.L. sunt: adaptarea organizării și a capacității de producție la cerințele clienților; modernizarea bazei tehnico-materiale a companiei; creșterea productivității muncii și a profitabilității companiei; atingerea unui nivel superior de rentabilitate și menținerea durabilă a acestuia; instruirea și perfecționarea resurselor umane. S.C. PRIMASERV S.R.L. urmărește o dezvoltare echilibrată, stabilind o corelare permanentă a volumului activității desfășurate cu capacitățile existente în vederea menținerii unui echilibru financiar stabil. Obiectivul central al strategiei de marketing este creșterea cotei de piață a companiei prin promovarea vânzărilor. Obiectivele tactice propuse de firmă prin intermediul strategiei de marketing vin să sprijine obiectivele strategiei de dezvoltare ale acesteia. Astfel, înainte de a-și defini strategia de marketing, managementul companiei trebuie să identifice o serie de elemente cheie de succes pentru reușita în toate acțiunile pe care le întreprinde. Acestea sunt schițate în continuare:
clientul trebuie sa fie întotdeauna pe primul plan; fiecare client trebuie tratat ca fiind cel mai important client pe care îl are firma
evaluarea constantă a pieței și a nevoilor consumatorilor; niciodată nu trebuie pornit de la premisa că sunt cunoscute toate nevoile clienților;
dezvoltarea unui mecanism interactiv de feedback este doar una dintre metodele prin care vor fi evaluate nevoile clienților și, în acest sens firma să se poziționeze cât mai aproape de acestea
definirea clară a obiectivelor principale ale companiei și a obiectivelor speficie ce derivă din acestea;
evaluarea periodică a modului de îndeplinire a obiectivelor fixate în cadrul strategiei de dezvoltare trebuie să constituie o prioritate pentru companie, la fel ca și revizuirea și redefinirea periodică a acestora pentru a răspunde evoluțiilor pieței.
În vederea îndeplinirii obiectivelor de marketing și pentru a crea premisele realizării acestora, se impune realizarea unor acțiuni ce vizează toate cele patru puncte esențiale ale unui plan de marketing coerent și eficient (cei 4 "P") și anume:
politica de preț: prețurile sunt stabilite plecând de la costurile de producție/execuție, dar în concordanță cu prețurile altor produse similare existente pe piață; la costurile de producție se adaugă o marjă de rentabilitate care poate varia , de la 8% la 25%; societatea aplică strategia prețurilor diferențiate, unde diferențierea se face în funcție de client și de condițiile contractului încheiat între firmă și beneficiar și strategia prețurilor stabile, unde prețul este stabilit în euro și poate să varieze în funcție de mărimea comenzii.
politica de produs: vizează următoarele obiective: dezvoltarea pe orizontală a produselor firmei, creșterea cantității de confecții metalice oferite de către companie, asimilarea produselor de către piață. Strategia de marketing a firmei se axează în principal pe calitatea produselor realizate, personalizarea după cerințele clientului, pe profesionalismul resurselor umane și pe colaborarea constantă cu clienții firmei
politica de distribuție: societatea utilizează cu preponderență canale directe pentru distribuția produselor firmei. Distribuția directă oferă posibilitatea contactării directe a clienților, iar acest fapt se reflectă asupra costurilor produselor/serviciilor companiei, în cazul distribuției indirecte, costul produsului este împovărat de adaosul practicat de intermediar. Contactarea directă presupune și negocierea directă, firma având posibilitatea de reacție rapidă în funcție de fiecare situație în parte, putând să reacționeze în timp real pentru a rezolva eventualele deficiențe
politica de promovare: firma își promovează produsele și serviciile prin afișare (distribuție broșuri, bannere, pliante, cataloage etc.) sau prin însemne luminoase; de asemenea se intenționează promovarea produselor prin intermediul publicațiilor de specialitate, în presă și la radio. Acestea au rolul de a informa și de a convinge clientul în luarea deciziei.
2.1. POLITICA DE SECURITATE A INFORMAȚIILOR LA S.C. PRIMASERV S.R.L.
Politica de securitate adoptată și implementată constituie ansamblul normelor ce trebuie cunoscute și respectate de către toate persoanele cărora le revin responsabilități cu privire la utilizarea, administrarea și gestiunea resurselor informaționale și de comunicații ale unității. Totodată, politica de securitate are un rol consultativ în analiza și implementarea tehnicilor, instrumentelor și mecanismelor de securitate, precum și în susținerea acțiunilor personalului tehnic și a deciziilor factorilor de conducere în domeniul securității informației din firmă.Această politică a fost aprobată prin decizia Directorului General și constituie cadrul procedural și legal de aplicare a controalelor și măsurilor ce vizează reducerea riscurilor și vulnerabilităților de securitate manifestate în cadrul unității. Securitatea informațiilor este un efort de echipă și necesită participarea și suportul tuturor angajaților care lucrează cu sisteme informaționale. Totodată, managerii structurilor funcționale din cadrul societății sunt responsabili de implementarea acestei politici de securitate, precum și de inițierea măsurilor corective și de îmbunătățire, în conformitate cu mutațiile intervenite în cadrul funcțional existent. Angajații care, în mod deliberat sau din neglijență, violează securitatea informațiilor sau produc evenimente cu un astfel de impact vor face subiectul unor acțiuni disciplinare sau chiar al concedierii.
Politica de securitate își propune următoarele obiective:
asigurarea confidențialității, integrității și disponibilității datelor și informațiilor vehiculate în cadrul întreprinderii ;
oferirea mijloacelor de ghidare și susținere a întregii activități referitoare la securitatea informației în cadrul organizației;
susținerea eforturilor managementului în direcția adoptării de soluții de securitate integrate, efort convergent desfășurării unei activități de afaceri profitabile;
definirea clară a drepturilor, obligațiilor și responsabilităților utilizatorilor interni și a partenerilor externi, în ceea ce privește datele aflate în format electronic sau pe documente;
armonizarea necesităților și obiectivelor întreprinderii , cu un cadru de securitate adecvat, absolut necesar;
impunerea unui echilibru între securitatea resurselor și productivitatea muncii cadrelor;
inițierea unor măsuri disciplinare în cazul încălcării cadrului normativ instituit și/sau a utilizării inadecvate a resurselor.
O responsabilitate foarte mare revine tuturor angajaților întreprinderii , în calitate de utilizatori, în funcție de nivelurile de securitate primite de fiecare în parte pentru acces la resurse, precum și personalului extern care desfășoară activități în folosul unității. Tuturor acestora le revine obligația de a proteja datele și informațiile cu care vin în contact, precum și resursele tehnologice alocate spre folosință, într-o manieră eficientă, etică și legală. Manipularea, violarea, răspândirea sau abuzarea neregulamentară a informațiilor și resurselor aferente constituie abateri grave care pot atrage, după caz, aplicarea unor sancțiuni administrative, disciplinare, contractuale și legale. Întreg cadrul normativ intern adoptat în domeniul securității informației este elaborat în conformitate cu standardul internațional SR ISO/CEI 27001:2006 “Tehnologia Informației. Cerințe pentru managementul securității informației”. Politica de securitate a informațiilor după ce a fost implementată va fi analizată și revizuită ori de câte ori se produc mutații importante în procesele de bază ale întreprinderii (revizii ordinare) și obligatoriu o dată pe an (revizie extraordinară), ocazie cu care vor fi avute în vedere oportunitățile de îmbunătățire a politicii, a modului de abordare a securității și a obiectivelor și măsurilor de securitate. Procesul de revizie ordinară are în vedere componentele SMSI, respectiv politicile, procedurile, normele, regulamentele, instrucțiunile și alte componente. Aceste documente vor conține pe prima pagină data ultimei și următoarei revizii ordinare. Revizuirea ordinară a politicii de securitate este realizată ori de câte ori în urma auditării proceselor întreprinderii au fost evidențiate dovezi care atestă că strategia de securitate este neadecvată, sau nu, este în conformitate cu politicile de securitate, managementul trebuie să aibă în vedere acțiuni corective. Reviziile extraordinare sunt independente de revizia ordinară și nu influențează periodicitatea reviziilor ordinare și se face în urma unor incidente de securitate, cu scopul de a preveni apariția altora în viitor, ca urmare a implementării unor controale sau măsuri specifice de prevenire și contracarare. Dacă în urma unor revizii apar modificări în documentul politicii, acestea vor fi efectuate conform „PS- 01-Controlul documentelor”. Responsabilitatea revizuirii politicii de securitate a întreprinderii revine managerilor de procese, sub coordonarea responsabilului cu securitatea informațiilor. Revizuirea politicii de securitate a informațiilor trebuie să țină cont de rezultatele analizei de management în acest domeniu, respectiv de toate deciziile și acțiunile referitoare la:
îmbunătățirea abordării de către organizație a managementului securității informațiilor și a proceselor aferente;
îmbunătățirea obiectivelor și măsurilor de securitate;
îmbunătățirea alocării de resurse și/sau responsabilități.
Propunerile de modificare a politicilor de securitate sunt avizate de Grupul de Securitate a informațiilor și aprobate de către Directorul General.
POLITICILE PE DOMENII DE SECURITATE LA S.C. PRIMASERV S.R.L.
2.2.1. Politica de management al securității informațiilor
Managementul securității informației este asumat, atât de managementul de la cel mai înalt nivel, cât și de managerii structurilor funcționale ale întreprinderii. Tuturor acestora le revine obligația de a desemna responsabilitățile cerute de manualul și procedurile securității, de a aloca și utiliza eficient resursele necesare, astfel încât să se asigure o protecție reală a datelor și informațiilor, precum și un control adecvat al serviciilor. Responsabilitatea pentru protecția și securitatea bunurilor companiei revine nemijlocit proprietarilor acestor resurse. În contractele cu terții vor fi prevăzute măsuri și responsabilități privind modul în care se realizează accesul la informație, astfel încât să fie angajată responsabilitatea acestora în legătură cu păstrarea confidențialității datelor și informațiilor cu care intră în contact.
2.2.2. Politica de evaluare a riscurilor
Procesul de management al riscului este destinat să protejeze confidențialitatea, disponibilitatea și integritatea resurselor informaționale ale întreprinderii , ca și integritatea procesării acestora. Aceste riscuri trebuie evaluate periodic, printr-un proces formal, în conformitate cu Procedura de analiză și evaluare a riscurilor. Scopul acestei politici este de a da autorizare si autoritate responsabilului cu securitatea informației de a face analize și evaluări de risc periodice, în vederea determinării zonelor vulnerabile și de a iniția acțiuni corective adecvate. Politica urmărește să protejeze întreprinderea împotriva incidentelor de securitate și expunerilor legale. Riscul este impactul negativ net al exploatării unei vulnerabilități, considerând probabilitatea și impactul producerii lui. Managementul riscului este procesul identificării și evaluării riscului, precum și acțiunile concrete de a-l reduce la un nivel acceptabil. Scopul final este de a ajuta departamentele organizației să gestioneze mai bine riscurile cu impact asupra atingerii obiectivelor lor. Politica de evaluare a riscului se aplică tuturor managerilor de departamente a căror responsabilitate este de a evalua riscurile. GSI-ul întreprinderii este responsabil pentru gestionarea riscurilor si pentru asigurarea de planuri de tratare a riscului.
Obiectivul evaluării riscului este de a ajuta întreprinderea să își atingă misiunea de business prin:
securitate sporită a sistemelor IT care lucrează cu informațiile întreprinderii ;
obținerea de informații relevante pentru ca managementul întreprinderii să ia decizii fundamentate și să justifice bugetele alocate;
asistarea managementului în autorizarea/acreditarea proceselor de business pe baza informațiilor rezultate dintr-o analiză de riscuri.
GSI trebuie să dezvolte, să implementeze și să mențină un program de evaluare și gestionare a riscurilor care să permită asigurarea că sunt luate măsurile de securizare adecvate pentru a proteja resursele întreprinderii . Evaluarea riscului este folosită pentru identificarea riscurilor de securitate, examinarea vulnerabilităților și amenințărilor asupra sistemelor, determinarea importanței riscului și identificării zonelor care necesită protecție. Evaluarea riscului este necesară și pentru evaluarea adecvării controalelor de securitate existente, planificate și pentru identificarea celor care lipsesc. Evaluarea riscurilor furnizează managementului de vârf informații pe care acesta să își fundamenteze deciziile, respectiv prevenirea unui eveniment nedorit sau reducerea efectelor acestuia. Pentru a determina probabilitatea producerii unui eveniment neplăcut, sistemele IT și procesele vor fi analizate în corelație cu vulnerabilitățile potențiale și controalele implementate. Nivelul impactului este guvernat de impactul asupra obiectivelor de business și la rândul lui stabilește o valoare relativă a sistemelor și resurselor IT.
Evaluarea riscurilor este folosită pentru a furniza sprijin pentru două funcțiuni: acceptarea riscului și selectarea controalelor de securitate adecvate. Reprezentantul managementului pentru SI va coordona echipe de auditori interni pentru menținerea unui proces de evaluare periodică a riscurilor pentru protejarea informațiilor și infrastructurii de sisteme informatice în fața unui mediu de amenințări informatice în permanentă evoluție. Tuturor responsabililor de procese li se cere să aprobe desfășurarea unei evaluări anuale a riscurilor, cu o verificare la 6 luni asupra modului în care s-a acționat asupra riscurilor identificate.
2.2.3. Politica de management al schimbărilor
Obiectivul politicii de management al schimbării este de a gestiona modificările într-o manieră rațională și predictibilă, astfel încât personalul și clienții să-și poată face planurile în acord cu acestea. Modificările necesită o serioasă pregătire, o atentă monitorizare și o continuă evaluare pentru a reduce impactul negativ asupra comunității utilizatorilor și a crește valoarea resurselor informației. Fiecare modificare întreprinsă asupra unei resurse informatice a întreprinderii (sisteme de operare, echipamente, rețele și aplicații) reprezintă obiectul politicii de management al schimbării și trebuie să urmărească procedurile de management al schimbării, astfel:
– toate modificările care afectează facilitățile de procesare (ca de exemplu, aerul condiționat, apa, căldura, țevi, electricitatea și alarme) trebuie să fie raportate sau coordonate de către persoana care conduce procesul de management al schimbării;
– un comitet de management al schimbării, numit de către GSI, se va întruni în mod regulat pentru revizuirea necesităților privind schimbările și pentru asigurarea faptului că revizuirile și comunicarea lor sunt îndeplinite în mod satisfăcător;
– o cerere formală în scris pentru modificare trebuie să fie întocmită pentru fiecare modificare, atât pentru cele programate, cât și pentru cele neprogramate;
– toate cererile pentru modificări programate trebuie să fie înaintate în conformitate cu procedurile de managementul schimbării, astfel încât comitetul de management al schimbării să aibă timp să evalueze această cerere, să determine și să revizuiască potențialele căderi ale resurselor informaționale și să ia decizia de aprobare sau amânare a cererii;
– fiecare cerere pentru modificări programate trebuie să primească aprobarea formală a comitetului de management al schimbării, înainte de a proceda la respectiva modificare;
– persoana numită de către comitetul de management al schimbării poate contesta o modificare programată sau neprogramată din motive ce includ, dar nu se limitează la planificare neadecvată, planuri de restaurare neadecvate, suprapunerea modificării peste procese importante de afaceri cum ar fi contabilitatea de sfârșit de an, sau în cazul în care resursele adecvate nu pot fi disponibile imediat. Resursele adecvate pot deveni o problemă în weekend-uri, concedii sau în timpul unor evenimente speciale;
– o notificare către clienți trebuie întocmită în cazul fiecărei modificări programate sau neprogramate care îi poate afecta, urmărind pașii conținuți în procedurile de management al schimbării.
Pentru fiecare modificare trebuie să se facă o revizuire, indiferent dacă această modificare a fost programată sau nu și indiferent dacă s-a soldat sau nu cu succes. Pentru orice modificare trebuie să se facă o înregistrare în registrul de modificări. Această intrare trebuie să conțină, fără a se limita la:
– data înregistrării și data modificării efectuate;
– informații de contact despre proprietar și custode;
– natura modificării;
– indicații privind succesul sau eșecul operațiunii;
– toate sistemele informatice ale întreprinderii trebuie să fie în conformitate cu un proces de management al schimbării resurselor informaționale.
Modificările de urgență sunt necesare periodic pentru a corecta problemele de software sau a restabili rapid operațiile de procesare. Deși modificările trebuie făcute rapid, ele trebuie să fie implementate într-o manieră controlată. Modificările de urgență includ proceduri similare acelora privind controalele schimbărilor de rutină, cereri de modificări, evaluare și aprobare pentru asigurarea faptului că vor fi făcute rapid. De asemenea, managementul se va asigura de faptul că evaluările și documentația detaliată ale modificării de urgență vor fi efectuate cât mai repede posibil, după implementare. În situațiile când este posibil, modificările de urgență trebuie să fie testate înainte de a fi implementate. Dacă managementul nu poate să testeze în amănunt schimbările urgente înainte de instalare, este necesar ca el să realizeze backup-uri după fișierele și programele respective și să stabilească dinainte proceduri de restaurare. Backup-urile specifice, procedurile de restaurare dinainte stabilite și documentația detaliată sporesc capacitatea managementului de a reface situația dinainte de modificări, în cazul în care acestea provoacă întreruperi de sistem. Documentația detaliată sporește în plus capacitatea managementului de a analiza impactul oricărei modificări, pe durata proceselor de evaluare care urmează modificării. Procedurile de modificare de urgență trebuie să conțină, ca minim necesar:
– revizuiri și autorizări înainte de modificare;
– testări înainte de modificare (în medii de testare separate);
– proceduri de backup/restaurare;
– documentație care să includă: descrieri ale modificării, motive privind implementarea sau respingerea unei modificări propuse, numele persoanei care a făcut modificarea, o copie a documentației modificate, data și ora la care s-au făcut modificarea și evaluările post-modificare.
2.2.4. Politica de audit
Are ca scop să furnizeze autoritate echipei de auditori interni/ auditorilor externi, să conducă un audit de securitate asupra oricărui sistem al întreprinderii, să maximizeze eficacitatea auditurilor sistemelor și să reducă la minimum amestecul în procesele de afaceri. Obiectivele politicii de audit sunt: asigurarea integrității, confidențialității și disponibilității informației și resurselor; investigarea posibilelor incidente de securitate și asigurarea conformității cu politicile de securitate ale întreprinderii; monitorizarea activității utilizatorului sau a sistemului atunci când este cazul. Această politică acoperă toate dispozitivele/sistemele de calcul și comunicații deținute sau operate de către întreprindere. Politica mai acoperă orice dispozitiv/sistem de calcul și comunicații care este prezent în locațiile întreprinderii, dar care e posibil să nu fie deținut sau operat de către întreprindere. Atunci când se cere, în scopul îndeplinirii unui audit, orice acces de care este nevoie va fi furnizat echipei de audit în regim temporar, drepturile de acces retrăgându-se la terminarea auditului.
Acest audit poate include:
acces la nivel de utilizator și/sau nivel de sistem pentru orice dispozitiv/sistem de calcul sau comunicații;
acces la informații (format electronic, copii pe suport dur, etc.) care pot fi produse, transmise sau stocate pe echipamentele sau în locații ale întreprinderii ;
acces la zonele de lucru (laboratoare, birouri, cuburi, zone de stocare, etc.);
acces la monitorizarea interactivă și jurnalizarea traficului de pe rețelele întreprinderii .
Auditurile sistemelor operaționale vor fi planificate minuțios de către management pentru a reduce la minimum riscul întreruperilor operațiunilor zilnice de afaceri. Accesul la instrumentele de audit va fi protejat, pentru a se preveni orice posibil atac sau compromitere. Integritatea datelor de testare ale sistemului va fi protejată și validată pentru a se asigura faptul că este corectă și adecvată, înainte de a fi întreprins auditul. Auditorul nu va îndeplini activități de tipul “Denial of Service”.
2.3. Politica de management al resurselor
2.3.1 Inventarul și managementul resurselor
Această politică guvernează identificarea și clasificarea resurselor și sistemelor informaționale ale întreprinderii . Ea specifică care resurse trebuie să fie clasificate și identificate și oferă o metodă standard pentru clasificarea acelor resurse. Această clasificare a resurselor informaționale este utilizată împreună cu alte politici și standarde de securitate ale întreprinderii pentru a se asigura că acele controale de securitate implementate în scopul protejării resurselor informatice ale întreprinderii sunt adecvate valorii acestor resurse. Obiectivul politicii este de a stabili un cadru pentru managementul și controlul resurselor întreprinderii , cadru ce include recunoașterea, evaluarea, protejarea și disponibilizarea (casarea) corectă a acestora prin păstrarea de rapoarte exacte ale tuturor resurselor. Această politică se aplică întregii proprietăți, indiferent dacă este vorba de resurse și sisteme tangibile sau intangibile deținute sau managerizate de către departamentele/agențiile întreprinderii . Bunurile deținute de către alte agenții constituie subiectul acestei politici. Politica se adresează tuturor persoanelor desemnate de către GSI, responsabile cu păstrarea, actualizarea și reevaluarea bazei de date a inventarului resurselor. Politica furnizează un cadru de practici utile de managementul resurselor, astfel încât să fie incluse toate resursele întreprinderii , atât cele prezente, cât și cele viitoare, indiferent de formatul media (suportul) în care au fost dobândite, ca de exemplu hârtie, dischetă, CD, bandă magnetică, etc., precum și alte resurse fizice. Stabilirea unui cadru comun pentru calcularea, managerizarea, raportarea și reducerea costurilor totale de proprietate ale tuturor resurselor (costurile duratei de viață) se va face în revizuirile ulterioare ale acestei politici sau printr-o politică separată. În plus, este de așteptat ca alte programe destinate instrumentelor financiare, informațiile furnizate prin implementarea acestei politici de inventar și management al resurselor să fie stabilite. Inventarul constă în articolele din magazie sau cele deținute în stoc, articole care vor fi folosite în operații de afaceri. Inventarul mai include materialul și aprovizionările necesare articolelor respective la o dată ulterioară. Inventarul trebuie să fie protejat de punctul de achiziționare, de la recepționarea resurselor până la utilizarea acestora.
Politica oferă direcția pentru asigurarea faptului că:
resursele fizice ale întreprinderii sunt protejate;
persoanele responsabile managerizează în mod eficace resursele fizice;
managerii sunt conștienți de responsabilitatea securității resurselor utilizate de către/pentru ei și a securității echipamentului aflat în posesia lor;
Departamentul de servicii administrative, prin GSI, va revizui și analiza informația vastă cu privire la inventarul/managementul resurselor IT ale întreprinderii înaintată de fiecare departament/ agenție pentru eficiența și efectivitatea în:
depistarea și raportarea resurselor întreprinderii în baza unei rutine;
furnizarea unui ghid general de managerizare a tipurilor importante de resurse departamentelor/agențiilor (inclusiv hardware, software, sisteme de afaceri și date)
furnizarea unui ghid general de calculare și raportare a costurilor totale de proprietate a resurselor IT – pe întreaga durată de viață – departamentelor;
stabilirea puterii de achiziționare a întreprinderii prin cunoașterea necesităților întreprinderii , a volumului și planificărilor necesităților de achiziții viitoare de hardware și programe IT;
asigurarea optimizării și conformității licențierii programelor;
stabilirea unei valori inițiale, curente și casare pentru resursele întreprinderii ;
planificarea unei infrastructuri întinse, omogene, partajate de tehnologie a informației a întreprinderii ;
achiziționarea informațiilor necesare luării de decizii de către managementul resurselor informatice a întreprinderii ;
Rapoartele electronice trebuie să fie migrate prin actualizări succesive ale hardware-ului și programelor. Politicile/procedurile, pentru a prezerva accesul la rapoartele electronice, trebuie să ia în considerare cum să protejeze integritatea și funcționabilitatea acestor rapoarte și să fie revizuite și modificate periodic, pentru a reflecta cele mai bune practici curente la acel moment. Funcția managementului resurselor este specifică personalului desemnat cu responsabilitate privind păstrarea și conservarea resurselor întreprinderii pentru perioada cerută. În cazul în care o resursă a fost declarată parte a resurselor întreprinderii , înregistrarea și utilizarea acesteia vor fi sub incidența politicii de păstrare și conservare. Resursele considerate a avea valoare istorică vor fi transferate la sfârșitul vieții lor curente în arhivele întreprinderii pentru conservarea permanentă. În cazul înregistrărilor electronice cu valoare istorică – trebuie să se facă o copie pe suport dur – hârtie, până când problemele legate de migrarea programului sau hardware-ului au fost rezolvate. Politica trebuie să ia în considerare conservarea, și de asemenea, condițiile mediului de stocare și schimbările netehnologice.
2.3.2. Politica de clasificare a informațiilor
Această politică asigură faptul că resursele informaționale ale întreprinderii primesc un nivel adecvat de protecție în conformitate cu importanța și cu confidențialitatea lor. Obiectivul politicii de clasificare a datelor și informațiilor este de a ajuta personalul să determine ce informații pot fi dezvăluite persoanelor care nu fac parte din personalul întreprinderii , precum și sensibilitatea relativă a informației care nu trebuie dezvăluită în afara întreprinderii fără autorizare specifică. Informațiile acoperite de această politică includ, dar nu se limitează la informații care sunt fie stocate, fie partajate prin orice mijloace. Acestea includ: informații stocate electronic, informații pe hârtie și informații partajate pe cale orală sau vizuală. Politica de clasificare a informațiilor/datelor se aplică proprietarilor, custozilor și utilizatorilor informațiilor care se află pe sau sunt procesate în orice fel de către resursele informatice ale întreprinderii , în timpul utilizării resurselor de procesare sau rețea ale întreprinderii . Toți utilizatorii trebuie să ia la cunoștință și să se conformeze acestei politici. Informațiile și datele trebuie să fie clasificate în funcție de propriile cerințe privind controlul accesului. Proprietarul oricărei resurse informaționale este responsabil de clasificarea informației stocate sau procesate de către resursele informationale, pe baza standardelor de evaluare a riscului securității informației, prin cerințe specifice de control al accesului și de manevrare. Toate datele organizației și datele încredințate întreprinderii sunt clasificate după cum este descris în Ghidul de clasificare. Dacă nu este specificat altfel, nivelul de clasificare implicit este “Internal Limited”. Toate datele trebuie să fie păstrate în conformitate cu Regulament de Securitate a Datelor-IT06.
Informațiile și datele vor fi clasificate conform cerințelor de manevrare astfel:
– Informații confidențiale – informații considerate ca fiind esențiale pentru activitățile întreprinderii , o unitate a întreprinderii sau un proiect oficial de cercetare al întreprinderii .
– Informații de uz intern – informații care se referă la controlul accesului, date privind managementul conturilor, proceduri, documentația privind securitatea resurselor informaționale sau oricare alte informații desemnate astfel de către SC PRIMASERV SRL .
– Informații publice – informații care nu sunt desemnate în mod specific ca fiind de confidențiale sau de uz intern și, de asemenea, nu sunt desemnate a fi confidențiale.
2.3.3. Politica de licențiere
Politica de licențiere subliniază cerințele SC PRIMASERV SRL pentru adoptarea procedurilor necesare pentru prevenirea violărilor de drepturi de autor și ale proprietății intelectuale (copyright). Pentru a-și proteja valorile referitoare la proprietatea intelectuală și drepturile de autor, companiile producătoare de software și companiile IT folosesc licențe de tip End User Licence Agreement, care avizează utilizatorii despre drepturile și obligațiile lor privind păstrarea drepturilor de proprietate intelectuală și despre legile aplicabile care protejează această proprietate. Scopul acestei politici este de a asigura faptul că SC PRIMASERV SRL asigură măsurile necesare pentru alinierea la legislație și păstrarea drepturilor de proprietate intelectuală pentru produsele software folosite în cadrul organizației. Politica de licențe software stabilește regulile pentru utilizarea produselor software licențiate în cadrul SC PRIMASERV SRL. Această politică se adresează întregului personal care folosește resurse informaționale SC PRIMASERV SRL prin intermediul echipamentelor IT proprietate SC PRIMASERV SRL , respectiv celor care operează, gestionează sau folosesc servicii și echipamente IT pentru a asigura suportul necesar de business pentru întreprindere . SC PRIMASERV SRL furnizeaza un număr suficient de copii licențiate ale produselor software licențiate pentru a facilita desfășurarea activității angajaților săi de o manieră eficientă și rapidă. Managementul trebuie să asigure relațiile contractuale adecvate cu furnizorii de software pentru obținerea de copii suplimentare ale produselor software atunci când necesitatea de business o cere. Informațiile supuse copyright-ului și produsele software aparținând unor terțe părți sau pentru care SC PRIMASERV SRL nu are aprobarea specifică de stocare și/sau de utilizare nu vor fi stocate sau folosite pe echipamentele SC PRIMASERV SRL . Administratorii de sistem vor fi responsabili de înlăturarea acestor informații și/sau produse software în toate cazurile în care utilizatorii acestora nu pot prezenta dovezi clare de asigurare a acestor drepturi de la producătorii respectivi. Produsele software aparținând unor terțe părți care sunt în posesia SC PRIMASERV SRL nu trebuie copiate decât în condițiile prevăzute de contractele de licențiere și numai cu aprobarea formală a managementului, sau numai în scop de asigurare a planului de continuitate a afacerii. SC PRIMASERV SRL va stabili proceduri care să asigure utilizarea produselor software doar în condițiile legii. Aceste proceduri pot include:
realizarea de inventare a produselor software instalate/prezente pe echipamentele SC PRIMASERV SRL ;
determinarea produselor software pentru care există drepturi de utilizare;
dezvoltarea și menținerea de sisteme de înregistrare și management al licențelor.
Structurile funcționale ale SC PRIMASERV SRL vor coopera între ele pentru schimbul de informații ce pot fi adecvate pentru combaterea folosirii ilegale de produse software. GSI-ul SC PRIMASERV SRL va fi responsabil de asigurarea următoarelor:
folosirea și achiziționarea numai de software autorizat pe echipamentele IT ale SC PRIMASERV SRL ;
educarea și avertizarea personalului privind drepturile de copyright și proprietate intelectuală, precum și promovarea politicilor și procedurilor existente în acest sens în SC PRIMASERV SRL ;
asigurarea existenței și adecvării politicilor și procedurilor pentru protejarea copyright-ului;
implementarea și efectivitatea acestor politici și proceduri.
2.3.4. Politica de utilizare acceptabilă a resurselor informatice
Resursele informatice sunt bunuri strategice ale SC PRIMASERV SRL , care trebuie să fie managerizate ca resurse valoroase, iar scopul acestei politici este de a contura utilizarea acceptabilă a computerelor, sistemelor de calcul, rețelelor de calculatoare și altor resurse aflate fizic și/sau virtual la toate locațiile, deținute și/sau controlate fizic și/sau virtual de către SC PRIMASERV SRL . Obiectivul politicii este protejarea SC PRIMASERV SRL și a angajaților, consultanților, licențelor, deținătorilor, francizelor, furnizorilor, clienților și membrilor afiliați ai acesteia de vulnerabilități precum utilizarea neadecvată acestora și generarea de riscuri care pot include atacuri ale virușilor, cailor troiani și viermilor, atacuri de tipul “denial of service”, distrugerea sistemelor și serviciilor și a problemelor juridice, chestiunilor legitime. Această politică privește toți utilizatorii de computere și resurse de comunicații electronice, precum și echipamente închiriate de către SC PRIMASERV SRL .
Această politică este întocmită pentru a fi obținute următoarele:
asigurarea conformității cu statuturile, regulamentele și dispozițiile care se aplică managementului resurselor informației.
stabilirea de practici prudente și acceptabile privind utilizarea resurselor informației.
instruirea persoanelor care pot utiliza resursele informației pentru respectarea responsabilităților acestora, asociate respectivei utilizări.
protejarea integrității computerelor, rețelelor și datelor aflate fie la sediul SC PRIMASERV SRL , fie în altă parte;
asigurarea de faptul că utilizarea comunicațiilor electronice se face în conformitate cu politica SC PRIMASERV SRL ;
protejarea SC PRIMASERV SRL de eventuale consecințe legale care ar putea dăuna acesteia.
Politica SC PRIMASERV SRL asigură faptul că resursele informației sunt utilizate într-o manieră eficace, etică și legală.
Utilizatorii trebuie să respecte intimitatea și privilegiile de utilizare ale celorlalți, atât la locația SC PRIMASERV SRL , cât și la toate sediile SC PRIMASERV SRL accesibile prin conexiuni de rețea.
Utilizatorii nu trebuie, pe de altă parte, să se angajeze în acte care să fie împotriva scopurilor și direcțiilor SC PRIMASERV SRL , după cum este specificat în documentele de conducere ale acesteia sau în regulile, regulamentele și procedurile adoptate.
Utilizatorii trebuie să respecte integritatea sistemelor și rețelelor de computere în toate sediile SC PRIMASERV SRL accesibile prin conexiuni de rețea.
Utilizatorii nu vor încerca, sub nici un motiv, să se infiltreze (de exemplu, să obțină acces fără o autorizație adecvată) la vreun sistem sau rețea de computere aflate fie la sediul SC PRIMASERV SRL , fie în altă parte.
Utilizatorii nu vor încerca să producă daune sau să altereze componentele hardware și software ale unui sistem sau rețea de computere aflate fie la sediul SC PRIMASERV SRL , fie în altă parte.
Utilizatorii conexiunilor externe de rețea ale SC PRIMASERV SRL se vor conforma politicilor de "Utilizare acceptabilă" stabilite de către organismele de conducere ale rețelelor externe.
Utilizatorii trebuie să raporteze orice slăbiciune a securității computerelor SC PRIMASERV SRL , orice incident privind eventuale pierderi sau violări ale acestui acord autorităților specifice prin contactarea managementului corespunzător.
Utilizatorii nu trebuie să încerce accesarea oricăror date sau programe conținute pe sistemele SC PRIMASERV SRL pentru care nu au autorizație sau permisiunea explicită.
Utilizatorii nu trebuie să divulge nimănui numerele de telefon Dialup sau Dialback ale modemurilor.
Utilizatorii nu trebuie să-și dezvăluie conturile SC PRIMASERV SRL , parolele, numerele personale de identificare (PIN), tokenurile de securitate (de exemplu, Smartcard) sau alte informații similare sau dispozitive folosite în scopuri de identificare și autorizare.
Utilizatorii nu trebuie să facă copii neautorizate ale programelor care sunt protejate prin legea referitoare la drepturile de autor.
Utilizatorii nu trebuie să utilizeze programe non-standard, cu licența limitată sau gratuite fără aprobarea managementului resurselor informatice al SC PRIMASERV SRL , cu excepția celor aflate pe lista SC PRIMASERV SRL a programelor standard.
Utilizatorii nu trebuie să se angajeze cu premeditare în activități care pot: dăuna, amenința sau provoca abuzuri altora; înrăutăți activitatea resurselor informatice; bloca accesul autorizat al unui utilizator SC PRIMASERV SRL la o resursă SC PRIMASERV SRL ; obține alte resurse în afara celor alocate; contraveni măsurilor SC PRIMASERV SRL privind securitatea computerelor.
Utilizatorii nu trebuie să descarce, să instaleze sau să ruleze programe sau utilități de securitate care să divulge sau să exploateze slăbiciunile din securitatea unui sistem. De exemplu, utilizatorii SC PRIMASERV SRL nu trebuie să ruleze programe cu parole sparte, packet sniffers, ori port scanners sau orice alte programe neaprobate în cadrul resurselor informatice ale SC PRIMASERV SRL .
Resursele informaționale ale SC PRIMASERV SRL nu trebuie să fie utilizate în scopuri personale.
Utilizatorii nu trebuie să acceseze, să creeze, să stocheze sau să transmită în mod intenționat materiale pe care SC PRIMASERV SRL le-ar putea considera jignitoare, indecente sau obscene.
Accesul la Internet de la un computer de acasă proprietate a SC PRIMASERV SRL trebuie să fie în conformitate cu politicile care se aplică și în cazul utilizării computerelor aflate în sediul SC PRIMASERV SRL . Angajații nu trebuie să permită membrilor familiei sau altor persoane din afara SC PRIMASERV SRL accesul la sistemele de computere ale SC PRIMASERV SRL .
Utilizatorii nu trebuie să se angajeze în acte care să fie împotriva scopurilor și direcțiilor SC PRIMASERV SRL , după cum este specificat în documentele de conducere ale acesteia sau în regulile, regulamentele și procedurile adoptate.
În general, utilizarea ocazională în interes personal a resurselor informației este permisă. Se aplică însă următoarele restricții:
Utilizarea ocazională în scop personal a poștei electronice, Internetului, faxului, imprimantelor, copiatoarelor și a altor dispozitive este restricționată doar la utilizatorii aprobați de către SC PRIMASERV SRL . Accesul nu este permis membrilor familiei sau altor persoane;
Utilizarea ocazională nu trebuie să aibă drept consecință suportarea de costuri directe de către SC PRIMASERV SRL ;
Utilizarea ocazională nu trebuie să interfereze cu îndatoririle normale de muncă ale angajatului.
Nu pot fi trimise sau primite fișiere sau documente care pot conduce la acțiuni legale împotriva SC PRIMASERV SRL sau care pot dăuna acesteia;
Stocarea postei poștei electronice, mesajelor vocale, fișierelor și documentelor personale în cadrul resurselor informației a SC PRIMASERV SRL trebuie să fie nominală.
Toate mesajele, fișierele și documentele – inclusiv mesajele, fișierele și documentele personale – localizate în cadrul resurselor informatice ale SC PRIMASERV SRL sunt proprietatea SC PRIMASERV SRL , putând fi supuse cererilor de acces (spre a fi controlate), și pot fi accesate în conformitate cu această politică.
2.3.5. Politica de utilizare a echipamentelor mobile
Prin această politică sunt stabilite reguli destinate celor care folosesc echipamente mobile în diverse locații ale SC PRIMASERV SRL sau care lucrează acasă (fie folosind echipamentele SC PRIMASERV SRL sau echipamente proprii), sau folosesc informații pe suport fizic (hârtie, suport magnetic etc.) acasă sau în diverse locații în afara sediilor SC PRIMASERV SRL . Aceste reguli urmăresc să asigure deplina conștientizare și avertizare a riscurilor de securitate induse de aceste condiții de lucru. În vederea protejării personalului și a altor persoane, resursele și echipamentele organizației, personalul care lucrează acasă sau la distanță trebuie să asigure măsuri adecvate de securitate. Scopul politicii este de a reglementa felul în care cei care folosesc echipamente mobile sau lucrează de la distanță, precum și cei care folosesc informații stocate pe diverse medii în afara companiei utilizează aceste resurse într-un mod care să asigure securitatea informației și să nu pericliteze echipamentele și rețeaua S.C. PRIMASERV S.R.L.. Politica de securitate pentru echipamentele mobile și pentru cei care se conectează de la distanță stabilește restricțiile și condițiile de conectare pentru accesul și utilizarea echipamentelor portabile deținute de SC PRIMASERV SRL (computere mobile, echipamente mobile de rețea, echipamente de comunicații și alte echipamente mobile) folosite pentru a stoca și procesa informații, precum și produsele software aferente utilizate de personalul SC PRIMASERV SRL . Această politică se adresează oricărui angajat SC PRIMASERV SRL care folosește sau transportă resurse informaționale sau echipamente SC PRIMASERV SRL în afara locațiilor SC PRIMASERV SRL . Pentru a accesa resurse informaționale aparținând SC PRIMASERV SRL vor fi folosite numai echipamentele mobile aprobate în mod formal și explicit de SC PRIMASERV SRL. Echipamentele mobile trebuie să fie protejate adecvat, prin folosirea parolelor și codurilor. Informațiile aparținând SC PRIMASERV SRL nu trebuie să fie stocate în nici un fel pe echipamentele mobile. Totuși, în cazurile în care nu există alternative la stocarea locală, toate informațiile SC PRIMASERV SRL trebuie să fie criptate folosind tehnologiile de criptare aprobate de SC PRIMASERV SRL . Nu este permisă transmiterea informațiilor SC PRIMASERV SRL folosind tehnologia wireless către sau dinspre un echipament mobil, în afara cazurilor în care această transmisiune este aprobată și este securizată folosind tehnologiile de criptare aprobate de SC PRIMASERV SRL . Toate conexiunile la distanță (servicii de tip dial in) trebuie să se facă fie folosind un modem din pool-ul aprobat de SC PRIMASERV SRL , fie folosind un Internet Service Provider (ISP) aprobat. Sistemele care nu aparțin SC PRIMASERV SRL și pentru care se cere conectarea în rețeaua SC PRIMASERV SRL trebuie să fie conforme cu Standardele IS ale SC PRIMASERV SRL , iar conectarea trebuie să fie aprobată în scris de GSI-ul SC PRIMASERV SRL . Responsabilul pentru o resursă informațională trebuie să identifice și să evidențieze riscurile pentru companie în cazul pierderii și furtului resursei respective și să estimeze impactul pe care aceste evenimente îl pot avea asupra activității sale și a departamentului.
Utilizatorii acestor resurse trebuie să:
reducă folosirea lor la minimum în zone publice;
folosească aceste resurse în afara companiei numai în scopuri legate de activitatea de serviciu;
asigure securitatea acestor resurse atunci când le folosesc în afara companiei;
să nu folosească în rețeaua SC PRIMASERV SRL alte echipamente mobile (cum ar fi laptopurile) decât cele autorizate de SC PRIMASERV SRL ;
în cazul folosirii PDA-urilor, fie proprii sau aparținând SC PRIMASERV SRL , să nu transfere pe acestea decât informații referitoare la calendar, task-uri, contacte și note, cu excepția cazurilor în care au produse software de protecție a acestor echipamente instalate pe ele și actualizate în mod regulat;
să nu folosească informații ce pot identifica clienți sau personal SC PRIMASERV SRL , informații marcate drept confidențiale (cum ar fi plângeri, reclamații, aprecieri sau măsuri disciplinare) pe echipamente mobile care nu sunt autorizate formal de SC PRIMASERV SRL ;
scaneze de viruși și malware orice mediu de stocare utilizat pentru a transfera informații pe / de pe resursele companiei;
să nu transmită informații ce pot identifica clienți si angajați SC PRIMASERV SRL pe adrese personale sau pe echipamentele de acasă;
să păstreze echipamentele și fișierele blocate și ascunse (camuflate) atunci când transportă echipamente pe care nu le pot avea sub observație (în cazul deplasărilor etc.);
să se asigure că echipamentele și documentele ce urmează a fi transportate sunt împachetate și ambalate în mod corespunzator pentru a preveni distrugerea sau alterarea lor;
să nu depoziteze off-site nici un fel de suport de stocare care conține informații confidențiale (inclusiv pe suport de hârtie);
să nu lase nesupravegheat nici un echipament mobil fără a lua măsuri de securitate corespunzătoare (cum ar fi legarea de birou cu cabluri de securitate, încuierea într-un dulap sau încuierea camerei etc.).
2.3.6. Politica de utilizare a serviciului de email
Această politică este stabilită pentru a implementa practici preventive și acceptabile pentru folosirea serviciului de e-mail și a educa personalul în folosirea serviciului de e-mail respectând responsabilitățile associate cu acesta. Obiectivul politicii este de a descrie modul de folosire acceptabilă a serviciului de e-mail și a celor asociate, a sistemelor de calcul și a facilităților și de a stabili regulile de transmitere, primire și stocare a mesajelor electronice. Această politică trebuie aplicată de toți utilizatorii care folosesc serviciul de e-mail, servicii asociate și facilități de procesare. De asemenea, această politică va fi revizuită periodic, iar atunci când este necesar va fi modificată. Acest lucru este necesar ținând cont de dezvoltarea planificată de aplicații, utilizarea operațională a sistemelor de calcul și a celor mai bune practici general recunoscute. Această politică este aplicabilă tuturor angajaților care au privilegii de acces la orice resursă informatică a SC PRIMASERV SRL , cu capacitatea de a trimite, primi sau stoca mesaje electronice. Numai utilizatorii autorizați ai sistemelor de calcul SC PRIMASERV SRL sunt îndreptățiți a folosi facilitățile serviciului de e-mail. Implementarea acestei politici va asigura inteligibilitatea, consistența, disponibilitatea, accesul și calitatea datelor în beneficiul utilizatorilor și clienților deopotrivă. Scopul politicii de utilizare a serviciului de e-mail este de a defini și sublinia utilizarea acceptabilă a acestui serviciu, precum și a resurselor asociate în cadrul SC PRIMASERV SRL . Serviciile de e-mail, resursele asociate și conturile de utilizator sunt proprietatea SC PRIMASERV SRL . Aceste resurse sunt folosite pentru îndeplinirea scopului afacerii servind interesele SC PRIMASERV SRL , angajaților și clienților în condițiile operațiunilor de afaceri uzuale. Politica de utilizare a serviciului de e-mail cuprinde un set de reguli și recomandări care trebuiesc urmate atunci când se folosesc rețelele SC PRIMASERV SRL sau oricare altă rețea care este conectată la rețeaua SC PRIMASERV SRL , inclusiv serviciile de internet și e-mail. În conformitate cu regulamentele SC PRIMASERV SRL și această politică, angajații SC PRIMASERV SRL sunt încurajați în folosirea serviciilor de internet și e-mail la potențial maxim pentru:
a urma misiunea SC PRIMASERV SRL ;
a furniza servicii de cea mai înaltă calitate clienților;
a descoperi noi căi de utilizare a resurselor pentru îmbunătățirea acestor servicii;
a promova dezvoltarea profesională a personalului.
Obligații:
toate informațiile importante ale SC PRIMASERV SRL trebuiesc transmise în formă criptată;
toate activitățile legate de resursele informatice sunt înregistrate și supuse revizuirii în mod periodic.
Următoarele activități sunt interzise de această politică:
trimiterea de mesaje electronice cu caracter de intimidare sau hărțuire;
folosirea serviciului de e-mail pentru a conduce afaceri personale;
folosirea serviciului de e-mail în scopuri politice – lobby, campanii;
încălcarea legilor de copyright prin distribuirea neadecvată a lucrărilor proprietare și protejate;
pozarea ca altă identitate atunci când trimite mesaje electronice exceptând situația când este autorizat să trimită mesaje pentru altcineva și prestând un serviciu administrativ de suport;
folosirea de software neautorizat pentru serviciul de e-mail.
Următoarele activități sunt interzise pentru a preveni îngreunarea comunicațiilor și folosirea eficientă a sistemelor și serviciilor de e-mail:
trimiterea de mesaje electronice multiple (chain-letters);
trimiterea de mesaje electronice nesolicitate către grupuri mari de utilizatori exceptând cele care sunt necesare pentru a conduce organizația sau departamantul;
trimiterea de mesaje excesiv de mari;
trimiterea sau înaintarea de mesaje care par a conține virusi.
Orice mod de folosire accidentală în scop personal a serviciilor de internet sau e-mail trebuie să respecte următoarele limitări:
folosirea accidentală în interes personal a serviciilor de internet și e-mail este permisă, dar nu încurajată;
să nu implice cheltuieli suplimentare pentru SC PRIMASERV SRL ;
să fie sumară și cu grad de frecvență redusă;
să nu aibă vreun impact negativ asupra productivității angajatului;
să nu interfereze cu activitățile normale ale departamentului în care acesta lucrează;
trebuie să nu compromită în nici un fel angajații SC PRIMASERV SRL ;
utilizarea trebuie să fie etică și responsabilă.
2.3.7. Politica de utilizare a Internet-ului
Această politică definește utilizarea serviciului de Internet în scopul:
asigurării conformității cu statutele, regulamentele aplicabile și managementul resurselor informatice;
stabilirii de practici preventive și acceptabile referitoare la folosirea serviciului de Internet;
educării utilizatorilor care folosesc servicii de Internet, Intranet ori ambele în a respecta răspunderile asociate cu această utilizare.
Politica de acces la Internet se aplică tuturor utilizatorilor de Internet (utilizatori din interiorul companiei, contractori, parteneri de afaceri, terți) care au acces la Internet prin intermediul resurselor informatice. Utilizatorii de Internet din interiorul companiei sunt obligați a cunoaște și a se conforma acestei politici și, de asemenea, li se cere să folosească reguli de bun-simț și responsabilitate când folosesc aceste servicii. SC PRIMASERV SRL stabilește această politică pentru utilizarea în mod responsabil, eficient, etic și în conformitate cu legislația în vigoare a rețelei și accesului la Internet și în concordanță cu misiunea companiei. Utilizatorii trebuie să-și însușească această politică, Regulament de Utilizare al Internetului și celelalte regulamente conexe ca o condiție a folosirii serviciului de Internet. Refuzul poate determina restricționarea accesului sau revocarea acestuia. Mai mult, se pot lua măsuri disciplinare sau/și legale. Utilizarea rețelei S.C. PRIMASERV S.R.L. trebuie să fie conformă cu regulile impuse, reglementările în vigoare și politicile S.C. PRIMASERV S.R.L. .
Toate sistemele din rețea și informațiile create, stocate sau transferate pe alt tip de suport sunt și vor rămâne proprietatea S.C. PRIMASERV S.R.L. :
router-ele, switch-urile, wireless access points și hub-urile sunt puncte vulnerabile și trebuie controlate centralizat pentru a asigura controlul, securitatea și buna funcționare a lor;
echipamentele non-standard (altele decât calculatoarele de birou sau portabile) trebuiesc aprobate de S.C. PRIMASERV S.R.L. înainte de a fi conectate la rețea în orice locație sau orice extensie;
S.C. PRIMASERV S.R.L. poate bloca, restricționa sau limita traficul generat de aplicații atât cât este nevoie pentru a asigura lățimea de bandă adecvată pentru aplicațiile prioritare;
numai firewall-urile controlate de S.C. PRIMASERV S.R.L. vor fi acceptate pentru a securiza conexiunile între subnet-uri (VLAN’s) ;
încercările intenționate și deliberate de a obține informații despre calculatoare nepublicate în rețea sunt interzise;
toate programele utilizate pentru accesarea Internet-ului trebuie să facă parte din suita de programe standard sau aprobate de conducerea S.C. PRIMASERV S.R.L. ; aceste programe trebuie să conțină pachetele de securitate aferente;
informațiile senzitive transmise în rețele externe trebuie criptate;
Utilizarea în interes personal a Internetului este interzisă, dar se acceptă utilizarea în mod accidental numai dacă:
nu rezultă costuri directe din partea S.C. PRIMASERV S.R.L. ;
nu trebuie să atenueze performanțele profesionale ale sarcinilor utilizatorului;
nu se trimit fișiere sau documente care pot provoca implicații legale sau impact negativ asupra S.C. PRIMASERV S.R.L. ;
toate fișierele și documentele – inclusiv cele personale – sunt proprietatea S.C. PRIMASERV S.R.L. și pot fi supuse înregistrărilor, accesate în conformitate cu această politică.
2.4. Politica de securitate a personalului
Măsurile de protecție a personalului au drept scop prevenirea accesului neautorizat la informațiile companiei și garantarea că informațiile sunt distribuite numai acelor persoane care au dreptul să le primească, cu respectarea principiului de a cunoaște. Totodată, prin normele de control instituite se urmărește identificarea acelor persoane care pot pune în pericol securitatea informațiilor ori bunurilor firmei. Cerințele de securitate a personalului vor fi avute în vedere atât înainte de angajare, pe timpul angajării, cât și la încheierea, sub orice motiv, a activității în cadrul societății. Drepturile și responsabilitățile ce revin cadrelor în domeniul securității informației sunt incluse, atât în contractele de muncă, cât și în fișele postului. Întreg personalul va fi instruit permanent în domeniul securității informațiilor, iar prin sistemul de monitorizare a sistemului de management al securității informației va fi înregistrată și investigată orice abatere de la cadrul normativ instituit, precum și orice breșă de securitate apărută (incidente în funcționarea sistemelor, întreruperi anormale, încălcări ale drepturilor de acces etc). Politicile și procedurile de securitatea informației ale SC PRIMASERV SRL vor fi comunicate tuturor angajaților SC PRIMASERV SRL , ele fiind disponibile pentru toți cei care pot avea impact asupra securității și integrității resurselor informaționale ale SC PRIMASERV SRL . Va fi disponibil un program de menținere la zi a cunostințelor despre politicile, procedurile și practicile acceptate de asigurare a securității informației. Persoanele responsabile pentru resursele IT ale SC PRIMASERV SRL vor urma traininguri adecvate pentru implementarea specifică a controalelor de securitate pentru echipamente, software si rețelele de care sunt responsabili. Politicile și standardele de securitate trebuie respectate pentru a se putea atinge nivelul dorit de securitate a informației, control și integritate a ei. O reluare continuă și o întărire în sens pozitiv a necesității politicilor și standardelor de securitatea informației furnizează cunoștinte si o “atitudine” pozitivă care încurajează practicarea și aplicarea procedurilor stabilite. Fără această întărire, politicile și standardele pot fi percepute ca nerelevante, nenecesare, sau lipsite de valoare și nu vor fi aplicate sau vor fi aplicate de o manieră inefectivă.
2.5. Politica de securitate a accesului
2.5.1. Controlul accesului logic
Pentru prevenirea accesului neautorizat la datele și informațiile stocate electronic, au fost elaborate și implementate proceduri și controale pentru securizarea accesului la nivel logic la aceste resurse.
Accesul la informațiile, serviciile de rețea, sistemele și aplicațiile SC PRIMASERV SRL va fi controlat pe baza unor criterii de securitate specificate pentru fiecare sistem în parte. Totodată, pentru fiecare sistem și aplicație în parte au fost proiectate și implementate proceduri, parole, privilegii și controale care, în ansamblu asigură un cadru normativ intern adecvat managementului utilizatorilor și serviciilor.
Toate conexiunile la sisteme și aplicații sunt controlate și validate, iar măsurile pentru acest control al accesului se face și după întreruperea temporară a activității la terminal.
Toate activitățile executate în cadrul sistemelor funcționale aflate în exploatare la nivelul firmei sunt auditate, ocazie cu care se produc și înregistrează dovezi ale unor eventuale încălcări ale politicilor și standardelor de acces.
Această politică se aplică tuturor angajaților SC PRIMASERV SRL (personalului, contractorilor, consultanților, colaboratorilor, vizitatorilor, etc.) pe durata utilizării resurselor de pe sistemele sau rețelele de computere ale SC PRIMASERV SRL .
Toți utilizatorii trebuie să ia la cunoștință și să se conformeze acestei politici conform regulilor stabilite pentru acordarea, controlarea, monitorizarea și terminarea accesului fizic la facilitățile resurselor informatice.
Resursele informatice ale SC PRIMASERV SRL trebuie să fie utilizate doar în scopuri de afaceri, autorizate în mod expres de către management și trebuie să se folosească controale de acces și alte măsuri de securitate pentru a proteja confidențialitatea, integritatea și disponibilitatea informației manevrate de computere și sisteme de comunicații. În vederea obținerii acestor obiective, managementul își păstrează dreptul de a:
restricționa sau revoca oricare dintre privilegiile utilizatorilor;
inspecta, copia, transfera sau distruge orice dată, program sau resursă de sistem care ar putea submina aceste obiective;
lua oricare alte măsuri necesare managementului și protejării sistemelor informatice proprii.
Această autoritate poate fi exercitată cu sau fără înștiințarea utilizatorilor implicați. SC PRIMASERV SRL își declină orice responsabilitate privind pierderea sau deteriorarea datelor sau software-urilor, pagube care rezultă din eforturile acesteia de îndeplinire a obiectivelor de securitate.
Angajaților care utilizează sistemele informatice ale SC PRIMASERV SRL li se interzice obținerea de acces neautorizat la oricare alte sisteme informatice și deteriorarea, alterarea sau întreruperea operațiilor acestor sisteme. Privilegiile tuturor utilizatorilor privind computerele și sistemele de comunicații, sistemele și programele trebuie să fie restricționate pe baza necesității de a ști (need to know).
Accesul la informațiile valoroase sau sensibile ale SC PRIMASERV SRL trebuie să fie permis doar după ce s-a obținut autorizarea expresă a managementului.
Accesul la informațiile secrete trebuie să fie permis doar persoanelor specifice, nu grupurilor de persoane. Ori de câte ori SC PRIMASERV SRL deschide un cont nou pentru un client, trebuie mai întâi să autentifice identitatea acestui client într-un mod definitiv. Orice privilegiu privind sistemul informatic care nu a fost permis în mod specific de către GSI este interzis. Aceste privilegii nu pot fi folosite, indiferent de scopul de afaceri al SC PRIMASERV SRL , până când nu au fost aprobate în scris. Accesul la informațiile SC PRIMASERV SRL trebuie să fie întotdeauna autorizat de către un proprietar desemnat al acestor informații și trebuie să fie limitat in baza necesității de a ști (need to know) la un număr restricționat de persoane. Politica stabilește regulile privind accesarea sistemelor, aplicațiilor și datelor pentru fiecare utilizator sau grup de utilizatori, astfel:
drepturile de accesare a fișierelor pentru un utilizator sau un grup trebuie să fie stabilite în conformitate cu cerințele de afaceri și cu principiul "need to know”.
procedurile formale trebuie să controleze cum este acordat accesul la serviciile sistemului informatic sau cum acest acces este, pentru a se preveni astfel accesul neautorizat la date sau la resursele sistemului.
profilul utilizării, detalierea privilegiilor și drepturile de acces trebuie să fie desemnate pentru fiecare utilizator în parte.
trebuie să fie controlate nivelele de acces care pot fi permise.
trebuie să se întocmească și să se actualizeze rapoarte formale privind utilizatorii.
trebuie asigurat faptul că toate conturile redundante ale utilizatorilor sunt șterse.
trebuie să fie revizuite, în mod regulat, privilegiile utilizatorilor.
Regulile privind controlul accesului:
procedurile Secure logon trebuie să controleze accesul la sistemele informatice gazdă;
procedurile de log-on trebuie să dezvăluie informații minime despre sistem, pentru a fi constatată utilizarea neautorizată;
autorizarea celui mai mic privilegiu ("Need to Know").
2.5.2. Accesul terților
Ocazional, SC PRIMASERV SRL primește cereri pentru conexiune directă la rețeaua proprie din partea unor terțe părți (firme care furnizează servicii suport pentru SC PRIMASERV SRL sau furnizori de produse și/sau servicii, care oferă soluții de access la distanță sau mentenanță). Scopul acestei politici este de a stabili regulile prin care se acordă unui furnizor/terță parte accesul la resursele IT și serviciile suport ale SC PRIMASERV SRL , în scopul protejării bunurilor și informațiilor SC PRIMASERV SRL , precum și de a furniza o metodă formală de a cere, aproba și a urmări astfel de conexiuni. Conexiunile externe de rețea către SC PRIMASERV SRL pot crea potențiale expuneri de securitate dacă nu sunt administrate și conduse corect și consecvent. Aceste expuneri pot include modalități neaprobate de conexiune la rețeaua SC PRIMASERV SRL , incapacitatea de a pune capăt accesului în cazul unei breșe de securitate și expunerea la încercări de atac. Această politică se adresează tuturor terțelor părți care cer accesul și celor pentru care există deja o conexiune externă aprobată. În cazul în care o terță parte cu drept de conexiune externă existent nu a luat la cunoștintă cu privire la toate îndrumările și cerințele subliniate în acest document, va primi îndrumare atât cât este nevoie în vederea conformării. Nivelul de acces acordat unui furnizor/terțe părti va fi limitat numai la resursele informaționale ale SC PRIMASERV SRL necesare pentru îndeplinirea sarcinilor de afaceri în interesul SC PRIMASERV SRL . Accesul trebuie permis numai pentru îndeplinirea sarcinilor specifice și limitat la persoanele desemnate și pentru perioadele de timp necesare pentru îndeplinirea sarcinilor aprobate. Accesul furnizorilor/terțelor părți trebuie să fie unic identificabil iar managementul parolelor să se facă în conformitate cu Politica de Securitate a Parolelor SC PRIMASERV SRL . În funcție de importanța informațiilor la care terța parte va avea acces trebuie luate în considerare acorduri de confidențialitate. La încetarea relației contractuale sau la încheierea lucrării contractate trebuie respectate procedurile specifice de înlăturare a accesului. Firmele externe care desfășoară relații de afaceri cu SC PRIMASERV SRL și au nevoie de conectare externă la rețeaua SC PRIMASERV SRL trebuie în mod normal să poată folosi conexiunea existentă la Internet a SC PRIMASERV SRL . Contractele și acordurile SC PRIMASERV SRL cu aceste terțe părți trebuie să conțină:
informațiile SC PRIMASERV SRL la care terța parte va avea acces;
informațiile SC PRIMASERV SRL pe care terța parte trebuie să le protejeze;
metodele acceptabile de returnare, distrugere sau casare a informațiilor SC PRIMASERV SRL ajunse în posesia terței părți la încetarea contractului;
faptul că terța parte trebuie să folosească accesul la informațiile și resursele SC PRIMASERV SRL numai în scopurile cuprinse în contract;
faptul că orice informație de care terța parte va lua cunoștiință în cadrul contractului nu trebuie să fie folosită de către terța parte în interes propriu sau dezvăluită altora;
SC PRIMASERV SRL va furniza un punct de contact pentru securitatea informației pentru fiecare terță parte. Acest punct de contact va colabora cu terța parte pentru a se asigura că aceasta respectă și se conformează acestor politici de securitate.
Fiecare furnizor/terță parte trebuie să furnizeze SC PRIMASERV SRL o listă a angajaților implicați în derularea contractului. Lista trebuie să fie actualizată în permanență și orice modificare trebuie să fie notificată către SC PRIMASERV SRL în termen de 24 de ore. Personalul angajat al terței părți trebuie să raporteze orice incident de securitate observat către persoana desemnată de SC PRIMASERV SRL în acest sens. Dacă terța parte este implicată în vreun fel în Managementul incidentelor de securitate, responsabilitățile acesteia trebuie să fie clar definite și detaliate în contract. Furnizorii/terțele părți trebuie să respecte toate procesele și procedurile de management al schimbării ale SC PRIMASERV SRL . Contractul trebuie să specifice programul de lucru și îndatoririle. Orice activitate în afara acestora trebuie să fie aprobată în scris de către managementul desemnat al SC PRIMASERV SRL .
2.6. Politica de management al operațiilor și comunicațiilor
2.6.1. Managementul conturilor utilizator
Această politică se referă la administrarea conturilor pentru toți utilizatorii autorizați ai facilităților IT din SC PRIMASERV SRL și se aplică tuturor deținătorilor de conturi pentru exploatarea facilităților informatice ale SC PRIMASERV SRL .
Obiectivul politicii este de a stabili regulile privind crearea, monitorizarea, controlul și desființarea conturilor utlizatorului, astfel:
toate conturile vor avea asociate o cerere și o aprobare adecvate sistemului sau serviciului SC PRIMASERV SRL ;
toți utilizatorii vor semna acordul de luare la cunoștință despre regulile privind securitatea resurselor informatice ale SC PRIMASERV SRL și acordul de nedezvăluire a informațiilor, înainte de a le fi permis accesul la un cont;
toate conturile trebuie să fie identificabile în mod unic, folosindu-se numele utilizatorului titular;
toate parolele implicite pentru conturi trebuie să fie create în conformitate cu politica de creare a parolelor a SC PRIMASERV SRL ;
toate conturile trebuie să aibă un termen de expirare a parolei care să fie în conformitate cu politica parolei a SC PRIMASERV SRL ;
conturile persoanelor plecate un timp îndelungat (mai mult de 30 zile) vor fi închise;
toate conturile noi ale utilizatorilor care nu au fost accesate în termen de 30 zile de la creare vor fi închise;
Administratorii de sistem au următoarele responsabilități:
să desființeze conturile persoanelor care își schimbă funcția în cadrul SC PRIMASERV SRL sau care au întrerupt relațiile cu SC PRIMASERV SRL ;
să aibă un procedeu documentat cu privire la modificarea contului unui utilizator în cazul unor situații, cum ar fi schimbarea de nume, schimbarea asupra conturilor și schimbarea permisiunilor;
să instituie un procedeu documentat cu privire la revizuirea în mod periodic a conturilor existente, în scopul validării acestora;
să revizuiască periodic conturile create;
să furnizeze o listă a conturilor pentru sistemele pe care le administrează, atunci când acest lucru le este cerut de către managementul autorizat al SC PRIMASERV SRL ;
să coopereze cu managementul autorizat al SC PRIMASERV SRL la investigarea incidentelor de securitate.
2.6.2. Politica de management al drepturilor privilegiate
Personalul de suport tehnic, administratorii de securitate, administratorii de sistem și alții pot avea nevoi speciale privind privilegiile accesului la conturi, comparativ cu utilizatorii obișnuiți sau cei zilnici. Obiectivul politicii SC PRIMASERV SRL de management al drepturilor privilegiate este de a stablili regulile privind crearea, utilizarea, monitorizarea, controlul și desființarea conturilor cu privilegii de acces special. Această politică se aplică în mod egal tuturor persoanelor care au sau pot avea nevoie de privilegii speciale de acces la oricare dintre resursele informatice ale SC PRIMASERV SRL . Departamentele SC PRIMASERV SRL trebuie să propună GSI o listă cu contactele administrative pentru sistemele proprii, sisteme care sunt conectate la resursele informatice ale SC PRIMASERV SRL . Toți utilizatorii trebuie să semneze înștiintarea referitoare la protejarea securității resurselor informatice ale SC PRIMASERV SRL și acordul de nedezvăluire, înainte de a li se permite accesul la vreun cont. Toți utilizatorii conturilor de acces administrativ/special trebuie să aibă instrucțiuni de management al conturilor, documentație, instruire și autorizare. Fiecare persoană care utilizează conturi de acces administrativ/special trebuie să nu abuzeze de privilegiu și să facă doar investigații sub îndrumarea ISO. Fiecare persoană care utilizează conturi de acces administrativ/special trebuie să folosească privilegiul de cont cel mai adecvat muncii prestate (de exemplu, cont de utilizator vs. cont de administrator). Fiecare cont folosit pentru acces administrativ/special trebuie să fie în conformitate cu politica parolei a SC PRIMASERV SRL . Parola pentru un cont partajat de acces administrativ/special trebuie să fie schimbată atunci când una dintre persoanele care cunosc parola părăsește departamentul sau SC PRIMASERV SRL , sau la fiecare schimbare în cadrul personalului terților alocați în contracte cu SC PRIMASERV SRL . În cazul în care un sistem are doar un singur administrator, trebuie să existe o procedură de escrow a parolei astfel încât o altă persoană, și nu administratorul, să poată obține acces la contul administratorului într-o situație de urgență. Când este nevoie de conturi de acces special pentru audit intern sau extern, perfecționare și instalare de programe sau alte cerințe definite, acestea trebuie să fie autorizate, să fie create cu dată specifică de expirare și să fie desființate când procesul respectiv a luat sfârșit.
2.6.3. Politica de parole
Accesul dobândit de o persoană neautorizată poate conduce la pierderea integrității, confidentialității și disponibilității informației și poate produce pierderi financiare, de încredere, expunere legală sau situații delicate pentru S.C. PRIMASERV S.R.L. Politica de parole are ca scop restricționarea accesului logic la sisteme, echipamente și informații aparținând S.C. PRIMASERV S.R.L. , prin limitarea dreptului de acces, respectiv folosirea de parole. Domeniul de aplicabilitate al acestei politici include tot personalul care este responsabil de un cont de sistem (sau de orice altă formă de acces care necesită o parolă de acces) pe un echipament dispus în locații S.C. PRIMASERV S.R.L. , are acces la rețeaua S.C. PRIMASERV S.R.L. sau stochează orice informație nepublică aparținând S.C. PRIMASERV S.R.L. . Toate parolele, inclusiv cele inițiale, trebuie să fie construite și implementate conform următoarelor reglementări S.C. PRIMASERV S.R.L. :
trebuie să fie schimbate periodic;
trebuie să aibă lungimea minimă conform cu cea stabilită în procedura SC PRIMASERV SRL ;
trebuie să fie o combinație de caractere PRIMASERV-numerice și numerice;
nu trebuie să fie în vreun fel legată de deținatorul contului, cum ar fi: numele, CNP-ul, porecla, numele rudelor, data nașterii etc.;
nu trebuie să fie bazată pe vreun cuvânt din dicționar, sau acronim al acestuia;
trebuie păstrat un istoric al parolelor pentru a preveni reutilizarea.
Parolele stocate trebuie păstrate în formă criptată. Parolele de acces ale utilizatorilor nu trebuie divulgate nimănui. SC PRIMASERV SRL și contractorii lor nu au dreptul să ceară utilizatorilor să divulge parola lor. Token-urile de securitate (ex smartcard-urile) trebuie returnate la cerere sau la încetarea relației contractuale cu SC PRIMASERV SRL . Dacă există dubii asupra siguranței vreunei parole, aceasta va fi schimbată imediat. Administratorii nu trebuie să se abată de la această politică de parole de dragul usurinței în utilizare. Utilizatorii nu trebuie să evite introducerea parolei prin folosirea de auto-logon, facilități de memorare, script-uri sau parole hard-codate în soft-ul client. Excepțiile se vor face doar pentru aplicații autorizate de către GSI-ul SC PRIMASERV SRL ( de ex back-up automat). Pentru aprobarea unei excepții trebuie să existe o procedură de schimbare a parolei. Sistemele informatice nu trebuie lăsate nesupravegheate fără folosirea unui screen-saver protejat de parolă sau blocarea sistemului.
Politicile de schimbare a parolelor de către helpdesk trebuie să cuprindă următoarele reguli:
autentificarea utilizatorului la help-desk înainte de schimbarea parolei;
schimbarea către o parolă complexă;
utilizatorul va trebui să își schimbe parola la prima inițializare de sesiune.
În cazul descoperirii parolelor, trebuie urmați pași:
punerea controlului asupra parolei și protejarea ei;
raportarea descoperirii la helpdesk-ul SC PRIMASERV SRL ;
transferarea parolei către persoana autorizată la îndrumarea GSI SC PRIMASERV SRL .
2.6.4. Politica privind protecția împotriva virușilor
Această politică se aplică tuturor echipamentelor care sunt conectate la rețeaua S.C. PRIMASERV S.R.L. prin conexiunea LAN și are ca scopuri:
protecția computerelor deținute de S.C. PRIMASERV S.R.L. care se atașează la rețea;
protecția computerelor de acasă, care aparțin sau sunt folosite de personalul S.C. PRIMASERV S.R.L. și/sau partenerii de afaceri, care se conectează la rețeaua S.C. PRIMASERV S.R.L -ului prin modem.
Politica S.C. PRIMASERV S.R.L. de protecție împotriva virușilor se adresează în mod egal tuturor persoanelor care folosesc oricare din resursele informaționale ale S.C. PRIMASERV S.R.L. . Computerele deținute de S.C. PRIMASERV S.R.L. vor folosi un produs software anti-virus, care va fi ținut activ tot timpul. Utilizatorul principal al sistemului este responsabil de menținerea sistemului în conformitate cu această politică. Dacă un computer are mai mulți utilizatori, fără a putea fi identificat un “utilizator principal”, directorul de departament sau o persoană desemnată de acesta, este responsabil de această conformitate. Dacă utilizatorul principal nu poate fi identificat, directorul departamentului sau persoana desemnată trebuie să-și asume responsabilitățile identificate pentru end-useri. Computerele care furnizează servicii (e.g., email, Web hosting, FTP), sunt considerate sub această politică ca și computere “end –user”:
toate stațiile de lucru, fie conectate la rețeaua S.C. PRIMASERV S.R.L. , fie de sine-stătătoare, trebuie să folosească protecția software împotriva virușilor și configurația aprobată de S.C. PRIMASERV S.R.L. ;
protecția software împotriva virușilor nu trebuie dezactivată sau ocolită;
setările pentru protecția software împotriva virușilor nu trebuie modificate în așa fel încât să reducă eficiența software-ului;
frecvența actualizărilor automate de protecție software împotriva virușilor nu trebuie modificate prin reducerea numărului lor;
fiecare server de fișiere din rețeaua SC PRIMASERV SRL trebuie să utilizeze protecția software împotriva virușilor aprobată de SC PRIMASERV SRL și instalată pentru a detecta și curăța virușii din fișierele partajate;
fiecare server de e-mail trebuie să utilizeze protecție software împotriva virușilor de e-mail și trebuie să fie conform regulilor pentru instalarea și folosirea unui astfel de software;
acei viruși care nu sunt automat eliminați de protecția software împotriva virușilor constituie un incident de securitate care trebuie raportat la Help Desk.
2.6.5. Politica de back-up
Backup-urile electronice sunt o cerință de afaceri tocmai pentru a fi permisă recuperarea datelor și aplicațiilor în cazul unor evenimente, cum ar fi dezastre naturale, căderi ale discului dur (disk drive) al sistemului, spionaj, erori de introducere a datelor sau erori ale operațiilor de sistem. Această politică stabilește regulile pentru backup-ul și stocarea informațiilor electronice și se aplică tuturor persoanelor din cadrul SC PRIMASERV SRL care sunt responsabile de instalarea și suportul resurselor informatice, persoanelor însărcinate cu securitatea resurselor informatice și proprietarilor de date. Frecvența și extinderea backup-urilor trebuie să fie în acord cu importanța informațiilor și cu riscul acceptabil, așa după cum a fost determinat de către proprietarul de date. Backup-ul resurselor informației ale SC PRIMASERV SRL și procesul de recuperare pentru fiecare sistem trebuie să fie documentate și revizuite periodic. Stocarea datelor de back-up în afara locației SC PRIMASERV SRL trebuie să fie capabilă să manevreze informații stocate de cel mai înalt nivel. Controalele de acces fizic implementate la locațiile de stocare ale backup-urilor în afara locațiilor SC PRIMASERV SRL trebuie să fie cel puțin la fel de multe ca celelalte controale de acces fizic ale sistemelor sursă. În plus, media de backup trebuie să fie protejată în conformitate cu nivelul de sensibilitate cel mai înalt al SC PRIMASERV SRL pentru informațiile stocate. Trebuie să fie implementat un proces privind verificarea reușitei de realizare a backup-urilor electronice ale informațiilor SC PRIMASERV SRL . Backup-urile trebuie să fie testate periodic pentru a se asigura faptul că sunt recuperabile. Cardurile cu semnătură deținute de către terții din afara locațiilor SC PRIMASERV SRL , privind accesul la media de backup a SC PRIMASERV SRL trebuie să fie revizuite anual sau în situațiile în care o persoană autorizată părăsește SC PRIMASERV SRL . Procedurile dintre SC PRIMASERV SRL și terții care furnizează servicii de back-up în afara locațiilor SC PRIMASERV SRL trebuie să fie revizuite cel puțin o dată pe an.
Benzile cu backup-urile trebuie să aibă cel puțin un criteriu de identificare dintre cele menționate mai jos, criteriu care să poată fi identificat prin etichete și/sau sisteme de cod de bare:
1) denumire sistem
2) dată de creare
3) clasificare sensibilitate (pe baza retenției electronice de înregistrări aplicabilă)
4) informații de contact
2.6.6. Politica de detectare a intrușilor
Detectarea intrușilor trebuie să joace un rol important în implementarea și impunerea politicii de securitate în cadrul S.C. PRIMASERV S.R.L. , dată fiind necesitatea asigurării securității sistemelor și rețelelor asupra cărora se efectuează mentenanță de la distanță. Politica furnizează două funcțiuni importante pentru protejarea resurselor informaționale:
Feedback: informații despre eficiența altor componente ale sistemului de securitate. Dacă se implementează un sistem robust și efectiv de detectare a intrușilor, lipsa de intruziuni detectate e un semn că celelalte controale sunt eficiente.
Declanșator: un mecanism care determină când să fie activate răspunsurile planificate la un incident de tip intruziune.
Politica S.C. PRIMASERV S.R.L. de detectare a intrușilor se aplică tuturor responsabililor de instalarea de noi sisteme informatice, mentenanța și operarea celor existente, precum și personalului responsabil de securitatea informației. Procesele de auditare a sistemelor de operare, a conturilor de utilizator și a aplicațiilor software trebuie să fie activate pe toate sistemele client sau server. Funcțiunile de alertare a firewall-urilor și a oricăror altor sisteme de control al accesului la perimetrul de rețea trebuie să fie activate. Jurnalizarea (înregistrarea evenimentelor) la sistemele firewall și la orice alte sisteme de control al accesului la perimetrul de rețea trebuie să fie activată. Jurnalele (log-urile) pentru firewall-uri și sistemele de control al accesului la perimetrul de rețea trebuie să fie monitorizate / revizuite zilnic de către administratorul de sistem. Periodic trebuie făcute verificări de integritate pentru firewall-uri și alte sisteme de control al accesului la perimetrul de rețea. Log-urile pentru servere și host-uri din rețeaua internă trebuie să fie verificate săptămânal. Administratorul de sistem trebuie să furnizeze aceste log-uri ori de câte ori i se cere de către CSO. Produsele IDS pentru sisteme host vor fi verificate periodic. Orice raportare a unei probleme trebuie investigată pentru a vedea dacă nu se datorează vreunei intruziuni. Toate instanțele suspecte sau confirmate de tentative reușite sau nu de intruziuni trebuie raportate conform Procedurii de gestionare a incidentelor. Utilizatorii vor fi educați pentru a raporta orice anomalii ale performanțelor sistemului și semne de practici greșite către Help Desk.Securitate Proactivă. Principiile de securitate IDS implementează măsuri proactive de securitate care pot ajuta să se mențină continuitatea afacerii și performanțele infrastructurii. Prin analiza datelor furnizate de IDS și înregistrate în log-uri se pot evalua tendințele atacurilor de tip intruziune și se pot trage concluzii utile pentru îmbunătățirea politicilor de securitate.
2.7. Politica de dezvoltare și administrare a sistemelor
Proiectarea și realizarea unor sisteme informatice și de comunicații noi, precum și a unor modificări la cele existente vor fi precedate de evaluarea conformității acestora cu cerințele de securitate adoptate prin prezenta politică. Aceste cerințe de securitate vor fi identificate, specificate și aprobate întotdeauna înainte de a fi operate.
Modificările aduse mediilor de design și suport tehnic, sistemelor de operare și pachetelor de software vor fi strict controlate în privința cerințelor de securitate, pe platforme separate de mediul de producție. Transferul acestor sisteme și programe pentru a fi date în execuție va fi făcut numai după aprobarea oficială a testelor și documentației tehnice de utilizare.
Dezvoltarea, administrarea și achiziționarea de software vor fi însoțite obligatoriu de documentația de utilizare, care trebuie să fie explicită în legătură cu modul de instalare, de funcționare, de operare, asupra datelor de intrare și ieșire, precum și alte componente și controale de securitate utilizate.
2.8. Politica de management al incidentelor
2.8.1. Monitorizarea securității
Monitorizarea securității informației este folosită pentru a confirma faptul că practicile și controalele de securitate implementate sunt însușite, respectate și sunt efective. Scopul politicii de monitorizare a securității informației este de a asigura faptul că măsurile-controalele de securitate a resurselor informaționale sunt implementate, sunt efective și nu sunt depășite. Unul din beneficiile monitorizării securității informației este identificarea proactivă a practicilor greșite sau a noilor vulnerabilități de securitate. Această identificare proactivă permite prevenirea practicilor greșite sau a vulnerabilităților înainte de producerea unor pierderi și reducerea impactului potențial. În plus, asigură monitorizarea calității serviciilor, măsurarea performanțelor, limitarea expunerii juridice și dimensionarea capacității necesare. Politica de monitorizare a securității informației se aplică tuturor responsabililor de instalarea de echipamente sau producerea de noi resurse informaționale, de operarea resurselor existente și personalului responsabil de asigurarea securității informației din SC PRIMASERV SRL . Pentru detectarea în timp real a practicilor greșite și a exploatării vulnerabilităților de securitate, se vor folosi tehnologiile automate. Acolo unde este posibil va fi implementat un cadru minim de asigurare a securității informatiei iar tehnologiile folosite vor detecta abaterile de la acest cadru. Aceste tehnologii vor fi implementate pentru a monitoriza:
traficul Internet;
traficul de mesagerie electronică;
traficul de rețea din interiorul companiei, protocoalele și echipamentele;
parametrii de securitate a sistemelor de operare folosite.
Următoarele tipuri de fișiere vor trebui să fie verificate pentru identificarea practicilor greșite și a exploatării vulnerabilitătilor de securitate, la un interval în concordanță cu gradul de risc specific:
jurnalele de tip log ale sistemelor automate de detecție a intrușilor;
jurnalele de tip log ale firewall-urilor;
jurnalele referitoare la conturile de utilizator;
înregistrările scanărilor de rețea;
jurnalele de mesaje de eroare;
jurnalele de tip log ale aplicațiilor;
înregistrările de back-up și restaurare;
tichetele deschise la sistemul de Help Desk;
comunicațiile telefonice – listele detaliate de apeluri;
jurnalele de tip log ale imprimantelor de rețea și fax-urilor.
Cel puțin o dată pe an, responsabilii desemnați vor face următoarele verificări:
nivelul de complexitate a parolelor;
echipamente de rețea neautorizate;
servere web personale neautorizate;
partajarea nesecurizată a echipamentelor;
folosirea neautorizată a echipamentelor de tip modem;
folosirea licențelor pentru sistemele de operare și pentru produsele software
Orice abatere sau problemă de securitate a informației descoperită va fi raportată către GSI pentru investigare ulterioară.
2.8.2. Politica de management a incidentelor
Această politică oferă îndrumare în determinarea răspunsului potrivit în cazul utilizării greșite a resurselor informatice din interiorul sau exteriorul SC PRIMASERV SRL sau apariției de incidente de securitate a informației. Această politică acoperă incidentele de securitate și solicitările pentru asistența primite de la personalul SC PRIMASERV SRL din toate departamentele. Aceasta poate include întreruperile serviciilor notificate de alertele din sistemul de monitorizare și cele anunțate de utilizatorii facilităților IT. Incidentele de securitate includ, dar nu sunt limitate la: viruși, worms, troieni, utilizarea neautorizată a conturilor de acces și a sistemelor de calcul, precum și utilizarea necorespunzătoare a resurselor informatice. Politica de management a incidentelor se aplică de către întregul personal SC PRIMASERV SRL care utilizează resurse informaționale, precum și terțelor părți care au acces la rețeaua SC PRIMASERV SRL sau la facilitățile de procesare a informației din SC PRIMASERV SRL . Întregul personal este responsabil pentru modul în care utilizează resursele informatice și răspunzător pentru acțiunile referitoare la securitatea resurselor informaționale. Întregul personal este responsabil în aceeași măsură pentru raportarea oricăror încălcări suspectate sau confirmate a acestei politici către personalul desemnat în acest sens. Utilizarea resurselor informatice trebuie autorizată în mod oficial numai pentru a îndeplini scopurile de business ale SC PRIMASERV SRL . Nu există nici o garanție asupra secretului personal sau accesului la asemenea unelte cum ar fi serviciile de e-mail, web și alte unelte de comunicație electronică. Utilizarea acestor mijloace electronice de comunicație poate fi monitorizată pentru a îndeplini cerințele de investigare sau verificare de conformitate. Departamentele responsabile pentru custodia și operarea sistemelor de calcul vor fi responsabile și pentru autorizarea potrivită a resurselor informatice și raportarea performanțelor către management. Membrii Incident Response Team au roluri și responsabilități predefinite care pot deveni prioritare față de sarcinile normale de serviciu. În cazul unui eveniment de securitate suspectat sau confirmat cum ar fi virus, worm, hoax email, descoperirea de hacking tools, date alterate, etc, procedurile potrivite de Incident Management trebuiesc aplicate întocmai. RMSI este responsabil pentru notificarea către GSI si responsabilul cu securitatea și de inițiererea acțiunilor potrivite de incident management incluzând acțiuni de colectare de dovezi și acțiuni de repunere în funcțiune (restoration). RMSI este responsabil pentru determinarea evidențelor fizice și electronice care trebuiesc obținute în cadrul investigărilor incidentelor. Resursele tehnice potrivite din IRT sunt responsabile pentru monitorizare astfel încât orice daună survenită din incidente de securitate să fie reparată sau redusă și acea vulnerabilitate să fie eliminată sau minimizată pe cât posibil. RMSI, împreună cu responsabilul cu securitatea, vor determina dacă este necesară comunicarea extinsă (către toate persoanele), conținutul acesteia și modul de distribuire. Resursele tehnice desemnate din cadrul IRT sunt responsabile pentru comunicarea problemelor nou apărute sau vulnerabilităților către furnizorul sistemului și împreună cu acesta, vor lucra pentru eliminarea sau minimizarea vulnerabilităților. RMSI este răspunzător pentru inițierea, completarea și documentarea investigării incidentelor, asistat de IRT. RMSI este răspunzator pentru coordonarea comunicațiilor cu organizațiile din afara SC PRIMASERV SRL și impunerea respectării prevederilor legale. În cazul în care prevederile legale nu au aplicabilitate, RMSI va recomanda acțiuni disciplinare după caz, către GSI. În cazul în care se aplică prevederi legale, RMSI va acționa ca element de legătură între autoritatea juridică și SC PRIMASERV SRL .
2.9. Politica de relații publice
Fluxul intern de informații, ca și cel direcționat către publicul extern va constitui obiectul unei permanente monitorizări în privința conținutului și formei, având ca scop asigurarea integrității și confidențialității informației în conformitate cu prezenta politică.
Acțiunile legate de relațiile cu presa, relațiile cu publicul, publicitatea și reclama vor fi coordonate nemijlocit de către un membru al conducerii firmei.
Dezvăluirea de informații prin canalele de relații publice și prin orice mijloace (documente scrise, interviuri, scrisori, declarații etc) va fi monitorizată astfel încât să fie asigurată conformitatea deplină cu “Politica de securitate” adoptată și evitate eventuale prejudicii aduse imaginii firmei. Prin această procedură vor fi definite:
autoritatea și responsabilitatea pentru transmiterea sau punerea la dispoziția publică a unor informații;
identitatea și autentificarea celor ce transmit și primesc informații;
informațiile ce vor fi schimbate într-o asemenea manieră;
înregistrarea și documentarea schimbului de informații.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Politica DE Securitate A Informatiilor PE Baza Standardului Iso 27001 LA S.c. Primaserv S.r.l (ID: 144510)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.