Departamentul de Comunicatii Digitale

Universitatea "Alexandru Ioan Cuza" din Iasi |

Relaţii cu Terţi

Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

20.Relaţii cu Terţi

Introducere Există posibilitatea ca furnizorii, prin condiţii stipulate în contracte încheiate cu Universitatea „Alexandru Ioan Cuza”, să necesite acces la sistemul RIC. Exemple de astfel de situaţii ar putea fi: vizualizare, copiere sau modificare a datelor din jurnale cu informaţii privind accesul la RIC, instalarea, remedierea sau corectarea programelor sau sistemelor de operare, monitorizarea şi reglarea parametrilor de funcţionare ale diverselor dispozitive sau echipamente conectate la sistemul RIC. Stabilirea unor limite şi a unor controale pentru ceea ce poate fi accesat, copiat, modificat şi controlat de către furnizori va elimina sau reduce riscul aducerii de prejudicii materiale sau de natură morală Universităţii „Alexandru Ioan Cuza” din Iaşi.
Scopul Scopul Regulamentului de Relaţii cu Terţi este de a stabili regulile pentru accesul Furnizorilor la RIC ale Universităţii „Alexandru Ioan Cuza” şi la serviciile de întreţinere (curent, apă, instalaţii de stingere a incendiilor, instalaţii de climatizare, instalaţii de control a accesului etc.) care sunt controlate prin dispozitive ce utilizează sistemul RIC, responsabilităţile ce revin Furnizorului în ceea ce priveşte protecţia informaţiei în cadrul Universităţii „Alexandru Ioan Cuza” din Iaşi.
Audienţă Regulamentul de Relaţii cu Terţi al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a Universităţii „Alexandru Ioan Cuza” din Iaşi.
Definiţii
Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.
Regulament de Relaţii cu Terţi
  1. Orice activitate desfăşurată de furnizor care implică acces la RIC trebuie să se conformeze cu regulamentele în vigoare ale Universităţii „Alexandru Ioan Cuza” din Iaşi, cu procedurile standard şi convenţiile care cuprind, dar nu se limitează la următoarele:
    • Regulamente de Securitate a Accesului Fizic
    • Regulamente de Confidenţialitate
    • Regulamente de Securitate a Accesului la RIC
    • Regulamente de Modificare şi Modernizare
    • Regulamente referitoare la Licenţe
    • Regulament de Utilizare Acceptabilă
  2. În toate convenţiile şi contractele încheiate cu Furnizori trebuie specificate următoarele:
    • Informaţiile din cadrul Universităţii „Alexandru Ioan Cuza” din Iaşi, la care Furnizorul are drept de acces;
    • Modul în care informaţiile la care Furnizorul are drept de acces urmează a fi protejate de către acesta precum şi măsuri ce vor fi luate în cazul nerespectării clauzelor;
    • Metodele de predare, distrugere sau de transfer al drepturilor informaţiilor Universităţii aflate în posesia Furnizorului, la încheierea contractului.
  3. Furnizorul trebuie să folosească sistemul RIC din cadrul Universităţii „Alexandru Ioan Cuza” din Iaşi numai în scopul stipulat în contract.
  4. Orice altă informaţie din sistemul RIC al Universităţii „Alexandru Ioan Cuza” din Iaşi obţinută de Furnizor pe durata contractului nu poate fi folosită în interes propriu de către Furnizor sau divulgată altora.
  5. Toate echipamentele de întreţinere ale Furnizorului, aflate în reţeaua internă a Universităţii „Alexandru Ioan Cuza” din Iaşi şi care se pot conecta în exterior prin intermediul reţelei, a liniilor telefonice sau a liniilor închiriate, precum şi toate conturile de utilizator create temporar pentru Furnizor şi necesare pentru acces la RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi, vor fi scoase din uz la încheierea relaţiilor contractuale.
  6. Accesul Furnizorului trebuie să fie identificat în mod unic iar administrarea parolelor sau metodele de autentificare trebuie să fie în conformitate cu Regulamentul privind Parolele de Acces ale Universităţii „Alexandru Ioan Cuza” şi Regulamentul de Acces Administrativ.
  7. Activităţile principale ale Furnizorului trebuie să fie documentate de acesta şi puse la dispoziţia conducerii Universităţii, la cerere. Acestea trebuie să cuprindă, dar să nu fie limitate la, evenimente precum: schimbări de personal, schimbări de parolă, schimbări majore în derularea proiectului, timpii de sosire, de plecare şi de livrare.
  8. În cazul retragerii din contract a unui angajat al Furnizorului, indiferent de motiv, Furnizorul se va asigura că toate informaţiile sensibile sunt colectate şi predate Universităţii „Alexandru Ioan Cuza” din Iaşi sau distruse în cel mult 24 de ore de la producerea evenimentului.
  9. În cazul terminării/rezilierii contractului sau la cererea Universităţii „Alexandru Ioan Cuza” din Iaşi, Furnizorul va preda sau distruge toate informaţiile ce aparţin Universităţii şi va oferi certificare în scris privind predarea sau distrugerea informaţiilor în decurs de 24 de ore de la producerea evenimentului.
  10. În cazul încheierii contractului sau la cererea Universităţii „Alexandru Ioan Cuza” din Iaşi, Furnizorul trebuie să predea imediat toate legitimaţiile, cartelele de acces, echipamentele şi stocurile Universităţii „Alexandru Ioan Cuza” din Iaşi. Echipamentele şi/sau stocurile care urmează a fi reţinute de către Furnizor trebuiesc documentate şi autorizate de Conducerea Universităţii „Alexandru Ioan Cuza”.
  11. Toate programele folosite de Furnizor în scopul furnizării serviciilor stipulate în contract către Universitatea „Alexandru Ioan Cuza” din Iaşi trebuie să fie inventariate corespunzător si să posede drepturi de utilizare atestate prin Licenţe.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

Alte Dispoziţii
Acest Regulament are ca parte integrantă următoarele dispoziţii:
  1. Întreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct răspunzător pentru acţiunile care pot afecta securitatea RIC.
  2. Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
  3. Utilizarea RIC se face numai în interes de serviciu.
  4. Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nelimitate la, poştă electronică, navigare Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
  5. Departamentele şi facultăţile sunt responsabile de autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  6. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  7. Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Universităţii.
  8. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC, în scopul protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  9. Orice program comercial utilizat în cadrul RIC trebuie să fie însoţit de Licenţă care să specifice clar drepturile de utilizare şi restricţiile produsului. Personalul trebuie să respecte prevederile Licenţelor şi nu este permisă copierea sau distribuirea ilegală a softului cu licenţă. ARIC, prin intermediul D.C.D., a Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge orice produs fără Licenţă de pe orice sistem din cadrul RIC.
  10. La încheierea relaţiilor cu Universitatea „Alexandru Ioan Cuza” din Iaşi, utilizatorii sunt obligaţi să predea toate bunurile materiale şi resursele informatice administrate de Universitatea „Alexandru Ioan Cuza”. Toate regulamentele de securitate pentru Resursele Informatice se aplică şi rămân în vigoare în eventualitatea încheierii relaţiilor cu Universitatea „Alexandru Ioan Cuza” până la finalizarea acestei predări.
  11. Departamentele şi Facultăţile trebuie să ofere modalităţi corespunzătoare de control al accesului în scopul protejării datelor şi programelor împotriva întrebuinţării greşite. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  12. Toate Departamentele şi Facultăţile trebuie să evalueze cu atenţie riscul modificării sau dezvăluirii neautorizate sau a pierderii datelor pentru care sunt responsabile şi să se asigure prin folosirea sistemelor de monitorizare că instituţia (Universitatea „Alexandru Ioan Cuza” din Iaşi) este protejată împotriva pagubelor materiale sau de orice altă natură.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate:
    http://www.iso17799software.com/what.htm
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2017 Departamentul de Comunicații Digitale - Universitatea Alexandru Ioan Cuza din Iaşi