5
Anexa nr.1 La Hotărîrea Curţii de Conturi nr. 10 din 28 februarie 2012 POLITICA DE SECURITATE INFORMAŢIONALĂ I. INTRODUCERE – GENERALITĂŢI Prin emiterea şi aprobarea acestei Politici, Curtea de Conturi, în calitate de instituţie, se angajează să păstreze confidenţialitatea, integritatea şi disponibilitatea tuturor activelor informaţionale fizice şi electronice în cadrul acesteia prin asigurarea implementării şi menţinerii unui Sistem de Management al Securităţii Informaţiei conformat la Standardul ISO 27001:2005. Acest document reprezintă şi afirmă angajamentul şi responsabilitatea Curţii de Conturi, precum şi a persoanelor care o reprezintă pentru procesul de asigurare a unui nivel suficient al securităţii informaţionale. Politica de securitate constă dintr-un set de reguli si practici care reglează modul în care o instituţie foloseşte, administrează, protejează si distribuie propriile informaţii sensibile ce trebuie protejate; reprezintă modul de gestiune prin care un Sistem de Management al Securităţii Informaţionale (în continuare – SMSI) conferă un grad suficient de încredere. O politica de securitate, de regulă, are în vedere două laturi: a subiectului si a obiectului politicii. Subiectul este reprezentat de ceva activ în SMSI (utilizator, program, proces etc.), iar obiectul este cel asupra căruia acţionează un subiect (fişiere, dosare, diferite dispozitive şi echipamente etc.). Se impune elaborarea unui set de reguli utilizate de SMSI, pentru ca acesta să poată determina în ce caz un anume subiect este autorizat sa aibă acces la un anume obiect. Rolul Politicii de securitate este de a-i informa pe angajaţii Curţii de Conturi asupra modului în care trebuie se comporte în ceea ce priveşte o anumită situaţie (de exemplu, la lucrul cu informaţii sensibile); care ar trebui să fie poziţia managementului referitor la acea temă şi care sînt acţiunile specifice pe care instituţia urmează să le întreprindă în funcţie de situaţiile apărute. La elaborarea Politicii de securitate s-a ţinut cont de procedurile de securitate deja implementate, de riscurile utilizării tehnologiilor informaţionale şi de bunele practici existente în domeniu. Politica va fi revizuită cel puţin o dată pe an şi actualizată, în caz de necesitate, pentru a reflecta obiectivele strategice ale Curţii de Conturi, modificările legale sau din mediul gestiunii riscurilor. Prezentul document este public şi accesibil tuturor părţilor interesate.

H10_2012_an1

Embed Size (px)

DESCRIPTION

a

Citation preview

  • Anexa nr.1 La Hotrrea Curii de Conturi

    nr. 10 din 28 februarie 2012

    POLITICA DE SECURITATE INFORMAIONAL

    I. INTRODUCERE GENERALITI

    Prin emiterea i aprobarea acestei Politici, Curtea de Conturi, n calitate de instituie, se angajeaz s pstreze confidenialitatea, integritatea i disponibilitatea tuturor activelor informaionale fizice i electronice n cadrul acesteia prin asigurarea implementrii i meninerii unui Sistem de Management al Securitii Informaiei conformat la Standardul ISO 27001:2005. Acest document reprezint i afirm angajamentul i responsabilitatea Curii de Conturi, precum i a persoanelor care o reprezint pentru procesul de asigurare a unui nivel suficient al securitii informaionale. Politica de securitate const dintr-un set de reguli si practici care regleaz modul n care o instituie folosete, administreaz, protejeaz si distribuie propriile informaii sensibile ce trebuie protejate; reprezint modul de gestiune prin care un Sistem de Management al Securitii Informaionale (n continuare SMSI) confer un grad suficient de ncredere. O politica de securitate, de regul, are n vedere dou laturi: a subiectului si a obiectului politicii. Subiectul este reprezentat de ceva activ n SMSI (utilizator, program, proces etc.), iar obiectul este cel asupra cruia acioneaz un subiect (fiiere, dosare, diferite dispozitive i echipamente etc.). Se impune elaborarea unui set de reguli utilizate de SMSI, pentru ca acesta s poat determina n ce caz un anume subiect este autorizat sa aib acces la un anume obiect. Rolul Politicii de securitate este de a-i informa pe angajaii Curii de Conturi asupra modului n care trebuie s se comporte n ceea ce privete o anumit situaie (de exemplu, la lucrul cu informaii sensibile); care ar trebui s fie poziia managementului referitor la acea tem i care snt aciunile specifice pe care instituia urmeaz s le ntreprind n funcie de situaiile aprute. La elaborarea Politicii de securitate s-a inut cont de procedurile de securitate deja implementate, de riscurile utilizrii tehnologiilor informaionale i de bunele practici existente n domeniu. Politica va fi revizuit cel puin o dat pe an i actualizat, n caz de necesitate, pentru a reflecta obiectivele strategice ale Curii de Conturi, modificrile legale sau din mediul gestiunii riscurilor. Prezentul document este public i accesibil tuturor prilor interesate.

  • II. SCOPUL POLITICII DE SECURITATE

    Politica de securitate are ca scop primordial asigurarea integritii, disponibilitii i confidenialitii informaiei. Integritatea se refer la msurile i procedurile utilizate pentru protecia datelor mpotriva modificrilor sau distrugerii neautorizate. Disponibilitatea se asigur prin funcionarea continu a tuturor componentelor sistemului informaional (SI). Diverse aplicaii au nevoie de nivele diferite de disponibilitate n funcie de impactul sau daunele produse ca urmare a nefuncionrii corespunztoare a SI. Confidenialitatea se refer la protecia datelor mpotriva accesului neautorizat. Utilizatorul rspunde personal de asigurarea confidenialitii datelor ncredinate prin procedurile de acces la SI. Politica de securitate are ca scop, de asemenea, stabilirea cadrului normativ necesar pentru elaborarea regulamentelor i procedurilor de securitate. Acestea snt obligatorii pentru toi utilizatorii SI.

    III. OBIECTIVELE POLITICII DE SECURITATE

    Atingerea scopului general se face prin stabilirea unor obiective operaionale privind securitatea informaiei, a cror realizare asigur:

    conformarea securitii informaiei cu prevederile legale i cerinele din Standardul ISO/IEC 27001:2005;

    conformarea securitii informaiei cu activitatea propriu-zis; conformarea securitii informaiei cu angajamentele asumate.

    Pentru ndeplinirea acestor obiective, fiecare angajat al Curii de Conturi este pe deplin contient de responsabilitatea personal i de atribuiile ce i revin n domeniul securitii informaiei. Preedintele Curii de Conturi va dispune delegarea atribuiilor pentru atingerea obiectivelor n vederea dezvoltrii, meninerii i mbuntirii continue a eficacitii SMSI. Realizarea i implementarea Politicii va fi efectuat n etape distincte, potrivit planurilor anuale de aciuni i n strict conformitate cu resursele disponibile.

    Obiectivele de importan major snt:

    elaborarea, aprobarea i meninerea procedurilor operaionale i tehnologice; clasificarea informaiei i serviciilor ntr-un mod care indic importana lor

    pentru Curtea de Conturi; stabilirea posesorilor pentru fiecare resurs informaional, conform clasificrii

    acestora; implementarea sistemului de evaluare i gestiune a riscurilor;

  • desemnarea persoanelor responsabile pentru protecia tuturor informaiilor i serviciilor critice;

    implementarea controalelor de securitate bazate pe risc i impactul serviciilor i informaiilor asupra activitilor;

    elaborarea i implementarea Planului de asigurare a continuitii n activitate; elaborarea i implementarea Regulamentului privind modul de prelucrare i

    protecie a datelor cu caracter personal; implementarea controlului asupra accesului la informaii, bazat pe principiul

    "necesitatea de a cunoate"; protejarea informaiei n ceea ce privete cerinele sale de confidenialitate,

    integritate i disponibilitate n toate domeniile de activitate; instruirea periodic a angajailor ntru respectarea Politicii i procedurilor de

    securitate a informaiilor de ctre tot personalul, nerespectarea fiind supus unei sanciuni disciplinare;

    instruirea specializat a persoanelor responsabile de asigurarea securitii informaionale;

    raportarea i investigarea tuturor nclcrilor de securitate a informaiilor, reale sau suspectate. IV. PRINCIPIILE DE REALIZARE A POLITICII DE SECURITATE:

    Responsabilitii stabilirea clar a responsabilitilor referitoare la securitate pentru proprietarii, furnizorii, administratorii i utilizatorii sistemelor informaionale; sensibilizrii toate persoanele interesate asupra acestui aspect trebuie informate corect i oportun; eticii elaborarea unor reguli de conduit n utilizarea SI; pluridisciplinaritii metodele tehnice i organizatorice care trebuie luate n vederea securitii SI au caracter multidisciplinar i cooperant; proporionalitii prevede ca nivelul de securitate i msurile de protecie s fie proporional cu importana informaiilor gestionate; integritii securitatea este necesar la toate etapele de prelucrare a informaiilor (creare, colectare, prelucrare, stocare, transport, tergere etc.); promptitudinii mecanismele de securitate trebuie s rspund prompt i s permit o colaborare rapid i eficient n caz de detectare a eventualelor pericole; reevalurii prevede revizuirea periodic a cerinelor de securitate i a mecanismelor de implementare a lor; neinfluenei cerinele de protecie i securitate nu trebuie s limiteze nejustificat libera circulaie a informaiilor.

  • Securitatea informaional trebuie s fie asigurat prin intermediul utilizrii complexe a tuturor mijloacelor de protecie pentru toate elementele de structur ale SI i la toate etapele ciclului tehnologic de activitate a instituiei.

    V. GESTIONAREA RISCURILOR

    Administrarea riscului reprezint procedurile i aciunile ce permit identificarea, evaluarea, monitorizarea i lichidarea/minimizarea riscurilor pn/ori n timpul transformrii lor n probleme. Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesar o decizie privind aciunile de rspuns. Sarcina persoanei responsabile de gestiunea riscurilor const n determinarea i aplicarea autorizat a unor aciuni, care, n caz de realizare a riscului, vor permite reducerea probabilitii evenimentului negativ ori a consecinelor acestuia. Concomitent, este de dorit ca consumul de resurse s fie minim.

    Sarcini pentru gestionarea riscurilor:

    Planificarea gestionrii riscurilor descrierea procedeelor generale de administrare a riscurilor i aciunilor principale care trebuie ndeplinite. Depistarea riscurilor stabilirea situaiilor i evenimentelor care pot provoca urmri negative pentru activitatea Curii de Conturi. Analiza i evaluarea prioritii riscurilor stabilirea impactului potenial al riscului asupra cheltuielilor, graficului de lucru etc. Planificarea aciunilor de rspuns pentru fiecare risc vor fi stabilite msurile necesare pentru diminuarea probabilitii manifestrii riscului i urmrilor lui. Monitorizarea riscului are drept scop modificarea prioritilor i planurilor de depire a riscurilor n caz de modificare a probabilitii i consecinelor, precum i, depistarea oportun a riscurilor realizate la moment.

    VI. CLASIFICAREA INFORMAIEI

    Clasificarea informaiilor este necesar att pentru a permite alocarea resurselor necesare protejrii acestora, ct i pentru a determina pierderile poteniale ca urmare a modificrilor, pierderii/distrugerii sau divulgrii acestora. Pentru a asigura securitatea i integritatea informaiilor, acestea se mpart n urmtoarele categorii principale: - Publice informaii accesibile oricrui utilizator din interiorul sau exteriorul Curii

    de Conturi;

  • - Restricionate informaii a cror divulgare neautorizat poate fi n dezavantajul intereselor i/sau securitii naionale sau poate s conduc la divulgarea unei informaii secretizate cu parafa Strict secret, Secret sau Confidenial;

    - Confideniale informaii a cror divulgare neautorizat poate duna intereselor i/sau securitii naionale;

    - Secrete informaii care trebuie protejate conform legislaiei n vigoare; - Strict Secrete informaii la care accesul va fi restricionat de ctre conducerea

    Curii de Conturi, a cror divulgare neautorizat poate aduce prejudicii extrem de grave.

    VII. ATRIBUII I RESPONSABILITI

    Rolurile i responsabilitatea pentru asigurarea securitii informaionale se stabilesc ntr-un mod clar, transmise personalului corespunztor i aprobate de toi participanii la procesul de asigurare a securiti informaionale. eful Aparatului Curii de Conturi coordoneaz i asigur promptitudinea i calitatea ndeplinirii responsabilitilor ce in de asigurarea securitii informaionale. Repartizarea rolurilor se efectueaz n baza proceselor existente i cu scopul de a evita suprapunerea (dublarea) responsabilitilor, a reduce riscul de incidente de securitate, legate de perturbarea disponibilitii, integritii sau confidenialitii activelor informaionale. Atribuiile i obligaiunile personalului stau la baza repartizrii rolurilor ce in de asigurarea securitii informaionale. Pornind de la faptul c, factorul uman reprezint cea mai vulnerabil verig a sistemului de securitate informaional, personalul Curii de Conturi va studia metodele i procedeele de prevenire i contracarare a pericolelor n cadrul unor instruiri-standard de iniiere n cerinele fa de respectarea securitii informaionale (cu semnarea acordurilor de angajament de rigoare). Angajaii Curii de Conturi i vor executa obligaiunile privind asigurarea securitii informaiei n conformitate cu documentele organizatorice i cu caracter de dispoziie, elaborate i aprobate de ctre conducere (regulamente, formulare etc.). Realizarea conform i n timp util a stipulrilor prezentei Politici va fi monitorizat de ctre efului Aparatului Curii de Conturi.


Ianos-animalbiblio

Ianos-animalbiblio

Documents
Клиентизм

Клиентизм

Documents
phone

phone

Documents
Gain Score in Data Analysis

Gain Score in Data Analysis

Documents
עבודת סיום וירולוגיה

עבודת סיום וירולוגיה

Documents
cisco사례분석

cisco사례분석

Documents
CLINICA DENTAL PORTUGAL

CLINICA DENTAL PORTUGAL

Documents
168名詞解釋

168名詞解釋

Documents
French Final - Study Sheet

French Final - Study Sheet

Documents
ספר התבשילים

ספר התבשילים

Documents
Титульный лист ДЗ МГТУ им. Н.Э. Баумана с возничим

Титульный лист ДЗ МГТУ им. Н.Э. Баумана с возничим

Documents
BIBLIOGRAFIA

BIBLIOGRAFIA

Documents
Erste DOH2006 - prijava poreza na dohodak

Erste DOH2006 - prijava poreza na dohodak

Documents
Antoni Gaudi arhitectura

Antoni Gaudi arhitectura

Documents
Русско-латинский словарь

Русско-латинский словарь

Documents
英文的金玉良言

英文的金玉良言

Documents
tagalog english

tagalog english

Documents
1학년1학기

1학년1학기

Documents
расписание электричек Москва-Железка

расписание электричек Москва-Железка

Documents
מוטיבציה בעבודה

מוטיבציה בעבודה

Documents
PLANTILLA PROYECTO DE INVERSION

PLANTILLA PROYECTO DE INVERSION

Documents
תורכיה והאיחוד האירופי

תורכיה והאיחוד האירופי

Documents
Бандеровщина

Бандеровщина

Documents
Махновщина

Махновщина

Documents
העצמת בני משפחה של חולי אלצהיימר

העצמת בני משפחה של חולי אלצהיימר

Documents
1 시스템분석입문

1 시스템분석입문

Documents
공학함수38가지

공학함수38가지

Documents
הצגת מלחמת העצמאות באתר של מט"ח

הצגת מלחמת העצמאות באתר של מט"ח

Documents
Άσκηση1 4

Άσκηση1 4

Documents
Учебник языка Ruby

Учебник языка Ruby

Documents