Direcția Comunicaţii Digitale, Statistică și Informatizare

Universitatea "Alexandru Ioan Cuza" din Iasi |

Parole de Acces

Universitatea „Alexandru Ioan Cuza” Iaşi
Departamentul de Comunicaţii Digitale
Plan de Securitate
privind

Sistemul Resurselor Informatice şi de Comunicaţii
al Universităţii „Alexandru Ioan Cuza” din Iaşi

16.Parole de Acces

Introducere Autentificarea este necesară pentru a controla accesul utilizatorilor la RIC.
Controlul accesului este necesar deoarece accesul neautorizat poate duce la prejudicii cauzate de afectarea confidenţialităţii, integrităţii şi disponibilităţii informaţiilor. Acestea pot avea ca efecte pierderi materiale şi morale pentru Universitatea „Alexandru Ioan Cuza” din Iaşi.
Autentificarea utilizatorilor se poate realiza folosind diverse metode: conturi şi parole de acces, dispozitive de identificare, caracteristici biologice.
Scopul Regulamentul pentru Parole de Acces al Universităţii „Alexandru Ioan Cuza” din Iaşi stabileşte reguli şi proceduri obligatorii pentru crearea şi modificarea parolelor de acces la RIC.
Audienţă Regulamentul pentru Parole de Acces al Universităţii „Alexandru Ioan Cuza” din Iaşi se aplică nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a Universităţii „Alexandru Ioan Cuza” din Iaşi.
Definiţii

 

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: mainframe-uri, servere, calculatoare personale, calculatoare-agendă (notebook-uri), calculatoare de buzunar, asistent digital personal (Personal Digital Assistant – PDA), pagere, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.
Administratorul Resurselor Informatice şi de Comunicaţii (ARIC): Responsabil la nivelul Universităţii cu administrarea şi finanţarea RIC ale Universităţii „Alexandru Ioan Cuza” din Iaşi. Desemnarea ARIC are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de finanţare, administrare şi utilizare a RIC. Dacă nu este desemnat un ARIC de către conducerea Universităţii, titlul este atribuit în mod automat Rectorului Universităţii „Alexandru Ioan Cuza”, Iaşi.
Ofiţer responsabil cu Securitatea RIC (OSRIC): Răspunde în faţa ARIC privind administrarea funcţiilor de securitate a informaţiei în cadrul Universităţii „Alexandru Ioan Cuza”. Este persoana de contact intern şi extern a Universităţii „Alexandru Ioan Cuza” pentru orice problemă în legătură cu securitatea RIC. Funcţia OSRIC este asumată de către şeful Departamentului de Comunicaţii Digitale (D.C.D.). Şeful D.C.D. poate numi o altă persoană în funcţia de OSRIC, persoană care trebuie validată de către ARIC.
Ofiţer responsabil cu securitatea RIC la nivel Departamental: (OSRICD): Persoana responsabilă de monitorizarea şi implementarea controalelor de securitate şi a procedurilor pentru sistemul RIC la nivelul unui Departament sau al unei Facultăţi. Acesta este desemnat de către conducătorul Departamentului/Facultăţii şi validat de către OSRIC.
Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea „Alexandru Ioan Cuza”, în conformitate cu procedurile şi regulamentele în vigoare, să folosească RIC.
Parolă: Şir de caractere utilizat, de regulă, pentru identificarea utilizatorului unui cont de acces, în vederea protejării informaţiilor asociate contului utilizator.
Parole complexe: O parolă complexă este un şir de caractere (secvenţă de caractere, numere şi caractere speciale) care nu poate fi asociată cu informaţia publică despre contul utilizator, nu este copiată dintr-un dicţionar etc.
Reguli pentru Parolele de Acces
  1. Toate parolele trebuie să îndeplinească următoarele condiţii:
    • Să fie schimbate de utilizator în mod regulat, cel puţin o dată la 45 de zile;
    • Să aibă o lungime minimă de 8 caractere;
    • Să fie parole complexe;
    • Reutilizarea parolelor este interzisă;
    • Parolele stocate trebuie criptate;
    • Parolele de cont utilizator nu trebuie divulgate nimănui, nici măcar angajaţilor care răspund de securitatea sistemelor informatice.
  2. Dispozitivele de securitate (ex. card Smart) trebuiesc returnate după terminarea relaţiilor cu Universitatea „Alexandru Ioan Cuza”.
  3. Dacă se suspectează că o parolă a putut fi divulgată aceasta trebuie schimbată imediat.
  4. Administratorii de sistem nu trebuie să permită schimbarea parolelor utilizatorilor folosind contul administrativ.
  5. Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face excepţii pentru anumite aplicaţii (precum backup automat) cu aprobarea OSRIC sau OSRICD. Pentru ca o excepţie să fie aprobată, trebuie să existe o procedură pentru schimbarea parolelor.
  6. Dispozitivele de calcul nu trebuiesc lăsate nesupravegheate fără a activa un sistem de blocare a accesului la acestea; deblocarea trebuie să se facă folosind parolă.
  7. Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie să respecte următoarea procedură:
    • Utilizatorul se va legitima, administratorul va verifica drepturile de acces a persoanei la contul utilizator;
    • Se va genera o parolă care va fi comunicată utilizatorului
    • Utilizatorul va schimba parola temporară, comunicată anterior, în maxim 24 ore
Reguli pentru Alegerea unei Parole
  1. Parolele trebuiesc schimbate la cel puţin 45 de zile.
  2. Parolele trebuie să aibă o lungime minimă de 8 caractere.
  3. Parolele trebuie să conţină litere mici şi mari şi să aibă cel puţin 2 caractere numerice. Caracterele numerice nu trebuie să se afle la începutul sau la sfârşitul parolei. Caractere speciale ar trebui incluse în parole acoloundesistemulpermite.Caracterelespecialesunt:(!@#$%^&*_+=?/~`;:,<>|).
  4. Parolele trebuie să respecte următoarele condiţii:
    • Nu trebuie să coincidă sau să fie asemănătoare cu numele dvs. de utilizator (login-ul);
    • Nu trebuie să coincidă sau să fie asemănătoare cu numărul dvs. de angajat;
    • Nu trebuie să coincidă sau să fie asemănătoare cu numele dvs.;
    • Nu trebuie să coincidă sau să fie asemănătoare cu numele membrilor familiei;
    • Nu trebuie să coincidă sau să fie asemănătoare cu o eventuală poreclă (nickname);
    • Nu trebuie să coincidă cu codul numeric personal;
    • Nu trebuie să coincidă cu data naşterii;
    • Nu trebuie să coincidă cu numărul de înmatriculare al maşinii;
    • Nu trebuie să coincidă cu adresa;
    • Nu trebuie să fie numărul dvs. de telefon;
    • Nu trebuie să coincidă cu numele oraşului;
    • Nu trebuie să coincidă cu numele departamentului etc.;
    • Nu trebuie să coincidă cu nume de străzi;
    • Nu trebuie să coincidă cu mărci sau modele de maşini;
    • Nu trebuie să coincidă cu argouri;
    • Nu trebuie să coincidă cu obscenităţi;
    • Nu trebuie să fie termeni tehnici;
    • Nu trebuie să coincidă cu numele, mascota sau sloganul unei şcoli;
    • Nu trebuie să coincidă cu informaţii despre proprietarul contului care sunt cunoscute sau uşor de ghicit (mâncarea, culoarea preferată, sportul preferat etc.);
    • Nu trebuie să coincidă cu un acronim popular;
    • Nu trebuie să fie cuvinte din dicţionar;
    • Nu trebuie să fie opusul tuturor celor de mai sus.
    • Parolele nu trebuie să fie reutilizate pentru o perioadă de un an.
    • Parolele nu trebuiesc divulgate în nici o situaţie.
    • Parolele trebuiesc tratate ca informaţie confidenţială.
Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  1. Rezilierea contractului de muncă în cazul angajaţilor;
  2. Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  3. Suspendarea sau exmatricularea în cazul studenţilor;
  4. Interzicerea accesului la sistemul RIC.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

Alte Dispoziţii
  1. Utilizatorii trebuie să anunţe OSRIC sau OSRICD în cazul în care se observă orice problemă/breşă în sistemul de securitate a RIC din cadrul Universităţii „Alexandru Ioan Cuza” din Iaşi cât şi orice posibilă întrebuinţare greşită sau încălcare a regulamentelor în vigoare.
  2. Utilizatorii nu trebuie să încerce să obţină acces la date sau programe din RIC pentru care nu au autorizaţie sau consimţământ explicit.
  3. Utilizatorii nu trebuie să divulge sau să înstrăineze nume de cont-uri, parole, Numere de Identificare Personală (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive şi/sau informaţii similare utilizate în scopuri de autorizare şi identificare.
  4. Departamentele şi facultăţile sunt responsabile de autorizarea utilizatorilor pentru folosirea adecvată a RIC.
  5. Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă, tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  6. Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării RIC, protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
Referinţe
  1. RFC 1244 – Site Security Handbook: http://www.ietf.org/rfc/rfc1244.txt
  2. ISO 17799 – Standard detaliat de securitate: https://www.iso.org/standard/39612.html
  3. Lege nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei.
  4. Lege nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor.
  5. Lege nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  6. Lege nr. 455 din 18 iulie 2001 privind semnătura electronică.
  7. Lege nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
  8. HOTĂRÂRE nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455-2001 privind semnătura electronică.
  9. Ordin nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.
  10. Ordin nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  11. Ordin nr. 54 din 18 aprilie 2002 privind stabilirea unor situaţii în care nu este necesară notificarea prelucrării unor date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
  12. Hotărâre nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu.
  13. Lege nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate.
Versiune: 1.0.0
Aprobat: 27.05.2004
Efectiv: 1.06.2004
Creat: D.C.D., 25.05.2004,
Modificat: 26.05.2004
Aprobat: Senatul Universităţii „Alexandru Ioan Cuza” Iaşi
© 2022 Direcția Comunicaţii Digitale, Statistică și Informatizare - Universitatea Alexandru Ioan Cuza din Iaşi