Introducere |
Personalul care asigură suport tehnic, OSRIC, OSRICD, administratorii de sistem şi alte persoane pot avea conturi cu drepturi de acces privilegiat în comparaţie cu utilizatorii obişnuiţi. Datorită faptului că aceste conturi pentru acces administrativ au mai multe privilegii, aprobarea, verificarea şi monitorizarea acestora sunt extrem de importante din punctul de vedere al securităţii RIC. |
|
Scopul |
Scopul Regulamentului de Acces Administrativ al Universităţii „Alexandru Ioan Cuza” din Iaşi, este de a stabili regulile pentru crearea, utilizarea, monitorizarea, controlarea şi ştergerea conturilor cu drepturi speciale de acces.
|
|
Audienţă |
Procedura de Acces Administrativ se aplică nediscriminatoriu tuturor persoanelor care au sau pot cere şi obţine drepturi speciale de acces la orice RIC a Universităţii „Alexandru Ioan Cuza”. |
|
Definiţii |
Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza” Iaşi.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare să folosească RIC.
Abuz de privilegii: Orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu regulamentele Universităţii „Alexandru Ioan Cuza” şi/sau legile în vigoare, inclusiv cazul în care, din punct de vedere tehnic, nu se poate preveni înfăptuirea de către utilizator a acţiunii respective.
Furnizor: Persoană fizică/juridică care oferă bunuri sau servicii Universităţii „Alexandru Ioan Cuza” din Iaşi în baza unui contract comercial sau de colaborare. |
|
Regulament de Acces Administrativ |
- Departamentele şi Facultăţile Universităţii “Alexandru Ioan Cuza” din Iaşi trebuie să prezinte la D.C.D. o listă cu informaţii de contact în plan administrativ pentru toate sistemele conectate la reţeaua de comunicaţii a Universităţii. Această listă trebuie refăcută şi prezentată la D.C.D. de fiecare dată când apar modificări de orice natură.
- Utilizatorii trebuie să cunoască şi să accepte toate regulamentele privind securitatea RIC înainte de a li se permite accesul la un cont.
- Utilizatorii care au conturi de acces administrativ trebuie sa aibă instrucţiuni de administrare, documentare, instruire şi autorizare a conturilor. Aceste instrucţiuni se vor elabora de către fiecare Departament sau Facultate şi vor fi incluse în fişa postului.
- Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie să folosească în mod abuziv aceste drepturi şi trebuie să facă investigaţii numai sub îndrumarea OSRIC sau OSRICD.
- Cei care utilizează conturi de acces cu drepturi administrative sau speciale trebuie să folosească tipul de privilegiu cel mai potrivit activităţii pe care o desfăşoară.
- Accesul administrativ trebuie să se conformeze Regulamentului de utilizare a Parolelor.
- Parola pentru un cont cu acces privilegiat nu va fi utilizată de mai multe persoane decât cu acordul scris al OSRIC şi trebuie să fie schimbată atunci când persoana care utilizează acest cont îşi schimbă locul de muncă din cadrul Departamentului, Facultăţii sau a Universităţii, sau în cazul unei modificări a listei de personal ale terţilor (furnizor desemnat) în contractele cu Universitatea „Alexandru Ioan Cuza” din Iaşi.
- Trebuie să existe o procedură prin care o altă persoană, în afară de administrator, să poată avea acces la contul administratorului în caz de forţa majoră. Această procedură va fi elaborată de către OSRICD pentru fiecare Facultate şi Departament şi va fi aprobată de către OSRIC.
- Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau instalare de software sau alte operaţiuni definite. Acestea trebuie să îndeplinească următoarele condiţii:
- trebuie să fie autorizate;
- trebuiesc create cu dată de expirare specifică;
- contul va fi şters atunci când nu mai este necesar.
|
|
Măsuri Disciplinare |
Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:
- Rezilierea contractului de muncă în cazul angajaţilor;
- Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
- Suspendarea sau exmatricularea în cazul studenţilor;
- Interzicerea accesului la sistemul RIC.
Toate acţiunile care contravin legilor vor fi raportate organelor competente.
|
|
Alte Dispoziţii |
Acest Regulament are ca parte integrantă următoarele dispoziţii:
- Controalele de Securitate ale Resurselor Informatice nu trebuie să fie ocolite sau dezactivate.
- Accesul la schimbarea şi utilizarea drepturilor de acces la RIC trebuie să fie strict securizat. Trebuie revizuite în mod regulat modul de autorizare a accesului la informaţie, drepturile de acces precum şi orice modificare a stării postului cum ar fi: transfer, promovare, retrogradare sau terminarea serviciului.
- Întreg personalul este responsabil privind modul de utilizare a RIC; fiecare utilizator este direct responsabil pentru acţiunile care pot afecta securitatea RIC.
- Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.
- Utilizarea RIC se face numai în interes de serviciu.
- Nu există nici o asigurare a confidenţialităţii datelor personale sau a accesului la informaţii folosind protocoale de genul, dar nu limitate la, mesagerie electronică, navigare Web, conversaţii telefonice, transmisie fax-uri şi alte instrumente de conversaţie electronică. Utilizarea acestor instrumente de comunicaţie electronică poate fi monitorizată în scopul unor investigaţii sau al rezolvării unor plângeri în condiţiile legilor în vigoare.
- Departamentele şi Facultăţile sunt responsabile privind autorizarea utilizatorilor pentru folosirea adecvată a RIC.
- Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
- Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Universităţii.
- Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC în scopul protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
- Orice program comercial utilizat în cadrul RIC trebuie să fie însoţit de Licenţă care să specifice clar drepturile de utilizare şi restricţiile produsului. Personalul trebuie să respecte prevederile Licenţelor si nu este permisă copierea şi distribuirea ilegală a softului cu licenţă. ARIC, prin intermediul D.C.D., a Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge orice produs fără Licenţă de pe orice sistem din cadrul RIC.
- ARIC, prin intermediul D.C.D., a Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge, de pe orice sistem, orice program sau fişier care nu are legătură cu scopul activităţii respective. Exemple de astfel de programe sau fişiere: jocuri, programe de comunicare a mesajelor (AOL, Yahoo Messenger, MSN etc.), pop email, fişiere cu muzică (mp3, wav etc.), fişiere grafice (bmp, gif, jpg etc.), programe tip freeware şi shareware.
|
|
Referinţe |
- RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
- ISO 17799 – Standard detaliat de securitate:https://www.iso.org/standard/39612.html
- Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
- Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
- Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
- Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
- Lege nr. 544 din 12 octombrie 2001privind liberul acces la informaţiile de interes public.
- HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
- Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
- Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
- Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
- Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
- Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
|
|