Direcția Comunicaţii Digitale, Statistică și Informatizare

Universitatea "Alexandru Ioan Cuza" din Iasi |

Crearea şi Utilizarea Copiilor de Siguranţă (Backup)

 Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

10. Crearea şi Utilizarea Copiilor de Siguranţă (Backup)

Introducere Copiile de siguranţă (backup) sunt necesare pentru a permite recuperarea datelor şi aplicaţiilor în cazul unor evenimente cum ar fi: dezastre naturale, defecţiuni ale discurilor de sistem, spionaj, erori de introducere a datelor, erori de funcţionare a sistemului etc.
Scopul Scopul Regulamentului de Back-up al Universităţii „Alexandru Ioan Cuza” din Iaşi este de a stabili regulile pentru crearea copiilor de siguranţă (backup) şi stocarea informaţiilor electronice ale Universităţii „Alexandru Ioan Cuza” din Iaşi.
Audienţă Regulamentul privind Crearea Copiilor de Siguranţă (backup) al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică tuturor persoanelor din cadrul Universităţii „Alexandru Ioan Cuza” care sunt responsabile cu instalarea şi întreţinerea de RIC, persoanelor însărcinate cu securitatea RIC şi deţinătorilor de informaţii.
Definiţii

 

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Copii de Siguranţă (backup): Copii ale fişierelor şi aplicaţiilor făcute pentru a evita pierderea datelor şi pentru a permite recuperarea în cazul unor evenimente care pot conduce la pierderi de date.
Stocarea Externă (Offsite): Stocarea externă trebuie să se realizeze într-o zonă geografică diferită de campus-ul universitar în care este puţin probabil să se producă efecte de acelaşi tip în cazul unui dezastru. Pe baza unei evaluări a informaţiei pentru care s-au realizat copii de siguranţă, mutarea mediilor de backup din clădire şi depozitarea lor într-o altă zonă securizată din campusul Universităţii „Alexandru Ioan Cuza” din Iaşi poate înlocui stocarea externă.
Furnizor: Persoană fizică/juridică care oferă bunuri sau servicii Universităţii „Alexandru Ioan Cuza” din Iaşi în baza unui contract comercial sau de colaborare.
Servicii

D.C.D, administratorul RIC poate avea contracte pentru stocarea copiilor de siguranţă (backup) în alte zone. Aceste servicii pot fi extinse, la cerere, către toate Departamentele şi Facultăţile din Universitatea „Alexandru Ioan Cuza”.
Regulament privind Crearea şi Utilizarea Copiilor de Siguranţă
  1. Frecvenţa, dimensiunea şi conţinutul copiilor de siguranţă trebuie să fie în concordanţă cu importanţa informaţiei şi cu riscul acceptat de proprietarul datelor.
  2. Procedura de creare a copiilor de siguranţă şi de recuperare pentru fiecare sistem din cadrul RIC trebuie să fie documentată şi periodic revizuită.
  3. Furnizorul care oferă servicii de stocare a copiilor de siguranţă în alte zone pentru Universitatea „Alexandru Ioan Cuza” trebuie să fie acreditat în acest scop de către o autoritate a statului.
  4. Procedurile stabilite între Universitatea „Alexandru Ioan Cuza” din Iaşi şi furnizorii de stocare ale copiilor de siguranţă în altă zonă trebuie să fie revizuite cel puţin anual.
  5. Verificarea copiilor de siguranţă se va face după o procedură documentată şi revizuită periodic.
  6. Copiile de siguranţă trebuie să fie periodic testate pentru a asigura faptul că informaţiile stocate sunt recuperabile.
  7. Accesul la mediile de backup ale Universităţii „Alexandru Ioan Cuza” stocate la furnizori externi sau în interior se va face folosind card-urile sau proceduri specifice de acces. Acestea trebuie revizuite periodic (anual). Accesul trebuie interzis pentru persoanele autorizate care îşi schimbă locul de muncă.
  8. Benzile sau mediile utilizate pentru stocarea copiilor de siguranţă trebuie să aibă un sistem de identificare care să conţină cel puţin următoarele date de identificare a informaţiei stocate:
    • numele sistemului;
    • data creării copiei;
    • tipul de copie (completă, incrementală etc.);
    • clasificarea sensibilităţii (siguranţei/securităţii);
    • informaţii de contact.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.
Alte Dispoziţii
Acest Regulament are ca parte integrantă următoarele dispoziţii:
  1. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă; tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  2. La încheierea relaţiilor cu instituţia, utilizatorii sunt obligaţi să predea toate bunurile materiale şi RIC ale Universităţii „Alexandru Ioan Cuza”. Toate regulamentele privitoare la RIC rămân în vigoare în acest caz până la predarea completă a bunurilor respective. Mai mult, aceasta regulă rămâne valabilă şi după terminarea relaţiilor dintre angajat şi instituţie.
  3. Departamentul sau Facultatea care cere şi autorizează utilizarea unei aplicaţii trebuie să se asigure în privinţa integrităţii şi securităţii tuturor programelor şi a tuturor fişierelor create de sau achiziţionate pentru aplicaţii. Pentru separarea clară a sarcinilor, atunci când este cazul, responsabilităţile proprietarului nu pot fi delegate către custode.
  4. Integritatea programelor de uz general, a programelor utilitare, a sistemelor de operare, a reţelelor şi respectiv a fişierelor de date sunt responsabilitatea Departamentului sau Facultăţii care le are în administrare. Datele destinate testelor şi cercetării trebuie să fie depersonalizate înainte de a fi oferite spre testare, exceptând cazul în care fiecare persoană implicată în testare are acces autorizat la aceste date.
  5. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC în scopul protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  6. Toate Departamentele şi Facultăţile trebuie să evalueze cu atenţie riscul modificării, dezvăluirii neautorizate sau pierderii datelor pentru care sunt responsabile şi să se asigure, prin folosirea sistemelor de monitorizare, că Universitatea „Alexandru Ioan Cuza” din Iaşi este protejată împotriva pagubelor financiare sau de orice altă natură. Departamentele şi Facultăţile trebuie să aibă planuri corespunzătoare de recuperare a informaţiilor de orice tip, proprii sau aflate în custodie, în cazul unui dezastru, concepute în funcţie de riscurile posibile şi necesităţile specifice.
  7. Toate contractele, licenţele, închirierile, acordurile de consultanţă sau alte reglementări care au ca obiect echipamente/dispozitive din sistemul RIC vor fi autorizate şi semnate de către OSRIC sau OSRICD şi trebuie să conţină clauze aprobate de Oficiul Juridic al Universităţii „Alexandru Ioan Cuza” ce aduc la cunoştinţa furnizorilor informaţiile cu privire la rezervarea drepturilor de proprietate şi a drepturilor dobândite de către Universitatea „Alexandru Ioan Cuza” asupra RIC, în concordanţă cu regulamentele privind securitatea sistemului de RIC, inclusiv clauze privind întreţinerea şi înapoierea datelor.
  8. Orice sistem şi/sau componentă a RIC sau asociate, utilizate pentru activităţile Universităţii „Alexandru Ioan Cuza” şi care sunt dirijate/controlate din exteriorul instituţiei, trebuie să îndeplinească cerinţele contractuale şi vor fi monitorizate din punctul de vedere al securităţii sistemului RIC de către OSRIC sau OSRICD.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate: https://www.iso.org/standard/39612.html
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2022 Direcția Comunicaţii Digitale, Statistică și Informatizare - Universitatea Alexandru Ioan Cuza din Iaşi