Departamentul de Comunicatii Digitale

Universitatea "Alexandru Ioan Cuza" din Iasi |

Administrarea Conturilor

Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

15.Administrarea Conturilor

Introducere Conturile utilizator sunt mijloacele utilizate pentru a permite accesul la RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Astfel, crearea, modificarea, controlul şi monitorizarea conturilor utilizator sunt operaţiuni foarte importante în cadrul general al asigurării securităţii sistemului RIC.
Scopul Scopul Regulamentului pentru Administrarea Conturilor din Universitatea „Alexandru Ioan Cuza” din Iaşi este: stabilirea de reguli pentru crearea, utilizarea, monitorizarea, controlul şi ştergerea conturilor utilizator.
Audienţă Regulamentul pentru Administrarea Conturilor al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică nediscriminatoriu tuturor persoanelor care au acces autorizat la sistemul de RIC din cadrul Universităţii „Alexandru Ioan Cuza”.
Definiţii

 

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.

Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Regulament de Administrare a Conturilor
  1. Toate conturile create trebuie să aibă asociată o cerere şi o aprobare corespunzătoare.
  2. Toate conturile utilizator se vor crea în formatul Prenume.Nume.
  3. Prin contractul de muncă, contractul de şcolarizare şi/sau alte documente toţi utilizatorii acceptă prevederile regulamentelor privind securitatea sistemului RIC.
  4. Toţi utilizatorii sunt obligaţi să păstreze confidenţialitatea informaţiilor privind contul de acces.
  5. Toate conturile trebuie să se poată identifica în mod unic, utilizând numele de cont asociat.
  6. Toate parolele pentru conturi trebuie să fie create şi folosite în conformitate cu Regulamentul privind Parolele de Acces.
  7. Conturile utilizator ale persoanelor plecate din Universitate pe timp îndelungat (mai mult de 90 de zile) vor fi dezactivate (conturile nu vor mai putea fi accesate).
  8. Toate conturile utilizator care nu au fost accesate timp de 30 de zile vor fi dezactivate. După încă 30 zile conturile vor fi şterse dacă nu s-a solicitat accesul la acestea.

Administratorii de sisteme sau alt personal autorizat:

  1. Sunt responsabili de ştergerea conturilor persoanelor (utilizatorilor) care nu mai lucrează în Universitatea “Alexandru Ioan Cuza” din Iaşi, sau care nu mai au relaţii cu Universitatea „Alexandru Ioan Cuza” din Iaşi.
  2. Trebuie să aibă o documentaţie de modificare a conturilor utilizator pentru se pune de acord în situaţii precum schimbări ale numelor de familie, modificări privind contul (numele contului) modificări ale drepturilor de utilizator.
  3. Sunt subiectul verificării independente.
  4. Trebuie să furnizeze o listă cu toţi utilizatorii (listă de conturi) pentru sistemele pe care le administrează, la cererea conducerii autorizate din Universitatea „Alexandru Ioan Cuza”.
  5. Trebuie să coopereze cu OSRIC şi OSRICD pentru investigarea problemelor de securitate.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

Alte Dispoziţii
Acest Regulament se completează cu următoarele dispoziţii:
  1. Controalele de Securitate ale RIC nu trebuie să fie evitate sau dezactivate.
  2. Conştientizarea importanţei măsurilor privind securitatea RIC de către utilizatori trebuie să fie permanent subliniată şi actualizată.
  3. Toţi utilizatorii răspund de modul în care folosesc, individual, RIC şi sunt direct răspunzători de acţiunile legate de securitatea RIC. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
  4. Parolele, Numerele de Identificare Personală (PIN), precum şi alte proceduri de securitate a RIC trebuie să fie protejate de fiecare utilizator împotriva utilizării de către alt utilizator sau altă organizaţie. Nu este permisă divulgarea informaţiilor privind contul de acces personal.
  5. Accesul la schimbarea şi utilizarea drepturilor asociate unui cont trebuie să fie strict securizat. Trebuiesc revizuite în mod regulat autorizarea accesului la informaţie (drepturile de acces), precum şi orice modificare a statutului persoanei care deţine un cont de acces cum ar fi: transfer, promovare, retrogradare sau terminarea serviciului.
  6. Utilizarea conturilor de acces se face numai în interes de serviciu.
  7. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nelimitate la, poştă electronică, navigare pe Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
  8. Departamentele şi facultăţile sunt responsabile de autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  9. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  10. La terminarea relaţiilor dintre un utilizator şi Universitatea „Alexandru Ioan Cuza” din Iaşi, acesta trebuie să predea toate RIC. Toate regulile de securitate privind RIC se aplică şi rămân în vigoare în eventualitatea încheierii relaţiilor cu Universitatea „Alexandru Ioan Cuza” din Iaşi până la finalizarea procedurii de predare. Mai mult decât atât, Regulamentul rămâne valabil şi după încheierea relaţiilor de muncă, colaborare etc.
  11. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC în scopul protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  12. Departamentele şi Facultăţile trebuie să evalueze cu atenţie riscul modificării, dezvăluirii neautorizate sau a pierderii datelor pentru care sunt responsabile şi să se asigure prin folosirea sistemelor de monitorizare că Universitatea „Alexandru Ioan Cuza” din Iaşi este protejată împotriva pagubelor financiare sau de orice altă natură.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate: http://www.iso17799software.com/what.htm
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2017 Departamentul de Comunicații Digitale - Universitatea Alexandru Ioan Cuza din Iaşi