Date post: | 23-Dec-2015 |
Category: |
Documents |
Upload: | balduino-estison |
View: | 219 times |
Download: | 2 times |
Proiect SSI
Master: PCSAMStudenti: Mergeani Toni
Balduino Camachi Ovidiu Neculau
Petru Gabriel Cercel
Cuprins
Arhitectura fizica a cladirii.....................................................................................................................3
Securitatea fizica...................................................................................................................................5
Arhitectura controalelor de securitate:.................................................................................................6
Hardware...........................................................................................................................................6
Software............................................................................................................................................7
Sisteme de supraveghere si alarma.......................................................................................................9
Sistem video de supraveghere, monitorizare si inregistrare............................................................10
Caracteristici centru de date...............................................................................................................11
Un server folosit pe post de router..................................................................................................11
Servere ce ofera servicii angajatilor (HTTP, e-mail, FTP si NFS)...........................................................11
Server folosit pentru alte task-uri pentru a imbunatati securitatea si auditul.....................................13
Un sistem de stocare a datelor............................................................................................................13
Cluster de inalta disponibilitate a serviciilor si a serverelor.................................................................14
Recuperare in caz de dezastru.............................................................................................................16
Auditul de securitate...........................................................................................................................23
Politici de securitate............................................................................................................................24
Utilizarea Permanenta a Resurselor Informatice si de Comunicatii.................................................24
Regulament privind Confidentialitatea Serviciilor Informatice si de................................................25
Comunicatii......................................................................................................................................25
Regulament de Acces Administrativ................................................................................................25
Regulament privind Accesul Fizic la RIC...........................................................................................26
Regulament de Acces la Reteaua de Comunicatii............................................................................27
Regulament privind Configurarea Sistemelor Informatice pentru Acces la.....................................28
Reteaua de Comunicatii...................................................................................................................28
Regulament de Tratare a Incidentelor de Securitate.......................................................................28
Regulament de Monitorizare a RIC..................................................................................................29
Regulament de Securizare a Serverelor...........................................................................................30
Regulament de Administrare a Conturilor.......................................................................................30
Reguli pentru Parolele de Acces......................................................................................................31
Regulament de Detectare a Virusilor...............................................................................................31
2
Arhitectura fizica a cladirii
Cladirea propriu-zisa este formata din parter si 3 etaje dupa cum urmeaza:
- parterul:
- etajul 1:
3
- etajul 2
- etajul 3
4
Parter: 1. Cafenea2. Loc de relaxare 3. Camera administrativa a cladirii (curatenie)4. Toaleta5. Restaurant
Etaj 1 – HR + Administrativ + Management + Marketing:1. Sala HR2. Sala Management3. Sala Marketing4. Sala Administrativ5. Sala de conferinta
Etaj 2 – Dezvoltare IT + Testate + Mentenanta software:1. Sala dezvoltare IT2. Sala dezvoltare IT + Mentenanta software3. Sala testare4. Centru de date5. Sala de conferinta
Etaj 3 – Suport IT + Securitate :1. Sala Suport IT2. Sala Securitate3. Sala Suport IT4. Sala echipamente IT5. Sala de conferinta
Securitatea fizica
Centrul de date se afla la etajul 2, camera numarul 4, aceasta nu are ferestre, iar accesul se face pe baza de cartele de acces. In caz de incendiu, se evacueaza (aspira) tot aerul din incapere. Podeaua este falsa pentru o cablare optima, spatiul fiind suficient de mic sa nu incapa o persoana.
Linia de tensiune de 380V si fibra optica pentru conectarea cladirii la internet se afla sub pamant. Acestea sunt separate, fibra optica facand parte dintr-un program metropolitan similar cu Netcity.
La parter se afla receptia cladirii (pe hol), un restaurant, o cafenea cu spatiu pentru fumatori, toaletele si un loc pentru relaxare a angajatilor din cladire.
Intrarea in cladire se face liber, pana la receptie. Cei cu card pot intra liber in cladire. Cardul are poza, se poarta tot timpul la
vedere, nu intra mai multe persoane pe usa.(toti inregistreaza cardul)
5
Vizitatorii se inregistreaza la receptie, primesc card de acces de 1 zi, cu acces limitat doar la primul etaj.
Orice vizitator este permanent insotit. Gardienii lucreaza in schimburi de 12h cu 24h, si 12h cu 48h. In concediu ceilalti gardieni ii tin locul. Se aproba ca maxim 1 gardian sa aiba
concediu intr-o luna. Laptopurile se asigura cu kensington lock + screen lock (parola) pe toata
perioada cat sunt nesupravegheate. Parola pe HDD, gresirea de 3 ori duce la pierderea informatiilor ireversibil, parolele se schimba la 1-3 luni, fara repetarea ultimelor 8 parole. Folosim shredder pentru informatiile confidentiale, iar hartiile de la xerox trebuie ridicate in maxim 30 min.
Alarmele: ultima persoana care paraseste etajul, activeaza alarma. prima persoana care intra in cladire pe etajul respectiv dezactiveaza alarma. alarme provenite de la senzori (prezenta fumului sau temperaturi ridicate,
prezenta gazului metan sau a monoxidului de carbon, semnale de la detectorii de inundatie sau detectorii de inghet) sunt activate in permanenta caracteristice sistemului de detectie (baterie descarcata, tentative de sabotaj);
Arhitectura controalelor de securitate:
Hardware
Pentru controalele de securitate folosim ca si arhitectura hardware platforma celui mai implementat firewall din industrie, Cisco Adaptive Security Appliance, cu solutia de Securitate Sensibila la Context, Cisco ASA 5505.
Aceasta solutie pozitioneaza platforma ASA mult deasupra actualelor firewall-uri de “generatie urmatoare”, oferind o experienta fara precedent in fata amenintarilor de securitate si aplicatii customizabile pentru acces si control.
Cisco ASA 5505 ofera administratorilor de sistem posibilitatea de a controla care utilizatori si ce fel de terminale au acces la retea, ce fel de acces si catre ce fel de resurse ale retelei.
6
Cisco ASA 5505
Deoarece compania cuprinde mai multi utilizatori - de la angajati la contractori sau colaboratori/competitori - carora trebuie sa li se ofere acces la aplicatii, dispozitive si resurse, folosim aceasta arhitectura. In plus, utilizatorii primesc acces la anumite aplicatii, date si functionalitati.
Software
Pentru controlul software al securitatii folosim aplicatia Nagios.Nagios este un proiect open source pentru monitorizarea serverelor si a serviciilor,
capabil sa trimita alerte in cazul aparitiei unei probleme.A fost initiat de catre Ethan Galstad impreuna cu o echipa de programatori si lansat
in luna martie a anului 1999. Pe langa monitorizarea serviciilor online (SMTP, POP3, HTTP, FTP, SSH si altele) mai monitorizeaza starea si resursele serverelor (incarcarea procesorului, consumul de memorie, utilizarea discurilor) si log-urile de sistem.
Exista o multime de plugin-uri pentru monitorizarea temperaturii sau a alarmelor externe, monitorizarea de la distanta prin SSH sau tuneluri encriptate, crearea de grafice pe baza datelor existente, se pot crea handlere ce intervin pentru rezolvarea proactiva a problemelor aparute si se poate implementa un sistem redundant de monitorizare. Alertele pot fi trimise prin email, pager, SMS sau alte metode, in functie de plugin-ul ales.
Dezavantajele solutiei sunt multitudinea de pluginuri ce trebuiesc instalate, configurate, testate si analizate pentru a le alege pe cele care corespund cerintelor, (fara a avea experienta in utilizarea sa urmarea acestor pasi consumand mult timp) precum si lipsa partii de management sau pretul in cazul variantelor enterprise.
Inainte de a implementa o solutie de monitorizare trebuie sa ne asiguram ca ceasurile tuturor sistemelor din retea sunt sincronizate. In caz contrar, evenimentele monitorizate nu pot fi corelate. Protocolul care realizeaza acest lucru este NTP (Network Time Protocol).
In continuare este prezentata o solutie de configurare pentru Nagios.
InstalareSe ruleaza apt-get update, apoi se instaleaza pachetele nagios3, nagios3-doc si
nagios-snmp-plugins. apt-get update
7
apt-get install nagios3 nagios3-doc nagios-snmp-plugins
In continuare, se modifica fisierul de configurare /etc/nagios3/nagios.cfg astfel incat sa se activeze acceptarea comenzilor externe:
check_external_commands=1Acest pas este necesar pentru a putea interactiona cu Nagios prin intermediul
interfetei web.
In plus, sunt executate comenzile:chmod -R 777 /var/lib/nagios3/chown -R www-data:www-data /var/lib/nagios3/
Se restarteaza daemon-ul Nagios:/etc/init.d/nagios3 restart
Mai departe se ajunge in directorul /etc/nagios3/conf.d si se observa urmatoarele: Este definit un template pentru un host generic in generic-host_nagios2.cfg; Este definit un template pentru un serviciu generic in generic-
service_nagios2.cfg; Sistemul local este definit in localhost_nagios2.cfg, pe baza template-ului
generic. Tot aici sunt definite servicii specifice acestui host; Serviciile HTTP si SSH sunt definite in services_nagios2.cfg; In hostgroups_nagios2.cfg sunt definite cateva grupuri de host-uri, din care
face parte momentan doar localhost.
Dupa cum se observa, exista multiple posibilitati de definire a obiectelor: mai multe in acelasi fisier (chiar si toate), sau fiecare in fisierul sau separat.
Pentru a forta o alarma, modificati serviciul Total processes din localhost_nagios2.cfg astfel incat sa afiseze warning la 10 procese si alarma la 20 de procese:
define service{use generic-service Name of service template to use host_name localhostservice_description Total Processescheck_command check_procs!10!20
}
Apoi se restarteaza daemon-ul Nagios si se observa alarma in interfata web.
Mai departe creem un fisier nou, /etc/nagios3/conf.d/paranoid.cfg in care adaugam:define host{ use generic-host host_name paranoid alias Paranoid address XXX.XX.X.XXX }
Se sterge fisierul /var/cache/nagios3/objects.cache, apoi se restarteaza serviciul Nagios.
Se observa modificarile in interfata web. Momentan nu avem niciun serviciu asociat
8
In fisierul services_nagios2.cfg vom defini urmatoarele servicii:
pentru monitorizarea interfetelor:define service{ use generic-service host paranoid service_description Interfaces check_command check_ifstatus!public normal_check_interval 1 retry_check_interval 1}
pentru monitorizarea delay-ului:define service{ use generic-service host paranoid service_description Ping check_command check_ping!3.0,98%!5.0,99% normal_check_interval 1 retry_check_interval 1}
Bitdefender Security pentru serverul de mail protejeaza windows-ul sau serverele de
mail bazate pe Unix de amenintarile cunoscute cat si necunoscute asupra securitatii, comportandu-se ca un antivirus proactiv, antispyware, antispam, antiphishing, filtru de atasamente si continut. Aceasta solutie asigura serviciile de e-mail ale organizatiilor si ofera o productivitate prin blocarea spam-ului si furnizeaza instrumente comune de management.
In afara de instrumentul bazat pe linia de comanda "bdsafe" care poate fi utilizat intr-o maniera detaliata , este pusa la dispozitie si o interfata web Bitdefender Remote Admin, care ofera aproape toate optiunile de configurare disponibile cu "bdsafe".
Pentru inceput este necesara conexiunea la Remote Admin si vom scrie in browser adresa socketului setat la instalarea produsului. Adresa respectiva poate fi obtinuta prun rularea ca root bdsafe:
# ./bdsafe registry get /BDUX/Radmin/HostIn directorul /opt/Bitdefender/bin trebuie introduse userul si parola setate
la instalareIn cazul in care acestea au fost uitate se poate rula urmatoarea
comanda:# /opt/Bitdefender/bin/bd setupDe asemenea, pot fi schimbate configurarile pentru parola prin apasarea
unui link din fereastra principala.Dupa ce s-a efectuat logarea va aparea o fereastra in care se pot
vizualiza toate serviciile care ruleaza.
Sisteme de supraveghere si alarma
Ca si sistem de alarma vom folosi alarma antiefractie, care dupa cum bine stim este conceputa pentru a proteja caile prin care un infractor poate patrunde intr-o cladire. Scopul acestui sistem este de a imbunatati securitatea
9
locurilor protejate. Modul in care va fi detectata prezenta infractorului se face in functie de elementul protejat: usi, geamuri, spatii interioare.
Sistemul antiefractie folosit contine urmatoarele componente :
● centrala de detectie si alarmare, prevazuta cu software de operare propriu si elemente de armare/dezarmare locale;
● detectoare de prezenta pentru interior si exterior, cu posibilitatea reglarii sensibilitatii de detectie si imunitate la perturbatii electromagnetice
● detectoare de geam spart cu functie de analizare a spectrului audio si infrasunetelor; se instaleaza pentru a creste gradul de protectie perimetrala prin detectarea spargerii geamurilor de la usi sau ferestre.
● detectoare de soc cu sensibilitate de detectie reglabila● contacte magnetice folosite pentru protejarea usilor si ferestrelor, pot fi instalate in
punctele de acces vulnerabile, asigurand o protectie perimetrala.● tastatura ce permite armarea si dezarmarea intregului sistem, pentru comenzi
speciale (armari partiale, taste cu semnificatii speciale), pentru programarea centralei, pentru afisarea starii sistemului si pentru citirea istoriei de evenimente
● module periferice (amplificatoare, module extensie, multiplexoare, interfete);● sisteme de avertizare audio si optice;● elemente de alarmare la distanta (comunicator telefonic, interfata de conectare la
dispeceratul de supraveghere)● acumulatori ce mentin sistemul in functiune dupa caderea sursei principale de
energie electrice in functie de consumul sistemului si de capacitatea acumulatorilor.
Un lucru important este faptul ca sistemele de alarma antiefractie si componentele lor sunt clasificate prin grade, pentru a indica nivelul de securitate oferit. Gradele de securitate tin seama de nivelul de risc la efractie, in functie de natura locurilor protejate, de evaluarea continutului locurilor protejate si de profilul posibililor intrusi.
Gradul de securitate si clasa de mediu impun practic configuratia optima a sistemului de alarma antiefractie.
Sistem video de supraveghere, monitorizare si inregistrare
Cladirea este supravegeata video atat in exterior cat si in interior. Toate camerele sunt supravegheate, inclusiv holurile, cu autorul camerelor se monitorizeaza si inregistreaza actiunile din toate unghiurile cladirii.
Echipamentul video cuprinde:
● unitate de supraveghere si inregistrare video (DVR) cu 4 canale, include HDD 160GB si telecomanda;
10
● camere color de exterior, cu leduri in infrarosu pentru vedere pe timp de noapte, antena si suport incluse;
● materiale auxiliare pentru instalare (adaptoare video, conectori BNC, alimentatoare, cablu UTP etc).
Posibilitati de configurare:
● sistemul poate fi programat sa inregistreze manual, continuu, dupa un program de timp prestabilit sau doar la miscare;
● vizualizarea imaginilor live se poate face pe un monitor TV sau pe un televizor.● Sensor de monoxid de carbon● Senzor de gaz● Senzor de inundatie● Senzor de temperatura● Conectare la sistemul de supraveghere (in cazul in care se declanseaza alarma,
toate camere montate inregistreaza automat o perioada determinata in secunde la cererea clientului).
Caracteristici centru de date
Un server folosit pe post de router
Folosim acelasi tip de server, ca si cel de la securitate, si anume Cisco ASA 5505, cu urmatoarele caracteristici hardware:
dinamica de control a transferului: pana la 150Mbps transferul ASA IPS: pana la 75Mbps cu AIP SSC-5 sesiuni concurente: 10000/25000 conexiuni pe secunda: 4000 pachete pe secunda (64 de biti): 85000 transferul 3DES/AES VPN: 100Mbps site la site si sesiuni de utilizator VPN IPsec IKEv1: 10/25 Cisco AnyConnect sau sesiuni de utilizator VPN fara clienti: 25 utilizatori Cisco Cloud Web Security: 25 VLAN-uri: 3 (trunking disabled) / 20 (trunking enabled) suport pentru inalta disponibilitate: Stateless Active/Standby Only intrari, iesiri integrate: 8 port-uri FE cu 2 porturi de alimentare prin Ethernet
(PoE) alimentare: AC/DC
Servere ce ofera servicii angajatilor (HTTP, e-mail, FTP si NFS)
Se folosesc trei servere de acelasi tip pentru a oferi servicii angajatilor si anume serverul Dell PowerEdge R720 2U, ilustrat in figura urmatoare:
11
Dell PowerEdge R720 2U
SpecificatiiSerie Dell PowerEdge R720Tipodimensiune(U) 2Model procesor Intel® Xeon® Processor E5-2640Frecventa procesor(MHz) 2500FSB(MHz) 800, 1066, 1333Socket 2011Dimensiuni cache procesor(KB) 15360Nucleu procesor 6Numar procesoare instalate 1Numar procesoare suportate 2Tehnologie Intel® vPro Technology
Intel® Hyper-Threading TechnologyIntel® Virtualization Technology (VT-x)Intel® Virtualization Technology for Directed I/O (VT-d)Intel® VT-x with Extended Page Tables (EPT)Intel ® 64Idle StatesEnhanced Intel SpeedStep ® TechnologyIntel® Demand Based SwitchingThermal Monitoring TechnologiesAES New InstructionsIntel® Trusted Execution TechnologyExecute Disable Bit
Chipset Intel C600Sloturi memorie 24Sloturi 1 x PCI-E x16
3 x PCI-Express x8Capacitate memorie (GB) 8 (2 x 4 GB)Tip memorie DDR3Tehnologie memorie RDIMMsFrecventa memorie(MHz) 1333Memorie maxima (GB) 768Numar hard-disk-uri 2Capacitate HDD (GB) 300
12
Viteza de rotatie (rpm) 10000Tehnologie HDD SASController hard disk PERC H710Numar maxim HDD-uri 16 x 2.5 inchiUnitate optica DVD RWAltele ReadyRails Sliding Rails With Cable
Management Arm3Y NBD Service
Gigabit 10/100/1000Porturi retea 4Numar surse instalate 1Putere sursa(W) 750Pachete software IDRAC7 Enterprise
Server folosit pentru alte task-uri pentru a imbunatati securitatea si auditul
Pentru alte task-uri compania mai beneficiaza de un server tip, Dell PowerEdge R720 2U, ale carui caracteristici sunt definite mai sus.
Un sistem de stocare a datelor
Network Storage WD Sentinel DX4000, 16TB, Windows Storage Server 2008 R2 Essentials
SpecificatiiProcesor Intel AtomTM D525 1.8 GHz Dual CoreMemorie interna 2 GB RAMNumar hard-disk-uri 4
13
Capacitate maxima HDD 16 TBOperatii RAID RAID 5Porturi 2 x USB 3.0Retea 2 x 10/100/1000 Mbps (RJ-45)Securitate Active DirectoryDimensiuni (D x H x W) 224 x 206 x 160Hard-disk-uri incluse 4 x HDD 4 TBMedia server suport DLNA media serverNetworking protocols NFS, FTP, WebDAV, CIFS, HTTPS, HTTPAlimentare 100 - 240V AC, 50/60 HzFile sharing CIFS, FTP, SMB, WebDav, NFSOS Windows Storage Server 2008 R2 Essentials
Cluster de inalta disponibilitate a serviciilor si a serverelor
Tehnologii de disponibilitate inalta (aproximativ 580 KB) contine urmatoarele subiecte:
● Tehnologie cluster-e● Domeniul administrativ de cluster● Pool-uri de discuri comutabile● Dispozitive comutabile● Oglindirea intre locatii
○ Oglindirea geografica○ Oglinda Metro○ Oglinda globala
● FlashCopy● Gestionarea disponibilitatii inaltePunerea in cluster nu furnizeaza o solutie de disponibilitate inalta completa de una
singura, dar este tehnologia cheie pe care se bazeaza toate solutiile de disponibilitate inalta ale acestei companii.
Functionarea in cluster a infrastructurii, numita servicii de resurse cluster, furnizeaza mecanismele de baza pentru crearea si gestionarea mai multor sisteme si a resurselor lor ca o singura entitate de calcul unificata. De asemenea, functionarea in cluster monitorizeaza sistemele si resursele definite in mediul cu disponibilitate inalta pentru defectari si raspunde corespunzator, in functie de tipul de intrerupere. Functionarea in cluster combina hardware-ul si software-ul pentru a reduce costul si efectul intreruperilor planificate si neplanificate, restaurand rapid servicii cand apar aceste intreruperi. Desi nu este instantanee, recuperarea clusterului este rapida.
O componenta cheie a unei solutii de disponibilitate inalta o reprezinta:
Rezilienta aplicatiei - clasificata dupa efectul asupra utilizatorului. Sub o infrastructura de functionare in cluster pentru aceasta companie, rezilienta aplicatiei este controlata cu un obiect CRG (grup de resurse cluster) al aplicatiei. Acest CRG furnizeaza mecanismul,
14
utilizand un program de iesire, pentru a controla pornirea, oprirea, repornirea si comutarea aplicatiei la sistemele de rezerva. Intregul mediu al aplicatiei, inclusiv replicarea datelor si dispozitivele comutabile pot fi controlate prin infrastructura de functionare in cluster ca o singura entitate.
In cadrul companiei am folosit un cluster de servere Cisco ASA 5505, iar inalta disponibilitate in cadrul cluster-ului ASA este alcatuita din:
unitatea de monitorizare a functionarii:
Unitatea master monitorizeaza fiecare unitate slave prin trimiterea periodica de mesaje “de tinere in viata” pe link-ul de control de cluster (perioada este configurabila).
Fiecare unitate slave monitorizeaza unitatea master, folosind acelasi mecanism.
monitorizarea de interfataFiecare unitate monitorizeaza starea legaturii cu interfetele hardware utilizate, si
raporteaza modificari ale starii acestora unitatii master. Spanned EtherChannel - Utilizeaza Link Aggregation Control Protocol
(cLACP). Fiecare unitate monitorizeaza starea legaturii si a mesajelor de protocol cLACP pentru a determina daca portul este activ in EtherChannel. Starea este raportata la unitatea master.
interfete individuale (numai in modul Rutat), fiecare unitate isi monitorizeaza interfetele si rapoarteaza starea acestora la unitatea master.
esecul unei unitati sau al unei interfete:Cand monitorizarea functionarii este activata, o unitate este scoasa din cluster in
cazul in care acesta sau interfetele acesteia esueaza. Daca o interfata esueaza pe o anumita unitate, dar aceeasi interfata este activa pe alte unitati, atunci unitatea este scoasa din cluster.
Atunci cand o unitate din cluster esueaza, conexiunile gazduite de unitate sunt transferate fara probleme catre alte unitati, informatiile de stare ale fluxurile de trafic sunt transmise pe link-ul de control al cluster-ului.
In cazul in care unitatea master esueaza, un alt membru al cluster-ului cu cea mai mare prioritate (cel mai mic numar) devine master
Cand un ASA devine inactiv (fie manual sau printr-un esec al verificarii functionarii), toate interfetele de date sunt oprite; numai interfata de gestionare poate trimite si primi trafic. Interfata de management ramane activa folosind adresa IP pe care unitatea a primit-o din pool-ul de IP-uri ale cluster-ului. Cu toate acestea, daca reincarcati, iar unitatea este inca inactiva in cluster, interfata de management nu este accesibila (pentru ca foloseste atunci adresa IP principala, care este aceeasi cu cea a unitatii master). In acest caz, trebuie sa utilizati portul consola pentru orice viitoare configuratie.
replicarea Data Path Connection StateFiecare conexiune are un singur proprietar si cel putin un proprietar de rezerva in
cluster. Proprietarul de rezerva nu preia conexiunea in caz de esec, in schimb, stocheaza informatiile de stare TCP/UDP, astfel incat conexiunea poate fi transferata fara probleme unui nou proprietar, in cazul unui esec.
15
In cazul in care proprietarul devine indisponibil, prima unitate care primeste pachete de la conexiune (bazat pe echilibrarea incarcarii) contacteaza proprietarul de rezerva pentru informatiile de stare relevante astfel incat sa poata deveni noul proprietar.
Uneori, traficul necesita informatii de stare care depasesc nivelul TCP sau UDP.
TrafficState SupportNotes
Up TimeYesKeeps track of the system up time.
ARP TableYesTransparent mode only.
MAC address tableYesTransparent mode only.
User IdentityYesIncludes AAA rules (uauth) and indentify firewall
IPv6 Neighbor databaseYes
Dynamic routingYes
SNMP Engine IDNo
VPN (Site-to-Site)NoVPN section will be disconnected if the master
unit fails
Recuperare in caz de dezastru
In cadrul firmei s-a pregatit si se testeaza anual un plan de asigurare a continuitatii afacerii care sa permita restaurarea rapida a tuturor serviciilor in cazul unor dezastre atat naturale cat si cele create de om. De altfel exista un complex de masuri de preventive si corective care sa permita asigurarea unei disponibilitati maxime a serviciilor oferite(planuri de mentenanta, piese de schimb, redundanta a componentelor critice, copii de siguranta a datelor, ghiduri de tratare a erorilor si avariilor etc). Prezenta procedura de lucru stabileste norme cu privire la asigurarea continuitatii operationale si de recuperare a datelor si a informatiilor in caz de dezastru. Punerea in aplicare a prezentei proceduri implica constituirea unor echipe specializate, cu atributii bine stabilite. Daca un incident sau dezastru major se produce, echipele respective vor fi convocate de urgenta, unde se vor intruni si vor evalua situatia incidentului/dezastrului produs.
Responsabilitatea echipelor este de a decide daca este necesar sa puna in aplicare planul de continuitate.
Lista de prioritizare a incidentelor/dezastrelor se prezinta astfel:
16
RiscIncidentImpactProbabilitateServicii afectate
1 MajorIncediu/ExplozieCladire afectata in totalitate, daramata, neaccesibila
ScazutaToate
1 MajorCutremurCladire afectata in totalitate, daramata, neaccesibila
ScazutaToate
1 MajorInundatie in orasCladire inundata partialScazutaPartial
2 MediuInundatie in locatie
Cladire accesibilaMediePartial
2 MediuFactor uman (erori, sabotaj)
Cladire accesibilaMediePartial
2 MediuAtac de tip hacking
Utilizatorii nu au acces la dateMediePartial
2 MediuCapacitate supraincarcata
Performanta degradataMedieTemporar
3 MinimDefectiuni hardware
Utilizatorii nu pot utiliza pc-urile
MareTemporar
3 MinimPierderi de dateUtilizatorii nu au acces la dateMedieTemporar
3 MinimFara acces la software
Utilizatorii nu acces la software
MediumTemporar
3 MinimModificari neautorizate
Mic asupra utilizatorilorScazutaTemporar
Lista echipelor de lucru specializate si activitatile stabilite de catre acestea sunt:
ResponsabilActivitati
Echipa de management a recuperarii dupa dezastru IT (MGMT)
- evalueaza pagubele si, daca este necesar, declara dezastru- coordoneaza eforturile tuturor echipelor- asigura financiar- aproba toate actiunile pre-planificate- ofera o directie strategica- tine legatura cu managementul superior- se ocupa de birocratie- ofera consultanta angajatilor
Echipa de suport administrativ (ADMN)
- notifica toti furnizorii si serviciile de livrare- asigura functiile de contabilitate
17
- asigura raportul cu costurile de recuperare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de aprovizionare (SUPP)
- coordoneaza logistica necesara aprovizionarii- ajuta echipa de echipamente sa contacteze furnizorii- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de comunicatii cu mass-media (PUB)
- asigura ca angajatii nu discuta cu mass-media- asigura controlul informatiei atat pentru angajati cat si pentru public- face anunturi publice interne- tine la distanta oamenii de procesul de recuperare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de echipamente hardware (HARD)
- determina sfera de daune a serverelor si statiilor de lucru- comanda echipamentele necesare activitatilor- configureaza serverele si statiile de lucru-instalarea echipamentelor- notifica utilizatorii- relocarea echipamentelor- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa software (SOFT)- reface pachetele software- reinstaleaza si configureaza sistemele- verifica performanta sistemelor- testarea sistemelor de operare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de retea (NET)- determina echipamentul pentru cerintele pentru comunicatiile de voce si date- instalarea retelei: linii, routere, switchuri, controllere- testeaza reteaua- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de operare (OPS)- inventariaza si selecteaza casetele de restore corect- asigura coordonarea procesului de mutare intr-o locatie alternativa- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Echipa de recuperare (SALV)- conduce relocarea proiectelor- realizeaza o evaluare mai detaliata a pagubelor
18
inregistrate- se ocupa de asigurare- recomanda cum poate fi imbunatati planul de recuperare dupa dezastru
Lista activitatilor necesare recuperarii dupa dezastru este prezentata in tabelul urmator:Faza de evaluare a dezastrelor
Nr actAct anterioaraDescriereResponsabil
A010 Coordonarea notificarilor primite cu privire la recuperarea dupa dezastru
MGMT
A020 Asigura ca cei afectati de dezastru primesc atentia necesara
MGMT
A030A010adunarea echipelor de managementMGMT
A040A030Evaluarea daunelor si determinarea duratei de intrerupere
MGMT, HARD
A050A040Declararea dezastruluiMGMT
A060A040Realizarea aranjamentelor cu politia/firma de securitate pentru securizarea ariei
distruse
MGMT
A070A050Discutarea cu managementul de decizieMGMT
Faza de activare a recuperarii dupa dezastru
Nr actAct anterioaraDescriereResponsabil
B010A050Aduna echipele de lucru specializate pentru recuperarea dezastrelor
MGMT
B020B010Activarea centrului de comandaSALV
B030B020Notificarea personaluluiADMN
B040B020Adunarea materialelor stocate in afara amplasamentului
OPS
B050B020Liderii aplicatiilor vor informa utilizatorii cheie
SOFT
B060B020Informarea furnizorilor pentru harwdare si aprovizionare
ADMN
B070B020Informarea furnizorilor softwareADMN
19
B080B020Informarea managerului de riscADMN
B090B020Restabilirea situatieiADMN
B100B030Pregatirea declaratiilor impreuna cu managementul executiv pentru media
PUB
B110B100Stabilirea unde sa lucreze centrul de date alternativ
MGMT
B120B110Stabilirea pentru furnizori unde sa livreze echipamentele pentru centrul de date alternativ
SALV
B130B120Securizarea centrului de date alternativ
SALV
B140B130Coordonarea echipamentelor sosite la centrul de date
HARD
B150B130Daca este necesar, achizitionarea de spatiu pentru birouri
MGMT
B160B150Adunarea si distribuirea de provizii la centrul de comanda
SUPP
B170B150Inceperea evaluarii echipamentului de salvare si de aprovizionare
SALV
B180B150Coordonarea activitatilor tuturor echipelor
MGMT
B190B180Setarea unui centru de informatii la centrul de comanda
SOFT
B200B170Impachetarea si aducerea materialelor la centrul de date alternativ
OPS
B210B200Reevaluarea situatieiMGMT
B220B200Notificarea oficiului postal de noua adresa de trimitere a mailului
ADMN
B230B210Determinarea punctului de recuperare
OPS, SOFT
B240B230Notificarea utilizatorilor cheie a punctului de recuperare
SFT
20
B250B240Realizarea aranjamentelor pentru stabilirea cheltuiellor din timpul dezastrului
ADMN
B260B250Pregatirea pentru a primi echipamentele trimise
NET
B280B260Restabilirea serverelorOPS, SOFT
B290B280Bootarea serverelorOPS
B300B290Determinarea informatiilor necesare pentru a apela centrul de date alternativ
NET
B310B300Stabilirea comunicatiei dintre centru de date alternativ si zona de lucru alternativa
NET
B330B300Testarea sistemelor de operareSOFT
B340B330Testarea retelei de comunicatieNET
B350B340Testarea apelarii la distantaNET
B360B350Inceperea restaurarii aplicatiilor si a datelor utilizatorilor
OPS, SOFT
B370B360Testarea aplicatiilorSOFT
B380B370Furnizarea de rapoarte utilizatorilor adecvati
OPS, SOFT
B390B380Determinarea informatiilor necesare utilizatorilor
SOFT
B400B390Restabilirea situatieiMGMT
B410B400Efectuarea unui orare de operareSOFT,MGMT
B420B410Notificarea utilizatorilor de sistemul valabil
SOFT
B430B420Inceperea procesuluiOPS
B440B430Specificarea necesarului ce trebuie sa mearga la centrul de date
MGMT
B450B250Realizarea unui inventar complet a facilitatilor distruse
SALV
B460 Instruirea angajatilorMGMT
21
In continuare este prezentata o lista cu problemele ce pot aparea intr-o companie IT precum si rezolvarea acestora de catre echipele de lucru specializate
DescriereImpactDetectareaActiune imediata
Actiune ulterioara
Efect asupra utilizatorilor
Atenuare si contingenta
Defectiunea unui disk
MediuNagios Warning
Inlocuirea disk-ului in RAID
Comandarea unui nou disk. Distrugerea diskului existent
Niciun efectMonitorizarea de catre Nagios volumului RAID. Mentine driverele inlocuite valabile
Defectiunea mai multor disk-uri
MinimNagios warning
Inlocuirea disk-urilor nefunctionale
Comandarea de discuri noi. Distrugerea disckurilpor existente
Niciun efectMonitorizarea de catre Nagios a volumului RAID. Mentine driverele inlocuite valabile
Neautorizarea modificarilor de continut
MinimVerificarea periodica a logo-urilor. Monitorizarea aplicatiei
Restore la continutul modificat
Repararea securitatii
Efect mic asupra utilizatorilor
Determinarea vulnerabilitatii si repararea acesteia
Pierderi de dateMinimNagios warning
Restore la backup
Utilizatorii nu vor mai avea acces la datele lor
Realizarea de backup-uri
Nefunctionarea software-ului
MediuNagios warning
Update / reparare software
Update / reparare software
Utilizatorii nu vor avea acces la software
Update software la ultima versiune stabila
Multiple defectiuni a masinilor
MinimNagios warning
Reparare masini folosind backup-ul
Reparare masini folosind backup-ul si comandarea unui nou backup
Efect mic. Performanta va fi compromisa
Monitorizarea masinilor cu Nagios
Capacitate depasita
Mediu / Mare
Nagios warning
Aducerea de noi servere aditionale
Verificarea noilor servere
Degradarea performantei
Monitorizarea capacitatii cu Nagios
22
Defectiune retea
MinimNagios warning
Reparare retea / inlocuire switch-uri sau mutarea pe un backup
Inlocuirea hardware-ului defect
Utilizatorii nu mai au acces la software
Backup la centrul de date
Pierderea conexiunii la Internet
MediuNagios warning
Mutarea pe conexiunea de backup
Revenirea la conexiunea initiala dupa ce a fost stabilizata
Utilizatorii nu mai au acces la software
Backup la conexiune
Defectiuni la alimentarea cu energie
MinimNagios warning sau furnizorul de gazduire
Mutarea aplicatiilor pe backupul centrului de date
Revenirea la centrul de date primar cand devine valabil
Utilizatorii nu mai au acces la software
Backup la centrul de date
Auditul de securitate
Pentru a asigura o activitate continua si eficienta in companie, este nevoie de o
evaluare corecta a sistemelor IT. In doua cuvinte: de un audit IT. Auditul de securitate IT
este o solutie din ce in ce mai importanta pentru companie. Auditul de securitate IT are ca
scop determinarea tuturor vulnerabilitatilor sistemului informatic. Rezultatul acestei actiuni
este evaluarea obiectiva a necesitatilor sistemului informatic al companiei precum si
sugerarea unei solutii viabile pentru eliminarea vulnerabilitatilor sale.
In acest sens compania aloca un buget departamentului IT, fara a face risipa de
resurse financiare. Prin outsourcing IT avem acces la ultimele tehnologii din domeniu si
beneficiem de experienta unei echipe de specialisti care pot face fata oricaror probleme
iminente.
Intr-o economie globalizata si interconectata, a carei complexitate tehnica sporeste
permanent, informatia este una dintre proprietatile cele mai valoroase ale unei companii. In
fiecare zi se proceseaza si se combina informatii cu scopul de a crea alte informatii de
valoare si a spori avantajul competitiv. Daca informatia detinuta nu este securizata,
inlocuirea ei presupune costuri ridicate financiare, de timp si energie.
Procedura de audit de securitate IT cuprinde urmatorii pasi:
● interviuri cu departamentul tehnic al companiei;
● observarea modului de lucru al angajatilor;
● analiza configuratiilor hardware/software ale echipamentelor;
● conceptul si designul unei politici de securitate IT&C;
● implementarea celor mai potrivite solutii de securitate a retelelor;
23
● sisteme de acces protejat, local sau la distanta;
● solutii firewall si VPN;
● detectarea intruziunilor (IDS) si evaluarea vulnerabilitatii;
● securitatea continutului (solutii antivirus, filtrare web si e-mail);
● solutii de autentificare;
● solutii de criptare si semnaturi digitale;
● solutii de management al securitatii;
● elaborarea unui raport complet privind infrastructura IT si a securitatii existente.
Astfel se cunoaste eficacitatea sistemului informatic implementat in companie precum
riscurile la care este expus sistemul informatic. Se aduc la cunostinta riscurile la care este
expusa compania in cazul in care nu sunt luate masurile necesare si se recomanda cea mai
optima solutie.
Punerea in practica a solutiei recomandate este responsabilitatea clientului. Acesta
poate sa se foloseasca de propriile resurse sau de companii din exterior pentru a aplicarea
acesteia.
Politici de securitate
Utilizarea Permanenta a Resurselor Informatice si de Comunicatii (RIC)
Utilizatorii nu trebuie sa divulge sau sa instraineze nume de cont-uri, parole,
Numere de Identificare Personala (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive si/sau informatii similare utilizate in scopuri de autorizare si identificare.
Utilizatorii, prin actiunile lor, nu trebuie sa incerce sa compromita protectia sistemelor informatice si de comunicatii si nu trebuie sa desfasoare, deliberat sau accidental, actiuni care pot afecta confidentialitatea, integritatea si disponibilitatea informatiilor de orice tip in cadrul sistemului RIC (Resurse Informatice si de Comunicatii) al companiei.
Utilizatorii trebuie sa anunte DA (Departamentul Administrativ) in cazul in care se observa orice problema/bresa in sistemul de securitate a RIC din cadrul companiei cat si orice posibila intrebuintare gresita sau incalcare a regulamentelor in vigoare.
Utilizatorii nu trebuie sa incerce sa obtina acces la date sau programe din RIC pentru care nu au autorizatie sau consimtamant explicit.
Utilizatorii nu trebuie sa faca copii neautorizate sau sa distribuie materiale protejate prin legile privind proprietatea intelectuala (copyright).
Utilizatorii nu trebuie: sa se angajeze intr-o activitate care ar putea hartui sau ameninta alte persoane; sa degradeze performantele RIC; sa impiedice accesul unui utilizator autorizat la RIC; sa obtina alte resurse in afara celor alocate; sa nu ia in considerare masurile de securitate impuse prin regulamente.
Utilizatorii nu trebuie sa descarce, instaleze si sa ruleze programe de securitate
24
sau utilitare care expun sau exploateaza vulnerabilitati ale securitatii RIC. De exemplu, utilizatorii nu trebuie sa ruleze programe de decriptare a parolelor, de captura de trafic, de scanari ale retelei sau orice alt program nepermis de regulamente.
RIC ale companiei nu trebuie folosite pentru beneficiul personal. Utilizatorii nu trebuie sa acceseze, sa creeze, sa stocheze sau sa transmita
materiale pe care compania le poate considera ofensive, indecente sau obscene (altele decat cele in curs de cercetare academica unde acest aspect al cercetarii are aprobarea explicita a conducerii companiei).
Accesul la reteaua Internet prin intermediul RIC se supune acelorasi regulamente care se aplica utilizarii din interiorul companiei. Angajatii nu trebuie sa permita membrilor familiei sau altor persoane accesul la RIC ale companiei.
Utilizatorii care au acces la sistemul RIC al companiei au obligatia de a purta acte si sau legitimatii care sa ateste calitatea de utilizator autorizat in spatiile companiei.
Utilizatorii nu trebuie sa se angajeze in actiuni impotriva scopurilor companieifolosind RIC.
Regulament privind Confidentialitatea Serviciilor Informatice si de Comunicatii
Utilizatorii trebuie sa raporteze orice slabiciune in sistemul de securitate al
calculatoarelor din cadrul companiei, orice incident de posibila intrebuintare gresita sau incalcare a acestui regulament (prin contactarea DA).
Un mare numar de utilizatori pot accesa informatii din exteriorul sistemuluide comunicatii al companiei. In aceste conditii este obligatorie pastrarea confidentialitatii informatiilor transmise din exteriorul RIC si a informatiilor obtinute din interior.
Utilizatorii nu trebuie sa incerce sa acceseze informatii sau programe de pe sistemele companiei pentru care nu au autorizatie sau consimtamant explicit.
Nici un utilizator al sistemului RIC al companiei nu poate divulga informatiile la care are acces sau la care a avut acces ca urmare a unei vulnerabilitati a sistemului RIC. Aceasta regula se extinde si dupa ce utilizatorul a incheiat relatiile cu compania.
Confidentialitatea informatiilor transmise prin intermediul resurselor de comunicatii ale tertilor nu poate fi asigurata. Pentru aceste situatii, confidentialitatea si integritatea informatiilor se poate asigura folosind tehnici de criptare. Utilizatorii sunt obligati sa se asigure ca toate informatiile confidentiale ale companiei se transmit in asa fel incat sa se asigure confidentialitatea si integritatea acestora.
Regulament de Acces Administrativ
Departamentele companiei trebuie sa prezinte la DA o lista cu
informatii de contact in plan administrativ pentru toate sistemele conectate la reteaua de comunicatii a companiei. Aceasta lista trebuie refacuta si prezentata la DA de fiecare data cand apar modificari de orice natura.
25
Utilizatorii trebuie sa cunoasca si sa accepte toate regulamentele privind securitatea RIC inainte de a li se permite accesul la un cont.
Utilizatorii care au conturi de acces administrativ trebuie sa aiba instructiuni de administrare, documentare, instruire si autorizare a conturilor. Aceste instructiuni se vor elabora de catre fiecare departament si vor fi incluse in fisa postului.
Utilizatorii cu drepturi administrative sau speciale de acces nu trebuie sa foloseasca in mod abuziv aceste drepturi si trebuie sa faca investigatii numai sub indrumarea DA.
Cei care utilizeaza conturi de acces cu drepturi administrative sau speciale trebuie sa foloseasca tipul de privilegiu cel mai potrivit activitatii pe care o desfasoara.
Accesul administrativ trebuie sa se conformeze cu Regulile de utilizare a Parolelor. Parola pentru un cont cu acces privilegiat nu va fi utilizata de mai multe persoane
decat cu acordul scris al DA si trebuie sa fie schimbata atunci cand persoana care utilizeaza acest cont isi schimba locul de munca din cadrul departamentului sau a companiei, sau in cazul unei modificari a listei de personal ale tertilor (furnizor desemnat) in contractele cu compania.
Trebuie sa existe o procedura prin care o alta persoana, in afara de administrator, sa poata avea acces la contul administratorului in caz de forta majora. Aceasta procedura va fi elaborata de catre DA pentru fiecare departament.
Unele conturi sunt necesare pentru audit (verificare, control) intern sau extern, pentru dezvoltare sau instalare de software sau alte operatiuni definite. Acestea trebuie sa indeplineasca urmatoarele conditii:
o trebuie sa fie autorizate;
o trebuie create cu data de expirare specifica;
o contul va fi sters atunci cand nu mai este necesar
Regulament privind Accesul Fizic la RIC
Toate sistemele de securitate fizica (de exemplu coduri de acces in cladire si
coduri de acces pentru prevenirea incendiilor etc.) a RIC trebuie sa fie instalate in conformitate cu regulamentele companiei.
Accesul fizic la toate incaperile in care sunt instalate RIC trebuie sa fie documentat si monitorizat.
Toate incaperile in care sunt instalate RIC trebuie sa fie protejate fizic, in functie de importanta acestora si tipul datelor vehiculate sau stocate.
Pentru fiecare incapere in care sunt instalate echipamente ale sistemului RIC se aproba accesul doar pentru personalul care raspunde de buna functionare a echipamentelor din incaperea respectiva si, daca este cazul, partilor contractante, ale caror obligatii contractuale implica acces fizic.
Personalul care are drepturi de acces trebuie sa detina legitimatie de serviciu si acte de identitate care sa-i ateste calitatea.
Acordarea drepturilor de acces (folosind card-uri, chei, parole etc.) se face in scris de catre DA sau, dupa caz, departamentul care detine incaperea si resursele.
Nu este permis transferul dreptului de acces indiferent de motiv. Cardurile si/sau cheile de acces care nu mai sunt folosite trebuie predate
departamentului care le-a eliberat.
26
Pierderea sau furtul cardurilor si/sau cheilor de acces trebuie raportate imediat departamentului care le-a eliberat.
Cardurile si/sau cheile nu trebuie sa aiba informatii de identificare, altele decat informatia de contact necesara pentru returnare.
Accesul vizitatorilor in spatiile protejate trebuie documentat pentru fiecare incapere si, in cazul in care este permis, se va delega un insotitor. Vizitatorii trebuie sa fie insotiti in zonele cu acces restrictionat.
Fiecare departament va tine o evidenta a tuturor cardurilor si/sau cheilor de acces emise, retrase, pierdute sau furate.
Pentru fiecare spatiu in care sunt instalate RIC se va pastra o evidenta a accesului pentru verificari de rutina in situatii critice.
Fiecare departament trebuie sa verifice periodic drepturile de acces pe baza de card si/sau cheie si sa anuleze aceste drepturi pentru persoanele care pierd dreptul de acces.
Fiecare departament trebuie sa anuleze drepturile de acces ale cardurilor si/sau cheilor utilizatorilor care isi schimba locul de munca din companie sau nu au relatii contractuale cu compania.
Pentru fiecare spatiu cu acces restrictionat trebuie desemnata o persoana care sa verifice periodic inregistrarile de acces si sa cerceteze orice acces suspect.
Accesul restrictionat trebuie marcat.
Regulament de Acces la Reteaua de Comunicatii
Utilizatorilor le este permis sa utilizeze numai parametrii pentru conectare la retea
specificati de catre DA. Departamentele trebuie sa aprobe, in scris, conectarea dispozitivelor
de calcul la RIC ale companiei. Pentru fiecare sistem conectat trebuie sa existe o persoana care sa raspunda de acesta, numele si datele de identificare ale acesteia se vor comunica catre DA.
Conectarea sistemelor de calcul care nu sunt proprietatea companiei se face numai cu aprobarea in scris a DA la recomandarea departamentelor.
Accesul de la distanta la reteaua companiei se va realiza numai prin echipamente aprobate, sau prin intermediul unui Furnizor de Servicii Internet (Internet Service Provider (ISP)) agreat de catre companie si folosind protocoale aprobate de catre DA.
Utilizatorii RIC din interiorul companie nu se pot conecta la alta retea. Utilizatorii nu trebuie sa extinda sau sa retransmita serviciile de retea in nici un fel
(pe nici o cale). Nu este permisa instalarea de conexiuni de retea neautorizate indiferent de motiv. Autorizarea tuturor conexiunilor se face la propunerea departamentelor de catre DA.
Utilizatorii nu trebuie sa instaleze echipamente hardware sau programe care furnizeaza servicii de retea fara aprobarea DA.
Sistemele computerizate din afara companiei care necesita conectare la retea trebuie sa se conformeze cu standardele retelei interne ale companiei.
Utilizatorii nu au dreptul sa descarce, sa instaleze sau sa ruleze programe de
27
securitate care pot dezvalui slabiciuni in securitatea unui sistem. De exemplu, utilizatorii companiei nu au dreptul sa ruleze programe de spargere a parolei, sustragere de pachete, scanare a porturilor, in timp ce sunt conectati la reteaua acesteia.
Utilizatorii nu au dreptul sa modifice, reconfigureze, instaleze, dezinstaleze echipamente de retea, cabluri, prize de conexiuni.
Serviciul de nume si administrarea adreselor IP sunt deservite exclusiv de catre DA.
Serviciile de interconectare a retelei companiei cu alte retele sunt realizate exclusiv de catre DA.
Nu este permisa instalarea si/sau modificarea echipamentelor utilizate pentru conectare la retea (inclusiv placi de retea) fara aprobarea DA. Tipul si modelul placilor de retea si tuturor echipamentelor care se pot conecta in retea trebuie sa fie aprobate de DA.
Regulament privind Configurarea Sistemelor Informatice pentru Acces la Reteaua de Comunicatii
Infrastructura de comunicatii, reteaua de comunicatii digitale, a companiei este administrata de catre DA, care este responsabil cu intretinerea si dezvoltarea acesteia.
Pentru a furniza o infrastructura de comunicatii unitara cu posibilitati de modernizare toate componentele acesteia sunt instalate de catre DA sau de catre un furnizor avizat explicit de catre DA.
Toate echipamentele, fara exceptie, conectate la reteaua de comunicatii trebuie configurate conform specificatiilor DA.
Orice dispozitiv hardware, inclusiv placile de retea, care se va conecta la reteaua companiei, trebuie sa fie insotit de o aprobare de tip (producator, model etc.) din partea DA. Lista cu dispozitivele care pot fi conectate la reteaua de comunicatii a companiei va fi publicata pe site-ul web al DA.
Modificarea configuratiei oricarui dispozitiv activ conectat la reteaua de comunicatii se face numai cu aprobarea DA.
Infrastructura de comunicatii de date a companiei suporta un set definit de protocoale de retea (TCP/IP). Orice utilizare a altui set de protocoale trebuie sa fie aprobata in scris de catre DA.
Adresele de retea sunt alocate dinamic sau static numai de catre DA. Toate conectarile in reteaua de comunicatii a companiei sunt responsabilitatea
DA, conectarea se va face numai in baza unei cereri standard aprobata de catre departament si de catre conducerea companiei. Formularele vor fi puse la dispozitie prin intermediul site-ului web al DA.
Toate conectarile dintre reteaua de comunicatii a companiei si alte retele de comunicatii, publice sau private, sunt responsabilitatea exclusiva a DA.
Echipamentele de protectie a retelei de comunicatie a companiei(firewall) se vor instala de catre DA.
Utilizarea sistemelor de protectie (firewall) din departamente nu este permisa fara autorizatie scrisa din partea DA. Aceasta restrictie se aplica si in cazul in care se folosesc adrese private de retea.
28
Utilizatorii nu au dreptul sa extinda sau sa retransmita in nici un fel serviciile retelei (este interzisa instalarea unui telefon, fax, modem, router, switch, hub sau punct de acces la reteaua companiei) fara aprobare din partea DA.
Utilizatorilor li se interzice instalarea de dispozitive hardware de retea sau programe care furnizeaza servicii de retea fara aprobarea DA.
Utilizatorilor nu le este permis accesul la dispozitivele hardware ale retelei.
Regulament de Tratare a Incidentelor de Securitate
Membrii DA in cazul incidentelor de securitate din companie au functii si responsabilitati predefinite care pot fi prioritare indatoririlor obisnuite.
Ori de cate ori un incident de securitate este suspectat sau confirmat, precum un virus, vierme, descoperirea unor activitati suspecte, informatii modificate etc., trebuie urmate procedurile standard specifice pentru micsorarea riscurilor.
DA este responsabil cu instiintarea si coordonarea pentru tratarea incidentului. DA este responsabil cu strangerea dovezilor fizice si electronice ce vor face parte
din documentatia pentru tratarea incidentului. Folosind resurse tehnice speciale se va monitoriza nivelul daunelor si gradul de
eliminare sau atenuare a vulnerabilitatilor acolo unde este cazul. DA va stabili continutul comunicatelor pentru utilizatori privind incidentele si va
determina nivelul si modul de distribuire a acestei informatii. DA trebuie sa comunice proprietarului sau producatorului resursei afectate de un
incident informatiile utile pentru eliminarea sau diminuarea vulnerabilitatilor care au cauzat incidentul.
DA este responsabil cu documentarea anchetei privind incidental. DA este responsabil de coordonarea activitatilor de comunicare cu terti pentru
rezolvarea incidentului. In cazul in care incidentul nu implica actiuni contrare legilor in vigoare DA va
recomanda sanctiuni disciplinare. In cazul in care incidentul implica aplicarea legilor civile sau penale DA va
recomanda sesizarea organelor in drept ale statului si va actiona ca ofiter de legatura cu acestea.
Regulament de Monitorizare a RIC
Monitorizarea RIC se va face astfel incat sa fie posibila detectarea in timp util a
atacurilor informatice si a situatiilor de incalcare a regulamentelor de securitate. Echipamentele utilizate pentru monitorizare (dedicate sau nu) vor urmari si inregistra:
o Tipul traficului (ex. structura pe protocoale si servicii) extern si continutul
acestuia in cazurile in care acest lucru se impune sau este ordonat. o Tipul traficului in reteaua de campus, a protocoalelor si a echipamentelor
conectate la RIC, continutul acestuia in cazurile in care acest lucru se impune sau este ordonat.
o Parametrii de securitate pentru sistemele individuale (la nivelul sistemelor
de operare).
29
Fisierele jurnal vor fi examinate regulat in vederea detectarii eventualelor atacuri informatice si abateri de la regulamentele de securitate ale companiei. In aceasta categorie intra urmatoarele (fara a se limita doar la acestea):
o Jurnale ale sistemelor de detectarea automata a intrusilor;
o Jurnale Firewall;
o Jurnale ale activitatii conturilor utilizator;
o Jurnale ale scanarilor retea;
o Jurnale ale aplicatiilor;
o Jurnale ale solicitarilor de suport tehnic;
o Jurnale ale erorilor din sisteme si servere.
In mod regulat (cel putin o data la sase luni) se vor efectua verificari, de catre DA sau personalul autorizat al departamentelor pentru detectarea:
o Parolelor utilizator care nu respecta regulamentele;
o Echipamentelor de retea conectate neautorizat;
o Serviciilor de retea neautorizate;
o Serverelor de pagini de web neautorizate;
o Echipamentelor ce utilizeaza resurse comune nesecurizate;
o Utilizarii de modemuri neautorizate;
o Licentelor pentru sistemele de operare si programele instalate.
Orice neregula privind respectarea regulamentelor de securitate va fi raportata catre DA in scopul efectuarii de investigatii.
Regulament de Securizare a Serverelor
Un server nu trebuie conectat la reteaua companiei pana cand nu se afla intr-o
stare sigura acreditata de catre DA. Procedura de securizare a serverelor trebuie sa includa obligatoriu urmatoarele:
o Instalarea sistemului de operare dintr-o sursa aprobata;
o Aplicarea patch-urilor furnizate de producator;
o Inlaturarea programelor, a serviciilor sistem si a driver-lor care nu sunt
necesare; o Setarea/activarea parametrilor de securitate, a protectiilor pentru fisiere si
activarea jurnalelor de monitorizare; o Dezactivarea sau schimbarea parolelor conturilor predefinite;
o Securizarea accesului fizic la aceste echipamente.
DA va monitoriza obligatoriu pentru serverele principale (enterprise) procesul de instalare si aplicare regulata a patch-urilor de securitate si, prin sondaj, pentru serverele departamentale sau a grupurilor de lucru.
Regulament de Administrare a Conturilor
Toate conturile create trebuie sa aiba asociata o cerere si o aprobare
corespunzatoare. Toate conturile utilizator se vor crea in formatul Prenume.Nume.
30
Prin contractul de munca, contractul de scolarizare si/sau alte documente toti utilizatorii accepta prevederile regulamentelor privind securitatea sistemului RIC.
Toti utilizatorii sunt obligati sa pastreze confidentialitatea informatiilor privind contul de acces.
Toate conturile trebuie sa se poata identifica in mod unic, utilizand numele de cont asociat.
Toate parolele pentru conturi trebuie sa fie create si folosite in conformitate cu Regulile privind Parolele de Acces.
Toate conturile utilizator care nu au fost accesate timp de 90 de zile vor fi dezactivate. Dupa inca 90 zile conturile vor fi sterse daca nu s-a solicitat accesul la acestea.
DA rebuie sa aiba o documentatie de modificare a conturilor utilizator pentru a se pune de acord in situatii precum schimbari ale numelor de familie, modificari privind contul (numele contului) modificari ale drepturilor de utilizator.
DA trebuie sa furnizeze o lista cu toti utilizatorii (lista de conturi) pentru sistemele pe care le administreaza, la cererea conducerii autorizate din companie.
Reguli pentru Parolele de Acces
Toate parolele trebuie sa indeplineasca urmatoarele conditii:
o Sa fie schimbate de utilizator in mod regulat, cel putin o data la 45 de zile;
o Sa aiba o lungime minima de 8 caractere;
o Sa fie parole complexe;
o Reutilizarea parolelor este interzisa;
o Parolele stocate trebuie criptate;
o Parolele de cont utilizator nu trebuie divulgate nimanui, nici macar
angajatilor care raspund de securitatea sistemelor informatice. Dispozitivele de securitate (ex. card Smart) trebuie returnate dupa terminarea
relatiilor cu compania. Daca se suspecteaza ca o parola a putut fi divulgata aceasta trebuie schimbata
imediat. Administratorii de sistem nu trebuie sa permita schimbarea parolelor utilizatorilor
folosind contul administrativ. Utilizatorii nu pot folosi programe de stocare a parolelor. Se pot face exceptii
pentru anumite aplicatii (precum backup automat) cu aprobarea DA. Pentru ca o exceptie sa fie aprobata, trebuie sa existe o procedura pentru schimbarea parolelor.
Dispozitivele de calcul nu trebuie lasate nesupravegheate fara a activa un sistem de blocare a accesului la acestea; deblocarea trebuie sa se faca folosind parola.
Procedurile de schimbare a parolei asistate de administratorul de sistem trebuie sa respecte urmatoarea procedura:
o Utilizatorul se va legitima, administratorul va verifica drepturile de acces a
persoanei la contul utilizator; o Se va genera o parola care va fi comunicata utilizatorului;
o Utilizatorul va schimba parola temporara, comunicata anterior, in maxim 24 ore.
31
Regulament de Detectare a Virusilor
Toate statiile de lucru de sine statatoare sau conectate la reteaua de comunicatii
a companiei, trebuie sa utilizeze programe antivirus aprobate de catre DA. Programele antivirus nu trebuie dezactivate. Configuratia programului antivirus trebuie sa nu fie modificata intr-un mod care
sa reduca eficacitatea programului. Frecventa actualizarilor automate a programului antivirus trebuie asigurata de
catre utilizator. Orice server de fisiere conectat la reteaua companiei trebuie sa utilizeze un
program antivirus aprobat in scopul detectarii si curatirii virusilor care pot infecta fisierele puse la dispozitie.
Orice server sau gateway pentru e-mail trebuie sa foloseasca un program antivirus pentru e-mail aprobat si trebuie sa respecte regulile de instalare si utilizare a acestui program.
Orice virus care nu a putut fi inlaturat automat de catre programul antivirus constituie un incident de securitate si trebuie raportat imediat DA.
32