Anes ue tla Ordinal er,
os
I is INSTITUTUL NATIONAL DE STATISTICA
dul Libertine. 16 sector S, Bucuresti
propa,
PRESEDINTE.
AW tr
Mowe Ro dear
Acer Eilian Simon dt
lena Bini, distor adoner ZS,
Cone ope, der ain $C
Dan Dui Marci ese YAN
Doin Dometese fein
sian Bld ese
Cha Cp sein arowan
DESTATISTICA Politica de securitate a informatilor INS
uprins
1 invoducere 4
1.1 Domania le pare, 4
12 —_Angpmentl Management 5
2 Seutateiefrmatir sa ahi 7
21 Seeuntatea fe . 7
212 Pormetale veut fe 7
222 2onolescinaas co - 7
243 Socutate echipamentlorin frais. 7
2.4 evacvareasoureutlzarea sigur echparentul - 7
215 poli boue cat.
22 Management acvelor 8
221 Casares ifematilor, 8
222 Responabitatea pnt ative 8
23 cominutaes atts 8
24 Management schinbiroe 9
241 Corey de seeuntate ale sstemesrinormatice 9
242, Achstonarea i dentarendesoftare 9
243° —_Tesareaslintineren stare enn
24k torino chibi ——
24S Getlontes enfin : 9
25. Securttea management pea nnn con
254 sadupsirecuperare . 0
252 rotetaimpotriamalvare. ub. . 10
253. sSeqreareatndaterir fection 20
254 eploatareasimontoares a
255 Gestonarea la deserve tr parte S aa
26 Managementuincerelor 2
27° contol acesus - 2
274 celina sister, ae 2
272 Aces lta. z 2
273, Aces tninteret - cls
ouANIA
aona
DesTaTISTCA
espnsobi
aa
aa
as
a6
a
a8
Aesorsobitt generale
tina de invest
Gestionarl active (tome)
‘akeltoae mobi,
Politica de securitate a informatilor INS
ainsi de steme (ate informatie.
Perconl de conducre
Responsable manger de role.
Responsable angst.
Termen sabre
3Browan
sg wont
DestaTSTCA Politica de securitate a informatiior INS
1 Invoducere
‘Scopul acess poi esta de a proteaactivele informatie ale IS, stand carl pentru un
rmediu sue
‘Aceast polities ofer3 princi generale, cerinte 5 recomandss specific peru protejarea
Interitti, isponbitai si confidenialtat. actvelor informatie, Inchsiv hardware
software infrmati reel sisisteme
Aceast pal tables roluie 9 responabitie generale pentru strutur de securtate
informatio.
Poles de securtatea informatio se apis tuturorfuncilorinsttue sacar stemele
lnformatce,reeele, medul i, pesoanele relevante cre sustin acest fun date ale
neti
‘Aceast politic se ales tutuorangaatior INS furizoror de servic ter
Obiectiul acest poli este de 2 asigurasecurtate activelor INS, inlusia retlelor, &
sistemeor informatie, 2 software-lu sa datelor care tebuie rotejateimpotria uti
neautoricat svt
Aceastépoltcd stabileste principle, obietvele, erganzare 5 responsable de bans
prin secuntats:
+ Informatie teat suportutile cus pearl, sacoper securtats tle
‘edi, precum saccesllogcla acest,
‘+ Sistame informatice care gestonenS astfel de informatitatunci cind un sistem
InformaticesteFuraat, detnut, administra sau explatat de o prt esters pe bata
‘nui acord blteral sau a unl contract cu INS, terme acordull sas contact
‘webu respecte aceaté polit
Informatie digtale sunt considerate un atu important #1 tebule evaliate in mod
‘corespunzitor $i protejate impotria tuturor formelor de acces, utlzare, denalure,
rmodicare, distrugere sa respingere neavtorat
Control secur informatilr tebuie se sufcient pentru a aura conkdentatate,
Intertates, iponibitatea, responsabiltatea 5 autabiltatea informatilor importanterowanin
As rata
Destanstck Politica de securltateainforratilor INS
Preqeditele INS apeobs in mod formal urmitoarea declraie co Politi de Securate a
Informati
Ins trebuie aig
“+ respoctarea obliatilor sle prvind securtatea_informailor, s1_anume
confideniatatea, integrtatea gi nvelul de dispoibiltate a informaticr ca aspect
absolut inseparabil a confident static 1a cata serio,
‘8a toate mésurilenecesare pentru 2 asiquraconfideniaitatesdatlor statistic In
conformitate cu Regulament 223/2009 prin statisti europene asfel cum afost
‘modifica prin Regulamentl 755/205, cu Regulamentul 87/2013 al Cosi prvind
secesul ln date confident in scopurt ste, Codul de Practical statistcor
turopene si rc at legiaierefertore la confdentaltate statisticn domenial
statistiloreuropene.
+ else asgqure cf problemele de securtte sunt lute tn consierare dei nceputul
sntemelor informatie. Separarea
domenidor poate fi ficuts pe bara nvelior de incedere (de exempl, domeniul
‘erktopurior, domenisl serverelor, domeniul de acces pubic etc). Perimerul Reciu
omen trebui si bine defint, contrlénd trafcl inte domeni tlebnd un gateway
activ (de exerpl, real router de vare etc)
entra a detects active neautorizate de pelucrare a informatio, NS tebui abs
1 menting o abordare cansecvents In ceen ce prvestecolectaea si analzareadatelor in
logate# aud, cum arf acti uizatrior legate de informa Sensible, oxcaptile
fvenimentele de secutate ale sstemelor de iformare sau defectele din feitple de
procesares infra. Informatie din jrnal se pstreaz8 tin de cel pula 3 Lin pentru a
Sri investigtiewitoare.
Facile lgare informatie din jmal trebuie si le proteateImpowia modi,
di neautorate sa stergeri fijerelor de june. Misuavea capaci de stocare 3
Suportull petra fiereledejumaltrebuie 8 fi cuts pen-ua preven depésiea acest,
‘duc a jee evenimentelr Tregistrate sa la suprascrieres evenimentelorinregistrate
anterior,
Cease tuturor stemelor relevante de procesore 2 lnformatilor pentry INS trebuie
“Srernizate co sings sus de mp de refers pentru 2 asqura corectitutines juralelor
ele
‘Toate Ince potenile ale secur tebule raportate,inregstrate i investigate de
chip de inverter,
+ Uvraren senior ~ servile furnzate de tert implicind scesarea, sreucrare,
‘comunicarea sau gestinares informatilor sau. facittior de yrocesare a
informatilor sau adfugarea de produse sau servic catre facile de procesare a
informatie rebut $5 abi un contol integra corespunator al secu. Acste
Controale de securtate, definiio servic s1nvelurle de fare trebule sb fl
documenta in acordure de var ala servi, atl int se asigur cl acestea
"unt pute napa, operate nein a mod corespunzator de tet prt.
“+ Monitorcares i vevauiea servicio terior» Service, rapoartele 5 hregistréile
fornicate de tery sunt gestionate de personal desert, monitoreate pero $1
revit, iar audit ebule eectuate periodNATIONAL
DESTAMSTICA Politica de securitate a info-matilor INS
Inciterent de loclincare sunt detacate, provocilesermifcativecupriicelasecutates
slstemelor informatie IN trebulecomunicateaste Inc 8 permit rea masuror
orectve adecrate in cel mal eficient mod, in conformate cu Poles de gestionare a
Incdentlor de securtate a informatio.
‘Aceata neces
‘+ stabilre unui proces adecvat de rapoctare 3 incidentelor de scurtat. Acest proces
lwebuie sb antrenere cit mai repede posi parte inteesatecorecte si s8 asieure
‘Sspunsur ficient a acest incident,
‘+ piri interesate trebuies2evalueze flecare eveniment de secuntate informstilor
5 3h decid dacS evenimentu tebule clsifieat crept incident de securate 2
Informatior. Casfiearea si priorzarea incdentelor poste ajuta ls Wenticares
limpactulug2 ample unul incident.
‘+ stables uno mecanisme caress raportez cu prvi l para sana incidentelor
de securtate in eadrul struct organizatoie, penta se asqur c pot fate
masuricoective adecvate
+ Intregl personal din cadrulstructuriorgantatorie va rapocta la I Help Desk orice
Gefilene de securtat din cadulsistmelor sau servicio,
Orie ealare a poltcilor de securtate a informatilo caurate de un angina finvestgath
‘sar putea fae oblectul unor mur dintnare
Unproces fia de nregstrare a tilatorlor $i dedezabonaretrebui fle pesrva parmite
locareadrepturor de aces, conformitate cu Pla de contol al acces
Acces lo ssteme sl informati se bateaz8 pe contulindvidule ise lmitearé doar la
conturle active
‘loaves utlzareaprvegllorwebulerestrinse gi contolate, examingnd reptile de
acces I interval regulate dups un proces forma
‘Accesu seve acorda numa pentru indepineaatibutilor de sev,
Alocareasutlizareaprveilor, cum arf dreptuie de administrate locals ptr aces
lnformati confidential C2 sau C3, rebuierestctionate, montoraates contol.
Drepture de acces ale angajetior ale utizatorior exter al NS facie de nformare
51 prelucrare a iformatilor webuie eliminate fa terminarea angairi, contacts sou
2cordului sa ajurtate dupa ehinbareNATIONAL
DESTATISTICA Politica de securitate ainformatilor INS
‘Aecesul dea stants a ceteaua sl resursele INS trebule sk utilzeze tehnologi VPN (Vital
Private Network), Trebue s existe implementat un mecanism putrnic de autentficare
cciptare.
Acces sevaacorda num pentr ndeptiea atbutilo de servi
Pentru a asigura acest leu, rebuieimplementt un set de controle.
‘Acesulin anuite aplcai este permis uma folosind desitop-r virtuale.
‘Accesul la internet prin intermedi ineastuctrior I IN este permis sé fleseascd numa
In scoputprofesionae, olosind un server PROXY.
Fitrarea pe internet webule fen vigeare
Pentru asigura acest luc, trebuie implementa un set de controae
Dispostivele computerzate mobile (lptop-ur, POU, telefoane mobile teefoane
Inclgente sake echipamente moble de calcul pezintdrscuri deosebite care trebuie
_stenuate prin masuri de securtate adeciate.rowan
DestatsTCA
3 Resoonsabilt
Prosdintele INS este responsabil pentru secuntatea atveorinformatinae ale insite
Prsadinele NS aprobs police de securtate a informatilor #! aigurs miloacele de
Implementare. Catalteazs eficente sarcinior (SO si se asgurd cf ISO are sufcents
autonome, timp resure si suport pent 9 Indepin responsable, indi spins
2ctival conducer superioare,
Conducerea INS este vesponsabié pentru numitea proprietarior de active roi ga nolor
propietari pent activel existent ature cind este necesar.
Intregl personal al INS este responsabil pentru apliarea polite si prceduror de
secortate informatie,
150 este esponsabi pete
+ Coordonare reveuini periodic a implement standardelorS
+ Comunicareapanuli de actisne aprobat de conducere
1 fvidenaaetivelr de informatisl INS sa iscuiorasoclate acestora
1 Hfectuatesaustulu intern, aportarea contain formulae de recomande
+ Coordonareaechipe de investigare.
Echipa de investigare este esponsabi pent
1+ Anatizarea incidentelrraportate
‘+ Oeterminarea natu incdentl si recomandares actunilor corte pentru
prevenea sisoutonarea incldentelr de secaritat a informatilor
‘+ Urmatieasoluponriincidentelor
‘+ Anazarea st raportaea incidenteor a conduceres INS
estionau sister este responsabil pent
1 Ideniicares sgestonare sculor penta activité formate
1 Asigrare acesuli i iformatia activelr numal personal autoat
‘+ Aslgurareselaborr, implement imi cect periodic « proceslor
procedurilr locale coerenterowan
As aroun.
Destansmick Politica de securitate ainformatillor NS
+ Montorsarea sraportareaconformitiic lela, stautlscontactuln ceca
ce pivesteactveleinformatice
‘+ Reportar incidentlor.
Administrator de sstme sunt responabil perv
‘+ Fumzarea 6 intra tehnceprivnd standard carol
+ Protjareainformatio,incsivmplementareasistemeor de contol aces
pentru a preven divsgarea iadecvats i crearea de cop de rezen pent ca
informapilectice 8 nu se piardé|
+ Raportarea indenter
Personal de conducre est responsab pent:
‘+ ocumentareaprocselr/procedurior de coordonare
+ Aplcarea standardelor
+ Raportarea incidentelor
+ Aigurarea optus personalel ain subordine este covet de
responsbitale desecrate
Manageii de prolect sunt responsabii pentru introducer cerintlor de secutate fn
speciale functional pantru toate proiectele Acestia sunt, de asemenea, esponsbll si
‘venice dac3 solu imlementat respec specail cerute converte,
Tewregul personal al NS webul 8 asgue:
Protejares hardware, softwares informatio afte in gestume
Preveirea ntroducenige sofsrare ry intentonat in ssterele informatie ale Ms
Raportares ore! inslede suspect su real a secur
ARespectarea pallor de secutate ale INSous
DESTATISTICA Politica de securitate a informatilor INS
4 Termeni si abrevier
Adminstrator de ative informatie (sisters) - persoana responsable spraveghere 3
‘unerea in apliare a contoaleortehnie operational care deine contolltehnic asupra
‘nul activ iformati. Un atv poate avea unl su mai multi administrator pentru dere
sarcinitehnce,
{8P -Planificarea contol activa
Gestionarl de activ informatie (ssteme)-persoane creas. loca essonsbiti si
‘are detnerispunderea pentru un act iformativ.Aceasta are responsablatea de 9 se
sigura c atvleinformatice sunt gestionate 4 operate corespunedtr,Acezta Inseam
asigurareafaptlu cd bunule informationle sunt proteate In mod coresunsstor sc
\aloarea acestora pent institute este pe depin exploaats
'S0- Ofer de securtate a informatio /Expertinsecutates information
Serverul PROXY - un computer dedicat su un sistem softwar care ruleasS peun computer,
(are actoneac ca intermedia nee un locity punct ral cum ar fun computer, sun alt
Server dela caren uiator sav un cen solct# un serv,
SUA- Aco prvind nivel servcilor
VPN Reta privat itualsDESTATISHICA
Politica de securitate a informatilor INS
Foaie de Control
Istoricul Revizillor: