Politica de Securitate IBCVTM
Politica de Securitate IBCVTM
Politica de Securitate IBCVTM
Nr.Reg………………/…………………..
REGULAMENT
Capitolul 1. INTRODUCERE
Compromiterea securităţii acestor resurse poate afecta capacitatea IBCVTM de a oferi servicii
informatice şi de comunicaţii, poate conduce la fraude sau distrugerea datelor, la violarea clauzelor
contractuale, divulgarea secretelor, la afectarea credibilităţii instituţiei în faţa partenerilor săi.
Prin urmare, prezentul regulament este motivate tehnic de necesitatea menţinerii în funcţiune, încondiţii
de securitate, a reţelei cardiologie ,precum şi de necesitatea dezvoltării normale a unei resurse de informare.
Reţeaua cardiologie
Reţeaua de calculatoarea IBCVTM (numită cardiologie în cele ce urmează) cuprinde totalitatea Resurselor
Informatice şi de Comunicaţie ale IBCVTM cu sau fără acces la reţeaua Internet/Intranet.
Orice activitate care se desfăşoară prin intermediul reţelei cardiologie trebuie să respecte legislaţia în
vigoare (internă şi internaţională): Legeanr.64/2004,Legeanr.285/2004,Legeanr.451/2004,Legeanr.496/2004,
Legeanr.506/2004,Legea nr.51/2003, Legea nr.161/2003, Legea
nr.196/2003,Legea365/2002,Legeanr.455/2001,Legeanr.677/2001,Legeanr.8/1996,HGnr.1308/2002, Convenţia
privind Criminalitatea Informatică a Consiliului Europei, Declaraţia privind libertatea comunicării pe Internet a
Consiliului Europei ,etc.),regulamentul de funcţionare s i o r g a n i z a r e ale IBCVTM, precum şi prezentul
Regulament. Definiţii şi termeni
1
Internet=reţeaua internaţională de calculatoare. Reguli ale acestei reţele se regăsesc în prevederile
Inter NIC,RIPE,etc.
Cont=o entitate specificată printr-un identificator şi/sau parolă pentru accesul la sistemul de
comunicaţie şi/sau la o resursă de calcul.
Utilizator=o persoană, o aplicaţie automatizată sau process utilizator autoriza IBCVTM în conformitate
cu procedurile şi regulamentele în vigoare, să folosească Resursele Informatice şi de Comunicaţii ale
cardiologie).
Abuz de privilegii= orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu
IBCVTM /sau legile învigoare, inclusive cazul în care, din punct de vedere tehnic, nu se poate preveni înfăptuirea
de către utilizator a acţiunii respective.
Politica de securitate este alcătuită astfel încât să fie în conformitate cu statutul, regulamentele, legile şi
alte documente oficiale în vigoare privind administrarea resurselor informatice publice, să stabilească practice
prudente şi acceptabile privind utilizarea Resursele Informatice şi de Comunicaţiiale IBCVTM şi să instruiască
utilizatorii careau dreptul de folosirea Resurselor Informatice şi de Comunicaţii privind responsabilităţile
associate unei astfel de utilizări.
Audienţă
2
Scop
Integritatea se referă la măsurile şi procedurile utilizate pentru protecţia datelor împotriva modificărilor
sau distrugerii neautorizate.
Clasificarea informaţiilor
Clasificarea informaţiilor este necesară pentru a permite atât alocarea resurselor necesare protejării
acestora, cât şi pentru a determina pierderile potenţiale cau rmare a modificărilor, pierderii/distrugerii sau
divulgării acestora.
Pentru a asigura securitatea şi integritatea in formaţiilor, acestea se impart în trei categorii principale:
publice, secrete şi strict secrete.
Publice: Acestea sunt informaţiile accesibile oricărui utilizator din interiorul sau exterior IBCVTM.
Divulgarea, utilizarea neautorizată sau distrugerea acestora nu produce efecte asupra instituţiei sau aceste
efecte sunt nesemnificative. Utilizatorii care furnizează aceste informaţii sunt responsabili de asigurarea
integrităţii şi disponibilităţii acestora în raport cu cerinţele IBCVTM.
Exemple: Informaţiile de pe aviziere, servere web publice, ştirile depresă, anunturile publice.
Secrete: În această categorie se include informaţiile care datorită valorii economice nu trebuie făcute
publice. Se include aici şi informaţiile pe IBCVTM trebuie să le protejeze conform legislaţiei în vigoare. Datorită
valorii economice asociate, aceste date trebuie distruse dacă au fost făcute publice. Aceste date vor fi copiate şi
distribuite în cadrul IBCVTM doar utilizatorilor autorizaţi. Distribuirea acestor informaţii de către utilizatorii
autorizaţi trebuie să se facă pe baza unei clause de confidenţialitate.
Strict Secrete sau Confidenţiale: În această categorie se include toate informaţiile care datorită valorii
economice nu trebuie făcute publice. Divulgarea, utilizarea sau distrugerea acestor date poate intra sub
incidenţa Codului Civil, Penal sau legislaţiei fiscale. Accesul la aceste informaţii va fi restricţionat. Dateles trict
secrete nu pot fi copiate, distribuite sau şterse fără acordul scris al conducerii IBCVTM.
3
Atribuţi iş iresponsabilităţi
Atribuţii manageriale
Administratoriidereţea/sistem/bazededatetrebuiesăasigureexistenţajurnalelorşiatraseeloraudităriipentru
oricetipdeaccesînsistemconformregulilorsauprocedurilorasociate.
Elaborarea şi propunerea pentru aprobarea planului de securitate (acesta conţine o listă a tuturor
regulilor şi procedurilor de securitate aplicabile las istemul de RIC;
Tratarea incidentelor de securitate în scopul minimizării efectului distructiv al acestora asupra RIC.
Facilitarea evaluărilor legale, a cerinţelor de tip„ cele mai bune practici" pe măsură ce acestea devin
recunoscute.
Utilizatorii reţelei cardiologie pot fi reprezentaţi de: cadre medicale, personal administrativ, alti angajati
ai IBCVTM care solicit calitatea de utilizator.
Utilizatorii standard nu au drept de administrare a reţelei şi pot folosi numai acele RIC pentru care sunt
autorizaţi, indifferent dacă sunt resurse locale sau resurse accesibile în Internet. Atribuţiile şi obligaţiile
utilizatorilor sunt următoarele:
4
Să cunoască ş isă respecte prevederile politicii de securitatea RIC;
Întreg personalul este responsabil privind modul deutilizare a RICşi nutrebuie să facă abuz de
privilegii;fiecare utilizator este direct responsabil pentru acţiunile care pot afecta securitatea Resurselor
Informatice şi de Comunicaţii.
Utilizatorii sunt responsabil inediscriminatoriu privind raportarea oricărei suspiciuni sau confirmări de
încălcare a politicii de securitate.
Nu există nicio asigurare a confidenţialităţii datelor personale saua accesului la informaţii folosind
protocoale de genul,dar nu numai, mesagerie electronică, navigare Web,conversaţi telefonice, transmisie fax-
uri şi alte instrumente de conversaţie electronică.Utilizarea acestor instrumente de comunicaţie electronic poate
fi monitorizată în scopul uno rinvestigaţii sau al rezolvării unor plângeri în condiţiile legilor învigoare.
Departamentele şi Sectiile sunt responsabile de autorizare a utilizatorilor pentru folosirea adecvată a RIC.
Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă decăt
reutilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra
confidenţiale şi în siguranţă ,tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de
siguranţă necesar.
Toate programele de calculator, aplicaţiile, codul sursă, codul obiect, documentaţia şi datele sunt
proprietatea IBCVTM şi trebuie să fie protejate.
Informaţiile depuse pe site-urile publice ale IBCVTM aparţin IBCVTM. Orice utilizare a
informaţiilor de pe site-urile publice ale IBCVTM în domeniul cardiologie.ro de către persoane
particulare sau organizaţii în alte scopuri decât cele în care au fost oferite, se face pe propria răspundere
a acestora. Într-o asemenea eventualitate, IBCVTM îşi rezervă dreptul de a solicita aplicarea prevederilor
legale în vigoare.
Fişierele electronice create, trimise, primite sau stocate folosind Resursele Informatice şi de
Comunicaţii administrate sau în custodia şi sub controlul IBCVTM nu au caracter personal şi pot fi accesate
oricând de către angajaţii autorizaţi din cadrul Serviciului de Informatica, Departamente şi Sectii fără
înştiinţarea utilizatorului.
În scopul administrării RIC şi pentru asigurarea securităţii acestora, personalul autorizat poate revizui
sau utiliza orice informaţie stocată pe sau transportată prin sistemele Resurselor Informatice şi de
Comunicaţii în conformitate cu legile în vigoare. În aceleaşi scopuri, este posibilă monitorizarea activităţii
utilizatorilor (de exemplu: pagini web vizitate).
Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul
IBCVTM , orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament (prin
contactarea Serviciului de Informatica).
Un mare număr de utilizatori, pot accesa informaţii din exteriorul sistemului de comunicaţii al
IBCVTM . În aceste condiţii este obligatorie păstrarea confidenţialităţii informaţiilor transmise din exteriorul
IBCVTM şi a informaţiilor obţinute din interiorul institiţiei.
sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemelor ce compun Resursele Informatice şi de
Comunicaţii. Această regulă se extinde şi după ce utilizatorul a încheiat relaţiile cu IBCVTM .
3.1. Introducere
6
Planul de securitate conţine toate regulile şi procedurile aplicabile în sistemul Resurselor Informatice
şi de Comunicaţii a cardiologie.
Acestea sunt elaborate pentru a stabili un cadru corect, legal şi eficient de utilizare a
tehnologiei informaţiei şi comunicaţiilor în IBCVTM .
3.2. Scop
În acord cu legislaţia în vigoare în România şi Regulamentele de ordine interioară ale IBCVTM
, Resursele Informatice şi de Comunicaţii sunt valori ale IBCVTM care trebuie exploatate şi administrate ca
resurse publice în proprietatea statului român.
Regulile (vezi anexele prezentului Regulament) au fost elaborate pentru fiecare activitate
specifică domeniului şi au fost concepute în aşa fel încât fiecare să poată fi folosită cvasi- independent de
celelalte
3.3. Audienţă
Regulile de utilizare a Resurselor Informatice şi de Comunicaţii ale IBCVTM se aplică
nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la acestea.
Capitolul 5. REFERINŢE
- RFC 1244 – Site Security Handbook: www.ietf.org/rfc/rfc1244.txt ;
- Legea nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal şi protecţia
vieţii private în sectorul telecomunicaţiilor;
- Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public.
- Hotărârea nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice şi metodologice
pentru aplicarea Legii nr. 455 din 2001 privind semnătura electronică;
- Ordinul nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a
prelucrărilor de date cu caracter personal;
- Ordinul nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor
prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter
personal şi libera circulaţie a acestor date;
- Hotărârea nr. 781 din 25 iulie 2002 privind protecţia informaţiilor secrete de serviciu;
- Legea nr. 182 din 12 aprilie 2002 privind protecţia informaţiilor clasificate;
- Legea nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în
exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea
corupţiei.