Direcția Comunicaţii Digitale, Statistică și Informatizare

Universitatea "Alexandru Ioan Cuza" din Iasi |

Accesul Fizic

 Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

4. Accesul Fizic

Introducere Ca parte a atribuţiilor de serviciu, personalul care asigură suport tehnic, administratorii de reţea, administratorii de sistem sau alte persoane autorizate trebuie să aibă acces la echipamentele şi componentele sistemului RIC. Procesul de control şi monitorizare a drepturilor de acces fizic la resursele RIC este important şi va fi reglementat conform prezentului regulament de către D.C.D. şi, acolo unde este cazul, de către fiecare Departament sau Facultate..
Scopul Scopul Regulamentului privind Accesul Fizic la RIC este stabilirea regulilor pentru acordarea, controlarea, monitorizarea şi întreruperea drepturilor de acces fizic la echipamentele componente ale RIC.
Audienţă Regulamentul privind Accesul Fizic la RIC se aplică tuturor persoanelor care răspund de buna funcţionare a infrastructurii, instalarea şi întreţinerea unor componente funcţionale, a personalului responsabil cu securitatea RIC şi utilizatori.
Definiţii Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.

Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.

Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.

Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.

Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Regulament privind Accesul Fizic la RIC
  1. Toate sistemele de securitate fizică (de exemplu coduri de acces în clădire şi coduri de acces pentru prevenirea incendiilor etc.) a RIC trebuie să fie instalate în conformitate cu regulamentele Universităţii „Alexandru Ioan Cuza” din Iaşi.
  2. Accesul fizic la toate încăperile în care sunt instalate RIC trebuie să fie documentat şi monitorizat.
  3. Toate încăperile în care sunt instalate RIC trebuie să fie protejate fizic, în funcţie de importanţa acestora şi tipul datelor vehiculate sau stocate.
  4. Pentru fiecare încăpere în care sunt instalate echipamente ale sistemului RIC se aprobă accesul doar pentru personalul care răspunde de buna funcţionare a echipamentelor din încăperea respectivă şi, dacă este cazul, părţilor contractante, ale căror obligaţii contractuale implică acces fizic.
  5. Personalul care are drepturi de acces trebuie să deţină legitimaţie de serviciu şi acte de identitate care să-i ateste calitatea.
  6. Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face în scris de către D.C.D. sau, după caz, Departamentul sau Facultatea care deţine încăperea şi resursele.
  7. Nu este permis transferul dreptului de acces indiferent de motiv.
  8. Cardurile şi/sau cheile de acces care nu mai sunt folosite trebuie predate Departamentului sau Facultăţii care le-a eliberat.
  9. Pierderea sau furtul cardurilor şi/sau cheilor de acces trebuie raportate imediat Departamentului sau Facultăţii care le-a eliberat.
  10. Cardurile şi/sau cheile nu trebuie să aibă informaţii de identificare, altele decât informaţia de contact necesară pentru returnare.
  11. Accesul vizitatorilor în spaţiile protejate trebuie documentat pentru fiecare încăpere şi, în cazul în care este permis, se va delega un însoţitor. Vizitatorii trebuie să fie însoţiţi în zonele cu acces restricţionat.
  12. Fiecare Departament şi Facultate va ţine o evidenţă a tuturor cardurilor şi/sau cheilor de acces emise, retrase, pierdute sau furate.
  13. Pentru fiecare spaţiu în care sunt instalate RIC se va păstra o evidenţă a accesului pentru verificări de rutină în situaţii critice.
  14. Fiecare Departament şi/sau Facultate trebuie să verifice periodic drepturile de acces pe bază de card şi/sau cheie şi să anuleze aceste drepturi pentru persoanele care pierd dreptul de acces.
  15. Fiecare Departament şi/sau Facultate trebuie să anuleze drepturile de acces ale cardurilor şi/sau cheilor utilizatorilor care îşi schimbă locul de muncă din Universitatea „Alexandru Ioan Cuza” din Iaşi sau nu au relaţii contractuale cu Universitatea.
  16. Pentru fiecare spaţiu cu acces restricţionat trebuie desemnată o persoană care să verifice periodic înregistrările de acces şi să cerceteze orice acces suspect.
  17. Accesul restricţionat trebuie marcat.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziţii

Acest Regulament are ca parte integrantă următoarele dispoziţii:

  1. Întreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru acţiunile care pot afecta securitatea RIC.
  2. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
  3. Utilizarea RIC se face numai în interes de serviciu.
  4. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nu limitate la, poştă electronică, navigare pe Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
  5. Departamentele şi facultăţile sunt responsabile privind autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  6. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  7. Controalele de Securitate ale RIC nu trebuie să fie evitate sau dezactivate.
  8. Parolele, Numerele de Identificare Personală, Cartelele de Acces precum şi alte proceduri de securitate a sistemelor de calcul sau a dispozitivelor din cadrul RIC trebuie să fie protejate de fiecare utilizator în parte astfel încât să nu poată fi utilizate de alţi utilizatori. Orice încălcare a sistemului de securitate trebuie raportată OSRIC şi/sau OSRICD.
  9. Accesul la RIC trebuie să fie strict securizat şi să se facă pe baza unor proceduri documentate conform prezentului regulament pentru fiecare Departament şi Facultate în parte. Aceste proceduri trebuie revizuite în mod regulat.
  10. La terminarea relaţiilor dintre utilizatorul RIC şi Universitatea „Alexandru Ioan Cuza” din Iaşi acesta trebuie să predea toate componentele sistemului RIC de care răspunde sau le are în inventar. Toate regulile de securitate pentru sistemul RIC se aplică si rămân în vigoare şi după încheierea relaţiilor dintre utilizator şi Universitatea „Alexandru Ioan Cuza”.
  11. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Universităţii.
  12. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC în scopul protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  13. Sistemele şi/sau echipamentele asociate RIC din cadrul Universităţii “Alexandru Ioan Cuza” din Iaşi utilizate pentru activităţile Universităţii care sunt dirijate, controlate sau administrate din exteriorul Universităţii trebuie sa îndeplinească cerinţe contractuale specifice si vor fi monitorizate în vederea respectării tuturor reglementărilor de securitate.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate:https://www.iso.org/standard/39612.html
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2022 Direcția Comunicaţii Digitale, Statistică și Informatizare - Universitatea Alexandru Ioan Cuza din Iaşi