REGULAMENTUL Securitatii Informationale a Ministerului Muncii, Protectiei Sociale si Familiei CAPITOLUL I. ORGANIZAREA SECURITATII INFORMATIEL 1. ORGANIZAREA INTERNA Obiectiv: Administrarea securitifii informatiei in cadrul ministerului. 1.1, Dispozifii generale 1.1.1. Organizarea securitatii informatiei se efectueazi de echipa de management privind securitatea informatiei. 1.1.2. {n cazul in care echipa de management nu are specialisti in domeniu, aceasta poate apela pentru consultan{a la specialisti calificati. 1.1.3. Intratile de produse sau servicii oferite de parfile externe nu trebuie si influengeze gradul de securitate al informatiilor. 1.1.4. Accesul parfilor externe la mijloacele de prelucrare a datelor (software si hardware), precum si prelucrarea si transmiterea informatiei parfilor externe trebuie si fie monitorizate. 1.1.5. Relatiile ou parfile externe care solicit’ acces la informatii din cadrul Sistemului Informational Automatizat Asistenta Socialé (SIAAS) si prelucrarea lor sunt supuse analizei riscurilor. 1.2. Angajamentul echipei de management privind securitatea informatiei Echipa de management va asigura: a) Identificarea obiectivelor in domeniul securitatii informationale, care satisfac cerinfele organizatorice, va formula, examina si aproba reguli si instructiuni privind securitatea informatiei; b) Examinarea impactului punerii in aplicare a politicii, regulamentelor si procedurilor de protectie a informatiei; c) intocmirea regulilor clare si aprobarea lor de c&tre conducerea Ministe Muncii Protectiei Sociale si Familiei (in continuarea MMPSF) in privinta secu informatiei; 4) Identificarea_resurselor tehnologice si financiare necesare pentru implementarea politicii securitatii informatici;e) Aprobarea rolurilor si responsabilitatilor specifice pentru _protectia informatiei in cadrul MMPSF; f) Initierea planurilor si programelor pentru asigurarea unui grad inalt de constientizare a securit&tii informatiei; g) Identificarea, coordonarea si punerea in aplicare a controalelor de securitatea a informatici. 1.3. Coordonarea securitafii informatiei 1.3.1, Toate actiunile privind securitatea informatiei trebuie sa fie coordonate cu subdiviziunile implicate din cadrul MMPSF. 1.3.2. in procesul de coordonare a securitatii informafionale participa managerii, utilizatorii, administratorii, programatorii, directia juridica si directia resurse umane. Aceasti activitate trebuie: a) Sa asigure c& activitifile realizate privind protectia informatie, sunt in conformitate cu politica securitatii informatiei; b) Sa determine solufionarea cazurilor de neconcordant c) S& aprobe metode si proceduri privind securitatea informasiei; d)Sa identifice vulnerabilititile securitafii informatie’ in cazul schimbérilor semnificative; e) Sa evalueze gradul de corespundere gi s& coordoneze punerea in aplicare a controalelor de protectie a informatiei; f) Sa promoveze in mod ficient instruirea, pregatirea si informarea ‘in domeniul securit&ti informatiei in cadrul MMPSF; g)SA evalueze informatia obfinuta in urma monitorizérii continue si analizei incidentelor in securitatea informatiei; h)SA recomande actiuni ca raspuns la incidentele parvenite in securitatea informatiei. 1.4, Alocarea responsabilitafilor pentru securitatea informati 1.4.1. Responsabilitatile privind asigurarea securitatii informatiei in cadrul MMPSF trebuie sa fie clar definite. 1.4.2. Conducerea MMPSF: Ministrul Muncii Protectici Sociale si Familiei este in ultima instanfa responsabil pentru politica de securitate a informatiei, si trebuie si asigure resursele necesare pentru combaterea ameninfarilor vis-a-vis de activitatea sa. Conducerea, de asemenea, este responsabili pentru politica de diseminare si stabilire a unei culturi privind securitatea informatiei. 1.4.3. Seful Directiei_e-Transformare: Seful Directiei e-Transformare (in continuare DET) este responsabil pentru securitatea informatiei in cadrul MMPSF. Seful DET defineste direcjiile strategice privind securitatea informatiei si este responsabil pentru gradul de constientizare in domeniul securitatii informatiei, consilierea conducerii MMPSF privind securitatea informatici. De asemenea, el poate efectua analiza riscurilor. Este important ca $eful DET sa fie la curent cu cele mai 2recente probleme/riscuri si solufii referitor la securitatea informatiei. Este important ca el si colaboreze cu companiile partenere si organizatiile de securitate. Seful DET analizeazi impactul esecurilor de securitate si precizeazi clasificarea $i directiile/procesele pentru a asigura securitatea informatiei. El raporteaza direct conducerii MMPSF. 14.4. Administratorul de securitate: Administratorul de securitate asigura monitorizarea respectirii de catre tofi utilizatorii a cerinfelor prevazute in regulamentul in cauz%, gestioneaz eliberarea sau anularea acceselor la SIAAS, colecteaza cererile parvenite de la utilizatori si executi cererile aprobate de conducerea MMPSF, monitorizeazi executarea lucrarilor aferente securitatii informatiilor. 14.5. Sefii Directiilor/Sectiilor Asistenté Social si Protectie a Familiei: Sefii Directiilor/Sectiilor Asistenti Sociala si Protectie a Familiei se asigura c& personalul din subordine este pe deplin constienti de politica, regulamentele si procedurile de securitate a informatiei si nu realizeazi obiective care sunt in contradictie cu prevederile politicii, regulamentelor si procedurilor. Ei asigura aplicarea politicii si verifica progresul privind implementarea acestei politici. 1.4.6. Utilizatorii: Utilizatorii sunt responsabili pentru actiunile lor. Ei sunt constienfi de politica de securitate a MMPSF, inteleg care sunt consecintele actiunilor lor si actioneazé in conformitate cu reglementirile in vigoare. Ei au la dispozitic mecanisme eficiente, astfel incat s4 poata opera la nivelul dorit de securitate. in cazul, in care, utilizatorii primese informatie confidentiala care nu este clasificata, ei sunt responsabili pentru clasificarea si distribuirea acestei informafii. 1.5. Procesul de autorizare pentru sistemele de procesare a informatici 1.5.1. Utilizatorii externi pot obfine accesul la SIAAS numai in baza acordurilor bilaterale, a institutiei pe care o reprezinta, cu MMPSF privind schimbul de informatie si declarafiilor-angajamente a utilizatorilor privind nedivulgarea informafiilor obfinute prin intermediul SIAAS daca legislafia in vigoare nu prevede altele. 1,5.2. Accesul la stafiile de Iucru i la sistemul de operare se efectueazA strict la nivel limitat (nivel utilizator) prin autentificare cu parola personala. 1,5.3. Este interzisi conectarea echipamentelor la refeaua de comunicafii a MMPSF care nu se afla in gestiunea MMPSF. 1.5.4. Conectarea echipamentelor care nu aparfin MMPSF la refeaua de comunicafii se efectueaza in cazurile cn a) Echipamentele personale ale utilizatorilor in cazuri de necesitate de serviciu; b)Echipamentele reprezentangilor organizatiilor internationale care indeplinese atributiile de serviciu in baza acordurilor internationale si bilaterale; c) Echipamentele companiilor terfe care asigura mentinerea SIAAS in baza acordurilor de mentenanta; d) Alte cazuri acceptate de conducerea MMPSF.1.5.5. Conectarea echipamentelor trebuie sa urmeze urmatorii pasi: a) Solicitantul trebuie sé depuna cerere in forma scrisi pentru conectare utilajului in refea pe numele seful directiei e-Transformare. b)Pentru cazurile de conectare a echipamentelor in baza contractelor internationale si bilaterale seful Directiei e-Transformare primeste decizia respectiva. c)in alte cazuri permisiunea de conectare trebuie sa fie vizata de conducerea MMPSF. d) Conectarea echipamentului va fi fixaté de c&tre administratorul de sistem in registrul electronic al echipamentelor. e) Solicitarea va fi pastraté de catre administratorul de securitate in mapa _Solicitari” 1.5.6. Modificarea setarilor statiilor de lucru poate fi efectuaté doar de cdtre personalul DET. 1.6. Acorduri de confidentialitate 1.6.1. Informatiile gestionate in SIAAS au caracter confidential si pot fi distribuite strict conform legislatiei in vigoare. 1.6.2. Pentru admiterea accesului la resurse informationale protejate ale SIAAS sunt admisi doar colaboratori cu care este semnat Acordul de nedivulgare a informatiei cu caracter confidential. Acordul (obligatia) de a nu divulga informatia cu caracter confidential se pastreaza in dosarul personal al colaboratorului. 1.6.3. Accesul la resursele informationale protejate ale SIAAS este permis doar colaboratorilor care au semnat Declaratia de familiarizare cu regulamentul in cauza. Declaratia se pastreaz% in dosarul personal al colaboratorului la direcfia resurse umane. 1.7. Solutionarea scurgerii informatiei din SIAAS 1.7.1. in cazul depistarii scurgerii de informatie din cadrul SIAAS, persoana care a depistat scurgerea informatiei este obligat imediat si informeze administratorul de securitate a SIAAS. 1.7.2. Administratorul de securitate organizeaz lucrarile necesare pentru a bloca sursa de scurgere a informatiei. 1.7.3. Administratorul de securitate raporteazi in forma scrisi conducerii MMPSF cauza scurgerii informatiei gi actiunile intreprinse. 1.7.4. Administratorul pentru securitatea informatiei in comun cu administratorii SIAAS elaboreaza si implementeaz masuri pentru neadmiterea cazurilor de scurgere a informatici. 1.7.5. in cazul depistirii factorului uman implicat in scurgerea informatiei administratorul pentru securitatea informatiei informeaza seful Sectiei juridice pentru intreprinderea masurilor in conformitate cu legislatia in vigoare.1.8. Auditul SIAAS privind protectia securitAtii informationale in caz de necesitate sau lipsei specialistilor certifica{i in cadrul Directiei e - Transformare, conducerea MMPSF poate solicita auditul securitatii informatie a SIAAS de la organizafii externe. 2. PARTI EXTERNE Obiectiv: SA asigure securitatea informatici in cadrul organizatiei si a sistemelor de procesare a informatiei care sunt accesate, procesate, comunicate c&itre sau administrate de parti externe. 2.1. Identificarea riscurilor legate de partile din afara organizatiei. 2.1.1, Persoanele care pot avea acces la SIAAS din exterior pot fi separate in 3 categorii de baza: a) Colaboratorii directiilor/sectiilor Asistentat Sociald — au acces nemijlocit la SIIAS prin intermediul refelei Internet. Accesul la SIAAS este restrictionat functie de rolurile definite in sistem. Riscurile aferent acestei categorii sunt: accesul la resursele neautorizate a SIAAS; accesare SIAAS sub parola altui utilizator cu drepturi mai mari; introducerea datelor eronate; scurgerea datelor confidentiale din cadrul SIAAS. b) Jnstitutii publice - au acces restrictionat la datele gestionate de MMPSF. Accesul este asigurat prin intermediul refelei de telecomunicatii a autoritafilor administratiei publice, gestionat’ de 1.8. “Centrul de Telecomunicatii Speciale”, in baza acordului incheiat cu MMPSF. Riscurile aferente acestei categorii sunt: accesul la resursele neautorizate a SIAAS; accesare SIAAS sub parola altui utilizator cu drepturi mai mari; scurgerea datelor confidentiale din cadrul SIAAS. ) Companiile care asigurti mentinerea SIAAS ~ au acces la componentele hardware si software a SIAAS si asigura functionarea neintrerupt a SIAAS. Riscurile aferente acestei categorii sunt: divulgarea informatiilor privind structura si organizarea SIAAS; divulgarea informatiei privind organizarea sistemului de telecomunicatii; deservirea necalitativa a resursele hardware a SIAAS; deservirea necalitativa a resursele software a SIAAS; accesul la sistemele de gestionare a bazelor de date; scurgerea datelor confidentiale din cadrul SIAAS.Respectarea cerinfelor de securitate in activitifile care impli Accesul la activele informationale a SIAAS are loc atat prin intermediul refelelor de telecomunicatii controlate de MMPSF ct si de la distanta. 2.2.2. Prin accesul de la distanfa la activele informationale a SIAAS, se subinjeleg tipurile de acces prin canalele de comunicare externe, utilizarea dispozitivelor de acces, situate in afara zonei asigurate de MMPSF. 2.2.3. Principalele tipuri de acces de la distant , intreprinse in SIAAS, sunt: a) accesul utilizatorilor mobili la retelele corporative, folosind canale de comunicare VPN (retea virtuala privata); b) accesul de la distant poate fi acordat atét utilizatorilor, in scopul indeplinirii sarcinilor de serviciu la distanfa, precum gi persoanelor care presteaza servicii in domeniul TI, in conformitate cu acordurile aferente. c) Accesul la resurse informationale SIAAS prin Internet, este realizat utilizind: VPN (refea virtuala privat), CA SERVER (Server de certificare a computerelor in refea), IPS (sistem de prevenire a intruziunilor HP), HP VPN Firewall Appliance; echipamente care ofera protectie pro-activa impotriva atacurilor, inainte de a le raspandi in retea, monitorizeazi activitatea de retea si asiguri conectivitatea flexibila. 2.2.4. Aparatul central al MMPSF are retea localé conforma cerintelor sistemului de cablare structurat, acces la reteaua globala Internet securizat. 2.2.5. Drepturile de acces de la distanta se acord’ numai in baza unei cereri depuse de c&tre solicitant, aprobata de conducerea MMPSF, in care in mod obligatoriu sunt stipulate urmitoarele: a) numele persoanei care necesitat’i acces de la distant; b) date despre organizafia (subdiviziunea, denumirea agentului economic, denumirea organului de stat) in numele careia aceast persoana va activa; c) termenul (perioada) de asigurare a accesului, nu mai mult de un an; d) segment al SIAAS (baze de date, server, subsistem sau o alti parte a retelei corporative), in cazul in care sunt necesare drepturile respective; e) argumentarea necesitatii de a oferi anume accesul de la distanja. 2.2.6. Totalitatea drepturilor si privilegiile de acces de la distan{a la resursele informationale a SIAAS poate fi determinat de obiectivele, nivelul minim necesar de privilegii si gradul critic de segmente de refea la care este acordat accesul. 2.2.7. Drepturile de acces de la distanti la SIAAS, vor fi retrase, imediat dupa expirarea perioadei determinate sau la cerere. 2.2.8, Dupa retragerea drepturilor de acces de la distan{a, vor fi intreprinse misurile de rigoare pentru a reduce la minimum riscurile de abuz de acces.2.3. Respectarea cerinfelor de secu cu tertii 2.3.1. Furnizori de servicii de mentenanta informationala trebuie sa respecte urmatoarele conditii: a) lista resurselor hardware si software din cadrul MMPSF, la care Furnizorul are drept de acces; b) modul in care informatiile la care Furnizorul are drept de acces urmeazii a fi protejate de citre acesta precum gi masuri ce vor fi luate in cazul nerespectirii clauzelor; c) metodele de predare, distrugere sau de transfer al drepturilor informatiilor institutiei aflate in posesia Furnizorului, la incheierea contractului; d) furnizorul trebuie si foloseasca sistemul SIAAS din cadrul MMPSF numai in scopul stipulat in contract ; e) orice alta informatie din sistemul SIAAS al MMPSF obtinuta de Furnizor pe durata contractului nu poate fi folosita in interes propriu de c&tre Furnizor sau divulgata altora; f) toate echipamentele de intretinere ale Furnizorului, aflate in reteaua interna a MMPSF i care se pot conecta in exterior prin intermediul refelei, a liniilor telefonice sau a liniilor inchiriate, precum gi toate conturile de utilizator create temporar pentru Furnizor si necesare pentru acces la SIAAS, vor fi scoase din uz la incheierea relatiilor contractuale; g)accesul Furnizorului trebuie sa fie identificat in mod unic iar administrarea parolelor sau metodele de autentificare trebuie s& fie in conformitate cu Regulamentul privind Securitatea Informationala a MMPSF; h) activitatile principale ale Fumnizorului trebuie s& fie documentate gi puse la dispozitia MMPSF. Documentatia trebuie s& cuprind’, dar s& nu fie limitata la, evenimente precum: schimbiri de personal, schimbiri de parola, schimbari majore in derularea proiectului, timpii de sosire, de plecare si de livrare ; i) in cazul retragerii din contract a unui angajat al Furnizorului, indiferent de motiv, Furnizorul se va asigura cA toate informatiile sensibile sunt colectate si predate MMPSF sau distruse in cel mult 24 de ore de la producerea evenimentului; j) in cazul finisarii/rezilierii contractului sau la cererea MMPSF, Furnizorul va preda sau distruge informafiile ce aparfin MMPSF si va oferi certificare in scris privind predarea sau distrugerea informatiilor in decurs de 24 de ore de la producerea evenimentului; k) toate programele folosite de Furnizor in scopul furnizarii serviciilor stipulate in contract catre MMPSF trebuie si fie inventariate corespunzator si s& posede drepturi de utilizare atestate prin Licente. 1) contractele de externalizare a serviciilor nu trebuie s& includa servicii specificate in alte contracte de externalizare.CAPITOLUL Il. MANAGEMENTUL RESURSELOR 3. DISPOZITII GENERALE 3.1. Inventarierea resurselor/activelor SIAAS se efectueaz, cel pufin odati in an, in baza Ordinului emis de citre Directia management financiar al politicilor. 3.1.1, Prin resursé/activ a SIAAS se subingelege: a) resurse informationale —baze de date si fisiere de date, contracte si acorduri, documentatia SIAAS, documentajia de cercetare, manuale de utilizare, materiale de instruire, proceduri operationale sau proceduri de intretinere, planuri de continuitate a afacerii, masuri de back-up, rapoartele de audit, informatii arhivate; b)resurse software — aplicajii software, sisteme software, instrumente de dezvoltare; c) resurse fizice — echipamente informatice, echipamente de comunicatii, dispozitive de stocare amovibile si alte echipamente; d) servicii — servicii informatice si servicii de comunicatii, servicii generale, cum ar fi incalzire, de alimentare cu energie electric’, etc. 3.1.2. in lista resurselor, care urmeazA a fi supuse inventarierii, pot fi incluse resurse ale SIAAS, indiferent de locatia lor. Inventarierea resurselor SIAAS, se efectueaza in locul amplasarii lor, pentru fiecare proprietar de resurse. 3.1.3, Scopul final al evidenfei si inventarieri resurselor informationale este de a asigura protecjie adecvat’ a acestora. 3.1.4, Principalele obiective ale inventarului sunt: a)evidena resurselor in asa mod in cat si asigurare increderea protejarii suficiente a resurselor; b) identificarea definatorilor resurselor, precum si determinarea_responsabilititi acestora referitor la menfinerea misurilor adecvate de gestionare a securitatii informatieis c)stabilirea valorii relative si importanjei resursei in vederea gestionarii riscurilor; 3.1.5, Inventarierea poate fi utilé si pentru alte scopuri, cum ar fi solutionarea problemelor financiare, asigurarea securititii muncii ete. 3.1.6. Clasificarea resurselor (definirea cerinfelor de protectie resurselor) SAAS este un element necesar de organizare a activitatii privind securitatea informatiei si are ca obiective: a) crearea cadrului de reglementare metodologic pentru o abordare diferensiata a protectiei resurselor SIAAS (informatia, sarcinile, canalele, statii de lucru protejate (in continuare SLP), in functie de clasificarea lor pe niveluri de risc, in caz de violare a disponibilitafii, integritatii sau confidengialitagii lor; b)tipizarea misurilor intreprinse de catre MMPSF si distribuirea resurselor hardware si software pentru protectia SLP.4, RESPONSABILITATEA PENTRU RESURSE/ACTIVE 4,1.Reguli generale privind inventarierea Obiectiv: Obfinerea si menfinerea protectiei corespunzitoare a resurselor organizationale, 4.1.2. Lista resurselor suspuse inventarierii, este stabilita de catre grupul de lucru, cu indicarea acestuia in Ordinul privind inventarierea. 4.1.3. Verificarea disponibilitatii reale a resursclor, supuse inventarierii, se efectueaza de cdtre Comisia responsabil pentru inventariere. 4.1.4. inainte de efectuarea inventarierii, comisia trebuie s& dispuni de documente privind circulatia echipamentelor (actele darii in exploatare sau casirii resursclor, inregistrérile referitoare 1a circulatia resurselor, resursele aflate in reparatie). 4.1.5. Datele privind disponibilitatea real a resurselor se inregistreazi in actul de inventariere, care trebuie s& fie intocmit cel putin in doua exemplare. 4.1.6. Comisia asigura suficienta, exactitatea si acuratefea datelor inregistrate, precum si prelucrarea in timp util a materialelor inventarierii. 4.1.7. Disponibilitatea reala a resurselor, in cadrul inventarieri prin numerotare, cAnt&rire, masurare etc. 4.1.8. Actele de inventariere (inventarele) se completeaza cu ajutorul tehnicii de calcul. 4.1.9. Actele de inventariere (inventarele) se semneaza de catre toti membrii comisici. 4.2. Normele privind clasificarea inventarului pe tipuri de resurse 4.2.1 Inventarul ,, resurselor informationale”’. Categoria de ,,resurse de informare”, trebuie s& includa urmatoarele resurse: 4.2.1.1 Bazele de date si fisicre de date; 4.2.1.2 Documentatia SIAAS; 4.2.1.3 Instructiunile de utilizare; 4.2.1.4 Materiale de instruire; 4.2.1.5 Procedurile de lucru si proceduti de intretinere; 4.2.1.6 Planuri pentru a asigura buna functionare a SIAAS; 4.2.1.7 procedurile referitor la trecerea in regim special. i, se determina 4.2.2 Inventarul ,.resurselor software”. Categoria ,,resurselor software” ar trebui s& includ’ urmitoarele resurse: 4.2.2.1 Aplicatiile software; 4.2.2.2 Sistemele software; 4.2.2.3 Instrumentele si utilitatile.4.2.3 Inventarul ,resurselor fizice”. Categoria ,.resurselor fizice” ar trebui sa includa urmatoarele resurse: 4.2.3.1 Calculatoare si echipamente de comunicatii; 4.2.3.2 Suporturi magnetice de stocare (benzi si discuri); 4.2.3.3 Alte echipamente tehnice (surse de alimentare, aer condigionat); 4.2.3.4 Mobilier; 4.2.3.5 sediul. 4.2.4 Inventarul ,serviciilor”. Categoria "servicii" cuprinde urmatoarele resurse: 4.2.4.1 De calcul si servicii de comunicatii; 4.2.4.2 Alte servicii tehnice (inc&lzire, energie electric’ etc.). 4.3 Ordinea de executare a inventarului 4.3.1 Rezultatele privind inventarierea resurselor se perfecteazi in Actele de inventariere pentru fiecare categorie de resurse. 4.3.2 Dupi perfectarea Actelor de inventariere pentru fiecare categorie de resurse, se intocmeste un Act de inventariere. SCLASIFICAREA INFORMATIEL Obiectiv: Asigurarea faptului ca informatia este la un nivel de protectie adecvat. 5.3 Categoriile informatiei protejate 5.3.1 Reiesind din necesitarea asigurarii diferitor nivele de protectie pentru diferite tipuri de informatie stocata si procesaté, precum si land in considerare posibilele situatii de prejudiciere a MMPSF, se introduc trei categorii de protejare a informatiei confidentiale si trei categorii de protejare a informatiei integre: a) Categorii de protejare a informatiei confidensiale: »INALTA” ~ la aceasta categorie nu se refera informatia secret, dar informatia care este confidential’, in conformitate cu legislatia in vigoare; »SCAZUTA? - la aceasta categorie se include informatia confidentiala, dar care nu se clasifica la categoria ,INALTA”, restricfiile privind difuzarea acesteia sunt stabilite de cdtre conducerea MMPSF, in limitele drepturilor acordate conform legislatiei in vigoare; ~FARA CERINTE” - aceasta categorie include informatia care nu are restrictii de confidentialitate si poate fi distribuita partilor interesate. b) Categorii de protejare a informatiei integre: »INALTA” - aceasti categorie include informatia care poate fi modificata neautorizat (denaturarea, distrugerea) sau falsificata, care ar putea duce Ja aparijia unor daune semnificative MMPSF si persoanelor, integritatea si autenticitatea caireia 10trebuie si fi garantati de metodele (de exemplu, prin intermediul semnaturii digitale) prevazute de legislatia in vigoare; »SCAZUTA” - aceasti categorie include informatia care poate fi modificaté neautorizat, stearsi sau falsificata, care ar putea duce la aparitia unor daune nesemnificative MMPSF si persoanelor, integritatea (si, daci este necesar autenticitatea), care ar trebui si fie in conformitate cu decizia conducerii MMPSF (prin metode de calcul a sumelor controlabile, semnatura, etc.); »FARA CERINTE” - aceast’ categorie include informatii pentru care nu sunt stabilite cerinfe privind asigurarea integritatii (si autenticitaqii). 5.2. Categoriile SLP (stafii de lucru protejate) 5.2.1. in functie de categoria de sarcini care pot fi efectuate la SLP, se stabilesc trei categorii: A”, .B” si ,C” 5.2.2, Categoria A” includ SLP-urile, la care poate fi realizati cel putin o sarcina functional din categorie ,,INALTA’ 5.2.3. Categoria ,,B” include SLP-urile, la care poate fi realizaté cel putin o sarcina funcjionala din categorie ,SCAZUTA”. 5.2.4, Categoria ,C” include SLP - urile, la care se solutioneazi numai sarcini functionale de categoria ,FARA CERINTE”. 5.3. Procedura de stabilire a categoriilor de resurse protejate 5.3.1. Clasificarea resurselor de informatie se efectucazi prin inventarierea SIAAS si implica elaborarea si intrefinerea ulterioara (actualizarea) listei (seturi de formulare) resurselor protejate. 5.3.2, Responsabilitatea pentru compilarea si menfinerea listelor de resurse ale SIAAS, revine: a) in ceea ce priveste stabilirea si menjinerea listei SLP (cu indicarea locatiei acestora, intirirea acestora dupa subdiviziunile MMPSF, compozifia si caracteristicile constitutive hardware) - DET; b) in ceea ce priveste stabilirea si mentinerea listei sistemelor si aplicatiilor (speciale) de la SLP, care servesc pentru realizarea sarcinilor (cu indicarea listei resurselor/dispozitivelor utilizate in realizarea sarcinilor, directoare sau fisiere cu informatie) - DET. 5.3.3. Responsabilitatea pentru definirea cerintelor de confidentialitate, integritate, disponibilitate si asocierea pentru fiecare categorie de resurse corespunzitoare SLP (resurse de informare si sarcinile) sunt in atributie fiec&rei subdiviziuni ale MMPSF, care solufioneazi nemijlocit sarcini la SLP (definatorii de informatie) si la necesitate de catre DET. 5.3.4. Aprobarea categoriilor de resurse, nominalizate in prezentul Regulament, se efectueaz& de catre conducerea MMPSF. 5.3.5. Inifiatorii de clasificare a SLP si obfinerea reglementirilor relevante pentru exploatarea SLP, sunt sefii subdiviziunilor MMPSF, care utilizeaz& date din SLP. u5.3.6. Clasificarea resurselor poate fi efectuaté succesiv pentru fiecare dintre SLP cu unirea si formarea ulterioara a listelor in comun a resurselor care urmeaza si fie protejate: a) lista resurselor informationale ale SIAAS, care necesita sa fie protejate; b) lista sarcinilor care urmeaz& s& fie protejate (conform formularelor de sarcini);, c) lista SLP (conform formularelor de SLP). 5.3.7. Revalidarea (modificarea categoriilor) resurselor informationale, se efectueaza prin modificarea cerinfelor de protectie (confidentialitatea si integritatea) pentru informatia respectiva. 5.3.8. Revalidarea (modificarea categoriilor) sarcinilor functionale, se efectueaza in cazul in care se modifica categoriile de resurse informationale utilizate in realizarea acestei sarcini, precum si in cazul modificarii cerintelor disponibilitatilor sarcinilor functionale. 5.3.9. Revalidarea (modificarea categoriilor) canalelor logice, se efectueaza in cazul in care categoriile de sarcini interactioneaza intre ele. 5.3.10. Revalidarea (modificarea categoriilor) SLP, se efectueaz& in cazul modificdrii categoriilor sau continutului/componentei sarcinilor realizate la SLP. 5.3.11. Periodic (0 data in an), sau la cererea sefilor subdiviziunilor MMPSF, se efectueaz revizuirea categoriile resurselor protejate in vederea conformirii cu situafia reala. 5.4, Norme privind revizuirea capitolului ,,Clasificarea informatiei” 5.4.1.in cazul in care se modificd cerinfele privind SLP este necesar de 5.4.2. In cazul in care se vor efectua modificari $i completari la ,.Lista resurselor informatiei protejate” este necesar de revizuit (in limita disponibilitatii) aceasta list’.CAPITOLUL IIL. SECURITATEA RESURSELOR UMANE 6. INAINTEA ANGAJARIL iv: Asigurarea c& angajafii, contractan{ii si util i sunt constienti responsabil pentru a minimiza riscurile de furt, fraud sau de folosi sistemelor. 6.1. Roluri Rolurile si responsabilitatile angajatilor, contractantilor si utilizatorilor terti privind securitatea informatiei sunt clar definite si documentate in procedura stabilit’ de catre Directia managementul personalului din cadrul MMPSF. 6.2. Verificare angajatilor 6.2.1. Pentru tofi candidafii pentru angajare, contractanfii si utilizatorii teri trebuie s& se efectueze controale de verificare de fond in conformitate cu legile aplicabile, reglement&ri i etic’, proporfionale cu cerinjele activitatii, clasificarea informatiei la care urmeazi sé aiba acces si riscurile percepute. 6.2.2. Candidatii care pretind sa fie incadrafi permanent sau temporar sunt verificati din momentul depunerii cererii. Verificarea cuprinde urmatoarele proceduti: a) _existenfa recomandarilor pozitive, in special in ceea ce priveste calitatilor profesionale si calitatile personale ale solicitantului; b) _verificarea corespunderii datelor din CV-ul solicitantului; c) _confirmarea calificarilor personale si profesionale; d) cerficarea independenta a autenticitafii documentelor de identitate. 6.2.3. in cazurile in care angajatul ocupa postul de mune’, sau in procesul de primire a accesului la prelucrarea informafici sensibile, cum ar fi informatia confidential, este pus in aplicare un ,,test de credibilitate” (elaborat de ciitre Directia managementul personalului). in ceea ce priveste angajatii care au competente semnificative, acest test se efectueaza periodic. 6.3. Acordul de confidenfialitate 6.3.1. Acordul de confidentialitate este folosit pentru a notifica angajatii c& informatiile pe care o gestioneaz& sunt confidentiale sau secrete. Angajati, semneaza Acordul ca parte integranta a contractului de munca. Acordul de confidentialitate se pastreazA in dosarul personal al angajatului, conform procedurii stabilite. Formularul acordului de confidentialitate este claborat de citre Directia managementul personalului. torii terfi infeleg care le revin, necorespunzitoare a 6.3.2. Angajatii temporari, experfii, si reprezentani ai unor parti terfe care nu activeaz in conformitate cu contractul de munca standard (care confine un acord de confidentialitate) semneazi acorduri separate de confidentialitate inainte de a li se acorda acces la SIAAS.6.3.3. Acordul de confidentialitate este revizuit in cazul in care are loc modificarea contractului de munca, in special in cazul unei schimbari a drepturilor angajatului sau expirarea contractelor de munca. 6. Contractul de munca Contractul de munc& identificd angajatul responsabil pentru securitatea informatici. in cazul in care este necesar, aceasti responsabilitate trebuie sA fie mentinut4 si pentru o anumita perioadd dupa incetarea contractului de munca. Divulgarea informatiei confidentiale sau secrete la care are sau a avut acces angajatul se sanctioneazA conform legislatiei in vigoare. 6.5. — Cerinte si condifii de angajare Ca parte a obligafiilor contractuale, angajafii, contractantii si utilizatorii sunt obligati s4 semneze cerintele si condifiile contractului de angajare, care trebuie si precizeze responsabilitatile lor si ale organizafiei pentru securitatea informatiei. 7.1N TIMPUL PERIOADEI DE ANGAJARE Obiectiv: Asigurarea faptului c4 toti angajatii, contractan{ii si utilizatori terfi sunt constienfi de ameninfarile privind securitatea informa responsabilitatile si raspunderile juridice ale acestora si sunt pregitifi sA sustina politica de securitate informationala pe durata contractului de munci si si asigure reducerea riscului erorilor umane. 7.1. Responsabilitatile managementului 7.1.1. $efii_ subdiviziunilor MMPSF cer angajafilor, contractanjilor gi utilizatorilor teri si aplice masurile de securitate in conformitate cu politica, regulamentele si procedurile stabilite de catre MMPSF. 7.1.2. Sefii subdiviziunilor MMPSF evalueaza nivelul adecvat de supraveghere a personalului neexperimentat, carora li sa acordat dreptul de acces la informatia sensibila. Procedurile de monitorizare periodic’ si aprobarea actiunilor tuturor angajatilor de ciitre superiorii se fac continu. 7.1.3. $efii_subdiviziunilor MMPSF sunt constienti de faptul c& problemele personale ale angajatilor pot afecta activitatea acestora. Problemele personale sau financiare ale angajajilor, modificarile de comportament sau stil de viafi, semnele de stres sau depresie, pot fi o cauza de frauda, furt, erori sau alte incalcari ale securitatii. Aceste informatii sunt luate in considerare in conformitate cu legislafia in vigoare. 7.1.4, Sefii subdiviziunilor MMPSF au dreptul sa solicite informatia referitor la utilizatorii care activeazi in raza subdiviziunilor pentru a reverifica listele utilizatorilor activi. 7.1.5, Conduc&torii subdiviziunilor duc responsabilitate pentru: a) aducerea la cunostinta utilizatorilor subdiviziunilor sale toate reglementarile privind securitatea informatie: sub semnatura personal: 14b) indeplinirea cerinfelor privind protectia colaboratorilor subdiviziunilor sale in lucrul cu SIAAS; c) eliberarea la timp a cererilor privind modificarea inscrierilor de evidenta ale colaboratorilor subdiviziunilor sale si asigurarea lor cu drepturi de acces, strict in limitele necesare indeplinirii sarcinilor sale de serviciu; d) informare imediata a specialistilor din cadrul MMPSF despre descoperirea faptului incdlcdrii securitafii informatici in sistemele informationale; luarea tuturor mésurilor necesare pentru lichidarea consecinjelor incdlearii informatici; f) asigurarea controlului permanent privind respectarea cerinfelor prezentului Regulament. CAPITOLUL IV. SECURITATEA FIZICA $I A MEDIULUI DE LUCRU 8. DISPOZITII GENERALE 8.1. Mijloacele de prelucrare a informatiilor critice sau sensibile trebuie sa fie situate in zone de securitate, care sunt protejate de anumite perimetre de securitate, cu bariere de siguranfa si de control de acces corespunzitor. 8.2, Acestea trebuie si fie protejate fizic impotriva accesului neautorizat, daune si interferente. 8.3, Protectia oferita trebuie sa fie proporfionala cu riscurile identificate. 8.4. Echipamentele trebuie s& fie protejate impotriva ameninfatilor fizice si de mediu. 8.5. Protectia echipamentelor (inclusiv echipamentele folosite in afara locului de muned si scoaterea in afara sediilor) este necesar pentru a reduce riscul de acces neautorizat la informafii si protejarea impotriva pierderii sau deteriorarii. 9. ZONE DE SECURITATE Obiectiv: Sa previna accesul fizic neautorizat, distrugerile si pitrunderea in interiorul organizatiei precum si accesul la informat 9.1 Perimetrul fizic de securitate Pentru a proteja zonele care confin informatii si sisteme de procesare a informatiei trebuie folosit’ perimetrea de securitate (bariere precum pereti, porti de acces controlat pe baza de card sau birouri de receptie cu personal de securitate). 9.1.1.Dupé importantaperimetrului fizic de securitate putem defini urmatoarele zone de acces a) Zona de securitate cu nivel inalt. Centrul de prelucrare a datelor (CPD) este amplasat aproape de birourile de lucru ale administratorilor de sistem si de distributie echipamentului electric. Perimetrul 15fizic al acestei zone este integru, protejat. Cerinjele tehnice fata de CPD sunt conforme normelor tehnice in vigoare. b) Zona de securitate cu nivel mediu. Birourile administratorilor sistemului sunt dimensionate adecvat, echipate cu aer conditionat. Statiile de lucru ale administratorilor sunt conectate si la sursa autonoma de energie electricé. Sursa autonoma de energie electricd reprezinté un generator electric diesel cu capacitate 80kWt. ) Zona de securitate cu nivel scdzut (publica). Biroul locului de munca prevede o camera unde sunt amplasate echipamentele (computer, imprimanta, scanner, documente, etc.) de lucru al colaboratorului. 9.2 Controlul accesului fizic 9.2.1, Zonele de securitate trebuie protejate prin controale adecvate ale accesului fizic pentru a se asigura c& accesul este permis doar personalului autorizat. 9.2.2. Accesul fizic la toate incaperile unde este instalat echipament trebuie sa fie documentate si protejate; 9.2.3. CPD este asigurat cu sistem de control al accesului, identificarea fiind infaptuita prin card. 9.2.4.CPD este asigurat cu sistem de supraveghere video, care permite monitorizarea in interior (2 camere de supraveghere), 1 camerti de supraveghere hol, 1 camera de supraveghere sursa autonoma de energie electric’. 9.2.5. inregistrarile video din sistemul de monitorizare trebuie arhivate timp de cel putin trei huni. 9.2.6, Rata de cadre a sistemului de monitorizare trebuie s& fie de cel putin 7 fps (cadre pe secunds). 9.2.7. Acces la CPD are strict personalul DET. 9.3. Securizarea birourilor, incAperilor si a sistemelor informationale 9.3.1, Organizatia trebuie si proiecteze si si implementeze masuri pentru securizarea fizica a birourilor, inc&perilor gi a sistemelor informationale. 9.3.2. Pentru protejarea oficiilor, birourilor si a echipamentelor trebuie respectate normele si standarde tehnicii de securitate si securitate a muncii 9.2.1. Activele cheie trebui si fie amplasate astfel incdt s4 se evite accesul publicului larg; 9.2.2. Indicatoarele care reflecta dislocarea zonelor de securitate nu trebuie sa fie usor accesibile publicului larg. 9.3. Protejarea impotriva amenintirilor externe si de mediu 9.4.1. Organizatia trebuie s& proiecteze si s& aplice masuri de protectie fizica impotriva incendiilor, inundafiilor, cutremurelor, exploziilor, revoltelor publice si a oricdiror alte forme de dezastre naturale sau produse de oameni:9.3.1. Materiale periculoase sau inflamabile trebuie sa fie depozitate la o distanta sigura din zona de siguranta. Produse de papetirie si biroticl nu trebui sé fie pastrate in zonele de securitate; 9.3.2. Copiile de rezerva si de back-up trebuie si fie amplasate la o distanta de siguranta pentru a evita deteriorarea lor. 9.2.8. CPD este asigurat cu sistem antiincendiar adecvat, cu detectoare fum, cAldura, sistem de stingere cu gaz, sistem de ventilare. Este instalata usa ignifuga si au fost utiliza materiale rezistente la foc pentru pereti si tavan. 9.4. Desfasurarea activitatii in zone de securitate 9.4.1. Organizatia trebuie si proiecteze si si aplice masuri si ghiduri pentru protectia fizica si pentru desfasurarea activitatii in zone de securitate. 9.4.2. Personalul trebuie s fie informat despre existenja zonelor de securitate sau activitatea in zona de securitate - strict dupa necesitati de serviciu; 9.4.3. Trebui sa fie evitate activitatile nesupravegheata in zone de securitate, din considerente de securitate precum si prevenirea actiunilor rauvoitoare ; 9.4.4. Zonele de securitate neutilizate trebuie si fie fizic blocate si periodic blocate 9.4.5. Se interzice introducerea echipamentului de inregistrare audio, foto, video in zonele de securitate; 9.5. Zone de acces public, punctele de livrare si incdreare 9.5.1. Punctele de acces precum punctele de livrare si inearcare sau alte puncte pe unde persoanele care nu sunt autorizate pot intra in interior trebuie controlate si, daca este posibil, izolate de sistemele de procesare a informatici pentru a se evita accesul neautorizat. 10. SECURITATEA ECHIPAMENTELOR Obiectiv: Prevenirea pierderea, avarierea, furtul sau compromiterea resurselor si intreruperea activitatilor din cadrul organizafiei 10.1 Amplasarea si protejarea echipamentelor 10.1.1. Echipamentele trebuie si fie amplasate si protejate astfel incdt sa se reduca riscurile faji de ameninfirile si pericolele de mediu gi fata de posibilitatea de acces neautorizat. 10.1.2. in scopul de a proteja echipamentele, trebuie s& fie luate in considerare urmatoarele: a) Echipamentele trebuie si fie amplasate astfel incit s4 minimizeze accesul in zonele de securitate; b) Elemente care necesita o protectie speciala ar trebui si fie izolate, in vederea reducerii nivelului general de protectie; c) Trebuie si fie stabilite controale pentru a minimiza riscul posibilelor ameninféri fizice, cum ar fi furt, incendiu, agen}i explozibili, fum, ap’ (sau egecul in 17furnizarea de apa), praf, vibratii, agenti chimici, penelor de curent electric, interferente de comunicare, electromagnetice, radiatii si vandalism; d) Se interzice consumul alimentar si de b&uturi, fumatul in apropierea zonelor de securitate; e) Conditiile de mediu, cum ar fi temperatura si umiditatea trebuie si fie continun monitorizate pentru conditii care ar putea influenfa negativ asupra mijloacelor de prelucrare a informatiei; f) Protectie la trasnet ar trebui sa fie aplicate la toate cladirile si filtre antitrasnet trebuie sd fie instalate pe toate liniile de tensiune si linii de comunicatii; 2) Mijloacele care gestioneaza informatii sensibile trebuie si fie protejate in scopul de a reduce la minimum riscul scurgerii de informafii prin intermediul iradierilor colaterale. 10.2. Utilitatile suport pentru afacere 10.2.1. Echipamentele trebuie s& fie protejate impotriva penelor de curent sau a altor intreruperi cauzate de problem ale utilitatilor suport. 10.2.2. Toate utilitafile de sprijin, cum ar fi electricitate, apa, canalizare, inc&lzire / ventilatie si aer condifionat trebui sa fie adecvate sistemelor ce le deservesc, monitorizate in mod regulat si, dupa caz, si fie testate 10.2.3. Toate echipamentele care prelucreazi informatie sensibila, trebuie sa fie conectate la reteaua electric prin surse de alimentare de rezerva (UPS), 10.2.4. Echipamentele de telecomunicatii sunt conectate la 2 furnizori, pentru a asigura functionare continua a conexiunilor. 10.3. Securitatea refelelor de cablu 10.3.1. Cablurile de energie si retelele de telecomunicaii purtatoare de date sau servicii de suport pentru informatie trebuie protejate fafa de interceptiri sau avarii. 10.3.2. Pentru asigurarea securitafii cablurilor de energie sau comunicatie trebuie si se indeplineasc& urmatoarele: a) Informatiile transmise prin retelele de telecomunicafii sunt protejate de catre proprietarul echipamentului (Moldetelecom, CTS, etc.); b) Proprietarul retelelor de cablu asigura o securitate corespunzatoare, tinind cont de riscurilor de avariere; c) Acest lucru in mod obligatoriu trebuie s& fie stipulat in contractul de prestare a serviciilor; d) Cablurile si echipamentele trebuie s4 fie marcate pentru a evita erorile de manipulare gresit’, ca conexiunea incorecti de cabluri; e) Pentru a evita posibile erori, conexiunile trebuie sa fie documentate; 10.3.3. Retelele de cablu ce deserves sistemele informationale importante trebuie s& fie asigurate cu: a) Canale armate si camere blocate sau panouri in locurile de control si locurile conexiune; 18b) Utilizarea rutarilor alternative; c) Utilizarea cablurilor optice; d) Utilizarea ecranelor electromagnetice; e) Controlul accesului la panourile de comunicatii 10.4 intretinerea echipamentelor 10.4.1. Echipamentele trebuie si fie corect intrefinute pentru a se asigura disponibilitatea continua si integritatea acestora. 10.4.2. La intrefinerea echipamentului trebuie si se ia in considerare urmatoarele: a) Echipamentele trebuie si fie intrefinute conform —recomandatilor produc&torului cu periodicitatea si specificarile descrise in documentele tehnice. b) intretinerea se efectueaza strict de cdtre persoanele autorizate. c) S& se efectueze o strict evidenja a tuturor defectelor presupuse sau reale, precum si deservirii de profilactica si de reparare. d) Dac& echipamentul este inclus intr-un grafic de deservire trebuie sa fie luat in considerare de cine este efectuata deservirea, personal interior sau din exterior, si daca este necesar din echipament trebuie eliminata informatia de serviciu. e) Cerintele impuse de politele de asigurare trebuie si fie respectate, 10.5 Securitatea echipamentului in afara locatiei 10.5.1. Pentru echipamentele scoase in afara locatiei trebuie sa fie securitate corespunzatoare, finéndu-se cont de riscurile diferite pentru acti se desfigoara in afara locatiei 10.5.2. Echipamente gi purtatorii de informatii care sunt scoase in afara sediilor nu pot fi lasate nesupravegheate in locuri publice, atunci cand cal&toresc trebuie sa fie transportate ca bagaje de mana si trebuie s& fie mascate, daca este posibil si aparate de influente electromagnetice; 10.5.3. Securitatea echipamentului din in afara locatiei, utilizat de cdtre MMPSF, este asigurat de c&tre proprietarul echipamentului (Moldtelecom, CTS, etc.). Proprictarul echipamentului asiguré o securitate corespunzitoare, tinind cont de riscurile pentru activitajile care se desfaisoara in afara locatiei. Acest lucru in mod obligatoriu trebuie sa fie stipulat in contractul de prestare a serviciilor. 10.6. Scoaterea din uz sau reutilizarea in condifii de siguranfa 10.6.1. Toate parfile din echipament care contin medii de stocare sunt verificate pentru a se asigura c4 orice date importante sau produse software licentiat a fost inlaturat sau suprascris intr-un mod sigur inainte de distrugere. 10.6.2. Echipamentele care contin informatii confidential trebuie sa fie fizic distruse sau informatiile trebuie sa fie distruse sau eliminate folosind tehnici pentru a face informatia originala nerecuperabila. le care 1910.7. Scoaterea activelor 10.7.1. Scoaterea activelor in afara sediilor MMPSF se face respectind urmatoarele: 10.7.2. Se autorizeaza prealabil seful nemijlocit; 10.7.3. Angajatii, terfe parti cu autorizare de scoatere active trebuie sa fie bine determinati; 10.7.4. Trebuie sé fie fixat timpul limita de scoatere si reintoarcere a activelor si controlul corespunderii. CAPITOLUL V. MANAGEMENTUL COMUNICATIILOR $I OPERATIUNILOR Ui. DISPOZITII GENERALE 11.1. Se definese responsabilititile si procedurile operationale _ pentru administrare, functionare si utilizare a mijloacelor de prelucrare a datelor. 11.2. Unde este cazul, de efectuat divizarea atributiilor cu scopul de micsorare a riscului de exploatare incorecta a sistemelor informationale. 11.3. MMPSF va controla in permanent ca serviciile prestate de catre terti sa fie efectuate conform acordurilor incheiate. 11.4, Pentru a preveni riscul de sc&dere a performantelor sistemelor informationale si a suprasolicitarilor este necesard planificarea pe termen lung a cerintelor fata de capacitatile sistemelor. 11.5. Pentru asigurarea integritatii sistemelor informationale si datelor, utilizatorii trebuie s& fie informati despre pericolele ce prezinta infiltrarea codurilor malitioase, iar administratorii de sistem s4 utilizeze mijloace de prevenire, depistare gi eliminare a acestor coduri. 11.6. in scopul mentinerii integritatii si accesibilitatii informatie: si a mijloacelor de prelucrare este necesar de a crea proceduri standard de implementare a strategiei in domeniul copiilor de rezerva. 11.7. Managementul securitatii retelelor necesiti o analiza profunda a fluxului de date, consecinfelor juridice, un control si o protectie permanent. 11.8. Mediile purtatoare de informatie trebuie sa fie controlate si fizic protejate. 11.9, Schimbul de informatii si programe aplicative intre MMPSF si tere persoane se reglementeazi in corespundere cu acordurile de schimb de date, in conformitate cu legislatia in vigoare. 11.10. Sistemele informationale trebuie si fie monitorizate si s4 inregistreze in registre evenimentele ce tin de securitatea informatiei. 11.11. Monitorizarea permanenta va fi utilizati pentru a verifica eficacitatea mijloacelor de control. 2012, PROCEDURI OPERATIONALE SI RESPONSABILITATI Obiectiv: SA asigure operarea corecta si in condifii de securitate a sistemelor de procesare a informatiei. 12.1. Documentarea procedurilor de operare 12.1.1. Toate procedurile de operare trebuic s fie documentate, pastrate si puse Ja dispozitia tuturor celor care au nevoie de ele. 12.1.2. Procedura de documentare a sistemelor informationale se va efectua dupa cum urmeaza: a) Documentatia, aplicatia si codul sursi a SIAAS sunt pastrate in athiva sistemelor informationale a MMPSF amplasata pe serverul MMPSF; b) Crearea biblioraftului pentru fiecare SI, cu toate actele\documentele existente, in compartimentele respective; c) In interiorul fiecarui director care corespunde unui SI se creeaza directoarele “Sarcina Tehnica”, “Ghid Utilizare”, “Ghid Administrator”, “Procese Verbale Testare”, etc., pentru toate tipurile de documente standard. d) Figierele corespunzatore se stocheazi in directoarele respective sau in rdiicina SI respectiva; ) Persoana responsabilé de documentare este nominalizata de citre DET ; f) Se stabilese persoanele responsabile de intocmirea, colectarea si pastrarea actelor fiecdrui SI; g) Persoana responsabili de intocmirea, colectarea si pastrarea actelor fiec&rui SI este managerul SI din cadrul DET; h) Prin intermediul managerul SI se asiguré accesul la documentatia tehnica relevanta utilizatorilor SIAAS, conform atributiilor de serviciu. 12.2. Managementul schimbarilor 12.2.1. Toate schimbarile privind sistemele de procesare a informatiilor trebuie s& se faca intr-un mod controlat. 12.2.2. Modificarea, completarea si ajustare a componentelor SIAAS se efectueaza in urmatoarele cazuri: a) Depistarea erorilor in lucrul componentelor SIAAS; b) Reconfigurarea si optimizarea componentelor SIAAS; c) Necesitatea modificarilor SIAAS in leg&tura cu modificarea in legislatie; d) Necesitatea implementirii functionalitatilor noi in SIAAS; e) Up-grade de versiuni a componentelor SIAAS; f) Instalarea componentelor noi a SIAAS; Procedura de modificarea, completarea si ajustare a componentelor SIAAS se va efectua dupa cum urmeaza: a) Solicitantul pentru modificarea, completarea si ajustare a componentelor SIAAS scrie o cerere de solicitare a modificarii componentei SIAAS in numele 2sefului DET (in cazul unei modificari a componentei SIAAS in rezultatul modificarii legislatiei in vigoare cererea se substitui cu ordinul aprobat de conducerea MMPSF); b)in baza ordinului/cererii seful DET nominalizeazi persoanele responsabile pentru proiectarea planului si estimarea costurilor pentru implementarea modificarilor respective in SIAAS; c) Planul de modificare trebuie s& fie prezentat pentru analiza sefului DET; d)Dupa rectifictrile si stabilirea termenilor de efectuare a modificarilor in SIAAS planul se autorizeaza si se vizeazi de conducerea MMPSF; e)Realizarea modificarilor se efectueazi pe echipamentele de test cu completarea actului de testare si cronometrarea timpului de executare a lucririlor; f) in cazul in care timpul de executare a lucrarilor pe utilajele de productie depaseste 0 ord seful DET informeaza conducerea si stabileste timpul executirii lucratilor, informind utilizatorii despre data, ora si timpul de stopare a componentelor SIAAS; g) Pentru lucrarile care necesita un termen mai mare de 24 ore prin ordin poate fi stabilit’ procedura de perfectare a actelor in regim manual; h)inainte de executarea modificarilor grupul de implementare este obligat si formeze copia de rezerva a componentei SIAAS care va fi modificata; i) Dupa finisarea executarii lucrarilor persoanele implicate in procedura de modificare sunt obligate si completeze actul de testare a modificarilor; 5) in cazul implementarii nereusite a modificirilor de grupa de implementare se efectueazi restabilirea versiunii precedente din copia de rezerva; k)Toate modificirile in componentele SIAAS sunt fixate in biblioraftul respectiv. 12.3, Separarea atributiilor 12.3.1 Atributiile si domeniile de responsabilitate trebuie separate pentru a reduce posibilitatea de modificiri neautorizate sau neintentionate sau folosirea intr-un mod gresit a resurselor din cadrul SIAAS. 12.3.2 La executarea oricdror lucrari in cadrul SIAAS este necesar de {inut cont de separarea executirii lor pe etape si anume: a) Etapa de solicitare b) Etapa de coordonare si aprobare c) Etapa de executare d) Etapa de verificare si acceptare 12.3.3. Fiecare etapa trebuie si fie executati, dupa posibilitate, de persoane diferite pentru a exclude factorul de abuz sau utilizare necorespunzatoare a sistemului in mod accidental sau intentionat. 2212.4, Separarea sistemelor de dezvoltare, testare si a sistemelor operationale 12.4.1, Sistemele de dezvoltare, testare si sistemele operationale trebuie sa fie separate pentru a reduce riscurile accesului neautorizat sau schimbirilor asupra sistemelor operafionale. Modificérile, completarile, ajustirile versiunilor noi a aplicatiilor pot fi instalate pe serverul de productie numai dupa o testare prealabila pe serverele de testare. Configurafia serverului de testare trebuie s& coincida intocmai cu configuratia serverului de productie. 12.4.2. Se interzice persoanelor ce au participat la elaborarea sistemului informational sé administreze sau s& gestioneze softul si s participe la testarea lui. 12.4.3. Persoanelor ce au participat la elaborare sau testarea softului in mod obligatoriu li se retrage drepturile de acces la soft. 13. MANAGEMENTUL SERVICITLOR FURNIZATE DE TERTI Obiectiv: Implementarea gsi menfinerea la un nivel corespunzdtor al ‘ii informatie: si al livrarii serviciilor in concordanta cu acordurile de re de citre terti. 13.1. Furnizarea serviciilor 13.1.1 Trebuie asigurat faptul ci misurile de securitate, definitiile serviciilor si parametrii de furnizare incluse in acordurile de furnizare de citre terti sunt implementate, operate si intrefinute corespunzator de cditre partea tert. 13.1.2 Tofi Furnizori de servicii informationale trebuie sa respecte urmitoarele conditii: a) Sa acceseze strict resursele hardware si software din cadrul MMPSF, la care Fumizorul are drept de acces, acestea find expuse in contractul de prestari_servicii: b) Modul in care informatiile la care Furnizorul are drept de acces urmeazi a fi protejate de catre acesta precum si masuri ce vor fi luate in cazul nerespectirii clauzelor; c) Modalitatea de predare, distrugere sau de transfer al drepturilor informatiilor Institutiei aflate in posesia Furnizorului, la incheierea contractului; d) Furnizorul trebuie s& foloseasca sistemul SIAAS din cadrul MMPSF numai in scopul stipulat in contract; e) Orice alta informatie din sistemul SIAAS al MMPSF obtinut de Furnizor pe durata contractului nu poate fi folositi in interes propriu de catre Furnizor sau divulgata altora; f) Toate echipamentele de intretinere ale Furnizorului, aflate in refeaua interna a MMPSF si care pot fi conectate in exterior prin intermediul refelei, a liniilor telefonice sau a liniilor inchiriate, precum gi toate conturile de utilizator create temporar pentru Furnizor si necesare pentru acces la SIAAS ale MMPSF, vor fi scoase din uz la incheierea relatiilor contractuale; 23g) Accesul Furnizorului trebuie s& fie identificat in mod unic iar administrarea parolelor sau metodele de autentificare trebuie s& fie in conformitate cu Regulamentul privind Securitatea Informationalé a MMPSF ; h) Acctivitatile principale ale Furnizorului trebuie s& fie documentate de acesta si puse la dispozitia MMPSF. Documentatia trebuie s& cuprind’, dar s& nu fie limitate la, evenimente precum: schimbiri de personal, schimbiri de parol, schimbari majore in derularea proiectului, timpii de sosire, de plecare si de livrare ; i) fn cazul retragerii din contract a unui angajat al Furnizorului, indiferent de motiv, Fumizorul se va asigura c& toate informatiile sensibile sunt colectate si predate MMPSF ssau distruse in cel mult 24 de ore de la producerea evenimentului; i) i/rezilierii contractului sau la cererea MMPSF , Furnizorul va preda sau distruge toate informatiile ce aparjin MMPSF si va oferi certificare in scris privind predarea sau distrugerea informatiilor in decurs de 24 de ore de la producerea evenimentului; k) Toate programele folosite de Furnizor in scopul furnizaii serviciilor stipulate in contract catre MMPSF trebuie s& fie inventariate corespunzator si si posede drepturi de utilizare atestate prin Licente. 1) Contractele de externalizare a serviciilor nu trebuie s& includa servicii specificate in alte contracte de externalizare. 13.2. Monitorizarea si evaluarea serviciilor terfilor Serviciile, rapoartele si inregistrarile furnizate de partea ter{ sunt monitorizate si evaluate in mod periodic de colaboratorii responsabili din cadrul DET. Auditarea Furnizorilor trebuie s& fie efectuaté in mod regulat. 13.3. Managementul modificdrilor in cazul serviciilor tertilor Managementul modificdrilor in cazul serviciilor terfilor se efectueazd conform procedurilor stabilite de MMPSF. 14, PLANIFICAREA $I ACCEPTANTA SISTEMELOR Obiecti educerea riscurilor de disfunctionalitati ale sistemelor. 14.1, Managementul capacitatii 14.1.1. in vederea asigurarii nivelului de performanta cerut de sistem utilizarea resurselor trebuie si fie monitorizatd si optimizata, iar necesitatile de capacitate viitoare trebuie sa fie prevazuta. 14.1.2. Procedura de estimare a capacititilor componentelor noi implementate in SIAAS se va efectua dupa cum urmeaz a)Echipa de implementare va studia documentafia tehnicd si va efectua estimarea cerintelor fafa de capacitatile SIAAS; b) in caz cind SIAAS satisface cerine componentelor noi are loc instalarea lor pe serverul de testare; 24c) in procedura de testare echipa de implementare va efectua masurarea cerinfelor componentelor noi fafa de SIAAS si va analiza urmatorii parametri: Cerinfele fata de canalele de comunicatii; Cerintele fat de memoria operativa a serverelor; Cerintele fafa de procesoarele serverelor; Cerinfele fafa de echipamentele de stocare a datelor; Cerintele fafa de calculatoarele personale; d)in caz daci m&car un parametru enumerat mai sus nu satisface cerintelor componentei noi a SIAAS implementarea ei pe serverele de productie nu va fi efectuata; ¢) Implementarea componentelor noi pe serverele de productie se va efectua numai dupa majorarea parametrilor respectivi; 14.2, Acceptanta sistemului 14.2.1. Criteriile de acceptan{a pentru noile sisteme informatice, actualizari gi noi versiuni trebuie clar stabilite, iar in timpul dezvoltarii si inainte de acordarea acceptantei trebuie efectuate teste adecvate. 14.2.2. Pentru implementarea sistemului informational nou conducerea MMPSF stabileste componenta echipei de implementare si persoana responsabilA de sistem; 14.2.3. Echipa de implementare va instala sistemul nou pe serverul de testare; 14.2.4. Echipa de implementare trebuie s& testeze urmiatorii parametri a sistemului nou: a)Cerinfele pentru funotionarea sistemului in SIAAS si cerinfe fafa de calculatoarele personale; b)Procedura de recuperare si repornire a sistemului dupa aparitia erorilor in sistem; c) Verificarea functionalitatilor sistemului; d) Verificarea interfefelor sistemului din punct de vedere a comodititii de utilizare; ¢)Dovada c& sistemul satisface cerinfelor regulamentului de securitate a MMPSF; f) Asigurarea la nivel de sistem a continuitatii proceselor; g) Dovada ci sistemul nou nu va avea impact asupra sistemelor existente in orele de virf a functionarii SIAAS; h)Dovada c& sistemul nu are impact negativ fafi de sistemul de securitate a MMPSF; 14.2.5. in cazul in care sistemul satisface toate cerinjele MMPSF echipa de implementare semneaza actul de testare. 14.2.6. Dupa implementarea sistemului nou in productie, elaboratorul va asigura cel putin 6 luni de garantie. 2514.2.7. in perioada de garantie, elaboratorul va asigura toate corectiile de erori si modificari de sistem in limita sarcinii tehnice, cerute de MMPSF gratis. 14.2.8. in cazul necesitatii de modificare a sistemului cu o complicitate marita gi modificarea solicitaté nu a facut parte a contractului de elaborare, claboratorul de sistem va negocia costurile suplimentare cu conducerea MMPSF. 14.2.9, Dupa corectarea tuturor erorilor si implementarea cerintelor MMPSF de c&itre echipa de implementare se semneazi actul de acceptanfa a sistemului 15. PROTECTIA iMPOTRIVA CODURILOR MOBILE SI DAUNATOARE Obiectiv: Asigurarea protejarii integritafii software-ului si a informal 15.1.Masurile de securitate impotriva codului mobil si a codurilor cu potenfial diunator. 15.1.1. in cazurile de suspiciuni de prezenja a virusilor la statiile de lucru (programul de lucru atipica, aspectul de imagine si efectele sunetului, denaturarea datelor, aparitia frecventa a rapoartelor de erori sistematice sau_a mesajelor antivirale de detectare a virusilor) utilizatorul este obligat: a) si suspende lucrul; b) si se adreseze serviciului de sustinere a utilizatorilor (Hot-Line). 15.1.2. Utilizatorilor SIAAS strict li se interzice: a) a lansa orice fisier, primit prin posta electronica, pentru executare, fra a verifica mai intii lipsa virusilor si altor soft-uri aplicative daunatoare; b) a descdirea fisiere din resurse necunoscute; 15.1.3. Instalarea programelor complexe de antivirus la computerele si sctarea parametrilor sunt efectuate strict de persoane autorizate; 15.1.4. Monitorizarea situatiei in cazul detectarii virusilor si climinarea efectelor de focare a virusului, sunt realizate strict de persoane autorizate. Monitorizarea se efectueaza permanent. 15.1.5. in cazul in care exist suspiciunea de virusi sau a unor soft-uri aplicative daunatoare, administratorul programului de antivirus intr-o ordine operationala si prioritara, ia m&suri privind ameninfarile locale precum si eliminarea efectelor daunatoare in SIAAS sau pentru o stafie de lucru separat’. 15.1.6. in cazul depistarii a virusilor sau a softurilor daundtoare, administratorul de calculatoare personale este obligat: a) s&completeze actul de desfasurare a activitatilor si s& indice sursa invocata a fisierului infectat (expeditorul, proprietarul 5.a.), tipul fisierului infectat, natura informatiilor conjinute in fisier, tipul virusului si a activitatilor antivirale efectuate; b) daca este posibil, impreuna cu proprietarul fisierelor infectate sA determine sursa de contaminare;c) daca e posibil, impreund cu proprietarul fisierelor infectate, si efectueze analiza necesitatii folosirii lor in continuare; d) sd desfasoare activitati de tratare sau distrugere a fisierelor infectate. 15.2. Utilizarea resurselor refelei globale Internet 15.2.1. Accesul la resursele refelei Internet se acorda colaboratorilor MMPSF in scopul executirii de catre acestia a obligatiunilor de serviciu. Reteaua globala Internet se utilizeaza pentru: a) acces la refeaua global a paginilor hipertext (WWW) b) acces la resursele de fisiere Internet (FTP); c) acces la baze de date specializate (de drept 5.a.); d) contacte cu persoanele oficiale ale altor structuri, cu specialistii subdiviziunilor teritoriale ; e) schimb de intrebari neconfidentiale cu caracter de serviciu prin intermediul postei electronice cu persoane oficiale; f) ridicarea calificarii specialistilor, necesara pentru executarea obligatiunilor de serviciu; g) cautarea si colectarea informatiei pe marginea intrebarilor cu caracter administrativ, financiar si juridic, care sunt nemijlocit legate de executarea de catre specialisti a obligatiunilor de serviciu. 15.3. Restriefiile de baz in cadrul lucrului in refeaua Internet 15.3.1. Se interzice accesarea de citre utilizator a resurselor cu confinut indecent (resurse erotico-pornografice, resurse cu caracter nazist, resurse care provoacd la violenfa si altele) 15.3.2, Se interzice accesarea jocurilor, site-urilor distractive, si alte site-uri ce nu au legatura cu obligatiunile de serviciu, 15.3.3, Se interzice inc&rearea materialelor cu caracter pornografic, jocurilor, bancurilor, altor materiale cu caracter distractiv. 15.3.4, Se interzice utilizarea panourilor de publicitate, conferinjelor in scopuri personale in timpul lucrului. 15.3.5, Se interzice publicarea adresei electronice corporative pe panourile publicitare, in conferinte si c&rfi de oaspeti. 15.3.6, Se interzice utilizarea adreselor de e-mail ne corporative si este limitat accesul utilizatorilor retelei corporative la toate serverele postale, inclusiv la serviciile postale gratis, cu excepfia adresei electronice corporative. in cazul in care, in scop de serviciu, utilizatorul are nevoie de posta electronica intr-un domen, diferit de cel corporativ, este necesara permisiunea scris& a conducatorului ierarhic superior. 15.3.7, Se interzice transmiterea datelor de evidenfa a utilizatorului. 15.3.8. Se interzic jocurile la computer. 15.3.9, Se interzice accesarea resurselor de transmitere a inregistrarilor video si audio (camere-web, transmisiuni TV si programelor muzicale in Internet), care 27necesit inc&rcarea maximal a refelei si impiedicd lucrul in regim normal al celorlalti utilizatori. 15.3.10. Se interzice transmiterea informatiei cu caracter confidential persoanelor terfe. 15.3.1. Se interzice desfasurarea operafiunilor ilegale in refeaua globala Internet. 15.3.12. Se interzice crearea paginilor web personale (plasarea serverelor web sau fip). 15.3.13. Se interzic orice incercari de a intreprinde actiuni distructive faa de lucrul in regim normal al retelei corporative si retelei Internet (transmiterea virusilor, atacurile IP s.a.). 15.4, Controlul asupra utilizarii resurselor refelei Internet 15.4.1. in scopul asigurarii securitajii a SIAAS, conducerea MMPSF isi asum& dreptul de a efectua controale selective sau totale ale intregului sistem informational sia fisicrelor separate, fara instiintarea prealabila a colaboratorilor. 15.4.2. in scopul efectuarii controlului_ si limitarii traficului de resurse ce nu au legaturé cu procesele desfagurate in cadrul MMPSF, colaboratorii DET realizeazi urmatoarele sarcini: a) asigura traficul suficient si functionarea neintrerupti a canalelor de acces in reteaua Internet (cu conditia asigurarii din partea provider-ul); b) asigura protectia maxima a retelelor interne impotriva accesului nesanctionat din exterior, c) efectueaz& aplicarea drepturilor de acces a unor utilizatori la diferite resurse Internet, limitarea utilizarii resurselor pentru anumifi utilizatori, controlul si limitarea informatiei de intrare gi de iesire; ) efectueaza filtrarea contentului ce nu fin de necesitati de serviciu; ¢) realizarea politicii de restrictionare a utilizarii fluxurilor de date muzicale, tele si video programe; f) crearea si reinnoirea filtrelor necesare, analizarea eficaciti{ii si permanent reinnoirea listelor resurselor interzise; g)s& efectueze monitorizarea neintrerupt’ a utilizarii traficului Internet la compartimentul utilizatorilor, in scopul depistarii surselor noi de informatie neproductiva (care nu corespunde profilului) si neutralizarea lor. 2816. COPIE DE SIGURANTA Obiectiv: Sa mentina integritatea si disponibilitatea informatic sistemelor de procesare a informatiei. 16.1. Crearea si utilizarea copiilor de siguranti (Back-up) a activelor informationale a SIAAS 16.1.1. Pentru a asigura integritatea si autenticitatea activelor informationale a SIAAS si protejarea acesteia se foloseste sistemul copicrii de siguranta si dublarii informatiei critice precum si a programelor utile. Acest sistem permite posibilitatea restaurarii datelor prin intermediul copiilor de rezerva cu pierderi minime de informafii intr-un termen rezonabil. 16.1.2. Pentru un acces mai eficient la datele arhivate, informatia, timpul de acces la care este o valoare critica, se inregistreaz& in spatiul corespunzitor de pe matricea de disc. Astfel de arhivare se numeste operativa. 16.1.3. Pentru a preveni supraincarcarea spatiului de disc, arhivele, cu informatii ce si-au pierdut actualitatea sau timpul de acces la care este 0 valoare critica, se transfera in biblioteca de banda sau pe un dispozitiv extern de stocare. Arhiva de acest tip se numeste de baza. 16.1.4. Cele mai importante informatii sunt inregistrate atit pe discul serverului cit si pe suportul tip banda. 16.1.5. Personalul responsabil din cadrul DET a MMPSF sunt obligati sa determine partea de informatii ce urmeaza a fi arhivata. Lista cu informatiile care urmeazi sa fie arhivate trebuie si fie aprobata de conducerea MMPSF. 16.1.6. Colaboratorii responsabili din cadrul DET, elaboreaza instructii interne corespunzatoare pentru a efectua copii de rezerva si a bazei de date, stabilesc metoda si intervalul de timp a procesului de arhivare, pe baza caracteristicilor tehnologice a SIAAS. 16.2. Ordinea copierii de rezerva 16.2.1. Copierea de rezerva a resurselor informationale are loc in baza urmatoarelor date: a) compozitia si volumul de date copiate, frecventa copierii de rezerva; b) termenul maxim de pastrare a copiilor de rezerva — 6 luni. Sistemul copierii de rezerva trebuie s4 asigure productivitatea necesaraé pentru pastrarea informatiei,in termenii indicati si cu periodicitatea data. 16.2.2. Responsabil pentru procedura copierii de rezerva este colaboratorul DET, numit prin ordinul MMPSF. 16.2.3. Despre incercarile de acces neautorizat la informatia rezervata, de asemenea gi alte incalcari ale securitatii informationale ce au avut loc in cadrul procesului copierii de rezerva, se raporteaz& sefului DET, prin not& de serviciu in decursul zilei lucratoare dupa descoperirea a evenimentului indicat. Administratorul pentru procedura copierii de rezerva adopt operativ toate masurile pentru 29minimizarea consecinfelor scurgerii ce a avut loc si prevenirii incercarilor repetate de acces nesancfionat la informatie, de asemenea aduna toate dovezile, ce indic& primirea unui astfel de acces, si le prezinta impreun’ cu nota de serviciu, 16.3. Controlul rezultatelor copierii de rezervi 16.3.1. Integritatea gi autenticitatea informatiei arhivate este verificati de colaborator responsabil. 16.3.2. Controlul rezultatelor tuturor procedurilor copierii de rezerva este realizat de catre colaboratorii responsabili in termen pina la orele 16 a zilei lucratoare, ce urmeaza dupa data stabilité de executare a acestor proceduri, 16.3.3. in cazul depistarii erorii in procesul copierii de rezerva, persoana responsabila de controlul rezultatelor, anunfa administratorii copierii de rezerva pin la orele 17 ale zilei lucratoare curente despre aparitia situatiei de urgent’. 16.3.4. Pe parcursul perioadei de timp, cind sistemul copierii de rezerva se afla in stare avariata, trebuie si fie realizata copierea zilnicd a informatiei, pe alte discuri rigide care dispun de spafiu liber. 16.4. Rotafia suporturilor copiilor de rezerva 16.4.1. Sistemul copierii de rezerva trebuie sa asigure inlocuirea periodica a suporturilor de rezerva, faré pierdere de informafii de pe ele, si de a asigura restaurarea informatici curente din SIAAS in cazul defectiunilor oricaror mijloace ale copierii de rezerva. 16.4.2. Rotatia suporturilor are loc in cazurile: a) Defectirii aparatelor; b) Transferului in celula bancara; c) Transferului pe serverul de rezerva; d) indeplinirea planului restabilirii de rezerva. 16.4.3. In calitate de suporturi noi este acceptabil de a folosi repetat cele ale c&ror termen de pastrare a expirat. 16.4.4. Informatiile confidentiale de pe suporturile care nu mai sunt utilizate intr- un sistem de rezerva ar trebui sa fie eliminate cu utilizarea de software specializat, in prezenfa colaboratorului Directiei DET a MMPSF. 16.5. Restabilirea informafiei din copiile de rezerva 16.5.1. Recuperarea datelor de pe copiile de rezerva se efectueaza pe baza cererii proprietarului informatie’ si in alte conditii necesare. 16.5.2. Procedura de recuperare a datelor de pe o copie de rezerva se efectueazi in conformitate cu metoda de recuperare a informatiilor conform instructiunile interne a MMPSE. 16.5.3. Odaté in trimestru specialistul colaboratorului Directiei DET si a MMPSE, responsabil pentru resurs& informational respectiva, verifica corectitudinea copiei de rezerva prin restabilirea arhivei din baza de date de producere in baza de 30date test. Dupa efectuarea procesului de verificare se fixcazi toate actiunile in registru special cu indicarea: a) Datelor de verificarea; b) Orei inceputului; c) Orei finisarii; d) NPP; e) Semnaturii; f) Rezultatului executirii. 16.5.4.in cazul rezultatului negativ informagia__privind —_calitatea necorespunz&toare a purtatorului se iau decizia privind schimbarea purtatorului respectiv. 16.6. Depozitarea copiilor de siguran{a in afara sediului MMPSF Pentru a asigura securitatea informationala a SIAAS, un exemplar al copiilor bazelor de date si soft-ului SIAAS ar trebui s fie pastrate pe suport magnetic in afara sediului MMPSF, intr-o celula de depozit bancar in condiii de siguranta. Un alt exemplu de copii ale bazelor de date si aplicatiilor software a SIAAS trebuie si fie pistrate pe suport magnetic in incinta MMPSF la DET cu asigurarea condiiilor necesare (safeu, acces limitat in incapere). 17. MANAGEMENTUL SECURITATH RETELEL Obiectiv: Si se asigure protectia refelelor de informatii si protectia infrastructurii de suport. 17.1. Masuri de securitate a refelelor 17.1.1. Cu scopul asigurarii nivelului cuvenit de securitate informationala la etapa proiectarii refelelor de telecomunicatie trebuie de respectat urmatoarele reguli: a) Toate calculatoarele si serverele conectate in retea locala trebuie sa fie protejate, limitind accesul prin login si parola si utilizind soft-uri de tip firewall b) Toat& informatia care prezinta secret de stat, de serviciu gi este transmis’ prin refele de telecomunicatie trebuie criptata . c) Toate echipamentele de rejea de tip: switch, router, server, etc., trebuie protejate, respectind reguli de securitate informationala la nivel software: respectind controlul conectarilor prin configurarea setirilor de refea si fizic: limitarea accesului asigurind incaperi si dulapuri speciale. d) Asigurarea accesului limitat in refeaua corporativa a ministerelor, structurilor de stat si private, cu care sunt incheiate contracte de schimb de informatie . e) De a identifica si autentifica personalul responsabil de monitorizarea si configurarea mijloacelor de comunicare. f) Laconectirile de la distant sé fie prevazut: identificarea persoanei conectate dupa nume de utilizator si adresa IP, s& fie calculat timpul de conectare, 31g) Pentru retelele corporative trebuie prevazute modalitaji de monitorizarea si limitarea traficului de date, cu scopul excluderii supraincircarilor de retea 17.1.2, Pentru retelele corporative trebuie respectati protectia datelor privind informatia despre utilizatori de c&tre administratorii sistemelor informationale. 17.1.3. Toata informatia transmisa prin refelele corporative si conexiune internet se va efectua prin tunelele VPN asigurate de echipamente firewall adecvate care asigura criptarea datelor transmise. 17.2. Securitatea serviciilor de refea 17.2.1. Toate retelele corporative din dotarea MMPSF sunt inchiriate de la companiile specializate in servicii de telecomunicatii (Moldtelecom, CTS etc.) 17.2.2. Tipurile de conexiune a punctelor de conectare la SIAAS se efectueaza prin utilizarea urmatoarelor tehnologii: a) Linii dedicate (Cross-Net) b) Linii dedicate (Fibra optic) c) Wi-Fi directionat d) ADSL e) GPRS f) CDMA 17.2.3, Asigurarea protectiei datelor transmise prin intermediul retelelor inchiriate se efectueaza de citre MMPSF utilizind crearea tunelelor VPN si criptarea datelor prin utilizarea protocoalelor IPSec 18. MANIPULAREA MEDIILOR DE STOCARE Obiectiv: Si prevind divulgarea neautorizata, modificarea, indepartarea sau distrugerea resurselor si intreruperea activitifilor afaceri 18.1. Managementul mediilor de stocare amovi a) Pentru toate stafiile de lucru prioritare purtatorii de informatii externi (DVD, stick, ete.) sunt dezactivati. b)Activarea posibilitajii conectarii purtatorilor de informatie extemi vor fi efectuate numai in baza cererii pe numele conducerii MMPSF in care se descrie tipul purtatorului si scopul cu care va fi utilizat. c) in cazul vizarii pozitive a cererii, administratorul de securitate informationala informeazA administratorii, care la rindul lor vor asigura modificarea respectiva. d)Faptul efectuarii modificarii va fi inscris in registrul electronic. e) Solicitarea va fi pastraté de c&tre administratorul de securitate in mapa »Solicitari” . 18.2. Distrugerea mediilor de stocare 18.2.1. Mediile de stocare trebuie distruse intr-un mod securizat si sigur atunei cind acest lucru se impune, folosind proceduri formale pentru aceasta. 3218.2.2. Procedura de distrugere a mediilor de stocare se va efectua dupa cum urmeaza: a) Mediul de stocare va fi transmis la depozit b)Comisia de casare va invita un administrator de sistem care va efectua distragerea mediului de stocare 18.3. Proceduri de manipulare a informatiei Pentru a proteja informatiile impotriva utilizirii improprii sau divulgarii neautorizate se stabilesc proceduri specifice de manipulare si stocare a acestora: a) Toate informatiile gestionate in SIAAS se inregistreazi in SGBD numai prin intermediul sistemelor informationale, parti componente a SIAAS b) Accesul la sistemele informationale trebuie sa fie eliberat in conformitate cu cerinfele Regulamentului de securitate ,,Controlul acceselor”. c) Accesul persoanelor la rapoartele statistice a SIAAS se elibereazi numai cu acordul conducerii MMPSF in baza cererilor cu descrierea tipurilor de rapoarte si scopul utilizarii lor, 4) Selectarea informatiilor si rispunsurile la interpelarile oficiale vor fi eliberate doar de colaboratorii autorizati €) Toate informatiile obtinute cu continut statistic trebuie si fie marcate cu inscriere ,,Pentru uz de serviciu” 18.4, Securitatea documentatiei de sistem Documentatia de sistem este pastrata pe serverul central la care au acces numai persoanele responsabile de documentare. a) Documentatia legati de administrarea SIAAS poate fi transmis’ numai persoanelor nominalizate ca administratori de sistem, a conducerii MMPSF si colaboratorilor DET; b)Accesul la Ghidurile de utilizare a componentelor SIAAS sunt accesibile pentru tofi utilizatorii; c) Accesul la ghidurile de utilizare a componentelor SIAAS pot avea numai utilizatorii componentelor SIAAS. 19. SCHIMBUL DE INFORMATII Obiectiv: Si menfini securitatea schimbului de informatie cu orice entitate externa. 19.1. Proceduri si politici pentru schimbul de informa a) Schimbul de informatii intre MMPSF si entitate externa poate fi efectuat numai in baza acordurilor bilaterale de schimb date; b) Acordurile bilaterale obligatoriu trebuie s confind urmatoarele informa c) Lista datelor la care se solicita acces; 4) Lista persoanelor care vor avea acces; 33e)Pentru asigurarea schimbului de date obligatoriu se utilizeazi servere intermediare; f) Pot fi stabilite trei tipuri de schimb date: g) Prin intermediul FTP serverelor; h) Prin utilizarea WEB — serviciilor; i) Prin accesul la SIAAS; j) Schimbul de date se efectueazi numai prin intermediul refelelor de comunicatii protejate, 19.2. Acorduri de schimb informatii Acordurile bilaterale intre MMPSF si fiecare autoritate centralé in parte este prevazuta de Hotarirea Guvernului 561din 18.05.2007. 19.3. Met fizice de stocare in tranzi 19.2.1. Mediile de stocare care contin informatii trebuie si fie protejate impotriva accesului neautorizat, utilizrii necorespunztoare sau falsificarii in timpul transportarii dincolo de granitele fizice ale organizatici 19.3.2. Pentru protejarea mediilor fizice de stocare ce sunt transportate intre diferite locatii trebuie sa fie luate in considerare urmatoarele: a) Sa fie utilizate mijloace de transport sigure; b) Curierii trebuie sé fie imputerniciti de conducerea MMPSF si legitimati; c) Ambalajul trebuie si fie sigur pentru protejarea confinutului de orice daune fizice in timpul transportarii gi trebuie sa corespunda specificatiilor producatorului. d)Pentru protejarea informafiile sensibile de divulgarea sau modificarea neautorizata ar trebui s& fie luate masuri suplimentare ca: ¢) Utilizarea containerelor cu cheie; f) Livrarea sub semnatura; nesanctionata; h){n cazuri exceptionale, divizarea incarcaturii in mai multe parti si trimise pe cai diferite 19.4 Mesageria electronica 19.4.1. Informatia transmis prin mesageria electronica trebuie protejat’ in mod corespunzator. 19.4.2. in procesul de lucru cu sistemul corporativ al postei electronice colaboratorilor MMPSF li se interzice: a) utilizarea adresei postale pentru formarea abonamentelor; b) publicarea adresei sale sau a adreselor altor colaboratori in Internet-resurse accesibile (forumuri, conferinte s.a.); c) deschiderea fisierelor intrate fir verificarea prealabil& cu mijloace antivirus, chiar dac& expeditorul scrisorii este bine cunoscut; d) efectuarea reexpedierii in mas a mesajelor cu caracter publicitar; 34e) reexpedierea prin posta electronica a materialelor, ce confin virusi sau alte coduri, file-uri, programe, prevazute pentru dezechilibrarea, nimicirea sau limitarea functionalitatii orictrui echipament computerizat, de telecomunicatie sau de program, pentru executarea accesului nesanctionat, de asemenea reexpedierea numerelor de serie a produselor comerciale de program si programelor pentru generarea lor, login- urilor, parolelor gi altor mijloace pentru primirea accesului nesancfionat la Intemet- resursele contra plata, de asemenea si referintelor la informatia relatata mai sus; f) raspandirea materialelor cu drepturi de autor, materialelor ce se refera la un patent, marc comerciala, tain comercial sau alte drepturi de proprietate: g) raspandirea informatiei cu acces limitat, prevazuta pentru utilizarea in scopuri de serviciu; h) rspandirea parolei de acces la cutia sa postala. 20. MONITORIZAREA Obiectiv: Identificarea activitatilor neautorizate de procesare a informatiei. 20.1. Jurnal de audit 20.1.1, Fisierele jurnal vor fi examinate regulat, nu mai rar de odata pe luna, in vederea detectirii eventualelor atacuri informatice si abateri de la regulamentele de securitate ale SIAAS. in categoria fisierelor examinate intra (ffiri a se limita doar la acestea): a) Jurnale ale sistemelor de detectarea automata a intrusilor. b) Jumnale Firewall c) Jurnale ale activitatii conturilor utilizator d) Jurnale ale scanatilor retea ¢) Jurnale ale aplicafiilor f) Jurnale ale solicitarilor de suport tehnic g) Jurnale ale erorilor din sisteme gi servere. h) Jurnale ale echipamentelor de telefonie 20.2. Monitorizarea utilizarii sistemului 20.2.1. Nu mai rar de odata in trei luni administratorii de sisteme vor efectuata evaluarea riscurilor pentru resursele importante din Lista resurselor TI ale MMPSF pentru a preveni eventualele situatii de inrautatire a performantelor. 20.2.2. Toate resursele TI ale MMPSF importante sunt monitorizate de catre administratorii SIAAS, pentru a anticipa devierile in functionare conform normelor recomandate; 20.2.3. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmari si inregistra: a) Tipul traficului (ex. structura pe protocoale si servicii) extern si confinutul acestuia in cazurile in care acest lucru se impune sau este ordonat ; 35b)Tipul traficului in refea, a protocoalelor si a echipamentelor conectate la SIAAS, continutul acestuia in cazurile in care acest lucru se impune sau este ordonat ; ) Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de operare). 20.2.4. in mod regulat (cel pufin 0 data in trei luni) de administratorii SIAAS se vor efectua verificari, pentru detectarea: a) Parolelor utilizator care nu respect regulamentele b) Echipamentelor de refea conectate neautorizat c) Serviciilor de refea neautorizate 4d) Serverilor de pagini de web neautorizate c) Echipamentelor ce utilizeazi resurse comune nesecurizate £) Utilizitii de modeme neautorizate g) Licentelor pentru sistemele de operare si programele instalate 20.2.5. in cazul depistirii oricdrei nereguli in rezultatul evaluiilor descrise in punctul 10.1, administratorul SIAAS este obligat: a) Si descrie in raport catre seful DET riscul depistat. b)Sa estimeze consecintele care pot aptirea in SIAAS in urma nesolutionarii problemei care a cauzat riscul. c) Sa identifice metodele de solufionare pentru excluderea riscurilor identificate d)$eful DET raporteazé conducerii MMPSF despre riscul identificat si modalitatea de solufionare a acestuia. c) Seful DET ia toate masurile necesare pentru excluderea riscului identificat. 20.2.6. in cazul in care pentru excluderea riscului sunt necesare cheltuicli financiare suplimentarea, Seful DET trebuie: a) S& pregiteasca divizul de cheltuieli pentru solufionarea riscului. b) Sd gestioneze procedura de implementare a solutiei. 20.3. Protectia informatiilor din jurnale 20.3.1. Jurnalele de audit descrise in punctul 20.1.1 periodic se vor arhiva si se vor pastra pentru o perioada nu mai mic& de doi ani. 20.3.2. Responsabil pentru arhivarea si pistrarea fisierelor jurnal este administratorul de sistem. 20.4. Jurnalul activitatilor administratorului si operatorului Activitatile administratorului de sistem si ale operatorului de sistem trebuie inregistrate. 20.5. inregistrarea erorilor si deficientelor in functionare 20.5.1. Incidentelor securitéii informafionale li se atribuie urmatoarele evenimente: a) pierderea serviciilor prestate, lipsa functionarii continua a echipamentelor si mijloacelor de prelucrare si transmitere a informatiilor; 36