Model de Politica de Securitate a Unei Firme

REALIZAREA UNEI POLITICI DE SECURITATE PE MODELUL UNEI FIRME I.

Scurtă descriere a firmei

II.

Clasificarea informaţiilor în funcţie de importanţa lor pentru firmă

III.

Identificarea potenţialelor pericole care vizează averile informaţionale ale firmei

IV.

Principalele mecanisme de apărare adoptate de către firmă

V.

Elaborarea unei politici de securitate pentru o anumită zonă a securităţii

I. Scurtă descriere a firmei Obiectul de activitate al Firmei X este „producerea, punerea în operă şi comercializarea mixturilor asfaltice”. În cadrul Firmei X sunt încadraţi în muncă un număr de 82 de persoane, care ocupă următoarele funcţii: 

Administrator



Economişti - 4 persoane



Administrator reţea



Ingineri constructori - 5 persoane



Jurist



Casier



Laboranţi - 4 persoane



Secretară



Magazioner



Director general



Director producţie



Director mecanic



Restul, sunt muncitori calificaţi şi necalificaţi

Dispunerea tehnicii de calcul în cadrul firmei se prezintă astfel: 1. Staţii de lucru Intel 4 calculatoare Pentium D820, 3,0Ghz, 256MB DDR, HDD 120GB SATA Birou finaciar-contabil Windows XP SP2, Visual Fox 7.0, Aplicaţii financiarcontabile, Corel Draw.

2. Staţii de lucru 3 calculatoare AMD ATHLON 64, 3,0Ghz, 512MB DDR, 200GB HDD SATA Biroul administrativ, casierie-secretariat Windows XP SP2, Visual Fox 7.0, Win Rar, MSOffice 2003. 3. Staţii de lucru 5 calculatoare Intel Celeron 2,0Ghz, 256MB DDR, HDD 80GB SATA birou tehnic + birou producţie Windows XP SP2, Visual Fox 7.0, Win Rar, Win Ace, altele. 4. Staţie de lucru Intel Pentium 2,4Ghz, 512MB DDR, 120 HDD + server birou administrator reţea Windows server, win XP; MSOffice 2003, altele. 5. Imprimante HP Inkjet 5510, 2 - 5 la fiecare birou. II. Clasificarea informaţiilor în funcţie de importanţa lor pentru firmă Resurse informaţionale publice - accesibile oricărui utilizator (intern sau extern); nu produce efecte asupra instituţiei, sau dacă le produce acestea sunt nesemnificative. •

datele de identificare(nume, adresă, nr. telefon şi fax, CUI, pagina web)

•

misiunea firmei;

•

administratorul firmei;

•

structura organizaţiei (numărul şi denumirea departamentelor);

•

numărul de angajaţi, numele lor, funcţiile pe care le au);

•

programul de funcţionare al firmei;

•

planul de evacuare în caz de incendiu;

•

surse de venituri din vânzarea produselor şi serviciilor;

•

situaţiile financiare anuale.

Aceste informaţii pot apărea pe site-ul firmei. Resurse informaţionale interne - informaţii care circulă în interiorul firmei. •

organigrama firmei;

•

fişa postului cu atribuţiile fiecărei categorii de personal;

•

numerele de telefon ale angajaţilor, adrese de e-mail;

•

programarea concediilor şi graficul zilelor libere;

•

informări cu privire la evenimente care privesc strict firma;

Aceste informaţii pot fi stocate pe CD-uri, DVD-uri, dischete, stick-uri, registre.

Resurse informaţionale confidenţiale - cuprind informaţiile care, datorită valorii economice sau sociale, nu trebuie făcute publice, deoarece ar aduce pierderi organizaţiei. •

statul de plată al salariilor;

•

cifra de afaceri;

•

planul de afaceri;

•

clienţi;

•

furnizori;

•

conturi şi parole folosite pe serverele firmei (contabilitate, gestiune etc);

Aceste informaţii pot fi stocate pe CD-uri, DVD-uri, stick-uri, dischete, registre, documente electronice parolate. Utilizatorul răspunde personal deconfidenţialitatea datelor încredinţate prin procedurile de acces la sistemul informaţional. Resurse informaţionale strict secrete - cuprind informaţiile care, datorită valorii lor economice sau sociale, nu trebuie făcute publice, fiind folosite de anumite persoane. •

coduri de acces în caz de alarmă în cadrul societăţii;

•

conturi administrative de pe serverele de gestiune;

•

planul de afaceri pe termen lung;

•

contracte în curs de negociere;

•

date despre pregătirea profesională şi alte date personale ale angajaţilor;

Aceste informaţii sunt stocate în documente electronice parolate, dosare confidenţiale, CD-uri, DVD-uri, stick-uri marcate corespunzător. III. Identificarea principalelor pericole care vizează averile informaţionale 

pericole naturale;



exces de căldură;



praf, umiditate, mucegai;



erorile salariaţilor prin intermediul dischetelor, cd-urilor;



introducerea greşită a datelor;



prelucrarea greşită a datelor;



modificarea datelor;



ştergerea datelor;



funcţionarea defectuoasă a softului;



viruşii care pot apărea pe Internet;

Integritatea datelor este asigurată prin sistemul de securitate multinivel NPL Pump. Disponibilitatea se asigură prin funcţionarea continuă a tuturor componentelor sistemului informaţional. IV. Principalele mecanisme de apărare adoptate de firmă sunt: o Securitate fizică - sistem de alarmă, accesul în incinta firmei se face pe baza cartelelor electronice; o Securitatea personalului - angajaţii unităţii sunt riguros selecţionaţi,urmăriţi şi supravegheaţi pentru evitarea incidentelor de pierdere a datelor; o Securitatea sistemelor de prelucrare automată a datelor - stabilirea unor reguli precise de folosire a datelor; V. Politica de securitate este esenţială la nivelul societăţii, având ca scop stabilirea cadrului necesar pentru elaborarea regulamentelor şi procedurilor de securitate. Politica de securitate a Firmei X se aplică nedescriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică a firmei. Sunt vizaţi în mod direct: •

angajaţii cu contract de muncă pe perioadă determinată sau nedeterminată

care au acces la sistemul informaţional; •

furnizorii care au acces la sistemul informaţional;

•

colaboratorii Firmei Xcare au acces la sistemul informaţional.

Firma X şi-a elaborat o politică de securitate proprie. Astfel, accesul în organizaţie este admis pe baza cartelelor electronice pe care le deţin doar angajaţii. Tot pe baza acestor cartele se face şi pontajul personalului, biroul salarizare având astfel evidenţa exactă a orelor pe care le prestează salariatul la firmă. Accesul la birouri a muncitorilor este restricţionat, tot pe baza cartelelor electronice având acces doar unele persoane (şef atelier, maistru etc.). La arhiva firmei nu are acces decât o singură persoană autorizată şi responsabilă cu arhivarea documentelor.

Internetul este accesibil doar biroului tehnic, departamentului contabilitate, departamentului administrativ şi secretariatului. Telefoanele mobile sunt restricţionate de administrator doar la numerele de telefon din aceeaşi reţea telefonică având un anumit plafon de utilizare.

Reguli de utilizare ale sistemului informaţional al Firmei X:  Utilizarea informaţiilor se face numai în interes de serviciu.  Utilizatorii trebuie să anunţe administratorul reţelei în cazul în care se observă orice problemă în sistemul de securitate, cât şi orice posibilă întrebuinţare sau încălcare a regulamentelor în vigoare.  Utilizatorii prin acţiunile lor nu trebuie să încerce să compromită protecţia sistemelor informatice şi de comunicaţii şi nu trebuie să desfăşoare, deliberat sau accidental, acţiuni care pot afecta confidenţialitatea, integritatea şi accesibilitatea informaţiilor de orice tip în cadrul sistemului Firmei X.  Utilizatorii nu trebuie să încerce să obţină acces la date sau programe din Firma X pentru care nu au autorizaţie.  Utilizatorii nu trebuie să divulge nimănui numerele de conturi, parole, numere de identificare personală (PIN-uri) sau informaţii similare utilizate în scopuri de autorizare şi identificare.  Utilizatorii nu trebuie să utilizeze programe de tip freeware fără aprobarea administratorului reţelei.  Utilizatorii care au acces la sistemul de resurse informaţionale ale Firmei X au obligaţia de a purta acte sau legitimaţii care să ateste calitatea de utilizator autorizat în spaţiile Firmei X. Reguli de utilizare ocazională a sistemului de resurse informaţionale a Firmei X: În anumite situaţii, cu permisiunea explicită a administratorului reţelei sau a administratorului Firmei X este permisă utilizarea ocazională a resurselor informaţionale ale Firmei X. În aceste situaţii se aplică următoarele restricţii:  Utilizarea personală, ocazională a serviciilor de poştă electronică, acces Internet, telefoane, faxuri, imprimante, copiatoare etc. este restricţionată la utilizatorii autorizaţi şi nu poate fi extinsă la membrii familiilor sau alte persoane.  Utilizarea ocazională a resurselor ocazionale nu trebuie să aibă drept rezultate costuri directe pentru Firma X.

 Utilizarea ocazională a resurselor ocazionale nu trebuie să afecteze activitatea normală a angajaţilor.  Nu este permisă trimiterea sau recepţionarea documentelor sau fişierelor care pot cauza acţiuni legale împotriva Firmei X sau prejudicierea indiferent de forma intereselor acesteia.  Toate mesajele, fişierele şi documentele, inclusiv mesajele, fişierele şi documentele personale localizate în cadrul resurselor informaţionale ale Firmei X sunt proprietatea acesteia şi pot fi subiectul unor cereri de verificare, inspectare, accesare conform regulamentelor. Măsuri disciplinare Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:  rezilierea contractului de muncă în cazul angajaţilor;  încetarea relaţiilor contractuale sau de colaborare în cazul contractanţilor;  suspendarea şi interzicerea accesului la sistemul resurselor informaţionale. Toate acţiunile care contravin legilor vor fi raportate organelor competente. Alte dispoziţii Acest regulament are ca parte integrantă următoarele dispoziţii:  Întreg personalul este responsabil privind modul de utilizare a resurselor Informaţionale şi de comunicaţii ale Firmei X, fiecare utilizator fiind direct responsabil pentru acţiunile care pot afecta securitatea acestora.  Utilizatorii sunt responsabili nediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de încălcare a acestui regulament.  Orice informaţie folosită în sistemul de resurse informaţionale şi de comunicaţii ale Firmei X trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă. Tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.  Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele trebuie protejate fiind proprietatea Firmei X.  Departamentele Firmei X trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării resurselor informaţionale, protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.

 Firma X prin intermediul administratorului reţelei îşi rezervă dreptul de a şterge, de pe orice sistem, orice program sau fişier care nu are legătură cu scopul muncii respective. Exemple de astfel de programe sau fişiere, dar nu limitate la acestea: jocuri, programe de comunicare a mesajelor (AOL, Yahoo Messenger, MSN etc.), programe tip freeware şi shareware, altele decât cele ale Firmei X.

Dispoziţii finale  Politica de Securitate a Firmei X impune dezvoltarea, gestionarea şi punerea în practică de proceduri şi/sau regulamente specifice. Toate procedurile şi/sau regulamentele de securitate ale sistemului informaţional şi de comunicaţii fac parte din Planul de Securitate şi sunt obligatorii pentru toţi utilizatorii.  Responsabilul cu securitatea reţelei a Firmei X are obligaţia de a revizui periodic prezenta Politică de Securitate şi a propune dezvoltarea, modificarea planului de securitate.  Prevederile politicii de securitate vor fi incluse în contractul de muncă şi toate contractele cu terţii (dacă activitatea acestora are legătură cu sistemul informatic şi de comunicaţii ale Firmei X).  Componentele planului de securitate vor fi elaborate de către responsabilul cu securitatea Firmei X şi vor fi propuse pentru aprobare conducerii.  Prezentul document şi componentele planului de securitate vor conţine informaţii de identificare proprii şi se va specifica data la care acestea au fost aprobate şi data de la acre intră în vigoare.  Modificarea prevederilor unui regulament/procedură se face cu aprobarea conducerii Firmei X. Fiecare modificare a conţinutului va conduce la modificarea versiunii documentului şi a informaţiilor de identificare. Versiunea anterioară rămâne valabilă până în momentul în care noua versiune rămâne în vigoare.  Planul de securitate va conţine o listă a tuturor regulamentelor/procedurilor aplicabile în sistemul resurselor informatice şi de comunicaţii.