CATEGORII DOCUMENTE |
PROTECTIA SI SECURITATEA INFORMATIILOR
-Plan de securitate-
CUPRINS
1. Descrierea sistemului informatic
2. Clasificarea informatiilor
3. Planul de securitate privind informatiile sensibile
3.1. Politica privind arhivarea
3.2.Politica de securitate a personalului
3.3. Politica privind securitatea parolelor
4. Imagini, tabele si ecuatii
1. Descrierea sistemului informatic
In tratarea sistemului informational, accentul este pus pe sistemul informatic integrat implementat in cadrul Hotelului Maria Botosani, un sistem foarte complex, capabil sa preia, sa gestioneze, sa prelucreze si sa distribuie informatii de natura, complexitate si importanta foarte diferite.
Hotelul Maria din Botosani are o structura organizatorica de tip functional asa cum se observa in fig. 1. Exercitarea conducerii se face in mod descentralizat, iar sistemul de comunicare functioneaza atat pe verticala cat si pe orizontala. Organele principale de conducere ale societatii sunt Adunarea Generala a Actionarilor, Consiliul de Administratie si directorul general.
Structura organizatorica se prezinta sub urmatoarea forma: departament economic, departament juridic , departament tehnic, departament resurse umane, departament comercial, departament de marketing.
Sediul hotelului Maria are in dotare aproximativ 10 computere (dintre care 2 sunt servere).
Computerele sunt amplasate in fiecare birou, sporind astfel puterea si viteza de preluare a datelor in sistem, eficientizand obtinerea informatiilor care ulterior vor ajuta la luarea deciziilor oportune in timp real.
Arhitectura de retea este de tip client-server. Posturile de lucru reprezinta clienti, cu memorie si putere de calcul proprie. Pe acestea ruleaza programe(aplicatii), iar de pe server vin doar datele care pot fi accesate de toti utilizatorii si modificate in functie de drepturile pe care le are fiecare utilizator. Aceasta arhitectura este mai sigura in ceea ce priveste blocarile si accesarile neautorizate a bazelor de date, dar si flexibila, pentru ca se poate lucra simultan pe diferite statii cu soft diferit (de exemplu: Windows XP, Windows 2000 Professional).
Unele statii de lucru au implementat sistemul de operare Windows XP, altele Windows 2000 Professional. De asemenea, statiile au in dotare pachetul Microsoft Office 2003 Professional, programul de arhivare WinRAR si antivirus RAV6. Serverele folosesc sistemul de operare Windows 2003 Server.
In cadrul societatii este implementata aplicatia economica WinMentor.
Aplicatia WINMENTOR permite tinerea contabilitatii generale.
Are urmatoarele module:
Mentor :diverse, nomenclatoere, intrari, interne, iesiri, imobilizari, trezorerie;
Service:diverse, initializare, recuperare, avarie, inchidere, furnizori, conversie;
Productie : stocuri, miscari, trezorerie, parteneri, contabile, diverse, tiparire, aranjare;
Salarii: diverse, nomenclatoare, salarizare, globalizare, contabile;
Expert: diverse, nomenclatoare, analiza, urmarire repartizari, date operationale.
WinMENTOR - este o aplicatie economica folosita de catre compartimentul contabilitate si serviciul aprovizionare. Este o aplicatie integrata, care contine mai multe module, legate intre ele: casa, banca, deconturi, furnizori, clienti, salarii, mijloace fixe, stocuri, analize economice pe centre de profit. In acest program se introduc toate informatiile primite din celelalte aplicatii economice, acestea se prelucreaza si se pot obtine, pe baza de interogare si filtrare orice fel de rapoarte, de la liste de stocuri pe gestiuni si tipuri contabile, pana la realizari pe centre de profit, fise fiscale, decont de tva, declaratie de impozit pe profit, balanta contabila, registrul jurnal, cartea mare, bilant si orice alte rapoarte la cerere.
Avantajul cel mai mare al acestui program il constituie transparenta totala. Din orice raport generat, cu exceptia rapoartelor de sinteza, printr-un simplu clic dreapta realizat cu mouse-ul, se poate deschide documentul primar de unde provine acea informatie. Este un pachet de programe cu o interfata prietenoasa, usor de utilizat, si nu necesita utilizatori strict specializat. WinMENTOR este un program integrat de ultima generatie. In momentul introducerii datelor din documentele primare programul genereaza automat inregistrarile contabile aferente, acestea putand fi vizualizate imediat.
Intrucat inregistrarile contabile sunt efectuate automat, programul compune si explicatiile acestora, detaliate conform optiunii utilizatorului. WinMENTOR asigura:
Posibilitatea introducerii planului de conturi specific firmei;
Folosirea de conturi analitice pe un numar nelimitat de nivele;
Calculul automat al coeficientului diferentelor de pret la marfuri;
Inchiderea automata a conturilor de venituri si cheltuieli, precum si conturile de T.V.A.
Distribuirea procentuala a veniurilor si cheltuielilor pentru firmele asociate;
Obtinerea unei balante cumulate pentru firmele din cadrul unui grup.
Facturile sunt introduse in program, dar pentru ca banca si casa nu sunt operate la zi, nu se poate avea in orice moment o situatie cu facturile de platit catre orice furnizor. Din acest motiv, se tine o evidenta separata in Excel, a facturilor de plata catre fiecare funizor, iar dupa efectuarea platilor se procedeaza la stergerea lor. La sfarsitul fiecarei luni calendaristice, facturile in sold pentru fiecare furnizor din evidenta manuala trebuie sa coincida cu lista generata de programul WinMENTOR.
Cu acest program se poate tine o evidenta la zi a fiecarui furnizor dar aceasta nu se realizeaza datorita intarzierii introducerii datelor. Pentru a tine evidenta la zi a fiecarui furnizor s-ar putea proceda la angajarea unei persoane care sa se ocupe de aceasta.
In acest sens trebuie mentionat ca, in prezent, activitatea de prelucrare a datelor referitoare la sistemul de gestionare a marfurilor (intrari, iesiri) se realizeaza manual implicand:
un volum foarte mare de munca din partea membrilor compartimentului financiar-contabil;
intocmirea si verificarea unui numar mare de documente;
ierarhizarea, ordonarea, clasificarea si structurarea dificila a documentelor;
circuitul anevoios al documentelor in cadrul firmei;
indosarierea si arhivarea dificila a acestora;
controlul greoi al datelor;
posibilitatea aparitiei erorilor de calcul generate de factorul uman.
2. Clasificarea informatiilor
Publica Sunt informatiile care sunt destinate tuturor persoanelor care intra in contact cu organizatia, iar accesarea, divulgarea sau sustragerea neautorizata a acestora nu aduc nici o pierdere institutiei.
In aceasta categorie se incadreaza urmatoarele tipuri de informatii:
informatii generale privind societatea
raporturile anuale privind activitatea desfasurata;
bilantul si contul de profit si pierdere care sunt publicate
brosurile cu ofertele societatii;
lista cu partenerii externi - interni si potentialele investitii;
Cifra de afaceri;
Legislatia.
Interne Sunt informatiile care circula in interiorul regiei, fiind destinate si utilizate exclusiv de catre angajati, insa in cazul de sustragere sau de divulgare publica a datelor acestea nu reprezinta un pericol pentru organizatie.
Exemple:
informatii legate de terti;
contracte incheiate cu clientii;
documente specifice activitatii care o desfasoara;
factura clientului
ordin de plata
cec, chitanta
borderouri si registre
facturi pentru penalizari de intarziere
norme de conduita;
contractele individuale de munca;
Confidentialitatea inseamna orice informatie despre organizatie care nu sunt accesibile publicului si pe care tertii le califica drept confidentiale pentru institutia data. Confidentialitatea este o caracteristica a informatiei care asigura accesibilitatea numai pentru cei autorizati sa aiba acces la ea, iar distribuirea acestora poate aduce pagube semnificative.
Exemple:
contractele comerciale;
date personale ale angajatilor si clientilor;
salarii;
documentatia privind aplicatiile software;
Strict secreta In aceasta categorie se includ toate informatiile care datorita valorii economice nu trebuie facute publice. Divulgarea, utilizarea sau distrugerea acestor date sunt penalizate in functie de prejudiciile cauzate si accesul la aceste informatii va fi restrictionat. Datele strict secrete nu pot fi copiate, distribuite sau sterse fara acordul scris al conducerii.
Exemple:
parole de utilizare
3. Planul de securitate privind informatiile sensibile
Tinand seama de faptul ca unele informatii sunt mai sensibile decat altele trebuie protejate intr-o maniera mai sigura. Aceasta categorie a informatiilor sensibile vizeaza informatiile secrete si strict secrete, cum ar fi: secretele comerciale, programele si strategiile de dezvoltare, potentiale tinte de piata, planuri de afaceri pe termen lung si alte informatii care asigura succesul intreprinderii.
Informatiile sensibile sunt o resursa a organizatiei care, ca si celelalte resurse importante ale intreprinderii, adauga valoare acesteia si trebuie protejate ca atare.
Domeniul aplicarii politicii. Societatea comerciala detine in cele sase birouri si compartimente cate un seif in care sunt pastrate documentele si suporturile magnetice de stocare
care contin informatii de o importanta vitala pentru societate. Seiful are un loc bine stabilit si nu este pozitionat la vedere (sub parchet sau sub forma unui perete fals). Accesul in unitate se face prin intermediul unei usi blindate care are rolul de a proteja informatiile si patrimoniul.
Compartimentele si birourile existente sunt prevazute cu usi capitonate care au yala, securizate cu cheie, camere de supraveghere video care capteaza 8 cadre pe minut (in biroul administratorului, la compartimentul financiar-contabil si la biroul de proiectare). In acelasi timp societatea are implementat un sistem de alarma, cu senzori de miscare in fiecare compartiment sau birou iar geamurile sunt prevazute cu gratii.
Pentru asigurarea securitatii calculatoarelor si a informatiilor sensibile incluse, acestea sunt securizate prin intermediul parolelor greu de spart pentru a se evita accesarea neautorizata, furtul, modificarea, stergerea lor.
Scopul politicii este cel de a proteja informatiile organizatiei impotriva unei game variate de amenintari, fraude electronice, spionaj, sabotaj, vandalism, sau dezastre naturale in scopul asigurarii continuitatii activitatii, minimizarii daunelor posibile si pastrarii avantajului competitiv, profitabilitatii, si chiar a legalitatii. Totodata se doreste sensibilizarea intregului personal sa participe la securitatea informatiilor intrucat acestea reprezinta o posibila tinta din cauza informatiilor detinute, indiferent de postul pe care il ocupa.
Prin intermediul acestei politici angajatii sunt ajutati sa discearna care categorii de informatii pot fi facute publice persoanelor neautorizate, precum si protejarea sensibilitatii informatiilor care nu trebuie publicate in afara organizatiei fara autorizare. Scopul principal este mentinerea confidentialitatii, integritatii si accesibilitatii informatiilor.
Autorul politicii este administratorul de sistem care este responsabil cu optimizarea conditiilor de pastare a suporturilor de memorare a informatiilor, protejarea calculatoarelor firmei, sa se ocupe de actualizarea elementelor care securizeaza sistemul informatic: firewall, antivirus, antispyware, instrumente de criptare.
Actualizarea politicii se realizeaza ori de cate ori se descopera sustragerea frauduloasa de informatii, distrugerea acestora accidental sau intentionat, furtul unor echipamente de stocare a informatiilor sensibile; aceasta mai are loc si atunci cand se actualizeaza reglementarile legislative in domeniu, ca urmare a progresului inregistrat printre tehnologiile de stocare, de prelucrare, de stergere a informatiilor. O data la sase luni administratorul de sistem reciteste si aduce modificari politicii in functie de contextul existent in intreprindere in momentul respectiv.
Controlul aplicarii politicii este realizat de catre administratorul de sistem care verifica ocazional securitatea fizica a sistemului (daca geamurile sunt inchise, usile incuiate la terminarea programului) si respectarea prevederilor acestei politici.
Consecintele nerespectarii politicii sunt reprezentate de sustrageri de date si informatii strict secrete care prejudiciaza intreprinderea, de perturbari ale desfasurarii normale a activitatii. In cazul in care se constata nerespectarea acestei politici in randul angajatilor, intr-o prima faza se aplica un avertisment persoanei in cauza, la a doua abatere va fi sanctionat cu o scadere de salariu urmand ca la a treia abatere sa fie concediat. Orice abatere de la reglementarile legale va fi semnalata ogranelor competente.
Exceptii: in cazul in care o informatie importanta solicitata nu poate fi transmisa prin alte mijloace de comunicare decat posta clasica sau curierat, aceasta va fi introdusa mai intai intr-un plic de culoare neagra care va fi introdus intr-unul de culoare galbena, sigilat, stampilat, semnat, recomandat si cu mentiunea "confidential" sau "secret".
In cazul unui control efectuat de Garda Financiara, organul de control va avea acces la toate informatiile, inclusiv la cele depozitate in seifuri, avand obligatia sa pastreze confideniialitatea datelor verificate.
Recomandari
Angajatii trebuie sa clasifice informatiile cu care opereaza in informatii cu sensibilitate minima, medie si mare pentru a stabili modul de transmitere al acestora atat in interiorul cat si in exteriorul unitatii, persoanele care au acces, modul in care vor fi stocate, modul in care vor fi distruse sau eliminate.
Transmiterea in interiorul unitatii se va face prin posta electronica a unitatii, retea, prin distributie directa, cu semnatura si eticheta ce delimiteaza caracterul confidential al datelor; informatiile sunt expediate doar destinatarilor aprobati (confirmati) de sistemul intern.
Transmiterea in exteriorul firmei se va face prin e-mail cu semnatura electronica, transportori privati legitimati (informatia fiind stocata pe cd-uri sau dischete criptate) si alte metode aprobate de transmisie electronica a fisierelor.
Stocarea informatiilor se face prin pastrarea in locuri neaccesibile persoanelor neautorizate, pe suporturi magnetice sau pe hartie, in arhiva, in seif, in fisiere parolate.
Distrugerea informatiilor se face: pentru cele invechite si pastrate pe hartie, prin arderea dosarelor sau taiere cu echipamente moderne de dezintegrare; pentru cele electronice, prin stergere (prin formatare) sau distrugere fizica prin casare. Aceste procese sunt supravegheate de doua persoane si sunt confirmate prin eliberarea unui raport de distrugere a documentelor.
Nu trebuie difuzate informatii sensibile non-criptate prin intermediul e-mail-ului, al retelei sau alte metode aprobate.
Monitorul computerului trebuie amplasat departe de fereastra pentru a feri informatiile sensibile de privirile indiscrete ale curiosilor. Seiful nu va fi deschis in prezenta unei persoane straine si nici nu se va mentiona in discutiile purtate cu diverse persoane din exteriorul firmei de existenta acestuia. Cifrul cu care se securizeaza seiful este o informatie secreta care nu trebuie cunoscuta decat de persoana care are acces permanent.
Angajatii trebuie sa fie foarte atenti la informatiile transmise prin intermediul convorbirilor telefonice cu persoane cunoscute sau necunoscute.
In urma sedintelor, conferintelor in care sunt prezentate diverse evolutii ale activitatii, statistici, materialele utilizate trebuie pastrate si nu aruncate oriunde, datele scrise pe tabla trebuie sterse pentru a nu fi vazute de persoane neautorizate.
Utilizatorii trebuie sa foloseasca programe antivirus si firewall deoarece unii virusi pot fura parola sau datele contului prin inregistrarea tastelor care sunt apasate. Din acest motiv, e recomandabila instalarea unui anti-virus si actualizarea acestuia in mod frecvent.
Protejarea informatiei impotriva accesului neautorizat se va realiza prin criptare. Odata criptate, datele nu vor putea fi accesate decat folosindu-se un certificat digital corespunzator. Criptarea datelor la nivelul statiei de lucru se va realiza in doua feluri: criptarea la nivel de fisier si criptarea la nivel de partitie a hard disk-ului.
Sistemul informatic trebuie sa dispuna de capacitate de cautare dupa cuvinte/siruri cheie si trimiterea de alerte ajuta la protejarea informatiilor sensibile ale organizatiei. In momentul in care un angajat trimite un e-mail cu un document continand cuvantul "confidential", acel e-mail poate fi blocat si o alerta corespunzatoare este trimisa administratorului petru certificare.
Elaborarea unui plan de recuperare in caz de dezastru (incendiu, inundatie, cutremur, cresteri de tensiune) are o importanta deosebita in desfasurarea optima a activitatii si in protejarea informatiilor. Ca masura de prevenire a pierderilor informatiilor in urma dezastrelor trebuie realizate copii de siguranta. In vederea protectiei si confidentialitatii datelor acestea se vor copia pe diverse medii (CD, CD-RW, DVD, DVD+/-RW, DDS, banda magnetica, dicuri optice, etc) urmand ca mediile sa fie ulterior stocate intr-un loc sigur (seiful).
Angajatii care manipuleaza aceasta categorie de informatii este obligat sa nu modifice, distribuie, transmita, afiseze, publice, reproduca, sa transfere sau sa vanda orice fel de informatie obtinute in urma prelucrarilor care sa prejudicieze activitatea firmei.
Documentele trebuie sa aiba inscriptionat in coltul din dreapta-sus o holograma care sa certifice autentificitatea documentului.
Inainte de parasirea biroului persoana care isi desfasoara activitatea in acel loc trebuie sa verifice daca geamurile sunt bine inchise, daca documentele si suporturile magnetice de stocare cu informatiile sensibile sunt depuse in seif, daca computerul si celelalte echipamente (imprimanta, fax-ul, copiatorul) sunt inchise, daca sistemul de alarma este activat, usa este incuiata cu cheia.
Periodic se recomanda eliminarea tuturor urmelor navigarii pe Internet (cookies,history) sau a documentelor deschise.
In timpul calatoriilor de afaceri informatiile sensibile trebuie tinute la purtator, sub nici o forma nu vor fi depozitate in valiza. Mai exista si posibilitatea pastrarii in seiful hotelului la care se cazeaza, dar din cauza riscului sustragerii de catre personalul hotelului, este preferabila pastrarea lor asupra persoanei.
In cazul in care o persoana cade victima unui furt de informatii acest incident trebuie raportat imediat administratorului intreprinderii care va face demersurile necesare la autoritatile competente.
3.1. Politica privind arhivarea
Activitatea in cadrul unei firme presupune un volum mare de documente ce necesita arhivarea lor in locuri special amenajate.
Monitorizarea, organizarea si controlul documentelor de provenienta interna sau externa din intreprindere este vitala, deoarece de clasificarea informatiilor si stocarea lor depinde rapiditatea luarii deciziilor la nivel de conducere si la nivel departamental.
Starea de fapt
Scopul politicii
Autorul politicii de securitate
Autorul acestei politici este administratorul societatii.
Actualizarea politicii
Actualizarea politicii de arhivare este efectuata in urmatoarele cazuri:
Controlul aplicarii politicii
Consecintele neaplicarii politicii
Exceptii
Recomandari
3.2.Politica de securitate a personalului
Starea de fapt
Politica de securitate a personalului din cadrul hotelului este aplicata pe baza unui regulament intern. In cadrul acestui regulament regasim norme de conduita si metodologii de lucru specifice activitatii desfasurate de catre personal.
in primul rand angajatii au obligatia sa respecte regulamentul intern pus la dispozitie de catre conducerea unitatii;
conducerea are obligatia sa puna la dispozitia personalului cursuri de calificare in domeniul securitatii si protejarii informatiilor;
angajatii care utilizeaza calculatoarele din cadrul unitatii trebuie sa dispuna de o parola de acces;
orice angajat trebuie sa tina in secret informatiile obtinute in cadrul programului sau de lucru si sa fie fidel unitatii;
personalul este obligat sa desfasoare atributiile in timpul programului de lucru;
angajatii au datoria de a folosi tehnologiile corespunzator normelor si in folosul unitatii, nu pentru uz propriu;
personalul IT trebuie sa fie prompt in clarificarea si rezolvarea unor nereguli aparute in cadrul unitatii;
respectarea de catre personal a criteriilor de etica si morala;
utilizarea eficienta a resurselor regiei;
respectarea angajamentelor luate odata cu incheierea contractului de munca;
Scopul politicii
Autorul politicii de securitate
Autorul politicii de securitate este administratorul de retea.
Actualizarea politicii
Actualizarea politicii de securitate a personalului este efectuata in urmatoarele cazuri:
odata cu accesul neautorizat la informatii;
daca se modifica paragrafele privind securitatea personalului din cadrul regulamentul intern;
ori de cate ori este solicitat de catre conducerea firmei si de catre specialistii compartimentului IT;
odata cu schimbarile din sistem sau a modernizarii tehnologiilor informationale.
Controlul aplicarii politicii
Consecintele nerespectarii politicii
Exceptii
Recomandari
3.3. Politica privind securitatea parolelor
Parolele reprezinta un aspect foarte important pentru securitatea unui calculator. O parola simpla poate avea ca rezultat compromiterea retelei intregii intreprinderi, de aceea atat angajatii cat si persoanele din exteriorul firmei care au acces la sistem trebuie sa parcurga pasii necesari protejarii si securizarii parolelor de acces.
Starea reala in domeniul aplicarii politicii. Societatea comerciala "X" dispune de un numar de sase compartimente situate in sediul central al unitatii (la parter). Fiecare compartiment este dotat cu cate un calculator conectat la internet si legate in retea. Acestea sunt utilizate pentru derularea cu usurinta a activitatilor zilnice si realizarea sarcinilor specifice fiecarui angajat.
Accesul la calculatoare il are doar persoana care lucreaza in biroul respectiv, acesta putand fi deschis doar dupa introducerea unei parole cunoscuta de persoana in cauza. Documentele care intra in categoria informatiilor confidentiale si strict secrete sunt protejate cu ajutorul parolelor astfel incat sa se evite accesul neautorizat al oricarei alte persoane care intra in acel birou sau compartiment.
Accesul la reteau interna se face pa baza unui cont de acces care se deschide cu ajutorul unei parole individuale.
In cadrul societatii parolele sunt utilizate pentru variate scopuri: accesul la Intranet, conturi web, conturi e-mail, protectia screensaver-ului, securizarea documentelor.
Scopul politicii este cel de a stabili un standard pentru crearea unei parole puternice, pentru protectia acestei parole si stabilirea frecventei de schimbare a acesteia. Se doreste in acelasi timp si asigurarea confidentialitatii si integritatii datelor, informatiilor, rapoartelor pe care le vehiculeaza societatea. Se urmareste prevenirea acccesului neautorizat si derularea activitatilor cotidiene fara perturbari.
Autorul politicii este administratorul de retea care se ocupa de securitatea sistemului informational al intreprinderii.
Actualizarea politicii are loc in momentul in care se produce un eveniment nefavorabil securitatii (furtul unor documente, spargerea unor parole), iar o data la un an si jumatate administratorul de retea o reciteste si mai adauga sau nu noi reglementari in functie de evolutia si complexitatea programelor si spargatorilor de parole.
Controlul aplicarii politicii este realizat de catre administratorul de retea in mod aleator prin verificarea modului in care un anumit utilizator deschide calculatorul, daca foloseste sau nu parola, daca respecta recomandarile descrise mai jos.
Consecintele nerespectarii politicii sunt reprezentate de sustrageri de date si informatii strict secrete care prejudiciaza intreprinderea, de perturbari ale desfasurarii normale a activitatii. In cazul in care se constata nerespectarea acestei politici in randul angajatilor, intr-o prima faza se aplica un avertisment persoanei in cauza, la adoua abatere va fi sanctionat cu o scadere de salariu urmand ca la a treia abatere sa fie concediat. Daca aceasta politica nu este respectata de catre persoanele din exteriorul firmei, se purcede la rezilierea contractului. Orice abatere de la reglementarile legale va fi semnalata ogranelor competente.
Exceptii de la aceasta politica pot aparea in momentul in care administratorul general solicita unui angajat dezvaluirea unei parole intr-un moment critic, de maxima importanta pentru profitabilitatea intreprinderii. O alta exceptie are in vedere situatia concedierii sau demisiei unui angajat cand administratorul de retea solicita acestuia deparolarea calculatorului si a fisierelor. Pentru documentele cu caracter strict secret parola de accesare se schimba o data la trei luni..
Cand un angajat pleaca in concediu, acesta poate divulga parola de acces la calculator si la documentele care vor fi utilizate in absenta lui, cu obligatia ca aceasta sa fie schimbata la reintoarcere.
Toti angajatii, furnizorii si cumparatorii care au acces la Intranet-ul societatii si care au acces la diferite tipuri de informatii sunt obligati sa tina seama de urmatoarele recomandari in legatura cu modul de selectare si utilizare a unei parole puternice.
Utilizatorii sistemului de informatii trebuie sa foloseasca parole puternice si sa inteleaga ca utilizarea unor parole usor de descoperit reprezinta o amenintare la adresa intregului sistem. Parola trebuie considerata ca o cheie ce permite protejarea averii organizatiei, ceea ce aceasta poseda, inclusiv reputatia.
O parola este eficienta atunci cand este foarte greu de spart, in ciuda programelor specializate existente, dar care este in acelasi timp si usor de retinut. Eficienta unei parole creste pe masura ce numarul de caractere din care este compusa este mai mare (orice parola trebuie sa aiba o lungime de cel putin opt caractere). Se stie ca in sistemele de operare Windows 2000 si XP parolele pot avea o lungime de maximum 128 de caractere. Parolele sa nu fie cuvinte des utilizate din alte limbi si sa nu reprezinte informatii personale, nume de familie; trebuie sa cuprinda cel putin trei din cele patru grupe de caractere: minuscule, majuscule, caractere speciale si cifre. Timpul necesar pentru aflarea unei parole creste odata cu numarul de caractere din care este compusa.
Parolele de acces la reteaua firmei au o perioada maxima de validitate de sase luni; dupa aceasta data utilizatorul nu se mai poate autentifica daca parola nu este schimbata in urma unui mesaj primit automat. Implicit parola trebuie schimbata pentru ca o reintroducere a celei existente va fi refuzata de catre program. O parola pe care o persoana o utilizeaza in prezent nu va putea fi refolosita decat dupa doi ani de zile. Parolele care au fost schimbate au, la randul lor, un caracter confidential si nu trebuie sub nici o forma dezvaluite deoarece exista posibiliatea ca utilizatorul sa o refoloseasca sau poate oferi indicii persoanelor care urmaresc spargerea lor despre modul de alegere a unei parole.
In momentul in care o persoana alege o parola, aceasta trebuie sa tina cont de faptul ca: nu trebuie sa fie un cuvant din dictionar, nu trebuie sa reprezinte numele societatii, a membrilor familiei, a animalelor de casa, colegilor de serviciu, personajelor din basme, a vedetelor preferate, etc; nu trebuie sa defineasca termeni informatici, comenzi, elemente de hardware sau software; nu trebuie sa fie alcatuite din caractere ce definesc data de nastere, de casatorie sau alte date personale (adresa de acasa, porecle,numere de telefon); nu trebuie sa contina expresii de genul: aaabbb, 123456, qwerty, azerty, stuvwxyz.
O parola eficienta trebuie sa contina intre al doilea si al saselea caracter cel putin un caracter special; se vor utiliza cel putin patru caractere diferite fara ca acestea sa se repete astfel incat sa fie o secventa aleatoare de mai multe caractere.
Este foarte important ca parola sa nu fie divulgata nimanui (nici macar membrilor familiei), nu trebuie scrisa pe hartie sau intr-un fisier denumit sugestiv si care nu este parolat. Parola nu se va scrie in fisiere cu extensia .inc, .txt, sau .html care pot fi accesate si vazute de oricine. Se va folosi pentru aceste fisiere extensia .php care, daca sunt accesate direct, vor fi rulate fara sa afiseze informatiile continute in ele.
In situatia in care o persoana solicita divulgarea unei parole pentru diverse scopuri i se aduce la cunostinta faptul ca politica de securitate a parolelor interzice acest lucru; aceasta nu trebuie dezvaluita nici macar directorului general.
Este recomandat sa nu se foloseasca aceeasi parola pentru toate documentelor, pentru accesul la retea si e-mail. Daca se suspecteaza ca o parola este cunoscuta de catre o persoana din exterior, aceasta se schimba imediat comunicandu-se in prealabil administratorului de retea schimbarea efectuata.
Parolele nu trebuie introduse in mesaje trimise prin intermediul postei electronice sau prin alte metode de comunicare (telefon, SMS-uri).
Parolele trebuiesc tratate ca informatie confidentiala.
Se recomanda setarea optiunii de reintroducere a parolei la reluare activitatii in momentul in care nu se mai lucreaza pentru o perioada de minim cinci minute.
Utilizatorii nu trebuie sa incerce sa sparga parolele celorlalti pentru a-si facilita accesul la informatii la care nu au autorizatie.
In momentul in care o parola este introdusa gresit de trei ori, acest lucru este semnalat printr-un semnal sonor la administratorul de retea concomitent cu blocarea calculatorului care va fi deblocat de responsabilul de retea.
Daca exista mai multe parole acestea pot fi scrise intr-un fisier insa trebuie cripat acel fisier si asigurat ca nu va fi pierdut. Trebuie evitata denumirea acelui fisier cu una explicita (parolelemele.rar); parolele nu se pastreaza in agende electronice, telefoane mobile deoarece pot fi furate; la birou sau acolo unde se foloseste computerul impreuna cu alte persoane, trebuie sa se tina cont de facilitatea de retinere a parolelor din browser (AutoFill).
Fiecare angajat este raspunzator de modul in care gestioneaza parolele. Sunt obligati sa anunte orice utilizare neautorizata a parolei sau a oricarui alt aspect legat de securitatea accesului catre administratorul de retea. Este singurul responsabil pentru pastrarea caracterului confidential al contului, precum si a parolei si al tuturor actiunilor pasibile de a fi executate in contul si/sau cu parola respectiva.
Pentru a creste imunitatea sistemului la desconspirarea parolelor persoanele care au dreptul de a accesa informatiile confidentiale ale companiei trebuie sa introduca o a doua metoda de autentificare. Astfel, fiecare utilizator va trebui sa foloseasca pe langa parola si un echipament hardware ce poate fi de tip token sau smartcard. Astfel, in eventualitatea in care oricare dintre cele doua metode este desconspirata, nu se poate folosi identitatea utilizatorului respectiv fara a desconspira si cea de a doua metoda de autentificare.
4. Imagini, tabele si ecuatii
Fig. Schema bazei de date vanzari
Ecuatii
Yi = α + Βxi + εi
Ls = f + 1.96*Sp = 0.6 + 1.96*0.082 = 0.760
Li = f - 1.96*SP = 0.6 - 1.96*0.082 = 0.439
X
Sisteme de gestiune a bazelor de date cu licenta |
Sisteme de gestiune a bazelor de date free |
|
|
Tabel Piata sistemelor de gestiune a bazelor de date
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2508
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved