Introducere | În acord cu prevederile din prezentul document, Resursele Informatice şi de Comunicaţii (RIC) sunt bunuri strategice ale Universităţii „Alexandru Ioan Cuza” din Iaşi care trebuiesc administrate ca resurse ale statului român. Compromiterea securităţii sistemului RIC poate afecta capacitatea Universităţii „Alexandru Ioan Cuza” din Iaşi de a oferi servicii informatice şi de comunicaţii, poate conduce la fraude sau distrugerea datelor, violarea clauzelor contractuale, divulgarea secretelor, afectarea credibilităţii Universităţii „Alexandru Ioan Cuza” din Iaşi în faţa partenerilor săi. Această politică este stabilită astfel încât: - Să fie în conformitate cu statutul, regulamentele, legile şi alte documente oficiale în vigoare privind administrarea resurselor informatice publice,
- Să stabilească practici prudente şi acceptabile privind utilizarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi,
- Să instruiască utilizatorii care au dreptul de folosire a sistemului RIC privind responsabilităţile asociate unei astfel de utilizări.
| | Audienţă | Politica de securitate a sistemului RIC al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a Universităţii „Alexandru Ioan Cuza” din Iaşi. Următoarele entităţi şi utilizatori sunt vizaţi în mod distinct de prevederile Politicii: - Angajaţii cu contract de muncă pe perioadă determinată sau nedeterminată care au acces la sistemul informaţional şi de comunicaţii;
- Colaboratorii Universităţii „Alexandru Ioan Cuza” din Iaşi care au acces la sistemul RIC;
- Furnizorii Universităţii „Alexandru Ioan Cuza” din Iaşi care au acces la sistemul RIC;
- Studenţii Universităţii „Alexandru Ioan Cuza” din Iaşi;
- Alte persoane, entităţi sau organizaţii care au acces la sistemul RIC.
| | Scop | Politica de securitate a sistemului RIC are ca scop asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiei. - Confidenţialitatea se referă la protecţia datelor împotriva accesului neautorizat. Fişierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate în proprietatea, administrarea sau în custodia şi sub controlul Universităţii „Alexandru Ioan Cuza”, sunt proprietatea Universităţii în condiţiile legilor în vigoare. Utilizatorul răspunde personal de confidenţialitatea datelor încredinţate prin procedurile de acces la sistemul RIC.
- Integritatea se referă la măsurile şi procedurile utilizate pentru protecţia datelor împotriva modificărilor sau distrugerii neautorizate.
- Disponibilitatea se asigură prin funcţionarea continuă a tuturor componentelor sistemului RIC. Diverse aplicaţii au nevoie de nivele diferite de disponibilitate în funcţie de impactul sau daunele produse ca urmare a nefuncţionării corespunzătoare a sistemului RIC.
Politica de securitate are ca scop, de asemenea, stabilirea cadrului necesar pentru elaborarea regulamentelor şi procedurilor de securitate. Acestea sunt obligatorii pentru toţi utilizatorii sistemului RIC. | | Definiţii | - Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
- Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.
- Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC. Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC. - Abuz de privilegii: Orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu regulamentele Universităţii „Alexandru Ioan Cuza” şi/sau legile în vigoare, inclusiv cazul în care, din punct de vedere tehnic, nu se poate preveni înfăptuirea de către utilizator a acţiunii respective.
- Furnizor: Persoană fizică/juridică care oferă bunuri sau servicii Universităţii „Alexandru Ioan Cuza” din Iaşi în baza unui contract comercial sau de colaborare.
| | Clasificarea Informaţiilor | Clasificarea informaţiilor este necesară pentru a permite atât alocarea resurselor necesare protejării acestora cât şi pentru a determina pierderile potenţiale ca urmare a modificărilor, pierderii/distrugerii sau divulgării acestora. Pentru a asigura securitatea şi integritatea informaţiilor, acestea se împart în trei categorii principale: - Publice
- Secrete
- Strict Secrete
OSRIC, OSRICD şi conducerea Facultăţilor/Departamentelor răspund de evaluarea periodică a schemei de clasificare a informaţiilor. Toate informaţiile din Universitatea „Alexandru Ioan Cuza” din Iaşi trebuie să se regăsească în una din următoarele categorii: - Publice. Acestea sunt informaţiile accesibile oricărui utilizator din interiorul sau exteriorul Universităţii „Alexandru Ioan Cuza” din Iaşi. Divulgarea, utilizarea neautorizată sau distrugerea acestora nu produce efecte asupra Universităţii „Alexandru Ioan Cuza” din Iaşi sau aceste efecte sunt nesemnificative. Utilizatorii care furnizează aceste informaţii sunt responsabili de asigurarea integrităţii şi disponibilităţii acestora în raport cu cerinţele Universităţii „Alexandru Ioan Cuza” din Iaşi.
Exemple: Informaţiile de pe aviziere, servere web publice, ştirile de presă, informările Rectorului. - Secrete. În această categorie se includ informaţiile care datorită valorii economice nu trebuie făcute publice. Se includ aici şi informaţiile pe care Universitatea „Alexandru Ioan Cuza” din Iaşi trebuie să le protejeze conform legislaţiei în vigoare. Datorită valorii economice asociate, aceste date trebuie distruse dacă au fost făcute publice. Aceste date vor fi copiate şi distribuite în cadrul Universităţii „Alexandru Ioan Cuza” din Iaşi doar utilizatorilor autorizaţi. Distribuirea acestor informaţii de către utilizatorii autorizaţi trebuie să se facă pe baza unei clauze de confidenţialitate.
Exemple: clauze contractuale, codul sursă al aplicaţiilor. - Strict Secrete sau Confidenţiale. În această categorie se includ toate informaţiile care datorită valorii economice nu trebuie făcute publice. Divulgarea, utilizarea sau distrugerea acestor date poate intra sub incidenţa Codului Civil, Penal sau legislaţiei fiscale. Accesul la aceste informaţii va fi restricţionat. Datele strict secrete nu pot fi copiate, distribuite sau şterse fără acordul scris al conducerii Universităţii.
Exemple: cheile criptografice. | | Atribuţii şi Responsabilităţi | Atribuţiile manageriale includ: - Orice angajat sau compartiment al Universităţii „Alexandru Ioan Cuza” din Iaşi trebuie să se asigure că managementul respectă prevederile prezentei Politici şi a regulamentelor sau procedurilor asociate.
- Administratorii de reţea/sistem/baze de date trebuie să asigure existenţa jurnalelor şi a traseelor auditării pentru orice tip de acces în sistem conform regulamentelor sau procedurilor asociate.
- Administratorii de reţea/sistem/baze de date trebuie să asigure activarea tuturor mecanismelor de securitate.
- Compartimentul de audit intern este responsabil de evaluarea schemei de clasificare a informaţiilor.
Atribuţiile OSRIC şi OSRICD includ: - Elaborează şi propune modificări ale politicii de securitate a sistemului RIC.
- Elaborează şi propune pentru aprobare regulamentele şi procedurile de securitate a sistemului RIC în conformitate cu politica de securitate a sistemului RIC.
- Elaborează proceduri pentru identificarea utilizatorilor sistemului RIC.
- Tratarea incidentelor de securitate în scopul minimizării efectului distructiv al acestora asupra sistemului RIC.
- Facilitarea evaluărilor legale, a cerinţelor de tip „cele mai bune practici” pe măsură ce acestea devin recunoscute.
Atribuţii ale utilizatorilor: - Să cunoască şi să respecte prevederile Politicii de Securitate a Sistemului RIC.
- Să cunoască şi să respecte prevederile tuturor Regulamentelor şi/sau Procedurile privind securitatea sistemului RIC.
- Să răspundă direct de securitatea şi conţinutul informaţiilor şi resursele informatice şi de comunicaţii încredinţate direct sau indirect.
Alte atribuţii: - Toţi partenerii Universităţii „Alexandru Ioan Cuza” din Iaşi (furnizori, agenţi, colaboratori etc.) trebuie să accepte şi să respecte prezentul document şi regulamentele specifice privind sistemul RIC.
| | Confidenţialitate | - Fişierele electronice create, trimise, primite sau stocate folosind sistemul RIC propriu, administrate sau în custodia şi sub controlul Universităţii „Alexandru Ioan Cuza” nu au caracter personal şi pot fi accesate oricând de către angajaţii autorizaţi din cadrul D.C.D., Departamente şi Facultăţi fără înştiinţarea utilizatorului conform Planului de Securitate.
- În scopul administrării RIC şi pentru asigurarea securităţii RIC personalul autorizat poate revizui sau utiliza orice informaţie stocată pe sau transportată prin sistemele RIC în conformitate cu legile în vigoare. În aceleaşi scopuri, este posibilă monitorizarea activităţii utilizatorilor (de exemplu, dar fără a se limita la, numere de telefon formate sau sit-uri web vizitate).
- Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul Universităţii „Alexandru Ioan Cuza”, orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament (prin contactarea OSRIC sau OSRICD).
- Un mare număr de utilizatori (inclusiv studenţi), pot accesa informaţii din exteriorul sistemului de comunicaţii al Universităţii „Alexandru Ioan Cuza” din Iaşi. În aceste condiţii este obligatorie păstrarea confidenţialităţii informaţiilor transmise din exteriorul RIC şi a informaţiilor obţinute din interior.
- Utilizatorii nu trebuie să încerce să acceseze informaţii sau programe de pe sistemele Universităţii „Alexandru Ioan Cuza” din Iaşi pentru care nu au autorizaţie sau consimţământ explicit.
- Nici un utilizator al sistemului RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi nu poate divulga informaţiile la care are acces sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemului RIC. Această regulă se extinde şi după ce utilizatorul a încheiat relaţiile cu Universitatea “Alexandru Ioan Cuza” din Iaşi.
- Confidenţialitatea informaţiilor transmise prin intermediul resurselor de comunicaţii ale terţilor nu poate fi asigurată. Pentru aceste situaţii, confidenţialitatea şi integritatea informaţiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligaţi să se asigure că toate informaţiile confidenţiale ale Universităţii „Alexandru Ioan Cuza” din Iaşi se transmit în aşa fel încât să se asigure confidenţialitatea şi integritatea acestora.
|
|