Introducere

În acord cu prevederile din prezentul document, Resursele Informatice şi de Comunicaţii puse la dispozitie şi administrate de Centrul de Informatizare şi Comnunicaţii (CIC) sunt bunuri strategice ale Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca care trebuie administrate ca resurse ale statului român.

Compromiterea securităţii acestor resurse poate afecta capacitatea Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca de a oferi servicii informatice şi de comunicaţii, poate conduce la fraude sau distrugerea datelor, la violarea clauzelor contractuale, divulgarea secretelor, la afectarea credibilităţii instituţiei în faţa partenerilor săi.

Această politică este stabilită astfel încât:

  • Să fie în conformitate cu statutul, regulamentele, legile şi alte documente oficiale în vigoare privind administrarea resurselor informatice publice;
  • Să stabilească practici prudente şi acceptabile privind utilizarea Resursele Informatice şi de Comunicaţii ale Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca;
  • Să instruiască utilizatorii care au dreptul de folosire a Resurselor Informatice şi de Comunicaţii privind responsabilităţile asociate unei astfel de utilizări.

 Audienţă

Politica de securitate a Resurselor Informatice şi de Comunicaţii ale Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca se aplică nediscriminatoriu tuturor persoanelor cărora li s-a permis accesul la orice resursă informatică şi de comunicaţii a instituţiei.

Următoarele entităţi şi utilizatori sunt vizaţi în mod distinct de prevederile Politicii:

  • Angajaţii cu contract de muncă pe perioadă determinată sau nedeterminată care au acces la sistemul informaţional şi de comunicaţii;
  • Colaboratorii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca care au acces la Resursele Informatice şi de Comunicaţii;
  • Furnizorii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca care au acces la Resursele Informatice şi de Comunicaţii;
  • Studenţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca;
  • Alte persoane, entităţi sau organizaţii care au acces la Resursele Informatice şi de Comunicaţii.

Scop

Politica de securitate a Resurselor Informatice şi de Comunicaţii are ca scop asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiei.

Confidenţialitatea se referă la protecţia datelor împotriva accesului neautorizat.

Utilizatorul răspunde personal de confidenţialitatea datelor încredinţate prin procedurile de acces la Resursele Informatice şi de Comunicaţii.

Integritatea se referă la măsurile şi procedurile utilizate pentru protecţia datelor împotriva modificărilor sau distrugerii neautorizate.

Disponibilitatea se asigură prin funcţionarea continuă a tuturor componentelor Resurselor Informatice şi de Comunicaţii. Diverse aplicaţii au nevoie de nivele diferite de disponibilitate în funcţie de impactul sau daunele produse ca urmare a nefuncţionării corespunzătoare a Resurselor Informatice şi de Comunicaţii.

Politica de securitate are ca scop, de asemenea, stabilirea cadrului necesar pentru elaborarea regulamentelor şi procedurilor de securitate. Acestea sunt obligatorii pentru toţi utilizatorii Resurselor Informatice şi de Comunicaţii.

 Definiţii

Resurse Informatice şi de Comunicaţii (RIC): toate dispozitivele de tipărire/imprimare, dispozitive de afişare, unităţi de stocare, şi toate activităţile asociate calculatorului care implică utilizarea oricărui dispozitiv capabil să recepţioneze email, să navigheze pe site-uri de Web, cu alte cuvinte, capabil să transmită, stocheze, administreze date electronice, incluzând, dar nu limitat la: servere, calculatoare personale, (notebookuri, laptop-uri), asistent digital personal (Personal Digital Assistant – PDA), smartphone-uri, sisteme de procesare distribuită, echipament de laborator şi medical conectat la reţea şi controlat prin calculator (tehnologie încapsulată), resurse de telecomunicaţii, medii de reţea, telefoane, faxuri, imprimante şi alte accesorii. La acestea se adaugă procedurile, echipamentul, facilităţile, programele şi datele care sunt proiectate, construite, puse în funcţiune (operaţionale) şi menţinute pentru a crea, colecta, înregistra, procesa, stoca, primi, afişa şi transmite informaţia.

Centrul de Informatizare şi Comunicaţii: Responsabil la nivelul instituţiei cu administrarea Resurselor Informatice şi de Comunicaţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca. Desemnarea Centrului de Comunicaţii şi Informatizare are ca scop stabilirea în mod clar a responsabilităţii privind crearea, modificarea şi aprobarea regulamentelor privind activităţile de administrare şi utilizare a Resurselor Informatice şi de Comunicaţii.

Utilizator: O persoană, o aplicaţie automatizată sau proces utilizator autorizat de către Universitatea de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca, în conformitate cu procedurile şi regulamentele în vigoare, să folosească Resursele Informatice şi de Comunicaţii.

Abuz de privilegii: Orice acţiune întreprinsă în mod voit de un utilizator, care vine în contradicţie cu regulamentele Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca şi/sau legile în vigoare, inclusiv cazul în care, din punct de vedere tehnic, nu se poate preveni înfăptuirea de către utilizator a acţiunii respective.

Furnizor: Persoană fizică/juridică care oferă bunuri sau servicii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca în baza unui contract comercial sau de colaborare.

 Clasificarea Informaţiilor

Clasificarea informaţiilor este necesară pentru a permite atât alocarea resurselor necesare protejării acestora cât şi pentru a determina pierderile potenţiale ca urmare a modificărilor, pierderii/distrugerii sau divulgării acestora.

Pentru a asigura securitatea şi integritatea informaţiilor, acestea se împart în trei categorii principale:

  • Publice;
  • Secrete;
  • Strict Secrete.

Conducerea Universităţii, Centrul de Informatizare si Comunicaţii şi conducerile Facultăţilor/Departamentelor răspund de evaluarea periodică a schemei de clasificare a informaţiilor. Toate informaţiile din Universitatea de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca trebuie să se regăsească în una din următoarele categorii:

Publice: Acestea sunt informaţiile accesibile oricărui utilizator din interiorul sau exteriorul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca. Divulgarea, utilizarea neautorizată a acestora nu produce efecte asupra instituţiei sau aceste efecte sunt nesemnificative. Utilizatorii care furnizează aceste informaţii sunt responsabili de asigurarea integrităţii şi disponibilităţii acestora în raport cu cerinţele Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca. Exemple: Informaţiile de pe aviziere, servere web publice, ştirile de presă, informările Rectorului sau Senatului.

Secrete: Se includ aici informaţiile pe care Universitatea de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca trebuie să le protejeze conform legislaţiei în vigoare. Aceste date vor fi copiate şi distribuite în cadrul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca doar utilizatorilor autorizaţi. Distribuirea acestor informaţii de către utilizatorii autorizaţi trebuie să se facă pe baza unei clauze de confidenţialitate.

Strict Secrete sau Confidenţiale: Accesul la aceste informaţii va fi restricţionat. Datele strict secrete nu pot fi copiate, distribuite sau şterse fără acordul scris al conducerii Universităţii. Exemple: cheile criptografice, conturi administrative de pe serverele de gestiune a şcolaritaţii sau de contabilitate.

Atribuţii şi Responsabilităţi

 Atribuţiile manageriale includ:

  • Orice angajat sau compartiment al Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca trebuie să se asigure că managementul respectă prevederile prezentei Politici şi a regulamentelor sau procedurilor asociate.
  • Administratorii de reţea/sistem/baze de date trebuie să asigure existenţa jurnalelor şi a traseelor auditării pentru orice tip de acces în sistem conform regulamentelor sau procedurilor asociate.
  • Administratorii de reţea/sistem/baze de date trebuie să asigure activarea tuturor mecanismelor de securitate.
  • Compartimentul de audit intern este responsabil de evaluarea schemei de clasificare a informaţiilor.

Atribuţiile Centrului de  Informatizare si Comunicaţii includ:

  • Elaborează şi propune modificări ale politicii de securitate a sistemului RIC.
  • Elaborează şi propune pentru aprobare regulamentele şi procedurile de securitate a Resurselor Informatice şi de Comunicaţii în conformitate cu politica de securitate a acestora.
  • Elaborează proceduri pentru identificarea utilizatorilor Resurselor Informatice şi de Comunicaţii.
  • Tratarea incidentelor de securitate în scopul minimizării efectului distructiv al acestora asupra Resurselor Informatice şi de Comunicaţii.
  • Facilitarea evaluărilor legale, a cerinţelor de tip “cele mai bune practici” pe măsură ce acestea devin recunoscute.

Atribuţii ale utilizatorilor:

  • Să cunoască şi să respecte prevederile Politicii de Securitate a Resurselor Informatice şi de Comunicaţii.
  • Să cunoască şi să respecte prevederile tuturor Regulamentelor şi/sau Procedurile privind securitatea Resurselor Informatice şi de Comunicaţii.
  • Să răspundă direct de securitatea şi conţinutul informaţiilor şi resursele informatice şi de comunicaţii încredinţate direct sau indirect.

Alte atribuţii:

  • Toţi partenerii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca (furnizori,agenţi, colaboratori etc.) trebuie să accepte şi să respecte prezentul document şi regulamentele specifice privind Resursele Informatice şi de Comunicaţii.

 Confidenţialitate

  1. În scopul administrării Resurselor Informatice şi de Comunicaţii şi pentru asigurarea securităţii acestora, personalul autorizat poate revizui sau utiliza orice informaţie stocată pe/sau transportată prin sistemele Resurselor Informatice şi de Comunicaţii în conformitate cu legile în vigoare.
  2. Utilizatorii trebuie să raporteze orice slăbiciune în sistemul de securitate al calculatoarelor din cadrul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca, orice incident de posibilă întrebuinţare greşită sau încălcare a acestui regulament (prin contactarea Centrului de Informatizare şi Comunicaţii).
  3. Un mare număr de utilizatori (inclusiv studenţi), pot accesa informaţii din exteriorul sistemului de comunicaţii al Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca. În aceste condiţii este obligatorie păstrarea confidenţialităţii informaţiilor transmise din exteriorul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca şi a informaţiilor obţinute din interiorul instituţiei.
  4. Utilizatorii nu trebuie să încerce să acceseze informaţii sau programe de pe sistemele USAMVNet pentru care nu au autorizaţie sau consimţământ explicit.
  5. Nici un utilizator al Resurselor Informatice şi de Comunicaţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca nu poate divulga informaţiile la care are acces sau la care a avut acces ca urmare a unei vulnerabilităţi a sistemelor ce compun Resursele Informatice şi de Comunicaţii. Această regulă se extinde şi după ce utilizatorul a încheiat relaţiile cu Universitatea de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca.
  6. Confidenţialitatea informaţiilor transmise prin intermediul resurselor de comunicaţii ale terţilor nu poate fi asigurată. Pentru aceste situaţii, confidenţialitatea şi integritatea informaţiilor se poate asigura folosind tehnici de criptare.

Reguli de Utilizare Acceptabilă a Resurselor Informatice şi de Comunicaţii

  • Utilizarea Resurselor Informatice şi de Comunicaţii se face numai în interes de serviciu.
  • Utilizatorii trebuie să anunţe Centrul de Informatizare si Comunicatii în cazul în care se observă orice problemă/breşă în sistemul de securitate din cadrul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca cât şi orice posibilă întrebuinţare greşită sau încălcare a regulamentelor în vigoare.
  • Utilizatorii, prin acţiunile lor, nu trebuie să încerce să compromită protecţia sistemelor informatice şi de comunicaţii şi nu trebuie să desfăşoare, deliberat sau accidental, acţiuni care pot afecta confidenţialitatea, integritatea şi disponibilitatea informaţiilor de orice tip în cadrul Resurselor Informatice şi de Comunicaţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca.
  • Utilizatorii nu trebuie să încerce să obţină acces la date sau programe din Resursele Informatice şi de Comunicaţii pentru care nu au autorizaţie sau consimţământ explicit.
  • Utilizatorii nu trebuie să divulge sau să înstrăineze nume de cont-uri, parole, Numere de Identificare Personală (PIN-uri), dispozitive pentru autentificare (ex.: Smartcard) sau orice dispozitive şi/sau informaţii similare utilizate în scopuri de autorizare şi identificare.
  • Utilizatorii nu trebuie să facă copii neautorizate sau să distribuie materiale protejate prin legile privind proprietatea intelectuală şi a dreptului de autor (copyright).
  • Utilizatorii nu trebuie: să se angajeze într-o activitate care ar putea hărţui sau ameninţa alte persoane; să degradeze performanţele sistemelor ce alcatiuesc Resursele Informatice şi de Comunicaţii; să împiedice accesul unui utilizator autorizat la Resursele Informatice şi de Comunicaţii; să obţină alte resurse în afara celor alocate; să nu ia în considerare măsurile de securitate impuse prin regulamente.
  • Utilizatorii nu trebuie să descarce, instaleze şi să ruleze programe de securitate sau utilitare care expun sau exploatează vulnerabilităţi ale securităţii sistemelor ce alcatuiesc Resursele Informatice şi de Comunicaţii. De exemplu, utilizatorii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca nu trebuie să ruleze programe de decriptare a parolelor, de captură de trafic, de scanări ale reţelei sau orice alt program nepermis de regulamente.
  • Utilizatorii nu trebuie să acceseze, să creeze, să stocheze sau să transmită materiale pe care Universitatea de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca le poate considera ofensive, indecente sau obscene (altele decât cele în curs de cercetare academică unde acest aspect al cercetării are aprobarea explicită a conducerii Universităţii).
  • Accesul la reţeaua Internet prin intermediul Resursele Informatice şi de Comunicaţii se supune aceloraşi regulamente care se aplică utilizării din interiorul instituţiei şi Regulamentului pentru Utilizare Internet şi Intranet.
  • Utilizatorii care au acces la Resursele Informatice şi de Comunicaţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca au obligaţia de a purta acte şi sau legitimaţii care să ateste calitatea de utilizator autorizat în spaţiile instituţiei.
  • Utilizatorii vor folosi, exclusiv, numele de domeniu în toate activităţile desfăşurate prin intermediul sau folosind Resursele Informatice şi de Comunicaţii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca.
  • Utilizatorii nu trebuie să se angajeze în acţiuni împotriva scopurilor Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca folosind Resursele Informatice şi de Comunicaţii.
  • Toate mesajele, fişierele şi documentele – incluzând mesajele personale, fişierele şi documentele – localizate în cadrul Resurselor Informatice şi de Comunicaţii sunt proprietatea Universităţii şi pot fi subiectul unor cereri de verificare/inspectare/accesare conform regulamentelor.

 Măsuri Disciplinare

Încălcarea acestui regulament se sancţionează prin măsuri disciplinare care pot include:

  • Sancţiuni disciplinare conform Codului Muncii şi contractelor de muncă;
  • Încetarea relaţiilor contractuale (de colaborare) în cazul contractanţilor, consultanţilor sau voluntarilor;
  • Suspendarea sau exmatricularea în cazul studenţilor;
  • Interzicerea accesului la Resursele Informatice şi de Comunicaţii.

Toate acţiunile care contravin legilor vor fi raportate organelor competente.

 Alte Dispoziţii

Acest Regulament are ca parte integrantă următoarele dispoziţii:

  • Întreg personalul este responsabil privind modul de utilizare a Resurselor Informatice şi de Comunicaţii; fiecare utilizator este direct responsabil pentru acţiunile care pot afecta securitatea Resurselor Informatice şi de Comunicaţii.
  • Departamentele şi facultăţile sunt responsabile de autorizarea utilizatorilor pentru folosirea adecvată a Resurselor Informatice şi de Comunicaţii.
  • Orice informaţie folosită în sistemul RIC trebuie să fie păstrată confidenţială şi în siguranţă de către utilizator. Faptul că informaţiile pot fi stocate electronic nu schimbă cu nimic obligativitatea de a le păstra confidenţiale şi în siguranţă, tipul informaţiei sau chiar informaţia în sine stau la baza determinării gradului de siguranţă necesar.
  • Departamentele şi Facultăţile trebuie să ofere facilităţi corespunzătoare de control al accesului în scopul monitorizării Resurselor Informatice şi de Comunicaţii, protejării datelor şi programelor împotriva întrebuinţării greşite, în concordanţă cu necesităţile stabilite de acestea. Accesul trebuie să fie documentat, autorizat şi controlat în mod corespunzător.
  • Orice program comercial utilizat în cadrul Resurselor Informatice şi de Comunicaţii trebuie să fie însoţit de Licenţă care să specifice clar drepturile de utilizare şi restricţiile produsului. Personalul trebuie să respecte prevederile Licenţelor şi nu este permisă copierea ilegală a programelor comerciale. Centrul de Informatizare şi Comunicaţii, direct sau prin intermediul Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge orice produs fără Licenţă de pe orice sistem din cadrul Resurselor Informatice şi de Comunicaţii.
  • Centrul de Informatizare si Comunicaţii, direct sau prin intermediul Departamentelor şi Facultăţilor, îşi rezervă dreptul de a şterge, de pe orice sistem, orice program sau fişier care nu are legătură cu scopul muncii respective.

 Dispoziţii Finale

  • Politica de Securitate a Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca impune dezvoltarea, gestionarea şi punerea în practică de proceduri şi/sau regulamente specifice. Toate procedurile şi/sau regulamentele de securitate a Resurselor Informatice şi de Comunicaţii fac parte din Planul de Securitate şi sunt obligatorii pentru toţi utilizatorii.
  • Centrul de Comunicaţii şi Informatizare are obligaţia de a revizui periodic prezenta Politică de Securitate şi a propune dezvoltarea, modificarea Planului de Securitate.
  • Prevederile Politicii de Securitate vor fi incluse în contractul de muncă, contractul de şcolarizare cu studenţii şi toate contractele cu terţi (dacă activitatea acestora are legătură cu sistemul Informatic şi de Comunicaţii al Universităţii).
  • Componentele Planului de Securitate vor fi elaborate de către Centrul de  Informatizare şi Comunicaţi vor fi propuse pentru aprobare conducerii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca.
  • Prezentul document şi componentele Planului de Securitate vor conţine informaţii de identificare proprii şi se va specifica data la care acestea au fost aprobate şi data de la care intră în vigoare.
  • Prezentul document şi Planul de Securitate a sistemului Resurselor Informatice şi de Comunicaţii vor fi disponibile în format electronic pe site-ul web al Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca şi pe site-ul web al Centrului de Comunicaţii şi Informatizare. Se recomandă ca aceste documente să fie disponibile sau să se facă trimitere la acestea de pe toate site-urile web din cadrul Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca.
  • Modificarea prevederilor unui Regulament/Procedură se face cu aprobarea conducerii Universităţii de Ştiinţe Agricole şi Medicină Veterinară din Cluj-Napoca. Fiecare modificare a conţinutului va conduce la modificarea versiunii documentului şi a informaţiilor de identificare. Versiunea anterioară rămâne valabilă până în momentul în care noua versiune intră în vigoare.
  • Planul de securitate va conţine o listă a tuturor regulamentelor şi procedurilor aplicabile în sistemul Resurselor Informatice şi de Comunicaţii.