Upload
carmen-dumitru
View
212
Download
0
Embed Size (px)
DESCRIPTION
a
Citation preview
Anexa nr.1 La Hotrrea Curii de Conturi
nr. 10 din 28 februarie 2012
POLITICA DE SECURITATE INFORMAIONAL
I. INTRODUCERE GENERALITI
Prin emiterea i aprobarea acestei Politici, Curtea de Conturi, n calitate de instituie, se angajeaz s pstreze confidenialitatea, integritatea i disponibilitatea tuturor activelor informaionale fizice i electronice n cadrul acesteia prin asigurarea implementrii i meninerii unui Sistem de Management al Securitii Informaiei conformat la Standardul ISO 27001:2005. Acest document reprezint i afirm angajamentul i responsabilitatea Curii de Conturi, precum i a persoanelor care o reprezint pentru procesul de asigurare a unui nivel suficient al securitii informaionale. Politica de securitate const dintr-un set de reguli si practici care regleaz modul n care o instituie folosete, administreaz, protejeaz si distribuie propriile informaii sensibile ce trebuie protejate; reprezint modul de gestiune prin care un Sistem de Management al Securitii Informaionale (n continuare SMSI) confer un grad suficient de ncredere. O politica de securitate, de regul, are n vedere dou laturi: a subiectului si a obiectului politicii. Subiectul este reprezentat de ceva activ n SMSI (utilizator, program, proces etc.), iar obiectul este cel asupra cruia acioneaz un subiect (fiiere, dosare, diferite dispozitive i echipamente etc.). Se impune elaborarea unui set de reguli utilizate de SMSI, pentru ca acesta s poat determina n ce caz un anume subiect este autorizat sa aib acces la un anume obiect. Rolul Politicii de securitate este de a-i informa pe angajaii Curii de Conturi asupra modului n care trebuie s se comporte n ceea ce privete o anumit situaie (de exemplu, la lucrul cu informaii sensibile); care ar trebui s fie poziia managementului referitor la acea tem i care snt aciunile specifice pe care instituia urmeaz s le ntreprind n funcie de situaiile aprute. La elaborarea Politicii de securitate s-a inut cont de procedurile de securitate deja implementate, de riscurile utilizrii tehnologiilor informaionale i de bunele practici existente n domeniu. Politica va fi revizuit cel puin o dat pe an i actualizat, n caz de necesitate, pentru a reflecta obiectivele strategice ale Curii de Conturi, modificrile legale sau din mediul gestiunii riscurilor. Prezentul document este public i accesibil tuturor prilor interesate.
II. SCOPUL POLITICII DE SECURITATE
Politica de securitate are ca scop primordial asigurarea integritii, disponibilitii i confidenialitii informaiei. Integritatea se refer la msurile i procedurile utilizate pentru protecia datelor mpotriva modificrilor sau distrugerii neautorizate. Disponibilitatea se asigur prin funcionarea continu a tuturor componentelor sistemului informaional (SI). Diverse aplicaii au nevoie de nivele diferite de disponibilitate n funcie de impactul sau daunele produse ca urmare a nefuncionrii corespunztoare a SI. Confidenialitatea se refer la protecia datelor mpotriva accesului neautorizat. Utilizatorul rspunde personal de asigurarea confidenialitii datelor ncredinate prin procedurile de acces la SI. Politica de securitate are ca scop, de asemenea, stabilirea cadrului normativ necesar pentru elaborarea regulamentelor i procedurilor de securitate. Acestea snt obligatorii pentru toi utilizatorii SI.
III. OBIECTIVELE POLITICII DE SECURITATE
Atingerea scopului general se face prin stabilirea unor obiective operaionale privind securitatea informaiei, a cror realizare asigur:
conformarea securitii informaiei cu prevederile legale i cerinele din Standardul ISO/IEC 27001:2005;
conformarea securitii informaiei cu activitatea propriu-zis; conformarea securitii informaiei cu angajamentele asumate.
Pentru ndeplinirea acestor obiective, fiecare angajat al Curii de Conturi este pe deplin contient de responsabilitatea personal i de atribuiile ce i revin n domeniul securitii informaiei. Preedintele Curii de Conturi va dispune delegarea atribuiilor pentru atingerea obiectivelor n vederea dezvoltrii, meninerii i mbuntirii continue a eficacitii SMSI. Realizarea i implementarea Politicii va fi efectuat n etape distincte, potrivit planurilor anuale de aciuni i n strict conformitate cu resursele disponibile.
Obiectivele de importan major snt:
elaborarea, aprobarea i meninerea procedurilor operaionale i tehnologice; clasificarea informaiei i serviciilor ntr-un mod care indic importana lor
pentru Curtea de Conturi; stabilirea posesorilor pentru fiecare resurs informaional, conform clasificrii
acestora; implementarea sistemului de evaluare i gestiune a riscurilor;
desemnarea persoanelor responsabile pentru protecia tuturor informaiilor i serviciilor critice;
implementarea controalelor de securitate bazate pe risc i impactul serviciilor i informaiilor asupra activitilor;
elaborarea i implementarea Planului de asigurare a continuitii n activitate; elaborarea i implementarea Regulamentului privind modul de prelucrare i
protecie a datelor cu caracter personal; implementarea controlului asupra accesului la informaii, bazat pe principiul
"necesitatea de a cunoate"; protejarea informaiei n ceea ce privete cerinele sale de confidenialitate,
integritate i disponibilitate n toate domeniile de activitate; instruirea periodic a angajailor ntru respectarea Politicii i procedurilor de
securitate a informaiilor de ctre tot personalul, nerespectarea fiind supus unei sanciuni disciplinare;
instruirea specializat a persoanelor responsabile de asigurarea securitii informaionale;
raportarea i investigarea tuturor nclcrilor de securitate a informaiilor, reale sau suspectate. IV. PRINCIPIILE DE REALIZARE A POLITICII DE SECURITATE:
Responsabilitii stabilirea clar a responsabilitilor referitoare la securitate pentru proprietarii, furnizorii, administratorii i utilizatorii sistemelor informaionale; sensibilizrii toate persoanele interesate asupra acestui aspect trebuie informate corect i oportun; eticii elaborarea unor reguli de conduit n utilizarea SI; pluridisciplinaritii metodele tehnice i organizatorice care trebuie luate n vederea securitii SI au caracter multidisciplinar i cooperant; proporionalitii prevede ca nivelul de securitate i msurile de protecie s fie proporional cu importana informaiilor gestionate; integritii securitatea este necesar la toate etapele de prelucrare a informaiilor (creare, colectare, prelucrare, stocare, transport, tergere etc.); promptitudinii mecanismele de securitate trebuie s rspund prompt i s permit o colaborare rapid i eficient n caz de detectare a eventualelor pericole; reevalurii prevede revizuirea periodic a cerinelor de securitate i a mecanismelor de implementare a lor; neinfluenei cerinele de protecie i securitate nu trebuie s limiteze nejustificat libera circulaie a informaiilor.
Securitatea informaional trebuie s fie asigurat prin intermediul utilizrii complexe a tuturor mijloacelor de protecie pentru toate elementele de structur ale SI i la toate etapele ciclului tehnologic de activitate a instituiei.
V. GESTIONAREA RISCURILOR
Administrarea riscului reprezint procedurile i aciunile ce permit identificarea, evaluarea, monitorizarea i lichidarea/minimizarea riscurilor pn/ori n timpul transformrii lor n probleme. Pentru fiecare dintre riscurile identificate prin determinarea de risc este necesar o decizie privind aciunile de rspuns. Sarcina persoanei responsabile de gestiunea riscurilor const n determinarea i aplicarea autorizat a unor aciuni, care, n caz de realizare a riscului, vor permite reducerea probabilitii evenimentului negativ ori a consecinelor acestuia. Concomitent, este de dorit ca consumul de resurse s fie minim.
Sarcini pentru gestionarea riscurilor:
Planificarea gestionrii riscurilor descrierea procedeelor generale de administrare a riscurilor i aciunilor principale care trebuie ndeplinite. Depistarea riscurilor stabilirea situaiilor i evenimentelor care pot provoca urmri negative pentru activitatea Curii de Conturi. Analiza i evaluarea prioritii riscurilor stabilirea impactului potenial al riscului asupra cheltuielilor, graficului de lucru etc. Planificarea aciunilor de rspuns pentru fiecare risc vor fi stabilite msurile necesare pentru diminuarea probabilitii manifestrii riscului i urmrilor lui. Monitorizarea riscului are drept scop modificarea prioritilor i planurilor de depire a riscurilor n caz de modificare a probabilitii i consecinelor, precum i, depistarea oportun a riscurilor realizate la moment.
VI. CLASIFICAREA INFORMAIEI
Clasificarea informaiilor este necesar att pentru a permite alocarea resurselor necesare protejrii acestora, ct i pentru a determina pierderile poteniale ca urmare a modificrilor, pierderii/distrugerii sau divulgrii acestora. Pentru a asigura securitatea i integritatea informaiilor, acestea se mpart n urmtoarele categorii principale: - Publice informaii accesibile oricrui utilizator din interiorul sau exteriorul Curii
de Conturi;
- Restricionate informaii a cror divulgare neautorizat poate fi n dezavantajul intereselor i/sau securitii naionale sau poate s conduc la divulgarea unei informaii secretizate cu parafa Strict secret, Secret sau Confidenial;
- Confideniale informaii a cror divulgare neautorizat poate duna intereselor i/sau securitii naionale;
- Secrete informaii care trebuie protejate conform legislaiei n vigoare; - Strict Secrete informaii la care accesul va fi restricionat de ctre conducerea
Curii de Conturi, a cror divulgare neautorizat poate aduce prejudicii extrem de grave.
VII. ATRIBUII I RESPONSABILITI
Rolurile i responsabilitatea pentru asigurarea securitii informaionale se stabilesc ntr-un mod clar, transmise personalului corespunztor i aprobate de toi participanii la procesul de asigurare a securiti informaionale. eful Aparatului Curii de Conturi coordoneaz i asigur promptitudinea i calitatea ndeplinirii responsabilitilor ce in de asigurarea securitii informaionale. Repartizarea rolurilor se efectueaz n baza proceselor existente i cu scopul de a evita suprapunerea (dublarea) responsabilitilor, a reduce riscul de incidente de securitate, legate de perturbarea disponibilitii, integritii sau confidenialitii activelor informaionale. Atribuiile i obligaiunile personalului stau la baza repartizrii rolurilor ce in de asigurarea securitii informaionale. Pornind de la faptul c, factorul uman reprezint cea mai vulnerabil verig a sistemului de securitate informaional, personalul Curii de Conturi va studia metodele i procedeele de prevenire i contracarare a pericolelor n cadrul unor instruiri-standard de iniiere n cerinele fa de respectarea securitii informaionale (cu semnarea acordurilor de angajament de rigoare). Angajaii Curii de Conturi i vor executa obligaiunile privind asigurarea securitii informaiei n conformitate cu documentele organizatorice i cu caracter de dispoziie, elaborate i aprobate de ctre conducere (regulamente, formulare etc.). Realizarea conform i n timp util a stipulrilor prezentei Politici va fi monitorizat de ctre efului Aparatului Curii de Conturi.