Politică de securitate a informației

Art. 1. Cine suntem și cui se aplică această Politică

a) Această Politică de securitate a informației se aplică tuturor informațiilor, sistemelor, rețelelor, aplicațiilor, documentelor, mediilor de stocare, echipamentelor, conturilor, fluxurilor și serviciilor gestionate de ARPS sau utilizate de ARPS în desfășurarea activității sale.

b) ARPS este o organizație non-profit, cu sediul în București, str. Gheorghe Țițeica nr. 142, sector 2, cod poștal 020304, e-mail: office@arps.ro, telefon: +40 21 527 7979, CIF: 13684229, înființată cu nr. 99/10.01.2001 la Judecătoria Sectorului 1 București și număr de înregistrare în Ministerul Justiției 1644/A/2000, înscrisă în Registrul Special al Asociațiilor și Fundațiilor aflat la grefa Judecătoriei sectorului 2 București cu nr. 16/16.06.2021.

c) Politica se aplică conducerii, personalului, colaboratorilor, voluntarilor, furnizorilor și terților care accesează sau administrează informații și resurse informaționale ale ARPS.

d) Prezenta Politică este un document intern de guvernanță. ARPS poate publica pe website o declarație scurtă privind angajamentul său pentru securitatea informației, însă fără a publica detalii tehnice sau operaționale care ar putea crește expunerea la risc.

Art. 2. Scop și obiective

a) Scopul prezentei Politici este de a proteja informațiile ARPS împotriva amenințărilor interne și externe, deliberate sau accidentale, printr-o abordare bazată pe risc și prin măsuri tehnice, organizatorice, fizice și administrative adecvate.

b) Obiectivele minime urmărite de ARPS sunt:

protejarea confidențialității informațiilor;

menținerea integrității și acurateței informațiilor;

asigurarea disponibilității și rezilienței serviciilor și sistemelor;

prevenirea, detectarea, raportarea și tratarea incidentelor;

reducerea impactului întreruperilor asupra activității;

respectarea obligațiilor legale, contractuale și organizaționale;

îmbunătățirea continuă a măsurilor de securitate.

Art. 3. Principii generale

a) ARPS aplică următoarele principii:

securitate bazată pe risc;

proporționalitate și adecvare;

„need to know” și „least privilege”;

separarea rolurilor critice, acolo unde este posibil;

securitate prin proiectare și implicit;

responsabilitate individuală și organizațională;

documentare, testare și revizuire periodică;

continuitate și capacitate de recuperare;

protecție pe întreg ciclul de viață al informației.

b) Protecția informației este înțeleasă în sensul clasic al triadei confidențialitate, integritate și disponibilitate, completată de trasabilitate, autentificare, responsabilitate și conformitate.

Art. 4. Roluri și responsabilități

a) Conducerea ARPS asigură existența unui punct intern de coordonare pentru gestionarea incidentelor de securitate și pentru menținerea măsurilor de securitate aplicabile.

Art. 5. Clasificarea informațiilor

a) ARPS clasifică informațiile, cel puțin, pe următoarele niveluri:

Publice – informații aprobate pentru publicare sau distribuție externă;

Interne – informații destinate utilizării interne curente, a căror divulgare externă neautorizată este nedorită;

Confidențiale – informații care necesită acces restricționat, inclusiv date personale, informații financiare, contractuale, de proiect sau operaționale sensibile;

Strict confidențiale / cu restricții sporite – informații care, prin divulgare, modificare sau pierdere, pot produce un impact major asupra persoanelor vizate, beneficiarilor, partenerilor sau asupra activității ARPS.

b) Clasificarea determină cerințele minime de acces, transmitere, stocare, criptare, partajare, arhivare și distrugere.

Art. 6. Cerințe generale de securitate

a) Controlul accesului. accesul se acordă individual, pe roluri și numai în măsura necesară; conturile comune se evită, iar drepturile se revizuiesc periodic și se retrag prompt la încetarea necesității. Pentru conturile privilegiate și accesul la sisteme critice se recomandă autentificare multifactor.

b) Criptare și protecția transferurilor. ARPS utilizează canale securizate pentru transmiterea informațiilor și aplică, acolo unde este adecvat, măsuri precum criptarea datelor, protejarea mediilor portabile și configurarea serviciilor pentru a reduce riscul accesului neautorizat.

c) Copii de siguranță și restaurare. ARPS asigură backup-uri periodice pentru informațiile și sistemele relevante, precum și testarea restaurării, astfel încât disponibilitatea informațiilor să poată fi refăcută într-un interval rezonabil în cazul unui incident fizic sau tehnic.

d) Managementul vulnerabilităților și al actualizărilor. sistemele, aplicațiile și echipamentele relevante sunt menținute prin actualizări și remedieri într-un interval adecvat criticității riscului, pe baza unei evaluări periodice a vulnerabilităților și a dependențelor.

e) Jurnalizare, monitorizare și audit. ARPS păstrează, după caz, jurnale relevante pentru securitate, acces și operațiuni critice, le protejează împotriva modificării neautorizate și le folosește pentru investigații, audit și îmbunătățirea controalelor.

f) Securitate fizică. accesul fizic la spațiile, echipamentele, documentele și mediile de stocare este controlat și proporțional cu nivelul de sensibilitate al informațiilor.

g) Securitatea aplicațiilor și a dezvoltării. când ARPS dezvoltă, configurează sau achiziționează aplicații și platforme, cerințele de securitate și de protecție a datelor sunt luate în considerare încă din faza de proiectare, selecție, testare și punere în funcțiune. Mediile de test și producție trebuie separate în mod rezonabil, iar datele reale trebuie utilizate limitat și controlat.

h) Securitatea furnizorilor. utilizarea furnizorilor de hosting, cloud, mentenanță, analiză, comunicare sau alte servicii digitale se face numai după evaluarea adecvată a riscurilor și includerea în contracte a cerințelor de securitate și, după caz, a obligațiilor privind protecția datelor.

Art. 7. Managementul incidentelor și continuitatea activității

a) Orice persoană care observă un incident de securitate sau o vulnerabilitate semnificativă are obligația de a o raporta imediat. ARPS tratează incidentele printr-un proces care include:

detectare

înregistrare

clasificare

limitare

analiză

remediere

recuperare

lecții învățate

după caz, conservarea probelor.

b) ARPS corelează securitatea informației cu planificarea continuității activității, astfel încât scenariile relevante pot include:

pene tehnice

atacuri cibernetice

pierderea echipamentelor

indisponibilitatea aplicațiilor

incidente la furnizori sau evenimente fizice.

Art. 8. Corelarea cu protecția datelor

a) În măsura în care informațiile protejate includ date cu caracter personal, prezenta Politică se aplică împreună cu Politica privind protecția datelor cu caracter personal. Măsurile de securitate implementate de ARPS trebuie să permită respectarea cerințelor din art. 32 GDPR și susțin obligațiile privind gestionarea breșelor, drepturile persoanelor vizate, selecția furnizorilor și documentarea conformității.

Art. 9. Monitorizare, audit, formare și conformitate

a) ARPS asigură instruirea periodică a personalului și, în măsura posibilului, efectuează verificări interne privind respectarea prezentei Politici.

b) Neconformitățile, vulnerabilitățile și lecțiile învățate din incidente se folosesc pentru adoptarea de măsuri corective și pentru îmbunătățirea continuă a cadrului de securitate.

c) Prezenta Politică este aliniată unei abordări de tip ISMS și urmărește, fără a pretinde existența unei certificări, o mapare rezonabilă la principiile ISO/IEC 27001:2022.

d) Implementarea standardului și certificarea sunt decizii distincte; o organizație poate implementa standardul fără a fi certificată.

Art. 10. Revizuire și aprobare

a) Prezenta Politică se revizuiește cel puțin anual sau ori de câte ori apar schimbări relevante de tehnologie, procese, furnizori, obligații legale ori profil de risc.

Art. 11. Contact

a) Pentru întrebări sau raportarea incidentelor legate de securitatea informației:

office@arps.ro

dataprotection@arps.ro, în măsura în care incidentul implică sau poate implica și date cu caracter personal.