Departamentul de Comunicatii Digitale

Universitatea "Alexandru Ioan Cuza" din Iasi |

Declaraţii privind Confidenţialitatea Serviciilor Informatice şi de Comunicaţii

Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

2. Declaraţii privind Confidenţialitatea Serviciilor Informatice şi de Comunicaţii

Introducere Regulamentele de Confidenţialitate sunt mecanisme utilizate pentru a stabili limite pentru utilizatorii RIC. Utilizatorii interni nu ar trebui să se aştepte la confidenţialitate în ceea ce priveşte utilizarea sistemului RIC. Utilizatorii externi ar trebui să se aştepte la confidenţialitate totală, cu excepţia cazului în care se suspectează un delict cu privire la sistemul RIC.
Scopul
Scopul Regulamentului privind Confidenţialitatea Serviciilor Informatice şi de Comunicaţii ale Universităţii „Alexandru Ioan Cuza” din Iaşi este acela de a comunica în mod clar utilizatorilor la ce să se aştepte în ceea ce priveşte confidenţialitatea datelor stocate în sistemul RIC.
Audienţă Regulamentul privind Confidenţialitatea Serviciilor Informatice şi de Comunicaţii al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a Universităţii „Alexandru Ioan Cuza” din Iaşi.
Drept de Proprietate Fişierele electronice create, trimise, primite sau stocate pe sistemele de calcul aflate în proprietatea, administrarea, sau în custodia şi sub controlul Universităţii „Alexandru Ioan Cuza”, sunt proprietatea Universităţii în condiţiile legilor în vigoare.
Definiţii

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.

Administratorul Resurselor Informatice si de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Server Web: un sistem de calcul care distribuie în mod public sau diferenţiat informaţii folosind protocolul HTTP.
Pagină web: Un document în spaţiul World Wide Web (WWW). Fiecare pagină web este identificată printr-un URL (Uniform Resource Locator).
Regulament privind Confidenţialitatea Serviciilor Informatice şi de Comunicaţii
  1. Fişierele electronice create, trimise, primite sau stocate folosind sistemul RIC proprii, administrate sau în custodia şi sub controlul Universităţii „Alexandru Ioan Cuza” nu sunt confidenţiale şi pot fi accesate oricând de către angajaţii autorizaţi din cadrul D.C.D., Departamente şi Facultăţi fără înştiinţarea utilizatorului conform Regulamentului de Acces Administrativ.
  2. În scopul administrării RIC şi pentru asigurarea securităţii RIC personalul autorizat poate revizui sau utiliza orice informaţie stocată pe sau transportată prin sistemele RIC în conformitate cu legile în vigoare. În aceleaşi scopuri, este posibilă monitorizarea activităţii utilizatorilor (de exemplu, dar fără a se limita la, numere de telefon formate sau sit-uri web vizitate).
  3. Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul Universităţii „Alexandru Ioan Cuza”, orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament (prin contactarea OSRIC sau OSRICD).
  4. Un mare număr de utilizatori (inclusiv studenţi), pot accesa informaţii din exteriorul sistemului de comunicaţii al Universităţii „Alexandru Ioan Cuza” din Iaşi. În aceste condiţii este obligatorie păstrarea confidenţialităţii informaţiilor transmise din exteriorul RIC şi a informaţiilor obţinute din interior.
  5. Utilizatorii nu trebuie să încerce să acceseze informaţii sau programe de pe sistemele Universităţii „Alexandru Ioan Cuza” din Iaşi pentru care nu au autorizaţie sau consimţământ explicit.
  6. Nici un utilizator al sistemului RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi nu poate divulga informaţiile la care are acces sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemului RIC. Această regulă se extinde şi după ce utilizatorul a încheiat relaţiile cu Universitatea “Alexandru Ioan Cuza” din Iaşi.
  7. Confidenţialitatea informaţiilor transmise prin intermediul resurselor de comunicaţii ale terţilor nu poate fi asigurată. Pentru aceste situaţii, confidenţialitatea şi integritatea informaţiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligaţi să se asigure că toate informaţiile confidenţiale ale Universităţii „Alexandru Ioan Cuza” din Iaşi se transmit în aşa fel încât să se asigure confidenţialitatea şi integritatea acestora.
Regulament pentru Accesul Publicului la Informaţii

Modelul de mai jos trebuie folosit pentru toate cazurile în care prin sistemul RIC se oferă informaţii publicului.

Sit-urile web ale Universităţii „Alexandru Ioan Cuza” disponibile publicului general trebuie să conţină o declaraţie prin care se atenţionează vizitatorii privind confidenţialitatea acţiunilor lor. Un exemplu bun de Declaraţie este următorul:

Următoarea declaraţie se aplică numai publicului şi este destinată atenţionării acestuia cu privire la informaţiile înregistrate cu ocazia accesării informaţiei din sistemul Resurselor Informatice şi de Comunicaţii al Universităţii “Alexandru Ioan Cuza” din Iaşi.

Cookie-uri: Un „cookie” este un fişier care conţine informaţie plasată de către un server web pe un calculator al utilizatorului. De obicei, aceste fişiere sunt utilizate pentru a facilita accesul la informaţia oferită de sit-ul web. Orice informaţie pe care serverele web ale Universităţii „Alexandru Ioan Cuza” o pot stoca în cookie-uri este utilizată numai în interiorul Universităţii „Alexandru Ioan Cuza” din Iaşi. Informaţia din cookie-uri nu este utilizată pentru a dezvălui, către terţi, informaţii despre vizitator decât în cazul în care Universităţii „Alexandru Ioan Cuza” din Iaşi i se cere în mod legal să facă acest lucru în conformitate cu legile în vigoare sau alte proceduri legale.

Jurnale şi Monitorizare: Universitatea „Alexandru Ioan Cuza” păstrează fişierele cu înregistrări ale tuturor accesărilor sit-urilor sale şi de asemenea monitorizează traficul din reţea în scopul administrării sit-urilor. Această informaţie este utilizată pentru a ajuta la diagnosticarea eventualelor probleme şi pentru a realiza alte sarcini administrative. Uneltele de analiză a jurnalelor sunt de asemenea utilizate pentru statistici în scopul determinării informaţiei cu un grad ridicat de interes pentru utilizatori sau vizitatori. Informaţiile incluse în aceste fişiere sunt:

  • Numele sistemului: numele sistemului şi/sau adresa IP a calculatorului care cere accesarea sit-ului.
  • Agent-Utilizator: tipul browser-ului, versiunea, şi sistemul de operare al calculatorului care cere accesarea site-ului (Netscape 4 for Windows, IE 4 for Macintosh, etc.)
  • Referinţă: pagina web de unde a venit utilizatorul.
  • Data sistemului: data şi ora accesării.
  • Cerere completă: cererea exactă făcută de utilizator.
  • Stare: codul de stare returnat de server, ex: „file not found” (nu a găsit fişierul).
  • Mărimea conţinutului: lungimea, în bytes (octeţi), a fişierului trimis utilizatorului.
  • Metodă: metoda cererii folosită de către browser (ex.: post, get).
  • Uniform Resource Identifier (URI): adresa unei anumite resurse cerute.
  • Şir de interogare din URI: orice după un semn de întrebare în cadrul unui URI. De exemplu, dacă a fost cerut un cuvând cheie de căutare, acel cuvânt cheie va apare în şirul interogării.
  • Protocol: protocolul tehnic şi versiunea utilizată, de ex.: http 1.0, ftp, etc.

Informaţia de mai sus nu va fi folosită pe nici o cale care ar putea dezvălui informaţie de identificare personală unei persoane din exteriorul Universităţii „Alexandru Ioan Cuza” din Iaşi, decât dacă se cere în mod legal acest lucru în conformitate cu legile în vigoare sau cu alte proceduri legale.

Informaţie din mesaje electronice sau formulare: Dacă un vizitator trimite un mesaj electronic Universităţii „Alexandru Ioan Cuza” sau completează un formular web cu o întrebare sau comentariu ce conţine informaţie de identificare personală, acea informaţie va fi utilizată numai pentru a răspunde cererii şi pentru a analiza intenţiile. Mesajul poate fi redirectat la altă persoană care este calificată să răspundă cererii. Astfel de informaţii nu vor fi folosite pe nici o cale prin care s-ar dezvălui informaţie de identificare personală terţilor, cu excepţia cazului în care Universităţii i se cere în mod legal acest lucru în conformitate cu legile în vigoare sau cu alte proceduri legale.

Legături: Acest sit poate conţine legături la alte sit-uri. Universitatea „Alexandru Ioan Cuza” nu este răspunzătoare de politicile de securitate sau conţinutul acestor sit-uri.

Contact: Dacă aveţi întrebări în legătură cu această declaraţie sau utilizarea acestui site vă rugăm să ne contactaţi.

Măsuri Disciplinare
Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:
  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

Alte Dispoziţii
Acest Regulament are ca parte integrantă următoarele dispoziţii:
  1. Întreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru acţiunile care pot afecta securitatea RIC.
  2. Utilizatorii sunt responsabili, nediscriminatoriu, privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
  3. Utilizarea RIC se face numai în interes de serviciu.
  4. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nelimitate la, poştă electronică, navigare pe Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
  5. Departamentele şi facultăţile sunt responsabile cu autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  6. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă, tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  7. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Universităţii.
  8. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC pentru protejarea datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate:http://www.iso17799software.com/what.htm
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2017 Departamentul de Comunicații Digitale - Universitatea Alexandru Ioan Cuza din Iaşi