Anes ue tla Ordinal er, os I is INSTITUTUL NATIONAL DE STATISTICA dul Libertine. 16 sector S, Bucuresti propa, PRESEDINTE. AW tr Mowe Ro dear Acer Eilian Simon dt lena Bini, distor adoner ZS, Cone ope, der ain $C Dan Dui Marci ese YAN Doin Dometese fein sian Bld ese Cha Cp sein arowan DESTATISTICA Politica de securitate a informatilor INS uprins 1 invoducere 4 1.1 Domania le pare, 4 12 —_Angpmentl Management 5 2 Seutateiefrmatir sa ahi 7 21 Seeuntatea fe . 7 212 Pormetale veut fe 7 222 2onolescinaas co - 7 243 Socutate echipamentlorin frais. 7 2.4 evacvareasoureutlzarea sigur echparentul - 7 215 poli boue cat. 22 Management acvelor 8 221 Casares ifematilor, 8 222 Responabitatea pnt ative 8 23 cominutaes atts 8 24 Management schinbiroe 9 241 Corey de seeuntate ale sstemesrinormatice 9 242, Achstonarea i dentarendesoftare 9 243° —_Tesareaslintineren stare enn 24k torino chibi —— 24S Getlontes enfin : 9 25. Securttea management pea nnn con 254 sadupsirecuperare . 0 252 rotetaimpotriamalvare. ub. . 10 253. sSeqreareatndaterir fection 20 254 eploatareasimontoares a 255 Gestonarea la deserve tr parte S aa 26 Managementuincerelor 2 27° contol acesus - 2 274 celina sister, ae 2 272 Aces lta. z 2 273, Aces tninteret - cls ouANIA aona DesTaTISTCA espnsobi aa aa as a6 a a8 Aesorsobitt generale tina de invest Gestionarl active (tome) ‘akeltoae mobi, Politica de securitate a informatilor INS ainsi de steme (ate informatie. Perconl de conducre Responsable manger de role. Responsable angst. Termen sabre 3Browan sg wont DestaTSTCA Politica de securitate a informatiior INS 1 Invoducere ‘Scopul acess poi esta de a proteaactivele informatie ale IS, stand carl pentru un rmediu sue ‘Aceast polities ofer3 princi generale, cerinte 5 recomandss specific peru protejarea Interitti, isponbitai si confidenialtat. actvelor informatie, Inchsiv hardware software infrmati reel sisisteme Aceast pal tables roluie 9 responabitie generale pentru strutur de securtate informatio. Poles de securtatea informatio se apis tuturorfuncilorinsttue sacar stemele lnformatce,reeele, medul i, pesoanele relevante cre sustin acest fun date ale neti ‘Aceast politic se ales tutuorangaatior INS furizoror de servic ter Obiectiul acest poli este de 2 asigurasecurtate activelor INS, inlusia retlelor, & sistemeor informatie, 2 software-lu sa datelor care tebuie rotejateimpotria uti neautoricat svt Aceastépoltcd stabileste principle, obietvele, erganzare 5 responsable de bans prin secuntats: + Informatie teat suportutile cus pearl, sacoper securtats tle ‘edi, precum saccesllogcla acest, ‘+ Sistame informatice care gestonenS astfel de informatitatunci cind un sistem InformaticesteFuraat, detnut, administra sau explatat de o prt esters pe bata ‘nui acord blteral sau a unl contract cu INS, terme acordull sas contact ‘webu respecte aceaté polit Informatie digtale sunt considerate un atu important #1 tebule evaliate in mod ‘corespunzitor $i protejate impotria tuturor formelor de acces, utlzare, denalure, rmodicare, distrugere sa respingere neavtorat Control secur informatilr tebuie se sufcient pentru a aura conkdentatate, Intertates, iponibitatea, responsabiltatea 5 autabiltatea informatilor importanterowanin As rata Destanstck Politica de securltateainforratilor INS Preqeditele INS apeobs in mod formal urmitoarea declraie co Politi de Securate a Informati Ins trebuie aig “+ respoctarea obliatilor sle prvind securtatea_informailor, s1_anume confideniatatea, integrtatea gi nvelul de dispoibiltate a informaticr ca aspect absolut inseparabil a confident static 1a cata serio, ‘8a toate mésurilenecesare pentru 2 asiquraconfideniaitatesdatlor statistic In conformitate cu Regulament 223/2009 prin statisti europene asfel cum afost ‘modifica prin Regulamentl 755/205, cu Regulamentul 87/2013 al Cosi prvind secesul ln date confident in scopurt ste, Codul de Practical statistcor turopene si rc at legiaierefertore la confdentaltate statisticn domenial statistiloreuropene. + else asgqure cf problemele de securtte sunt lute tn consierare dei nceputul sntemelor informatie. Separarea domenidor poate fi ficuts pe bara nvelior de incedere (de exempl, domeniul ‘erktopurior, domenisl serverelor, domeniul de acces pubic etc). Perimerul Reciu omen trebui si bine defint, contrlénd trafcl inte domeni tlebnd un gateway activ (de exerpl, real router de vare etc) entra a detects active neautorizate de pelucrare a informatio, NS tebui abs 1 menting o abordare cansecvents In ceen ce prvestecolectaea si analzareadatelor in logate# aud, cum arf acti uizatrior legate de informa Sensible, oxcaptile fvenimentele de secutate ale sstemelor de iformare sau defectele din feitple de procesares infra. Informatie din jrnal se pstreaz8 tin de cel pula 3 Lin pentru a Sri investigtiewitoare. Facile lgare informatie din jmal trebuie si le proteateImpowia modi, di neautorate sa stergeri fijerelor de june. Misuavea capaci de stocare 3 Suportull petra fiereledejumaltrebuie 8 fi cuts pen-ua preven depésiea acest, ‘duc a jee evenimentelr Tregistrate sa la suprascrieres evenimentelorinregistrate anterior, Cease tuturor stemelor relevante de procesore 2 lnformatilor pentry INS trebuie “Srernizate co sings sus de mp de refers pentru 2 asqura corectitutines juralelor ele ‘Toate Ince potenile ale secur tebule raportate,inregstrate i investigate de chip de inverter, + Uvraren senior ~ servile furnzate de tert implicind scesarea, sreucrare, ‘comunicarea sau gestinares informatilor sau. facittior de yrocesare a informatilor sau adfugarea de produse sau servic catre facile de procesare a informatie rebut $5 abi un contol integra corespunator al secu. Acste Controale de securtate, definiio servic s1nvelurle de fare trebule sb fl documenta in acordure de var ala servi, atl int se asigur cl acestea "unt pute napa, operate nein a mod corespunzator de tet prt. “+ Monitorcares i vevauiea servicio terior» Service, rapoartele 5 hregistréile fornicate de tery sunt gestionate de personal desert, monitoreate pero $1 revit, iar audit ebule eectuate periodNATIONAL DESTAMSTICA Politica de securitate a info-matilor INS Inciterent de loclincare sunt detacate, provocilesermifcativecupriicelasecutates slstemelor informatie IN trebulecomunicateaste Inc 8 permit rea masuror orectve adecrate in cel mal eficient mod, in conformate cu Poles de gestionare a Incdentlor de securtate a informatio. ‘Aceata neces ‘+ stabilre unui proces adecvat de rapoctare 3 incidentelor de scurtat. Acest proces lwebuie sb antrenere cit mai repede posi parte inteesatecorecte si s8 asieure ‘Sspunsur ficient a acest incident, ‘+ piri interesate trebuies2evalueze flecare eveniment de secuntate informstilor 5 3h decid dacS evenimentu tebule clsifieat crept incident de securate 2 Informatior. Casfiearea si priorzarea incdentelor poste ajuta ls Wenticares limpactulug2 ample unul incident. ‘+ stables uno mecanisme caress raportez cu prvi l para sana incidentelor de securtate in eadrul struct organizatoie, penta se asqur c pot fate masuricoective adecvate + Intregl personal din cadrulstructuriorgantatorie va rapocta la I Help Desk orice Gefilene de securtat din cadulsistmelor sau servicio, Orie ealare a poltcilor de securtate a informatilo caurate de un angina finvestgath ‘sar putea fae oblectul unor mur dintnare Unproces fia de nregstrare a tilatorlor $i dedezabonaretrebui fle pesrva parmite locareadrepturor de aces, conformitate cu Pla de contol al acces Acces lo ssteme sl informati se bateaz8 pe contulindvidule ise lmitearé doar la conturle active ‘loaves utlzareaprvegllorwebulerestrinse gi contolate, examingnd reptile de acces I interval regulate dups un proces forma ‘Accesu seve acorda numa pentru indepineaatibutilor de sev, Alocareasutlizareaprveilor, cum arf dreptuie de administrate locals ptr aces lnformati confidential C2 sau C3, rebuierestctionate, montoraates contol. Drepture de acces ale angajetior ale utizatorior exter al NS facie de nformare 51 prelucrare a iformatilor webuie eliminate fa terminarea angairi, contacts sou 2cordului sa ajurtate dupa ehinbareNATIONAL DESTATISTICA Politica de securitate ainformatilor INS ‘Aecesul dea stants a ceteaua sl resursele INS trebule sk utilzeze tehnologi VPN (Vital Private Network), Trebue s existe implementat un mecanism putrnic de autentficare cciptare. Acces sevaacorda num pentr ndeptiea atbutilo de servi Pentru a asigura acest leu, rebuieimplementt un set de controle. ‘Acesulin anuite aplcai este permis uma folosind desitop-r virtuale. ‘Accesul la internet prin intermedi ineastuctrior I IN este permis sé fleseascd numa In scoputprofesionae, olosind un server PROXY. Fitrarea pe internet webule fen vigeare Pentru asigura acest luc, trebuie implementa un set de controae Dispostivele computerzate mobile (lptop-ur, POU, telefoane mobile teefoane Inclgente sake echipamente moble de calcul pezintdrscuri deosebite care trebuie _stenuate prin masuri de securtate adeciate.rowan DestatsTCA 3 Resoonsabilt Prosdintele INS este responsabil pentru secuntatea atveorinformatinae ale insite Prsadinele NS aprobs police de securtate a informatilor #! aigurs miloacele de Implementare. Catalteazs eficente sarcinior (SO si se asgurd cf ISO are sufcents autonome, timp resure si suport pent 9 Indepin responsable, indi spins 2ctival conducer superioare, Conducerea INS este vesponsabié pentru numitea proprietarior de active roi ga nolor propietari pent activel existent ature cind este necesar. Intregl personal al INS este responsabil pentru apliarea polite si prceduror de secortate informatie, 150 este esponsabi pete + Coordonare reveuini periodic a implement standardelorS + Comunicareapanuli de actisne aprobat de conducere 1 fvidenaaetivelr de informatisl INS sa iscuiorasoclate acestora 1 Hfectuatesaustulu intern, aportarea contain formulae de recomande + Coordonareaechipe de investigare. Echipa de investigare este esponsabi pent 1+ Anatizarea incidentelrraportate ‘+ Oeterminarea natu incdentl si recomandares actunilor corte pentru prevenea sisoutonarea incldentelr de secaritat a informatilor ‘+ Urmatieasoluponriincidentelor ‘+ Anazarea st raportaea incidenteor a conduceres INS estionau sister este responsabil pent 1 Ideniicares sgestonare sculor penta activité formate 1 Asigrare acesuli i iformatia activelr numal personal autoat ‘+ Aslgurareselaborr, implement imi cect periodic « proceslor procedurilr locale coerenterowan As aroun. Destansmick Politica de securitate ainformatillor NS + Montorsarea sraportareaconformitiic lela, stautlscontactuln ceca ce pivesteactveleinformatice ‘+ Reportar incidentlor. Administrator de sstme sunt responabil perv ‘+ Fumzarea 6 intra tehnceprivnd standard carol + Protjareainformatio,incsivmplementareasistemeor de contol aces pentru a preven divsgarea iadecvats i crearea de cop de rezen pent ca informapilectice 8 nu se piardé| + Raportarea indenter Personal de conducre est responsab pent: ‘+ ocumentareaprocselr/procedurior de coordonare + Aplcarea standardelor + Raportarea incidentelor + Aigurarea optus personalel ain subordine este covet de responsbitale desecrate Manageii de prolect sunt responsabii pentru introducer cerintlor de secutate fn speciale functional pantru toate proiectele Acestia sunt, de asemenea, esponsbll si ‘venice dac3 solu imlementat respec specail cerute converte, Tewregul personal al NS webul 8 asgue: Protejares hardware, softwares informatio afte in gestume Preveirea ntroducenige sofsrare ry intentonat in ssterele informatie ale Ms Raportares ore! inslede suspect su real a secur ARespectarea pallor de secutate ale INSous DESTATISTICA Politica de securitate a informatilor INS 4 Termeni si abrevier Adminstrator de ative informatie (sisters) - persoana responsable spraveghere 3 ‘unerea in apliare a contoaleortehnie operational care deine contolltehnic asupra ‘nul activ iformati. Un atv poate avea unl su mai multi administrator pentru dere sarcinitehnce, {8P -Planificarea contol activa Gestionarl de activ informatie (ssteme)-persoane creas. loca essonsbiti si ‘are detnerispunderea pentru un act iformativ.Aceasta are responsablatea de 9 se sigura c atvleinformatice sunt gestionate 4 operate corespunedtr,Acezta Inseam asigurareafaptlu cd bunule informationle sunt proteate In mod coresunsstor sc \aloarea acestora pent institute este pe depin exploaats 'S0- Ofer de securtate a informatio /Expertinsecutates information Serverul PROXY - un computer dedicat su un sistem softwar care ruleasS peun computer, (are actoneac ca intermedia nee un locity punct ral cum ar fun computer, sun alt Server dela caren uiator sav un cen solct# un serv, SUA- Aco prvind nivel servcilor VPN Reta privat itualsDESTATISHICA Politica de securitate a informatilor INS Foaie de Control Istoricul Revizillor: