Direcția Comunicaţii Digitale, Statistică și Informatizare

Universitatea "Alexandru Ioan Cuza" din Iasi |

Tratarea Incidentelor de Securitate

 Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

7. Tratarea Incidentelor de Securitate

Introducere Reţeaua de comunicaţii a Universităţii „Alexandru Ioan Cuza” constituie unul din principalele mijloace de exploatare a resurselor informatice. Aceasta include toate echipamentele, cablurile, canalele de cabluri, punctele de acces, punctele de distribuţie şi nodurile principale. Este important ca aceasta să se dezvolte controlat şi continuu în condiţii de flexibilitate şi evolutivitate. Este important ca dezvoltarea reţelei de comunicaţii să se facă având în vedere atât cerinţele utilizatorilor privind furnizarea de servicii avansate şi diferenţiate cât şi cerinţele privind securitatea întregului ansamblu.
Scopul Acest document descrie cerinţele şi regulile care trebuie respectate pentru a minimiza impactul incidentelor de securitate. Acestea includ (dar nu sunt limitate la): detectarea programelor de tip virus, vierme informatic etc., folosirea neautorizată a conturilor de acces şi a calculatoarelor în sine, precum şi reclamaţiile privind folosirea improprie a RIC după cum este subliniat în regulamente.
Audienţă Regulamentul privind Tratarea Incidentelor de Securitate se aplică nediscriminatoriu tuturor persoanelor care folosesc orice componentă a RIC.
Definiţii

 

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza” Iaşi.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Echipă de Răspuns la Incidentele de Securitate a RIC (ERIS): personalul responsabil de acţiunile desfăşurate în scopul micşorării sau eliminării impactului negativ al unui incident de securitate.
Virus: Un program care se auto-ataşează la un fişier executabil sau la o aplicaţie vulnerabilă şi care generează efecte de la cele deranjante până la cele distructive. Un virus se execută în momentul în care este accesat un fişier infectat. Un virus de macro infectează codul executabil încapsulat în pachetul de programe Microsoft Office (Word, Excel, PowerPoint) sau alte programe care permit utilizatorului să genereze macro-uri.
Vierme: Un program care se auto-copiază în oricare altă parte a unui sistem informatic. Aceste copii pot fi create pe acelaşi calculator sau pot fi trimise către alte calculatoare prin intermediul reţelei. Prima utilizare a termenului descria un program care s-a multiplicat într-o reţea de calculatoare, folosind resursele sau calculatoarele neutilizate din reţea pentru a distribui aceste copii. Unii dintre aceşti viermi reprezintă o ameninţare la adresa securităţii datorită faptului că folosesc reţeaua pentru a se împrăştia, împotriva voinţei proprietarilor de sisteme de calcul, cauzând astfel nefuncţionarea sau funcţionarea defectuoasă a reţelei. Un vierme este asemănător unui virus prin faptul că se auto-copiază, diferenţa constând în faptul că un vierme nu are nevoie să se ataşeze la anumite fişiere pentru a se multiplica.
Cal troian: de obicei un virus sau un vierme – care este ascuns sub forma unui program atractiv sau inofensiv, cum ar fi un joc, sau program de grafică (o felicitare în format electronic, un program tip screen-saver). Victimele pot primi un astfel de cal troian prin email sau pe o dischetă, adeseori de la o altă victimă necunoscută sau pot fi încurajate să descarce un fişier de pe o pagină Web sau un forum.
Incident de Securitate: În termeni informatici este definit ca un eveniment prin care se încearcă sau se realizează accesul la un sistem informatic, un atac asupra integrităţii şi/sau confidenţialităţii informaţiei de pe un sistem informatic automatizat. Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui serviciu, date alterate sau distruse, prelucrarea (procesarea), stocarea sau extragerea informaţiilor, modificarea informaţiilor sistemului referitoare la caracteristicile componentelor hardware, firmware sau software cu sau fără ştiinţa sau intenţia utilizatorului.
Regulament de Tratare a Incidentelor de Securitate
  1. Membrii Echipei de Răspuns la Incidentele de Securitate (Membrii ERIS) ai Universităţii „Alexandru Ioan Cuza” din Iaşi, au funcţii şi responsabilităţi pre-definite care pot fi prioritare îndatoririlor obişnuite.
  2. Ori de câte ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea unor activităţi suspecte, informaţii modificate etc., trebuie urmate procedurile standard specifice pentru micşorarea riscurilor.
  3. OSRIC este responsabil cu înştiinţarea şi coordonarea echipei ERIS pentru tratarea incidentului.
  4. OSRIC este responsabil cu strângerea dovezilor fizice şi electronice ce vor face parte din documentaţia pentru tratarea incidentului.
  5. Folosind resurse tehnice speciale se va monitoriza nivelul daunelor şi gradul de eliminare sau atenuare a vulnerabilităţilor acolo unde este cazul.
  6. OSRIC, în colaborare cu ARIC va stabili conţinutul comunicatelor pentru utilizatori privind incidentele şi va determina nivelul şi modul de distribuire a acestei informaţii.
  7. OSRIC şi ERIS trebuie să comunice proprietarului sau producătorului resursei afectate de un incident informaţiile utile pentru eliminarea sau diminuarea vulnerabilităţilor care au cauzat incidentul.
  8. OSRIC este responsabil cu documentarea anchetei privind incidentul cu asistenţă din partea ERIS.
  9. OSRIC este responsabil de coordonarea activităţilor de comunicare cu terţi pentru rezolvarea incidentului.
  10. În cazul în care incidentul nu implică acţiuni contrare legilor în vigoare OSRIC va recomanda ARIC sancţiuni disciplinare.
  11. În cazul în care incidentul implică aplicarea legilor civile sau penale OSRIC va recomanda ARIC sesizarea organelor în drept ale statului şi va acţiona ca ofiţer de legătură cu acestea.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziţii
Acest Regulament are ca parte integrantă următoarele dispoziţii:
  1. Întreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct răspunzător pentru acţiunile care pot afecta securitatea RIC.
  2. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
  3. Departamentele şi Facultăţile vor acorda prioritate activităţilor ERIS şi vor respecta întocmai toate recomandările şi cerinţele membrilor acesteia.
  4. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC pentru protejarea datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  5. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nelimitate la, poştă electronică, navigare Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
  6. Departamentele şi facultăţile sunt responsabile de autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  7. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  8. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Universităţii.
  9. Orice program comercial utilizat în cadrul RIC trebuie să fie însoţit de Licenţă care să specifice clar drepturile de utilizare şi restricţiile produsului. Personalul trebuie să respecte prevederile Licenţelor si nu este permisă copierea sau distribuirea ilegală a softului cu licenţă. ARIC, prin intermediul D.C.D., a Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge orice produs fără Licenţă de pe orice sistem din cadrul RIC.
  10. ARIC, prin intermediul D.C.D., a Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge, de pe orice sistem, orice program sau fişier care nu are legătură cu scopul muncii respective. Exemple de astfel de programe sau fişiere: jocuri, programe de comunicare a mesajelor (AOL, Yahoo Messenger, MSN etc.), pop email, fişiere cu muzică (mp3, wav etc.), fişiere grafice (bmp, gif, jpg etc.), programe tip freeware şi shareware.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate: https://www.iso.org/standard/39612.html
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2022 Direcția Comunicaţii Digitale, Statistică și Informatizare - Universitatea Alexandru Ioan Cuza din Iaşi