REGULAMENTUL
Securitatii Informationale a Ministerului Muncii, Protectiei Sociale si Familiei
CAPITOLUL I. ORGANIZAREA SECURITATII INFORMATIEL
1. ORGANIZAREA INTERNA
Obiectiv: Administrarea securitifii informatiei in cadrul ministerului.
1.1, Dispozifii generale
1.1.1. Organizarea securitatii informatiei se efectueazi de echipa de management
privind securitatea informatiei.
1.1.2. {n cazul in care echipa de management nu are specialisti in domeniu,
aceasta poate apela pentru consultan{a la specialisti calificati.
1.1.3. Intratile de produse sau servicii oferite de parfile externe nu trebuie si
influengeze gradul de securitate al informatiilor.
1.1.4. Accesul parfilor externe la mijloacele de prelucrare a datelor (software si
hardware), precum si prelucrarea si transmiterea informatiei parfilor externe trebuie si
fie monitorizate.
1.1.5. Relatiile ou parfile externe care solicit’ acces la informatii din cadrul
Sistemului Informational Automatizat Asistenta Socialé (SIAAS) si prelucrarea lor
sunt supuse analizei riscurilor.
1.2. Angajamentul echipei de management privind securitatea informatiei
Echipa de management va asigura:
a) Identificarea obiectivelor in domeniul securitatii informationale, care satisfac
cerinfele organizatorice, va formula, examina si aproba reguli si instructiuni privind
securitatea informatiei;
b) Examinarea impactului punerii in aplicare a politicii, regulamentelor si
procedurilor de protectie a informatiei;
c) intocmirea regulilor clare si aprobarea lor de c&tre conducerea Ministe
Muncii Protectiei Sociale si Familiei (in continuarea MMPSF) in privinta secu
informatiei;
4) Identificarea_resurselor tehnologice si financiare necesare pentru
implementarea politicii securitatii informatici;e) Aprobarea rolurilor si responsabilitatilor specifice pentru _protectia
informatiei in cadrul MMPSF;
f) Initierea planurilor si programelor pentru asigurarea unui grad inalt de
constientizare a securit&tii informatiei;
g) Identificarea, coordonarea si punerea in aplicare a controalelor de securitatea a
informatici.
1.3. Coordonarea securitafii informatiei
1.3.1, Toate actiunile privind securitatea informatiei trebuie sa fie coordonate cu
subdiviziunile implicate din cadrul MMPSF.
1.3.2. in procesul de coordonare a securitatii informafionale participa managerii,
utilizatorii, administratorii, programatorii, directia juridica si directia resurse umane.
Aceasti activitate trebuie:
a) Sa asigure c& activitifile realizate privind protectia informatie, sunt in
conformitate cu politica securitatii informatiei;
b) Sa determine solufionarea cazurilor de neconcordant
c) S& aprobe metode si proceduri privind securitatea informasiei;
d)Sa identifice vulnerabilititile securitafii informatie’ in cazul schimbérilor
semnificative;
e) Sa evalueze gradul de corespundere gi s& coordoneze punerea in aplicare a
controalelor de protectie a informatiei;
f) Sa promoveze in mod ficient instruirea, pregatirea si informarea
‘in domeniul securit&ti informatiei in cadrul MMPSF;
g)SA evalueze informatia obfinuta in urma monitorizérii continue si analizei
incidentelor in securitatea informatiei;
h)SA recomande actiuni ca raspuns la incidentele parvenite in securitatea
informatiei.
1.4, Alocarea responsabilitafilor pentru securitatea informati
1.4.1. Responsabilitatile privind asigurarea securitatii informatiei in cadrul
MMPSF trebuie sa fie clar definite.
1.4.2. Conducerea MMPSF: Ministrul Muncii Protectici Sociale si Familiei este
in ultima instanfa responsabil pentru politica de securitate a informatiei, si trebuie si
asigure resursele necesare pentru combaterea ameninfarilor vis-a-vis de activitatea
sa. Conducerea, de asemenea, este responsabili pentru politica de diseminare si
stabilire a unei culturi privind securitatea informatiei.
1.4.3. Seful Directiei_e-Transformare: Seful Directiei e-Transformare (in
continuare DET) este responsabil pentru securitatea informatiei in cadrul
MMPSF. Seful DET defineste direcjiile strategice privind securitatea informatiei si
este responsabil pentru gradul de constientizare in domeniul securitatii informatiei,
consilierea conducerii MMPSF privind securitatea informatici. De asemenea, el poate
efectua analiza riscurilor. Este important ca $eful DET sa fie la curent cu cele mai
2recente probleme/riscuri si solufii referitor la securitatea informatiei. Este important
ca el si colaboreze cu companiile partenere si organizatiile de securitate. Seful DET
analizeazi impactul esecurilor de securitate si precizeazi clasificarea $i
directiile/procesele pentru a asigura securitatea informatiei. El raporteaza direct
conducerii MMPSF.
14.4. Administratorul de securitate: Administratorul de securitate asigura
monitorizarea respectirii de catre tofi utilizatorii a cerinfelor prevazute in
regulamentul in cauz%, gestioneaz eliberarea sau anularea acceselor la SIAAS,
colecteaza cererile parvenite de la utilizatori si executi cererile aprobate de
conducerea MMPSF, monitorizeazi executarea lucrarilor aferente securitatii
informatiilor.
14.5. Sefii Directiilor/Sectiilor Asistenté Social si Protectie a Familiei: Sefii
Directiilor/Sectiilor Asistenti Sociala si Protectie a Familiei se asigura c& personalul
din subordine este pe deplin constienti de politica, regulamentele si procedurile de
securitate a informatiei si nu realizeazi obiective care sunt in contradictie cu
prevederile politicii, regulamentelor si procedurilor. Ei asigura aplicarea politicii si
verifica progresul privind implementarea acestei politici.
1.4.6. Utilizatorii: Utilizatorii sunt responsabili pentru actiunile lor. Ei sunt
constienfi de politica de securitate a MMPSF, inteleg care sunt consecintele actiunilor
lor si actioneazé in conformitate cu reglementirile in vigoare. Ei au la dispozitic
mecanisme eficiente, astfel incat s4 poata opera la nivelul dorit de securitate. in cazul,
in care, utilizatorii primese informatie confidentiala care nu este clasificata, ei sunt
responsabili pentru clasificarea si distribuirea acestei informafii.
1.5. Procesul de autorizare pentru sistemele de procesare a informatici
1.5.1. Utilizatorii externi pot obfine accesul la SIAAS numai in baza acordurilor
bilaterale, a institutiei pe care o reprezinta, cu MMPSF privind schimbul de informatie
si declarafiilor-angajamente a utilizatorilor privind nedivulgarea informafiilor obfinute
prin intermediul SIAAS daca legislafia in vigoare nu prevede altele.
1,5.2. Accesul la stafiile de Iucru i la sistemul de operare se efectueazA strict la
nivel limitat (nivel utilizator) prin autentificare cu parola personala.
1,5.3. Este interzisi conectarea echipamentelor la refeaua de comunicafii a
MMPSF care nu se afla in gestiunea MMPSF.
1.5.4. Conectarea echipamentelor care nu aparfin MMPSF la refeaua de
comunicafii se efectueaza in cazurile cn
a) Echipamentele personale ale utilizatorilor in cazuri de necesitate de serviciu;
b)Echipamentele reprezentangilor organizatiilor internationale care indeplinese
atributiile de serviciu in baza acordurilor internationale si bilaterale;
c) Echipamentele companiilor terfe care asigura mentinerea SIAAS in baza
acordurilor de mentenanta;
d) Alte cazuri acceptate de conducerea MMPSF.1.5.5. Conectarea echipamentelor trebuie sa urmeze urmatorii pasi:
a) Solicitantul trebuie sé depuna cerere in forma scrisi pentru conectare
utilajului in refea pe numele seful directiei e-Transformare.
b)Pentru cazurile de conectare a echipamentelor in baza contractelor
internationale si bilaterale seful Directiei e-Transformare primeste decizia respectiva.
c)in alte cazuri permisiunea de conectare trebuie sa fie vizata de conducerea
MMPSF.
d) Conectarea echipamentului va fi fixaté de c&tre administratorul de sistem in
registrul electronic al echipamentelor.
e) Solicitarea va fi pastraté de catre administratorul de securitate in mapa
_Solicitari”
1.5.6. Modificarea setarilor statiilor de lucru poate fi efectuaté doar de cdtre
personalul DET.
1.6. Acorduri de confidentialitate
1.6.1. Informatiile gestionate in SIAAS au caracter confidential si pot fi
distribuite strict conform legislatiei in vigoare.
1.6.2. Pentru admiterea accesului la resurse informationale protejate ale SIAAS
sunt admisi doar colaboratori cu care este semnat Acordul de nedivulgare a
informatiei cu caracter confidential. Acordul (obligatia) de a nu divulga informatia cu
caracter confidential se pastreaza in dosarul personal al colaboratorului.
1.6.3. Accesul la resursele informationale protejate ale SIAAS este permis doar
colaboratorilor care au semnat Declaratia de familiarizare cu regulamentul in cauza.
Declaratia se pastreaz% in dosarul personal al colaboratorului la direcfia resurse
umane.
1.7. Solutionarea scurgerii informatiei din SIAAS
1.7.1. in cazul depistarii scurgerii de informatie din cadrul SIAAS, persoana care
a depistat scurgerea informatiei este obligat imediat si informeze administratorul de
securitate a SIAAS.
1.7.2. Administratorul de securitate organizeaz lucrarile necesare pentru a bloca
sursa de scurgere a informatiei.
1.7.3. Administratorul de securitate raporteazi in forma scrisi conducerii
MMPSF cauza scurgerii informatiei gi actiunile intreprinse.
1.7.4. Administratorul pentru securitatea informatiei in comun cu administratorii
SIAAS elaboreaza si implementeaz masuri pentru neadmiterea cazurilor de scurgere
a informatici.
1.7.5. in cazul depistirii factorului uman implicat in scurgerea informatiei
administratorul pentru securitatea informatiei informeaza seful Sectiei juridice pentru
intreprinderea masurilor in conformitate cu legislatia in vigoare.1.8. Auditul SIAAS privind protectia securitAtii informationale
in caz de necesitate sau lipsei specialistilor certifica{i in cadrul Directiei e -
Transformare, conducerea MMPSF poate solicita auditul securitatii informatie a
SIAAS de la organizafii externe.
2. PARTI EXTERNE
Obiectiv: SA asigure securitatea informatici in cadrul organizatiei si a
sistemelor de procesare a informatiei care sunt accesate, procesate, comunicate
c&itre sau administrate de parti externe.
2.1. Identificarea riscurilor legate de partile din afara organizatiei.
2.1.1, Persoanele care pot avea acces la SIAAS din exterior pot fi separate in 3
categorii de baza:
a) Colaboratorii directiilor/sectiilor Asistentat Sociald — au acces nemijlocit la
SIIAS prin intermediul refelei Internet. Accesul la SIAAS este restrictionat functie de
rolurile definite in sistem.
Riscurile aferent acestei categorii sunt:
accesul la resursele neautorizate a SIAAS;
accesare SIAAS sub parola altui utilizator cu drepturi mai mari;
introducerea datelor eronate;
scurgerea datelor confidentiale din cadrul SIAAS.
b) Jnstitutii publice - au acces restrictionat la datele gestionate de MMPSF.
Accesul este asigurat prin intermediul refelei de telecomunicatii a autoritafilor
administratiei publice, gestionat’ de 1.8. “Centrul de Telecomunicatii Speciale”, in
baza acordului incheiat cu MMPSF.
Riscurile aferente acestei categorii sunt:
accesul la resursele neautorizate a SIAAS;
accesare SIAAS sub parola altui utilizator cu drepturi mai mari;
scurgerea datelor confidentiale din cadrul SIAAS.
) Companiile care asigurti mentinerea SIAAS ~ au acces la componentele
hardware si software a SIAAS si asigura functionarea neintrerupt a SIAAS.
Riscurile aferente acestei categorii sunt:
divulgarea informatiilor privind structura si organizarea SIAAS;
divulgarea informatiei privind organizarea sistemului de telecomunicatii;
deservirea necalitativa a resursele hardware a SIAAS;
deservirea necalitativa a resursele software a SIAAS;
accesul la sistemele de gestionare a bazelor de date;
scurgerea datelor confidentiale din cadrul SIAAS.Respectarea cerinfelor de securitate in activitifile care impli
Accesul la activele informationale a SIAAS are loc atat prin intermediul
refelelor de telecomunicatii controlate de MMPSF ct si de la distanta.
2.2.2. Prin accesul de la distanfa la activele informationale a SIAAS, se
subinjeleg tipurile de acces prin canalele de comunicare externe, utilizarea
dispozitivelor de acces, situate in afara zonei asigurate de MMPSF.
2.2.3. Principalele tipuri de acces de la distant , intreprinse in SIAAS, sunt:
a) accesul utilizatorilor mobili la retelele corporative, folosind canale de
comunicare VPN (retea virtuala privata);
b) accesul de la distant poate fi acordat atét utilizatorilor, in scopul indeplinirii
sarcinilor de serviciu la distanfa, precum gi persoanelor care presteaza servicii in
domeniul TI, in conformitate cu acordurile aferente.
c) Accesul la resurse informationale SIAAS prin Internet, este realizat utilizind:
VPN (refea virtuala privat), CA SERVER (Server de certificare a computerelor
in refea), IPS (sistem de prevenire a intruziunilor HP), HP VPN Firewall
Appliance; echipamente care ofera protectie pro-activa impotriva atacurilor,
inainte de a le raspandi in retea, monitorizeazi activitatea de retea si asiguri
conectivitatea flexibila.
2.2.4. Aparatul central al MMPSF are retea localé conforma cerintelor sistemului
de cablare structurat, acces la reteaua globala Internet securizat.
2.2.5. Drepturile de acces de la distanta se acord’ numai in baza unei cereri
depuse de c&tre solicitant, aprobata de conducerea MMPSF, in care in mod obligatoriu
sunt stipulate urmitoarele:
a) numele persoanei care necesitat’i acces de la distant;
b) date despre organizafia (subdiviziunea, denumirea agentului economic,
denumirea organului de stat) in numele careia aceast persoana va activa;
c) termenul (perioada) de asigurare a accesului, nu mai mult de un an;
d) segment al SIAAS (baze de date, server, subsistem sau o alti parte a retelei
corporative), in cazul in care sunt necesare drepturile respective;
e) argumentarea necesitatii de a oferi anume accesul de la distanja.
2.2.6. Totalitatea drepturilor si privilegiile de acces de la distan{a la resursele
informationale a SIAAS poate fi determinat de obiectivele, nivelul minim necesar de
privilegii si gradul critic de segmente de refea la care este acordat accesul.
2.2.7. Drepturile de acces de la distanti la SIAAS, vor fi retrase, imediat dupa
expirarea perioadei determinate sau la cerere.
2.2.8, Dupa retragerea drepturilor de acces de la distan{a, vor fi intreprinse
misurile de rigoare pentru a reduce la minimum riscurile de abuz de acces.2.3. Respectarea cerinfelor de secu cu tertii
2.3.1. Furnizori de servicii de mentenanta informationala trebuie sa respecte
urmatoarele conditii:
a) lista resurselor hardware si software din cadrul MMPSF, la care Furnizorul are
drept de acces;
b) modul in care informatiile la care Furnizorul are drept de acces urmeazii a fi
protejate de citre acesta precum gi masuri ce vor fi luate in cazul nerespectirii
clauzelor;
c) metodele de predare, distrugere sau de transfer al drepturilor informatiilor
institutiei aflate in posesia Furnizorului, la incheierea contractului;
d) furnizorul trebuie si foloseasca sistemul SIAAS din cadrul MMPSF numai in
scopul stipulat in contract ;
e) orice alta informatie din sistemul SIAAS al MMPSF obtinuta de Furnizor pe
durata contractului nu poate fi folosita in interes propriu de c&tre Furnizor sau
divulgata altora;
f) toate echipamentele de intretinere ale Furnizorului, aflate in reteaua interna a
MMPSF i care se pot conecta in exterior prin intermediul refelei, a liniilor telefonice
sau a liniilor inchiriate, precum gi toate conturile de utilizator create temporar pentru
Furnizor si necesare pentru acces la SIAAS, vor fi scoase din uz la incheierea
relatiilor contractuale;
g)accesul Furnizorului trebuie sa fie identificat in mod unic iar administrarea
parolelor sau metodele de autentificare trebuie s& fie in conformitate cu Regulamentul
privind Securitatea Informationala a MMPSF;
h) activitatile principale ale Fumnizorului trebuie s& fie documentate gi puse la
dispozitia MMPSF. Documentatia trebuie s& cuprind’, dar s& nu fie limitata la,
evenimente precum: schimbiri de personal, schimbiri de parola, schimbari majore in
derularea proiectului, timpii de sosire, de plecare si de livrare ;
i) in cazul retragerii din contract a unui angajat al Furnizorului, indiferent de
motiv, Furnizorul se va asigura cA toate informatiile sensibile sunt colectate si predate
MMPSF sau distruse in cel mult 24 de ore de la producerea evenimentului;
j) in cazul finisarii/rezilierii contractului sau la cererea MMPSF, Furnizorul va
preda sau distruge informafiile ce aparfin MMPSF si va oferi certificare in scris
privind predarea sau distrugerea informatiilor in decurs de 24 de ore de la producerea
evenimentului;
k) toate programele folosite de Furnizor in scopul furnizarii serviciilor stipulate
in contract catre MMPSF trebuie si fie inventariate corespunzator si s& posede
drepturi de utilizare atestate prin Licente.
1) contractele de externalizare a serviciilor nu trebuie s& includa servicii
specificate in alte contracte de externalizare.CAPITOLUL Il. MANAGEMENTUL RESURSELOR
3. DISPOZITII GENERALE
3.1. Inventarierea resurselor/activelor SIAAS se efectueaz, cel pufin odati
in an, in baza Ordinului emis de citre Directia management financiar al
politicilor.
3.1.1, Prin resursé/activ a SIAAS se subingelege:
a) resurse informationale —baze de date si fisiere de date, contracte si acorduri,
documentatia SIAAS, documentajia de cercetare, manuale de utilizare, materiale de
instruire, proceduri operationale sau proceduri de intretinere, planuri de continuitate a
afacerii, masuri de back-up, rapoartele de audit, informatii arhivate;
b)resurse software — aplicajii software, sisteme software, instrumente de
dezvoltare;
c) resurse fizice — echipamente informatice, echipamente de comunicatii,
dispozitive de stocare amovibile si alte echipamente;
d) servicii — servicii informatice si servicii de comunicatii, servicii generale, cum
ar fi incalzire, de alimentare cu energie electric’, etc.
3.1.2. in lista resurselor, care urmeazA a fi supuse inventarierii, pot fi incluse
resurse ale SIAAS, indiferent de locatia lor. Inventarierea resurselor SIAAS, se
efectueaza in locul amplasarii lor, pentru fiecare proprietar de resurse.
3.1.3, Scopul final al evidenfei si inventarieri resurselor informationale este de a
asigura protecjie adecvat’ a acestora.
3.1.4, Principalele obiective ale inventarului sunt:
a)evidena resurselor in asa mod in cat si asigurare increderea protejarii
suficiente a resurselor;
b) identificarea definatorilor resurselor, precum si determinarea_responsabilititi
acestora referitor la menfinerea misurilor adecvate de gestionare a securitatii
informatieis
c)stabilirea valorii relative si importanjei resursei in vederea gestionarii
riscurilor;
3.1.5, Inventarierea poate fi utilé si pentru alte scopuri, cum ar fi solutionarea
problemelor financiare, asigurarea securititii muncii ete.
3.1.6. Clasificarea resurselor (definirea cerinfelor de protectie resurselor) SAAS
este un element necesar de organizare a activitatii privind securitatea informatiei si are
ca obiective:
a) crearea cadrului de reglementare metodologic pentru o abordare diferensiata a
protectiei resurselor SIAAS (informatia, sarcinile, canalele, statii de lucru protejate (in
continuare SLP), in functie de clasificarea lor pe niveluri de risc, in caz de violare a
disponibilitafii, integritatii sau confidengialitagii lor;
b)tipizarea misurilor intreprinse de catre MMPSF si distribuirea resurselor
hardware si software pentru protectia SLP.4, RESPONSABILITATEA PENTRU RESURSE/ACTIVE
4,1.Reguli generale privind inventarierea
Obiectiv: Obfinerea si menfinerea protectiei corespunzitoare a resurselor
organizationale,
4.1.2. Lista resurselor suspuse inventarierii, este stabilita de catre grupul de
lucru, cu indicarea acestuia in Ordinul privind inventarierea.
4.1.3. Verificarea disponibilitatii reale a resursclor, supuse inventarierii, se
efectueaza de cdtre Comisia responsabil pentru inventariere.
4.1.4. inainte de efectuarea inventarierii, comisia trebuie s& dispuni de
documente privind circulatia echipamentelor (actele darii in exploatare sau casirii
resursclor, inregistrérile referitoare 1a circulatia resurselor, resursele aflate in
reparatie).
4.1.5. Datele privind disponibilitatea real a resurselor se inregistreazi in actul
de inventariere, care trebuie s& fie intocmit cel putin in doua exemplare.
4.1.6. Comisia asigura suficienta, exactitatea si acuratefea datelor inregistrate,
precum si prelucrarea in timp util a materialelor inventarierii.
4.1.7. Disponibilitatea reala a resurselor, in cadrul inventarieri
prin numerotare, cAnt&rire, masurare etc.
4.1.8. Actele de inventariere (inventarele) se completeaza cu ajutorul tehnicii de
calcul.
4.1.9. Actele de inventariere (inventarele) se semneaza de catre toti membrii
comisici.
4.2. Normele privind clasificarea inventarului pe tipuri de resurse
4.2.1 Inventarul ,, resurselor informationale”’.
Categoria de ,,resurse de informare”, trebuie s& includa urmatoarele resurse:
4.2.1.1 Bazele de date si fisicre de date;
4.2.1.2 Documentatia SIAAS;
4.2.1.3 Instructiunile de utilizare;
4.2.1.4 Materiale de instruire;
4.2.1.5 Procedurile de lucru si proceduti de intretinere;
4.2.1.6 Planuri pentru a asigura buna functionare a SIAAS;
4.2.1.7 procedurile referitor la trecerea in regim special.
i, se determina
4.2.2 Inventarul ,.resurselor software”.
Categoria ,,resurselor software” ar trebui s& includ’ urmitoarele resurse:
4.2.2.1 Aplicatiile software;
4.2.2.2 Sistemele software;
4.2.2.3 Instrumentele si utilitatile.4.2.3 Inventarul ,resurselor fizice”.
Categoria ,.resurselor fizice” ar trebui sa includa urmatoarele resurse:
4.2.3.1 Calculatoare si echipamente de comunicatii;
4.2.3.2 Suporturi magnetice de stocare (benzi si discuri);
4.2.3.3 Alte echipamente tehnice (surse de alimentare, aer condigionat);
4.2.3.4 Mobilier;
4.2.3.5 sediul.
4.2.4 Inventarul ,serviciilor”.
Categoria "servicii" cuprinde urmatoarele resurse:
4.2.4.1 De calcul si servicii de comunicatii;
4.2.4.2 Alte servicii tehnice (inc&lzire, energie electric’ etc.).
4.3 Ordinea de executare a inventarului
4.3.1 Rezultatele privind inventarierea resurselor se perfecteazi in Actele de
inventariere pentru fiecare categorie de resurse.
4.3.2 Dupi perfectarea Actelor de inventariere pentru fiecare categorie de
resurse, se intocmeste un Act de inventariere.
SCLASIFICAREA INFORMATIEL
Obiectiv: Asigurarea faptului ca informatia este la un nivel de protectie
adecvat.
5.3 Categoriile informatiei protejate
5.3.1 Reiesind din necesitarea asigurarii diferitor nivele de protectie pentru
diferite tipuri de informatie stocata si procesaté, precum si land in considerare
posibilele situatii de prejudiciere a MMPSF, se introduc trei categorii de protejare a
informatiei confidentiale si trei categorii de protejare a informatiei integre:
a) Categorii de protejare a informatiei confidensiale:
»INALTA” ~ la aceasta categorie nu se refera informatia secret, dar informatia
care este confidential’, in conformitate cu legislatia in vigoare;
»SCAZUTA? - la aceasta categorie se include informatia confidentiala, dar care
nu se clasifica la categoria ,INALTA”, restricfiile privind difuzarea acesteia sunt
stabilite de cdtre conducerea MMPSF, in limitele drepturilor acordate conform
legislatiei in vigoare;
~FARA CERINTE” - aceasta categorie include informatia care nu are restrictii
de confidentialitate si poate fi distribuita partilor interesate.
b) Categorii de protejare a informatiei integre:
»INALTA” - aceasti categorie include informatia care poate fi modificata
neautorizat (denaturarea, distrugerea) sau falsificata, care ar putea duce Ja aparijia
unor daune semnificative MMPSF si persoanelor, integritatea si autenticitatea caireia
10trebuie si fi garantati de metodele (de exemplu, prin intermediul semnaturii digitale)
prevazute de legislatia in vigoare;
»SCAZUTA” - aceasti categorie include informatia care poate fi modificaté
neautorizat, stearsi sau falsificata, care ar putea duce la aparitia unor daune
nesemnificative MMPSF si persoanelor, integritatea (si, daci este necesar
autenticitatea), care ar trebui si fie in conformitate cu decizia conducerii MMPSF
(prin metode de calcul a sumelor controlabile, semnatura, etc.);
»FARA CERINTE” - aceast’ categorie include informatii pentru care nu sunt
stabilite cerinfe privind asigurarea integritatii (si autenticitaqii).
5.2. Categoriile SLP (stafii de lucru protejate)
5.2.1. in functie de categoria de sarcini care pot fi efectuate la SLP, se stabilesc
trei categorii: A”, .B” si ,C”
5.2.2, Categoria A” includ SLP-urile, la care poate fi realizati cel putin o
sarcina functional din categorie ,,INALTA’
5.2.3. Categoria ,,B” include SLP-urile, la care poate fi realizaté cel putin o
sarcina funcjionala din categorie ,SCAZUTA”.
5.2.4, Categoria ,C” include SLP - urile, la care se solutioneazi numai sarcini
functionale de categoria ,FARA CERINTE”.
5.3. Procedura de stabilire a categoriilor de resurse protejate
5.3.1. Clasificarea resurselor de informatie se efectucazi prin inventarierea
SIAAS si implica elaborarea si intrefinerea ulterioara (actualizarea) listei (seturi de
formulare) resurselor protejate.
5.3.2, Responsabilitatea pentru compilarea si menfinerea listelor de resurse ale
SIAAS, revine:
a) in ceea ce priveste stabilirea si menjinerea listei SLP (cu indicarea locatiei
acestora, intirirea acestora dupa subdiviziunile MMPSF, compozifia si caracteristicile
constitutive hardware) - DET;
b) in ceea ce priveste stabilirea si mentinerea listei sistemelor si aplicatiilor
(speciale) de la SLP, care servesc pentru realizarea sarcinilor (cu indicarea listei
resurselor/dispozitivelor utilizate in realizarea sarcinilor, directoare sau fisiere cu
informatie) - DET.
5.3.3. Responsabilitatea pentru definirea cerintelor de confidentialitate,
integritate, disponibilitate si asocierea pentru fiecare categorie de resurse
corespunzitoare SLP (resurse de informare si sarcinile) sunt in atributie fiec&rei
subdiviziuni ale MMPSF, care solufioneazi nemijlocit sarcini la SLP (definatorii de
informatie) si la necesitate de catre DET.
5.3.4. Aprobarea categoriilor de resurse, nominalizate in prezentul Regulament,
se efectueaz& de catre conducerea MMPSF.
5.3.5. Inifiatorii de clasificare a SLP si obfinerea reglementirilor relevante pentru
exploatarea SLP, sunt sefii subdiviziunilor MMPSF, care utilizeaz& date din SLP.
u5.3.6. Clasificarea resurselor poate fi efectuaté succesiv pentru fiecare dintre
SLP cu unirea si formarea ulterioara a listelor in comun a resurselor care urmeaza si
fie protejate:
a) lista resurselor informationale ale SIAAS, care necesita sa fie protejate;
b) lista sarcinilor care urmeaz& s& fie protejate (conform formularelor de sarcini);,
c) lista SLP (conform formularelor de SLP).
5.3.7. Revalidarea (modificarea categoriilor) resurselor informationale, se
efectueaza prin modificarea cerinfelor de protectie (confidentialitatea si integritatea)
pentru informatia respectiva.
5.3.8. Revalidarea (modificarea categoriilor) sarcinilor functionale, se
efectueaza in cazul in care se modifica categoriile de resurse informationale utilizate
in realizarea acestei sarcini, precum si in cazul modificarii cerintelor
disponibilitatilor sarcinilor functionale.
5.3.9. Revalidarea (modificarea categoriilor) canalelor logice, se efectueaza in
cazul in care categoriile de sarcini interactioneaza intre ele.
5.3.10. Revalidarea (modificarea categoriilor) SLP, se efectueaz& in cazul
modificdrii categoriilor sau continutului/componentei sarcinilor realizate la SLP.
5.3.11. Periodic (0 data in an), sau la cererea sefilor subdiviziunilor MMPSF, se
efectueaz revizuirea categoriile resurselor protejate in vederea conformirii cu
situafia reala.
5.4, Norme privind revizuirea capitolului ,,Clasificarea informatiei”
5.4.1.in cazul in care se modificd cerinfele privind SLP este necesar de
5.4.2. In cazul in care se vor efectua modificari $i completari la ,.Lista resurselor
informatiei protejate” este necesar de revizuit (in limita disponibilitatii) aceasta list’.CAPITOLUL IIL. SECURITATEA RESURSELOR UMANE
6. INAINTEA ANGAJARIL
iv: Asigurarea c& angajafii, contractan{ii si util
i sunt constienti responsabil
pentru a minimiza riscurile de furt, fraud sau de folosi
sistemelor.
6.1. Roluri
Rolurile si responsabilitatile angajatilor, contractantilor si utilizatorilor terti
privind securitatea informatiei sunt clar definite si documentate in procedura stabilit’
de catre Directia managementul personalului din cadrul MMPSF.
6.2. Verificare angajatilor
6.2.1. Pentru tofi candidafii pentru angajare, contractanfii si utilizatorii teri
trebuie s& se efectueze controale de verificare de fond in conformitate cu legile
aplicabile, reglement&ri i etic’, proporfionale cu cerinjele activitatii, clasificarea
informatiei la care urmeazi sé aiba acces si riscurile percepute.
6.2.2. Candidatii care pretind sa fie incadrafi permanent sau temporar sunt
verificati din momentul depunerii cererii. Verificarea cuprinde urmatoarele proceduti:
a) _existenfa recomandarilor pozitive, in special in ceea ce priveste calitatilor
profesionale si calitatile personale ale solicitantului;
b) _verificarea corespunderii datelor din CV-ul solicitantului;
c) _confirmarea calificarilor personale si profesionale;
d) cerficarea independenta a autenticitafii documentelor de identitate.
6.2.3. in cazurile in care angajatul ocupa postul de mune’, sau in procesul de
primire a accesului la prelucrarea informafici sensibile, cum ar fi informatia
confidential, este pus in aplicare un ,,test de credibilitate” (elaborat de ciitre Directia
managementul personalului). in ceea ce priveste angajatii care au competente
semnificative, acest test se efectueaza periodic.
6.3. Acordul de confidenfialitate
6.3.1. Acordul de confidentialitate este folosit pentru a notifica angajatii c&
informatiile pe care o gestioneaz& sunt confidentiale sau secrete. Angajati, semneaza
Acordul ca parte integranta a contractului de munca. Acordul de confidentialitate se
pastreazA in dosarul personal al angajatului, conform procedurii stabilite. Formularul
acordului de confidentialitate este claborat de citre Directia managementul
personalului.
torii terfi infeleg
care le revin,
necorespunzitoare a
6.3.2. Angajatii temporari, experfii, si reprezentani ai unor parti terfe care nu
activeaz in conformitate cu contractul de munca standard (care confine un acord de
confidentialitate) semneazi acorduri separate de confidentialitate inainte de a li se
acorda acces la SIAAS.6.3.3. Acordul de confidentialitate este revizuit in cazul in care are loc
modificarea contractului de munca, in special in cazul unei schimbari a drepturilor
angajatului sau expirarea contractelor de munca.
6. Contractul de munca
Contractul de munc& identificd angajatul responsabil pentru securitatea
informatici. in cazul in care este necesar, aceasti responsabilitate trebuie sA fie
mentinut4 si pentru o anumita perioadd dupa incetarea contractului de munca.
Divulgarea informatiei confidentiale sau secrete la care are sau a avut acces angajatul
se sanctioneazA conform legislatiei in vigoare.
6.5. — Cerinte si condifii de angajare
Ca parte a obligafiilor contractuale, angajafii, contractantii si utilizatorii sunt
obligati s4 semneze cerintele si condifiile contractului de angajare, care trebuie si
precizeze responsabilitatile lor si ale organizafiei pentru securitatea informatiei.
7.1N TIMPUL PERIOADEI DE ANGAJARE
Obiectiv: Asigurarea faptului c4 toti angajatii, contractan{ii si utilizatori
terfi sunt constienfi de ameninfarile privind securitatea informa
responsabilitatile si raspunderile juridice ale acestora si sunt pregitifi sA sustina
politica de securitate informationala pe durata contractului de munci si si
asigure reducerea riscului erorilor umane.
7.1. Responsabilitatile managementului
7.1.1. $efii_ subdiviziunilor MMPSF cer angajafilor, contractanjilor gi
utilizatorilor teri si aplice masurile de securitate in conformitate cu politica,
regulamentele si procedurile stabilite de catre MMPSF.
7.1.2. Sefii subdiviziunilor MMPSF evalueaza nivelul adecvat de supraveghere a
personalului neexperimentat, carora li sa acordat dreptul de acces la informatia
sensibila. Procedurile de monitorizare periodic’ si aprobarea actiunilor tuturor
angajatilor de ciitre superiorii se fac continu.
7.1.3. $efii_subdiviziunilor MMPSF sunt constienti de faptul c& problemele
personale ale angajatilor pot afecta activitatea acestora. Problemele personale sau
financiare ale angajajilor, modificarile de comportament sau stil de viafi, semnele de
stres sau depresie, pot fi o cauza de frauda, furt, erori sau alte incalcari ale securitatii.
Aceste informatii sunt luate in considerare in conformitate cu legislafia in vigoare.
7.1.4, Sefii subdiviziunilor MMPSF au dreptul sa solicite informatia referitor la
utilizatorii care activeazi in raza subdiviziunilor pentru a reverifica listele
utilizatorilor activi.
7.1.5, Conduc&torii subdiviziunilor duc responsabilitate pentru:
a) aducerea la cunostinta utilizatorilor subdiviziunilor sale toate reglementarile
privind securitatea informatie: sub semnatura personal:
14b) indeplinirea cerinfelor privind protectia colaboratorilor subdiviziunilor sale
in lucrul cu SIAAS;
c) eliberarea la timp a cererilor privind modificarea inscrierilor de evidenta ale
colaboratorilor subdiviziunilor sale si asigurarea lor cu drepturi de acces, strict in
limitele necesare indeplinirii sarcinilor sale de serviciu;
d) informare imediata a specialistilor din cadrul MMPSF despre descoperirea
faptului incdlcdrii securitafii informatici in sistemele informationale;
luarea tuturor mésurilor necesare pentru lichidarea consecinjelor incdlearii
informatici;
f) asigurarea controlului permanent privind respectarea cerinfelor prezentului
Regulament.
CAPITOLUL IV. SECURITATEA FIZICA $I A MEDIULUI DE LUCRU
8. DISPOZITII GENERALE
8.1. Mijloacele de prelucrare a informatiilor critice sau sensibile trebuie sa fie
situate in zone de securitate, care sunt protejate de anumite perimetre de securitate, cu
bariere de siguranfa si de control de acces corespunzitor.
8.2, Acestea trebuie si fie protejate fizic impotriva accesului neautorizat, daune
si interferente.
8.3, Protectia oferita trebuie sa fie proporfionala cu riscurile identificate.
8.4. Echipamentele trebuie s& fie protejate impotriva ameninfatilor fizice si de
mediu.
8.5. Protectia echipamentelor (inclusiv echipamentele folosite in afara locului de
muned si scoaterea in afara sediilor) este necesar pentru a reduce riscul de acces
neautorizat la informafii si protejarea impotriva pierderii sau deteriorarii.
9. ZONE DE SECURITATE
Obiectiv: Sa previna accesul fizic neautorizat, distrugerile si pitrunderea in
interiorul organizatiei precum si accesul la informat
9.1 Perimetrul fizic de securitate
Pentru a proteja zonele care confin informatii si sisteme de procesare a
informatiei trebuie folosit’ perimetrea de securitate (bariere precum pereti, porti de
acces controlat pe baza de card sau birouri de receptie cu personal de securitate).
9.1.1.Dupé importantaperimetrului fizic de securitate putem defini
urmatoarele zone de acces
a) Zona de securitate cu nivel inalt.
Centrul de prelucrare a datelor (CPD) este amplasat aproape de birourile de lucru
ale administratorilor de sistem si de distributie echipamentului electric. Perimetrul
15fizic al acestei zone este integru, protejat. Cerinjele tehnice fata de CPD sunt
conforme normelor tehnice in vigoare.
b) Zona de securitate cu nivel mediu.
Birourile administratorilor sistemului sunt dimensionate adecvat, echipate cu aer
conditionat. Statiile de lucru ale administratorilor sunt conectate si la sursa autonoma
de energie electricé. Sursa autonoma de energie electricd reprezinté un generator
electric diesel cu capacitate 80kWt.
) Zona de securitate cu nivel scdzut (publica).
Biroul locului de munca prevede o camera unde sunt amplasate echipamentele
(computer, imprimanta, scanner, documente, etc.) de lucru al colaboratorului.
9.2 Controlul accesului fizic
9.2.1, Zonele de securitate trebuie protejate prin controale adecvate ale accesului
fizic pentru a se asigura c& accesul este permis doar personalului autorizat.
9.2.2. Accesul fizic la toate incaperile unde este instalat echipament trebuie sa fie
documentate si protejate;
9.2.3. CPD este asigurat cu sistem de control al accesului, identificarea fiind
infaptuita prin card.
9.2.4.CPD este asigurat cu sistem de supraveghere video, care permite
monitorizarea in interior (2 camere de supraveghere), 1 camerti de supraveghere hol,
1 camera de supraveghere sursa autonoma de energie electric’.
9.2.5. inregistrarile video din sistemul de monitorizare trebuie arhivate timp de
cel putin trei huni.
9.2.6, Rata de cadre a sistemului de monitorizare trebuie s& fie de cel putin 7 fps
(cadre pe secunds).
9.2.7. Acces la CPD are strict personalul DET.
9.3. Securizarea birourilor, incAperilor si a sistemelor informationale
9.3.1, Organizatia trebuie si proiecteze si si implementeze masuri pentru
securizarea fizica a birourilor, inc&perilor gi a sistemelor informationale.
9.3.2. Pentru protejarea oficiilor, birourilor si a echipamentelor trebuie respectate
normele si standarde tehnicii de securitate si securitate a muncii
9.2.1. Activele cheie trebui si fie amplasate astfel incdt s4 se evite accesul
publicului larg;
9.2.2. Indicatoarele care reflecta dislocarea zonelor de securitate nu trebuie sa fie
usor accesibile publicului larg.
9.3. Protejarea impotriva amenintirilor externe si de mediu
9.4.1. Organizatia trebuie s& proiecteze si s& aplice masuri de protectie fizica
impotriva incendiilor, inundafiilor, cutremurelor, exploziilor, revoltelor publice si a
oricdiror alte forme de dezastre naturale sau produse de oameni:9.3.1. Materiale periculoase sau inflamabile trebuie sa fie depozitate la o distanta
sigura din zona de siguranta. Produse de papetirie si biroticl nu trebui sé fie pastrate
in zonele de securitate;
9.3.2. Copiile de rezerva si de back-up trebuie si fie amplasate la o
distanta de siguranta pentru a evita deteriorarea lor.
9.2.8. CPD este asigurat cu sistem antiincendiar adecvat, cu detectoare fum,
cAldura, sistem de stingere cu gaz, sistem de ventilare. Este instalata usa ignifuga si au
fost utiliza materiale rezistente la foc pentru pereti si tavan.
9.4. Desfasurarea activitatii in zone de securitate
9.4.1. Organizatia trebuie si proiecteze si si aplice masuri si ghiduri pentru
protectia fizica si pentru desfasurarea activitatii in zone de securitate.
9.4.2. Personalul trebuie s fie informat despre existenja zonelor de securitate
sau activitatea in zona de securitate - strict dupa necesitati de serviciu;
9.4.3. Trebui sa fie evitate activitatile nesupravegheata in zone de securitate, din
considerente de securitate precum si prevenirea actiunilor rauvoitoare ;
9.4.4. Zonele de securitate neutilizate trebuie si fie fizic blocate si periodic
blocate
9.4.5. Se interzice introducerea echipamentului de inregistrare audio, foto, video
in zonele de securitate;
9.5. Zone de acces public, punctele de livrare si incdreare
9.5.1. Punctele de acces precum punctele de livrare si inearcare sau alte puncte
pe unde persoanele care nu sunt autorizate pot intra in interior trebuie controlate si,
daca este posibil, izolate de sistemele de procesare a informatici pentru a se evita
accesul neautorizat.
10. SECURITATEA ECHIPAMENTELOR
Obiectiv: Prevenirea pierderea, avarierea, furtul sau compromiterea
resurselor si intreruperea activitatilor din cadrul organizafiei
10.1 Amplasarea si protejarea echipamentelor
10.1.1. Echipamentele trebuie si fie amplasate si protejate astfel incdt sa se
reduca riscurile faji de ameninfirile si pericolele de mediu gi fata de posibilitatea de
acces neautorizat.
10.1.2. in scopul de a proteja echipamentele, trebuie s& fie luate in considerare
urmatoarele:
a) Echipamentele trebuie si fie amplasate astfel incit s4 minimizeze accesul in
zonele de securitate;
b) Elemente care necesita o protectie speciala ar trebui si fie izolate, in vederea
reducerii nivelului general de protectie;
c) Trebuie si fie stabilite controale pentru a minimiza riscul posibilelor
ameninféri fizice, cum ar fi furt, incendiu, agen}i explozibili, fum, ap’ (sau egecul in
17furnizarea de apa), praf, vibratii, agenti chimici, penelor de curent electric,
interferente de comunicare, electromagnetice, radiatii si vandalism;
d) Se interzice consumul alimentar si de b&uturi, fumatul in apropierea zonelor
de securitate;
e) Conditiile de mediu, cum ar fi temperatura si umiditatea trebuie si fie
continun monitorizate pentru conditii care ar putea influenfa negativ asupra
mijloacelor de prelucrare a informatiei;
f) Protectie la trasnet ar trebui sa fie aplicate la toate cladirile si filtre antitrasnet
trebuie sd fie instalate pe toate liniile de tensiune si linii de comunicatii;
2) Mijloacele care gestioneaza informatii sensibile trebuie si fie protejate in
scopul de a reduce la minimum riscul scurgerii de informafii prin intermediul
iradierilor colaterale.
10.2. Utilitatile suport pentru afacere
10.2.1. Echipamentele trebuie s& fie protejate impotriva penelor de curent sau a
altor intreruperi cauzate de problem ale utilitatilor suport.
10.2.2. Toate utilitafile de sprijin, cum ar fi electricitate, apa, canalizare,
inc&lzire / ventilatie si aer condifionat trebui sa fie adecvate sistemelor ce le
deservesc, monitorizate in mod regulat si, dupa caz, si fie testate
10.2.3. Toate echipamentele care prelucreazi informatie sensibila, trebuie sa fie
conectate la reteaua electric prin surse de alimentare de rezerva (UPS),
10.2.4. Echipamentele de telecomunicatii sunt conectate la 2 furnizori, pentru a
asigura functionare continua a conexiunilor.
10.3. Securitatea refelelor de cablu
10.3.1. Cablurile de energie si retelele de telecomunicaii purtatoare de date sau
servicii de suport pentru informatie trebuie protejate fafa de interceptiri sau avarii.
10.3.2. Pentru asigurarea securitafii cablurilor de energie sau comunicatie trebuie
si se indeplineasc& urmatoarele:
a) Informatiile transmise prin retelele de telecomunicafii sunt protejate de catre
proprietarul echipamentului (Moldetelecom, CTS, etc.);
b) Proprietarul retelelor de cablu asigura o securitate corespunzatoare, tinind
cont de riscurilor de avariere;
c) Acest lucru in mod obligatoriu trebuie s& fie stipulat in contractul de prestare
a serviciilor;
d) Cablurile si echipamentele trebuie s4 fie marcate pentru a evita erorile de
manipulare gresit’, ca conexiunea incorecti de cabluri;
e) Pentru a evita posibile erori, conexiunile trebuie sa fie documentate;
10.3.3. Retelele de cablu ce deserves sistemele informationale importante
trebuie s& fie asigurate cu:
a) Canale armate si camere blocate sau panouri in locurile de control si locurile
conexiune;
18b) Utilizarea rutarilor alternative;
c) Utilizarea cablurilor optice;
d) Utilizarea ecranelor electromagnetice;
e) Controlul accesului la panourile de comunicatii
10.4 intretinerea echipamentelor
10.4.1. Echipamentele trebuie si fie corect intrefinute pentru a se asigura
disponibilitatea continua si integritatea acestora.
10.4.2. La intrefinerea echipamentului trebuie si se ia in considerare
urmatoarele:
a) Echipamentele trebuie si fie intrefinute conform —recomandatilor
produc&torului cu periodicitatea si specificarile descrise in documentele tehnice.
b) intretinerea se efectueaza strict de cdtre persoanele autorizate.
c) S& se efectueze o strict evidenja a tuturor defectelor presupuse sau reale,
precum si deservirii de profilactica si de reparare.
d) Dac& echipamentul este inclus intr-un grafic de deservire trebuie sa fie luat in
considerare de cine este efectuata deservirea, personal interior sau din exterior, si daca
este necesar din echipament trebuie eliminata informatia de serviciu.
e) Cerintele impuse de politele de asigurare trebuie si fie respectate,
10.5 Securitatea echipamentului in afara locatiei
10.5.1. Pentru echipamentele scoase in afara locatiei trebuie sa fie
securitate corespunzatoare, finéndu-se cont de riscurile diferite pentru acti
se desfigoara in afara locatiei
10.5.2. Echipamente gi purtatorii de informatii care sunt scoase in afara sediilor
nu pot fi lasate nesupravegheate in locuri publice, atunci cand cal&toresc trebuie sa fie
transportate ca bagaje de mana si trebuie s& fie mascate, daca este posibil si aparate de
influente electromagnetice;
10.5.3. Securitatea echipamentului din in afara locatiei, utilizat de cdtre MMPSF,
este asigurat de c&tre proprietarul echipamentului (Moldtelecom, CTS, etc.).
Proprictarul echipamentului asiguré o securitate corespunzitoare, tinind cont de
riscurile pentru activitajile care se desfaisoara in afara locatiei. Acest lucru in mod
obligatoriu trebuie sa fie stipulat in contractul de prestare a serviciilor.
10.6. Scoaterea din uz sau reutilizarea in condifii de siguranfa
10.6.1. Toate parfile din echipament care contin medii de stocare sunt verificate
pentru a se asigura c4 orice date importante sau produse software licentiat a fost
inlaturat sau suprascris intr-un mod sigur inainte de distrugere.
10.6.2. Echipamentele care contin informatii confidential trebuie sa fie fizic
distruse sau informatiile trebuie sa fie distruse sau eliminate folosind tehnici pentru a
face informatia originala nerecuperabila.
le care
1910.7. Scoaterea activelor
10.7.1. Scoaterea activelor in afara sediilor MMPSF se face respectind
urmatoarele:
10.7.2. Se autorizeaza prealabil seful nemijlocit;
10.7.3. Angajatii, terfe parti cu autorizare de scoatere active trebuie sa fie bine
determinati;
10.7.4. Trebuie sé fie fixat timpul limita de scoatere si reintoarcere a activelor si
controlul corespunderii.
CAPITOLUL V. MANAGEMENTUL COMUNICATIILOR $I
OPERATIUNILOR
Ui. DISPOZITII GENERALE
11.1. Se definese responsabilititile si procedurile operationale _ pentru
administrare, functionare si utilizare a mijloacelor de prelucrare a datelor.
11.2. Unde este cazul, de efectuat divizarea atributiilor cu scopul de micsorare a
riscului de exploatare incorecta a sistemelor informationale.
11.3. MMPSF va controla in permanent ca serviciile prestate de catre terti sa
fie efectuate conform acordurilor incheiate.
11.4, Pentru a preveni riscul de sc&dere a performantelor sistemelor
informationale si a suprasolicitarilor este necesard planificarea pe termen lung a
cerintelor fata de capacitatile sistemelor.
11.5. Pentru asigurarea integritatii sistemelor informationale si datelor,
utilizatorii trebuie s& fie informati despre pericolele ce prezinta infiltrarea codurilor
malitioase, iar administratorii de sistem s4 utilizeze mijloace de prevenire, depistare gi
eliminare a acestor coduri.
11.6. in scopul mentinerii integritatii si accesibilitatii informatie: si a
mijloacelor de prelucrare este necesar de a crea proceduri standard de implementare a
strategiei in domeniul copiilor de rezerva.
11.7. Managementul securitatii retelelor necesiti o analiza profunda a fluxului
de date, consecinfelor juridice, un control si o protectie permanent.
11.8. Mediile purtatoare de informatie trebuie sa fie controlate si fizic protejate.
11.9, Schimbul de informatii si programe aplicative intre MMPSF si tere
persoane se reglementeazi in corespundere cu acordurile de schimb de date, in
conformitate cu legislatia in vigoare.
11.10. Sistemele informationale trebuie si fie monitorizate si s4 inregistreze in
registre evenimentele ce tin de securitatea informatiei.
11.11. Monitorizarea permanenta va fi utilizati pentru a verifica eficacitatea
mijloacelor de control.
2012, PROCEDURI OPERATIONALE SI RESPONSABILITATI
Obiectiv: SA asigure operarea corecta si in condifii de securitate a sistemelor
de procesare a informatiei.
12.1. Documentarea procedurilor de operare
12.1.1. Toate procedurile de operare trebuic s fie documentate, pastrate si puse
Ja dispozitia tuturor celor care au nevoie de ele.
12.1.2. Procedura de documentare a sistemelor informationale se va efectua dupa
cum urmeaza:
a) Documentatia, aplicatia si codul sursi a SIAAS sunt pastrate in athiva
sistemelor informationale a MMPSF amplasata pe serverul MMPSF;
b) Crearea biblioraftului pentru fiecare SI, cu toate actele\documentele
existente, in compartimentele respective;
c) In interiorul fiecarui director care corespunde unui SI se creeaza directoarele
“Sarcina Tehnica”, “Ghid Utilizare”, “Ghid Administrator”, “Procese Verbale
Testare”, etc., pentru toate tipurile de documente standard.
d) Figierele corespunzatore se stocheazi in directoarele respective sau in
rdiicina SI respectiva;
) Persoana responsabilé de documentare este nominalizata de citre DET ;
f) Se stabilese persoanele responsabile de intocmirea, colectarea si pastrarea
actelor fiecdrui SI;
g) Persoana responsabili de intocmirea, colectarea si pastrarea actelor fiec&rui
SI este managerul SI din cadrul DET;
h) Prin intermediul managerul SI se asiguré accesul la documentatia tehnica
relevanta utilizatorilor SIAAS, conform atributiilor de serviciu.
12.2. Managementul schimbarilor
12.2.1. Toate schimbarile privind sistemele de procesare a informatiilor trebuie
s& se faca intr-un mod controlat.
12.2.2. Modificarea, completarea si ajustare a componentelor SIAAS se
efectueaza in urmatoarele cazuri:
a) Depistarea erorilor in lucrul componentelor SIAAS;
b) Reconfigurarea si optimizarea componentelor SIAAS;
c) Necesitatea modificarilor SIAAS in leg&tura cu modificarea in legislatie;
d) Necesitatea implementirii functionalitatilor noi in SIAAS;
e) Up-grade de versiuni a componentelor SIAAS;
f) Instalarea componentelor noi a SIAAS;
Procedura de modificarea, completarea si ajustare a componentelor SIAAS se va
efectua dupa cum urmeaza:
a) Solicitantul pentru modificarea, completarea si ajustare a componentelor
SIAAS scrie o cerere de solicitare a modificarii componentei SIAAS in numele
2sefului DET (in cazul unei modificari a componentei SIAAS in rezultatul modificarii
legislatiei in vigoare cererea se substitui cu ordinul aprobat de conducerea MMPSF);
b)in baza ordinului/cererii seful DET nominalizeazi persoanele responsabile
pentru proiectarea planului si estimarea costurilor pentru implementarea
modificarilor respective in SIAAS;
c) Planul de modificare trebuie s& fie prezentat pentru analiza sefului DET;
d)Dupa rectifictrile si stabilirea termenilor de efectuare a modificarilor in
SIAAS planul se autorizeaza si se vizeazi de conducerea MMPSF;
e)Realizarea modificarilor se efectueazi pe echipamentele de test cu
completarea actului de testare si cronometrarea timpului de executare a lucririlor;
f) in cazul in care timpul de executare a lucrarilor pe utilajele de productie
depaseste 0 ord seful DET informeaza conducerea si stabileste timpul executirii
lucratilor, informind utilizatorii despre data, ora si timpul de stopare a componentelor
SIAAS;
g) Pentru lucrarile care necesita un termen mai mare de 24 ore prin ordin poate fi
stabilit’ procedura de perfectare a actelor in regim manual;
h)inainte de executarea modificarilor grupul de implementare este obligat si
formeze copia de rezerva a componentei SIAAS care va fi modificata;
i) Dupa finisarea executarii lucrarilor persoanele implicate in procedura de
modificare sunt obligate si completeze actul de testare a modificarilor;
5) in cazul implementarii nereusite a modificirilor de grupa de implementare se
efectueazi restabilirea versiunii precedente din copia de rezerva;
k)Toate modificirile in componentele SIAAS sunt fixate in biblioraftul
respectiv.
12.3, Separarea atributiilor
12.3.1 Atributiile si domeniile de responsabilitate trebuie separate pentru a
reduce posibilitatea de modificiri neautorizate sau neintentionate sau folosirea intr-un
mod gresit a resurselor din cadrul SIAAS.
12.3.2 La executarea oricdror lucrari in cadrul SIAAS este necesar de {inut cont
de separarea executirii lor pe etape si anume:
a) Etapa de solicitare
b) Etapa de coordonare si aprobare
c) Etapa de executare
d) Etapa de verificare si acceptare
12.3.3. Fiecare etapa trebuie si fie executati, dupa posibilitate, de persoane
diferite pentru a exclude factorul de abuz sau utilizare necorespunzatoare a sistemului
in mod accidental sau intentionat.
2212.4, Separarea sistemelor de dezvoltare, testare si a sistemelor operationale
12.4.1, Sistemele de dezvoltare, testare si sistemele operationale trebuie sa fie
separate pentru a reduce riscurile accesului neautorizat sau schimbirilor asupra
sistemelor operafionale. Modificérile, completarile, ajustirile versiunilor noi a
aplicatiilor pot fi instalate pe serverul de productie numai dupa o testare prealabila pe
serverele de testare. Configurafia serverului de testare trebuie s& coincida intocmai cu
configuratia serverului de productie.
12.4.2. Se interzice persoanelor ce au participat la elaborarea sistemului
informational sé administreze sau s& gestioneze softul si s participe la testarea lui.
12.4.3. Persoanelor ce au participat la elaborare sau testarea softului in mod
obligatoriu li se retrage drepturile de acces la soft.
13. MANAGEMENTUL SERVICITLOR FURNIZATE DE TERTI
Obiectiv: Implementarea gsi menfinerea la un nivel corespunzdtor al
‘ii informatie: si al livrarii serviciilor in concordanta cu acordurile de
re de citre terti.
13.1. Furnizarea serviciilor
13.1.1 Trebuie asigurat faptul ci misurile de securitate, definitiile serviciilor si
parametrii de furnizare incluse in acordurile de furnizare de citre terti sunt
implementate, operate si intrefinute corespunzator de cditre partea tert.
13.1.2 Tofi Furnizori de servicii informationale trebuie sa respecte urmitoarele
conditii:
a) Sa acceseze strict resursele hardware si software din cadrul MMPSF, la care
Fumizorul are drept de acces, acestea find expuse in contractul de prestari_servicii:
b) Modul in care informatiile la care Furnizorul are drept de acces urmeazi a fi
protejate de catre acesta precum si masuri ce vor fi luate in cazul nerespectirii
clauzelor;
c) Modalitatea de predare, distrugere sau de transfer al drepturilor informatiilor
Institutiei aflate in posesia Furnizorului, la incheierea contractului;
d) Furnizorul trebuie s& foloseasca sistemul SIAAS din cadrul MMPSF numai
in scopul stipulat in contract;
e) Orice alta informatie din sistemul SIAAS al MMPSF obtinut de Furnizor
pe durata contractului nu poate fi folositi in interes propriu de catre Furnizor sau
divulgata altora;
f) Toate echipamentele de intretinere ale Furnizorului, aflate in refeaua interna
a MMPSF si care pot fi conectate in exterior prin intermediul refelei, a liniilor
telefonice sau a liniilor inchiriate, precum gi toate conturile de utilizator create
temporar pentru Furnizor si necesare pentru acces la SIAAS ale MMPSF, vor fi
scoase din uz la incheierea relatiilor contractuale;
23g) Accesul Furnizorului trebuie s& fie identificat in mod unic iar administrarea
parolelor sau metodele de autentificare trebuie s& fie in conformitate cu Regulamentul
privind Securitatea Informationalé a MMPSF ;
h) Acctivitatile principale ale Furnizorului trebuie s& fie documentate de acesta si
puse la dispozitia MMPSF. Documentatia trebuie s& cuprind’, dar s& nu fie limitate la,
evenimente precum: schimbiri de personal, schimbiri de parol, schimbari majore in
derularea proiectului, timpii de sosire, de plecare si de livrare ;
i) fn cazul retragerii din contract a unui angajat al Furnizorului, indiferent de
motiv, Fumizorul se va asigura c& toate informatiile sensibile sunt colectate si predate
MMPSF ssau distruse in cel mult 24 de ore de la producerea evenimentului;
i) i/rezilierii contractului sau la cererea MMPSF , Furnizorul
va preda sau distruge toate informatiile ce aparjin MMPSF si va oferi certificare in
scris privind predarea sau distrugerea informatiilor in decurs de 24 de ore de la
producerea evenimentului;
k) Toate programele folosite de Furnizor in scopul furnizaii serviciilor stipulate
in contract catre MMPSF trebuie s& fie inventariate corespunzator si si posede
drepturi de utilizare atestate prin Licente.
1) Contractele de externalizare a serviciilor nu trebuie s& includa servicii
specificate in alte contracte de externalizare.
13.2. Monitorizarea si evaluarea serviciilor terfilor
Serviciile, rapoartele si inregistrarile furnizate de partea ter{ sunt monitorizate
si evaluate in mod periodic de colaboratorii responsabili din cadrul DET. Auditarea
Furnizorilor trebuie s& fie efectuaté in mod regulat.
13.3. Managementul modificdrilor in cazul serviciilor tertilor
Managementul modificdrilor in cazul serviciilor terfilor se efectueazd conform
procedurilor stabilite de MMPSF.
14,
PLANIFICAREA $I ACCEPTANTA SISTEMELOR
Obiecti educerea riscurilor de disfunctionalitati ale sistemelor.
14.1, Managementul capacitatii
14.1.1. in vederea asigurarii nivelului de performanta cerut de sistem utilizarea
resurselor trebuie si fie monitorizatd si optimizata, iar necesitatile de capacitate
viitoare trebuie sa fie prevazuta.
14.1.2. Procedura de estimare a capacititilor componentelor noi implementate in
SIAAS se va efectua dupa cum urmeaz
a)Echipa de implementare va studia documentafia tehnicd si va efectua
estimarea cerintelor fafa de capacitatile SIAAS;
b) in caz cind SIAAS satisface cerine componentelor noi are loc instalarea lor pe
serverul de testare;
24c) in procedura de testare echipa de implementare va efectua masurarea
cerinfelor componentelor noi fafa de SIAAS si va analiza urmatorii parametri:
Cerinfele fata de canalele de comunicatii;
Cerintele fat de memoria operativa a serverelor;
Cerintele fafa de procesoarele serverelor;
Cerinfele fafa de echipamentele de stocare a datelor;
Cerintele fafa de calculatoarele personale;
d)in caz daci m&car un parametru enumerat mai sus nu satisface cerintelor
componentei noi a SIAAS implementarea ei pe serverele de productie nu va fi
efectuata;
¢) Implementarea componentelor noi pe serverele de productie se va efectua
numai dupa majorarea parametrilor respectivi;
14.2, Acceptanta sistemului
14.2.1. Criteriile de acceptan{a pentru noile sisteme informatice, actualizari gi
noi versiuni trebuie clar stabilite, iar in timpul dezvoltarii si inainte de acordarea
acceptantei trebuie efectuate teste adecvate.
14.2.2. Pentru implementarea sistemului informational nou conducerea MMPSF
stabileste componenta echipei de implementare si persoana responsabilA de sistem;
14.2.3. Echipa de implementare va instala sistemul nou pe serverul de testare;
14.2.4. Echipa de implementare trebuie s& testeze urmiatorii parametri a
sistemului nou:
a)Cerinfele pentru funotionarea sistemului in SIAAS si cerinfe fafa de
calculatoarele personale;
b)Procedura de recuperare si repornire a sistemului dupa aparitia erorilor in
sistem;
c) Verificarea functionalitatilor sistemului;
d) Verificarea interfefelor sistemului din punct de vedere a comodititii de
utilizare;
¢)Dovada c& sistemul satisface cerinfelor regulamentului de securitate a
MMPSF;
f) Asigurarea la nivel de sistem a continuitatii proceselor;
g) Dovada ci sistemul nou nu va avea impact asupra sistemelor existente in orele
de virf a functionarii SIAAS;
h)Dovada c& sistemul nu are impact negativ fafi de sistemul de securitate a
MMPSF;
14.2.5. in cazul in care sistemul satisface toate cerinjele MMPSF echipa de
implementare semneaza actul de testare.
14.2.6. Dupa implementarea sistemului nou in productie, elaboratorul va asigura
cel putin 6 luni de garantie.
2514.2.7. in perioada de garantie, elaboratorul va asigura toate corectiile de erori si
modificari de sistem in limita sarcinii tehnice, cerute de MMPSF gratis.
14.2.8. in cazul necesitatii de modificare a sistemului cu o complicitate marita gi
modificarea solicitaté nu a facut parte a contractului de elaborare, claboratorul de
sistem va negocia costurile suplimentare cu conducerea MMPSF.
14.2.9, Dupa corectarea tuturor erorilor si implementarea cerintelor MMPSF de
c&itre echipa de implementare se semneazi actul de acceptanfa a sistemului
15. PROTECTIA iMPOTRIVA CODURILOR MOBILE SI
DAUNATOARE
Obiectiv: Asigurarea protejarii integritafii software-ului si a informal
15.1.Masurile de securitate impotriva codului mobil si a codurilor cu
potenfial diunator.
15.1.1. in cazurile de suspiciuni de prezenja a virusilor la statiile de lucru
(programul de lucru atipica, aspectul de imagine si efectele sunetului, denaturarea
datelor, aparitia frecventa a rapoartelor de erori sistematice sau_a mesajelor antivirale
de detectare a virusilor) utilizatorul este obligat:
a) si suspende lucrul;
b) si se adreseze serviciului de sustinere a utilizatorilor (Hot-Line).
15.1.2. Utilizatorilor SIAAS strict li se interzice:
a) a lansa orice fisier, primit prin posta electronica, pentru executare, fra a
verifica mai intii lipsa virusilor si altor soft-uri aplicative daunatoare;
b) a descdirea fisiere din resurse necunoscute;
15.1.3. Instalarea programelor complexe de antivirus la computerele si sctarea
parametrilor sunt efectuate strict de persoane autorizate;
15.1.4. Monitorizarea situatiei in cazul detectarii virusilor si climinarea efectelor
de focare a virusului, sunt realizate strict de persoane autorizate. Monitorizarea se
efectueaza permanent.
15.1.5. in cazul in care exist suspiciunea de virusi sau a unor soft-uri aplicative
daunatoare, administratorul programului de antivirus intr-o ordine operationala si
prioritara, ia m&suri privind ameninfarile locale precum si eliminarea efectelor
daunatoare in SIAAS sau pentru o stafie de lucru separat’.
15.1.6. in cazul depistarii a virusilor sau a softurilor daundtoare, administratorul
de calculatoare personale este obligat:
a) s&completeze actul de desfasurare a activitatilor si s& indice sursa invocata a
fisierului infectat (expeditorul, proprietarul 5.a.), tipul fisierului infectat, natura
informatiilor conjinute in fisier, tipul virusului si a activitatilor antivirale efectuate;
b) daca este posibil, impreuna cu proprietarul fisierelor infectate sA determine
sursa de contaminare;c) daca e posibil, impreund cu proprietarul fisierelor infectate, si efectueze
analiza necesitatii folosirii lor in continuare;
d) sd desfasoare activitati de tratare sau distrugere a fisierelor infectate.
15.2. Utilizarea resurselor refelei globale Internet
15.2.1. Accesul la resursele refelei Internet se acorda colaboratorilor MMPSF in
scopul executirii de catre acestia a obligatiunilor de serviciu. Reteaua globala Internet
se utilizeaza pentru:
a) acces la refeaua global a paginilor hipertext (WWW)
b) acces la resursele de fisiere Internet (FTP);
c) acces la baze de date specializate (de drept 5.a.);
d) contacte cu persoanele oficiale ale altor structuri, cu specialistii
subdiviziunilor teritoriale ;
e) schimb de intrebari neconfidentiale cu caracter de serviciu prin intermediul
postei electronice cu persoane oficiale;
f) ridicarea calificarii specialistilor, necesara pentru executarea obligatiunilor
de serviciu;
g) cautarea si colectarea informatiei pe marginea intrebarilor cu caracter
administrativ, financiar si juridic, care sunt nemijlocit legate de executarea de catre
specialisti a obligatiunilor de serviciu.
15.3. Restriefiile de baz in cadrul lucrului in refeaua Internet
15.3.1. Se interzice accesarea de citre utilizator a resurselor cu confinut indecent
(resurse erotico-pornografice, resurse cu caracter nazist, resurse care provoacd la
violenfa si altele)
15.3.2, Se interzice accesarea jocurilor, site-urilor distractive, si alte site-uri ce
nu au legatura cu obligatiunile de serviciu,
15.3.3, Se interzice inc&rearea materialelor cu caracter pornografic, jocurilor,
bancurilor, altor materiale cu caracter distractiv.
15.3.4, Se interzice utilizarea panourilor de publicitate, conferinjelor in scopuri
personale in timpul lucrului.
15.3.5, Se interzice publicarea adresei electronice corporative pe panourile
publicitare, in conferinte si c&rfi de oaspeti.
15.3.6, Se interzice utilizarea adreselor de e-mail ne corporative si este limitat
accesul utilizatorilor retelei corporative la toate serverele postale, inclusiv la serviciile
postale gratis, cu excepfia adresei electronice corporative. in cazul in care, in scop de
serviciu, utilizatorul are nevoie de posta electronica intr-un domen, diferit de cel
corporativ, este necesara permisiunea scris& a conducatorului ierarhic superior.
15.3.7, Se interzice transmiterea datelor de evidenfa a utilizatorului.
15.3.8. Se interzic jocurile la computer.
15.3.9, Se interzice accesarea resurselor de transmitere a inregistrarilor video si
audio (camere-web, transmisiuni TV si programelor muzicale in Internet), care
27necesit inc&rcarea maximal a refelei si impiedicd lucrul in regim normal al celorlalti
utilizatori.
15.3.10. Se interzice transmiterea informatiei cu caracter confidential
persoanelor terfe.
15.3.1. Se interzice desfasurarea operafiunilor ilegale in refeaua globala
Internet.
15.3.12. Se interzice crearea paginilor web personale (plasarea serverelor web
sau fip).
15.3.13. Se interzic orice incercari de a intreprinde actiuni distructive faa de
lucrul in regim normal al retelei corporative si retelei Internet (transmiterea virusilor,
atacurile IP s.a.).
15.4, Controlul asupra utilizarii resurselor refelei Internet
15.4.1. in scopul asigurarii securitajii a SIAAS, conducerea MMPSF isi asum&
dreptul de a efectua controale selective sau totale ale intregului sistem informational
sia fisicrelor separate, fara instiintarea prealabila a colaboratorilor.
15.4.2. in scopul efectuarii controlului_ si limitarii traficului de resurse ce nu au
legaturé cu procesele desfagurate in cadrul MMPSF, colaboratorii DET realizeazi
urmatoarele sarcini:
a) asigura traficul suficient si functionarea neintrerupti a canalelor de acces in
reteaua Internet (cu conditia asigurarii din partea provider-ul);
b) asigura protectia maxima a retelelor interne impotriva accesului nesanctionat
din exterior,
c) efectueaz& aplicarea drepturilor de acces a unor utilizatori la diferite resurse
Internet, limitarea utilizarii resurselor pentru anumifi utilizatori, controlul si limitarea
informatiei de intrare gi de iesire;
) efectueaza filtrarea contentului ce nu fin de necesitati de serviciu;
¢) realizarea politicii de restrictionare a utilizarii fluxurilor de date muzicale, tele
si video programe;
f) crearea si reinnoirea filtrelor necesare, analizarea eficaciti{ii si permanent
reinnoirea listelor resurselor interzise;
g)s& efectueze monitorizarea neintrerupt’ a utilizarii traficului Internet la
compartimentul utilizatorilor, in scopul depistarii surselor noi de informatie
neproductiva (care nu corespunde profilului) si neutralizarea lor.
2816. COPIE DE SIGURANTA
Obiectiv: Sa mentina integritatea si disponibilitatea informatic
sistemelor de procesare a informatiei.
16.1. Crearea si utilizarea copiilor de siguranti (Back-up) a activelor
informationale a SIAAS
16.1.1. Pentru a asigura integritatea si autenticitatea activelor informationale a
SIAAS si protejarea acesteia se foloseste sistemul copicrii de siguranta si dublarii
informatiei critice precum si a programelor utile. Acest sistem permite posibilitatea
restaurarii datelor prin intermediul copiilor de rezerva cu pierderi minime de
informafii intr-un termen rezonabil.
16.1.2. Pentru un acces mai eficient la datele arhivate, informatia, timpul de
acces la care este o valoare critica, se inregistreaz& in spatiul corespunzitor de pe
matricea de disc. Astfel de arhivare se numeste operativa.
16.1.3. Pentru a preveni supraincarcarea spatiului de disc, arhivele, cu informatii
ce si-au pierdut actualitatea sau timpul de acces la care este 0 valoare critica, se
transfera in biblioteca de banda sau pe un dispozitiv extern de stocare. Arhiva de
acest tip se numeste de baza.
16.1.4. Cele mai importante informatii sunt inregistrate atit pe discul serverului
cit si pe suportul tip banda.
16.1.5. Personalul responsabil din cadrul DET a MMPSF sunt obligati sa
determine partea de informatii ce urmeaza a fi arhivata. Lista cu informatiile care
urmeazi sa fie arhivate trebuie si fie aprobata de conducerea MMPSF.
16.1.6. Colaboratorii responsabili din cadrul DET, elaboreaza instructii interne
corespunzatoare pentru a efectua copii de rezerva si a bazei de date, stabilesc metoda
si intervalul de timp a procesului de arhivare, pe baza caracteristicilor tehnologice a
SIAAS.
16.2. Ordinea copierii de rezerva
16.2.1. Copierea de rezerva a resurselor informationale are loc in baza
urmatoarelor date:
a) compozitia si volumul de date copiate, frecventa copierii de rezerva;
b) termenul maxim de pastrare a copiilor de rezerva — 6 luni.
Sistemul copierii de rezerva trebuie s4 asigure productivitatea necesaraé pentru
pastrarea informatiei,in termenii indicati si cu periodicitatea data.
16.2.2. Responsabil pentru procedura copierii de rezerva este colaboratorul DET,
numit prin ordinul MMPSF.
16.2.3. Despre incercarile de acces neautorizat la informatia rezervata, de
asemenea gi alte incalcari ale securitatii informationale ce au avut loc in cadrul
procesului copierii de rezerva, se raporteaz& sefului DET, prin not& de serviciu in
decursul zilei lucratoare dupa descoperirea a evenimentului indicat. Administratorul
pentru procedura copierii de rezerva adopt operativ toate masurile pentru
29minimizarea consecinfelor scurgerii ce a avut loc si prevenirii incercarilor repetate de
acces nesancfionat la informatie, de asemenea aduna toate dovezile, ce indic& primirea
unui astfel de acces, si le prezinta impreun’ cu nota de serviciu,
16.3. Controlul rezultatelor copierii de rezervi
16.3.1. Integritatea gi autenticitatea informatiei arhivate este verificati de
colaborator responsabil.
16.3.2. Controlul rezultatelor tuturor procedurilor copierii de rezerva este realizat
de catre colaboratorii responsabili in termen pina la orele 16 a zilei lucratoare, ce
urmeaza dupa data stabilité de executare a acestor proceduri,
16.3.3. in cazul depistarii erorii in procesul copierii de rezerva, persoana
responsabila de controlul rezultatelor, anunfa administratorii copierii de rezerva pin
la orele 17 ale zilei lucratoare curente despre aparitia situatiei de urgent’.
16.3.4. Pe parcursul perioadei de timp, cind sistemul copierii de rezerva se afla
in stare avariata, trebuie si fie realizata copierea zilnicd a informatiei, pe alte discuri
rigide care dispun de spafiu liber.
16.4. Rotafia suporturilor copiilor de rezerva
16.4.1. Sistemul copierii de rezerva trebuie sa asigure inlocuirea periodica a
suporturilor de rezerva, faré pierdere de informafii de pe ele, si de a asigura
restaurarea informatici curente din SIAAS in cazul defectiunilor oricaror mijloace ale
copierii de rezerva.
16.4.2. Rotatia suporturilor are loc in cazurile:
a) Defectirii aparatelor;
b) Transferului in celula bancara;
c) Transferului pe serverul de rezerva;
d) indeplinirea planului restabilirii de rezerva.
16.4.3. In calitate de suporturi noi este acceptabil de a folosi repetat cele ale
c&ror termen de pastrare a expirat.
16.4.4. Informatiile confidentiale de pe suporturile care nu mai sunt utilizate intr-
un sistem de rezerva ar trebui sa fie eliminate cu utilizarea de software specializat, in
prezenfa colaboratorului Directiei DET a MMPSF.
16.5. Restabilirea informafiei din copiile de rezerva
16.5.1. Recuperarea datelor de pe copiile de rezerva se efectueaza pe baza cererii
proprietarului informatie’ si in alte conditii necesare.
16.5.2. Procedura de recuperare a datelor de pe o copie de rezerva se efectueazi
in conformitate cu metoda de recuperare a informatiilor conform instructiunile interne
a MMPSE.
16.5.3. Odaté in trimestru specialistul colaboratorului Directiei DET si a
MMPSE, responsabil pentru resurs& informational respectiva, verifica corectitudinea
copiei de rezerva prin restabilirea arhivei din baza de date de producere in baza de
30date test. Dupa efectuarea procesului de verificare se fixcazi toate actiunile in
registru special cu indicarea:
a) Datelor de verificarea;
b) Orei inceputului;
c) Orei finisarii;
d) NPP;
e) Semnaturii;
f) Rezultatului executirii.
16.5.4.in cazul rezultatului negativ informagia__privind —_calitatea
necorespunz&toare a purtatorului se iau decizia privind schimbarea purtatorului
respectiv.
16.6. Depozitarea copiilor de siguran{a in afara sediului MMPSF
Pentru a asigura securitatea informationala a SIAAS, un exemplar al copiilor
bazelor de date si soft-ului SIAAS ar trebui s fie pastrate pe suport magnetic in afara
sediului MMPSF, intr-o celula de depozit bancar in condiii de siguranta. Un alt
exemplu de copii ale bazelor de date si aplicatiilor software a SIAAS trebuie si fie
pistrate pe suport magnetic in incinta MMPSF la DET cu asigurarea condiiilor
necesare (safeu, acces limitat in incapere).
17. MANAGEMENTUL SECURITATH RETELEL
Obiectiv: Si se asigure protectia refelelor de informatii si protectia
infrastructurii de suport.
17.1. Masuri de securitate a refelelor
17.1.1. Cu scopul asigurarii nivelului cuvenit de securitate informationala la
etapa proiectarii refelelor de telecomunicatie trebuie de respectat urmatoarele reguli:
a) Toate calculatoarele si serverele conectate in retea locala trebuie sa fie
protejate, limitind accesul prin login si parola si utilizind soft-uri de tip firewall
b) Toat& informatia care prezinta secret de stat, de serviciu gi este transmis’ prin
refele de telecomunicatie trebuie criptata .
c) Toate echipamentele de rejea de tip: switch, router, server, etc., trebuie
protejate, respectind reguli de securitate informationala la nivel software: respectind
controlul conectarilor prin configurarea setirilor de refea si fizic: limitarea accesului
asigurind incaperi si dulapuri speciale.
d) Asigurarea accesului limitat in refeaua corporativa a ministerelor, structurilor
de stat si private, cu care sunt incheiate contracte de schimb de informatie .
e) De a identifica si autentifica personalul responsabil de monitorizarea si
configurarea mijloacelor de comunicare.
f) Laconectirile de la distant sé fie prevazut: identificarea persoanei conectate
dupa nume de utilizator si adresa IP, s& fie calculat timpul de conectare,
31g) Pentru retelele corporative trebuie prevazute modalitaji de monitorizarea si
limitarea traficului de date, cu scopul excluderii supraincircarilor de retea
17.1.2, Pentru retelele corporative trebuie respectati protectia datelor privind
informatia despre utilizatori de c&tre administratorii sistemelor informationale.
17.1.3. Toata informatia transmisa prin refelele corporative si conexiune internet
se va efectua prin tunelele VPN asigurate de echipamente firewall adecvate care
asigura criptarea datelor transmise.
17.2. Securitatea serviciilor de refea
17.2.1. Toate retelele corporative din dotarea MMPSF sunt inchiriate de la
companiile specializate in servicii de telecomunicatii (Moldtelecom, CTS etc.)
17.2.2. Tipurile de conexiune a punctelor de conectare la SIAAS se efectueaza
prin utilizarea urmatoarelor tehnologii:
a) Linii dedicate (Cross-Net)
b) Linii dedicate (Fibra optic)
c) Wi-Fi directionat
d) ADSL
e) GPRS
f) CDMA
17.2.3, Asigurarea protectiei datelor transmise prin intermediul retelelor
inchiriate se efectueaza de citre MMPSF utilizind crearea tunelelor VPN si criptarea
datelor prin utilizarea protocoalelor IPSec
18. MANIPULAREA MEDIILOR DE STOCARE
Obiectiv: Si prevind divulgarea neautorizata, modificarea, indepartarea
sau distrugerea resurselor si intreruperea activitifilor afaceri
18.1. Managementul mediilor de stocare amovi
a) Pentru toate stafiile de lucru prioritare purtatorii de informatii externi (DVD,
stick, ete.) sunt dezactivati.
b)Activarea posibilitajii conectarii purtatorilor de informatie extemi vor fi
efectuate numai in baza cererii pe numele conducerii MMPSF in care se descrie tipul
purtatorului si scopul cu care va fi utilizat.
c) in cazul vizarii pozitive a cererii, administratorul de securitate informationala
informeazA administratorii, care la rindul lor vor asigura modificarea respectiva.
d)Faptul efectuarii modificarii va fi inscris in registrul electronic.
e) Solicitarea va fi pastraté de c&tre administratorul de securitate in mapa
»Solicitari” .
18.2. Distrugerea mediilor de stocare
18.2.1. Mediile de stocare trebuie distruse intr-un mod securizat si sigur atunei
cind acest lucru se impune, folosind proceduri formale pentru aceasta.
3218.2.2. Procedura de distrugere a mediilor de stocare se va efectua dupa cum
urmeaza:
a) Mediul de stocare va fi transmis la depozit
b)Comisia de casare va invita un administrator de sistem care va efectua
distragerea mediului de stocare
18.3. Proceduri de manipulare a informatiei
Pentru a proteja informatiile impotriva utilizirii improprii sau divulgarii
neautorizate se stabilesc proceduri specifice de manipulare si stocare a acestora:
a) Toate informatiile gestionate in SIAAS se inregistreazi in SGBD numai prin
intermediul sistemelor informationale, parti componente a SIAAS
b) Accesul la sistemele informationale trebuie sa fie eliberat in conformitate cu
cerinfele Regulamentului de securitate ,,Controlul acceselor”.
c) Accesul persoanelor la rapoartele statistice a SIAAS se elibereazi numai cu
acordul conducerii MMPSF in baza cererilor cu descrierea tipurilor de rapoarte si
scopul utilizarii lor,
4) Selectarea informatiilor si rispunsurile la interpelarile oficiale vor fi eliberate
doar de colaboratorii autorizati
€) Toate informatiile obtinute cu continut statistic trebuie si fie marcate cu
inscriere ,,Pentru uz de serviciu”
18.4, Securitatea documentatiei de sistem
Documentatia de sistem este pastrata pe serverul central la care au acces numai
persoanele responsabile de documentare.
a) Documentatia legati de administrarea SIAAS poate fi transmis’ numai
persoanelor nominalizate ca administratori de sistem, a conducerii MMPSF si
colaboratorilor DET;
b)Accesul la Ghidurile de utilizare a componentelor SIAAS sunt accesibile
pentru tofi utilizatorii;
c) Accesul la ghidurile de utilizare a componentelor SIAAS pot avea numai
utilizatorii componentelor SIAAS.
19. SCHIMBUL DE INFORMATII
Obiectiv: Si menfini securitatea schimbului de informatie cu orice entitate
externa.
19.1. Proceduri si politici pentru schimbul de informa
a) Schimbul de informatii intre MMPSF si entitate externa poate fi efectuat
numai in baza acordurilor bilaterale de schimb date;
b) Acordurile bilaterale obligatoriu trebuie s confind urmatoarele informa
c) Lista datelor la care se solicita acces;
4) Lista persoanelor care vor avea acces;
33e)Pentru asigurarea schimbului de date obligatoriu se utilizeazi servere
intermediare;
f) Pot fi stabilite trei tipuri de schimb date:
g) Prin intermediul FTP serverelor;
h) Prin utilizarea WEB — serviciilor;
i) Prin accesul la SIAAS;
j) Schimbul de date se efectueazi numai prin intermediul refelelor de
comunicatii protejate,
19.2. Acorduri de schimb informatii
Acordurile bilaterale intre MMPSF si fiecare autoritate centralé in parte este
prevazuta de Hotarirea Guvernului 561din 18.05.2007.
19.3. Met fizice de stocare in tranzi
19.2.1. Mediile de stocare care contin informatii trebuie si fie protejate
impotriva accesului neautorizat, utilizrii necorespunztoare sau falsificarii in timpul
transportarii dincolo de granitele fizice ale organizatici
19.3.2. Pentru protejarea mediilor fizice de stocare ce sunt transportate intre
diferite locatii trebuie sa fie luate in considerare urmatoarele:
a) Sa fie utilizate mijloace de transport sigure;
b) Curierii trebuie sé fie imputerniciti de conducerea MMPSF si legitimati;
c) Ambalajul trebuie si fie sigur pentru protejarea confinutului de orice daune
fizice in timpul transportarii gi trebuie sa corespunda specificatiilor producatorului.
d)Pentru protejarea informafiile sensibile de divulgarea sau modificarea
neautorizata ar trebui s& fie luate masuri suplimentare ca:
¢) Utilizarea containerelor cu cheie;
f) Livrarea sub semnatura;
nesanctionata;
h){n cazuri exceptionale, divizarea incarcaturii in mai multe parti si trimise pe
cai diferite
19.4 Mesageria electronica
19.4.1. Informatia transmis prin mesageria electronica trebuie protejat’ in mod
corespunzator.
19.4.2. in procesul de lucru cu sistemul corporativ al postei electronice
colaboratorilor MMPSF li se interzice:
a) utilizarea adresei postale pentru formarea abonamentelor;
b) publicarea adresei sale sau a adreselor altor colaboratori in Internet-resurse
accesibile (forumuri, conferinte s.a.);
c) deschiderea fisierelor intrate fir verificarea prealabil& cu mijloace antivirus,
chiar dac& expeditorul scrisorii este bine cunoscut;
d) efectuarea reexpedierii in mas a mesajelor cu caracter publicitar;
34e) reexpedierea prin posta electronica a materialelor, ce confin virusi sau alte
coduri, file-uri, programe, prevazute pentru dezechilibrarea, nimicirea sau limitarea
functionalitatii orictrui echipament computerizat, de telecomunicatie sau de program,
pentru executarea accesului nesanctionat, de asemenea reexpedierea numerelor de
serie a produselor comerciale de program si programelor pentru generarea lor, login-
urilor, parolelor gi altor mijloace pentru primirea accesului nesancfionat la Intemet-
resursele contra plata, de asemenea si referintelor la informatia relatata mai sus;
f) raspandirea materialelor cu drepturi de autor, materialelor ce se refera la un
patent, marc comerciala, tain comercial sau alte drepturi de proprietate:
g) raspandirea informatiei cu acces limitat, prevazuta pentru utilizarea in scopuri
de serviciu;
h) rspandirea parolei de acces la cutia sa postala.
20. MONITORIZAREA
Obiectiv: Identificarea activitatilor neautorizate de procesare a informatiei.
20.1. Jurnal de audit
20.1.1, Fisierele jurnal vor fi examinate regulat, nu mai rar de odata pe luna, in
vederea detectirii eventualelor atacuri informatice si abateri de la regulamentele de
securitate ale SIAAS. in categoria fisierelor examinate intra (ffiri a se limita doar la
acestea):
a) Jurnale ale sistemelor de detectarea automata a intrusilor.
b) Jumnale Firewall
c) Jurnale ale activitatii conturilor utilizator
d) Jurnale ale scanatilor retea
¢) Jurnale ale aplicafiilor
f) Jurnale ale solicitarilor de suport tehnic
g) Jurnale ale erorilor din sisteme gi servere.
h) Jurnale ale echipamentelor de telefonie
20.2. Monitorizarea utilizarii sistemului
20.2.1. Nu mai rar de odata in trei luni administratorii de sisteme vor efectuata
evaluarea riscurilor pentru resursele importante din Lista resurselor TI ale MMPSF
pentru a preveni eventualele situatii de inrautatire a performantelor.
20.2.2. Toate resursele TI ale MMPSF importante sunt monitorizate de catre
administratorii SIAAS, pentru a anticipa devierile in functionare conform normelor
recomandate;
20.2.3. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmari
si inregistra:
a) Tipul traficului (ex. structura pe protocoale si servicii) extern si confinutul
acestuia in cazurile in care acest lucru se impune sau este ordonat ;
35b)Tipul traficului in refea, a protocoalelor si a echipamentelor conectate la
SIAAS, continutul acestuia in cazurile in care acest lucru se impune sau este ordonat ;
) Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor de
operare).
20.2.4. in mod regulat (cel pufin 0 data in trei luni) de administratorii SIAAS se
vor efectua verificari, pentru detectarea:
a) Parolelor utilizator care nu respect regulamentele
b) Echipamentelor de refea conectate neautorizat
c) Serviciilor de refea neautorizate
4d) Serverilor de pagini de web neautorizate
c) Echipamentelor ce utilizeazi resurse comune nesecurizate
£) Utilizitii de modeme neautorizate
g) Licentelor pentru sistemele de operare si programele instalate
20.2.5. in cazul depistirii oricdrei nereguli in rezultatul evaluiilor descrise in
punctul 10.1, administratorul SIAAS este obligat:
a) Si descrie in raport catre seful DET riscul depistat.
b)Sa estimeze consecintele care pot aptirea in SIAAS in urma nesolutionarii
problemei care a cauzat riscul.
c) Sa identifice metodele de solufionare pentru excluderea riscurilor identificate
d)$eful DET raporteazé conducerii MMPSF despre riscul identificat si
modalitatea de solufionare a acestuia.
c) Seful DET ia toate masurile necesare pentru excluderea riscului identificat.
20.2.6. in cazul in care pentru excluderea riscului sunt necesare cheltuicli
financiare suplimentarea, Seful DET trebuie:
a) S& pregiteasca divizul de cheltuieli pentru solufionarea riscului.
b) Sd gestioneze procedura de implementare a solutiei.
20.3. Protectia informatiilor din jurnale
20.3.1. Jurnalele de audit descrise in punctul 20.1.1 periodic se vor arhiva si se
vor pastra pentru o perioada nu mai mic& de doi ani.
20.3.2. Responsabil pentru arhivarea si pistrarea fisierelor jurnal este
administratorul de sistem.
20.4. Jurnalul activitatilor administratorului si operatorului
Activitatile administratorului de sistem si ale operatorului de sistem trebuie
inregistrate.
20.5. inregistrarea erorilor si deficientelor in functionare
20.5.1. Incidentelor securitéii informafionale li se atribuie urmatoarele
evenimente:
a) pierderea serviciilor prestate, lipsa functionarii continua a echipamentelor si
mijloacelor de prelucrare si transmitere a informatiilor;
36