Sunteți pe pagina 1din 125

GUVERNUL REPUBLICII MOLDOVA

ACADEMIA DE ADMINISTRARE PUBLIC


Departamentul nvmnt Superior
Catedra Tehnologii Informaionale Aplicate
Management Informaional n Administraia Public
(cifrul specializrii - 44)
TEZA DE MASTER

UTILIZAREA INSTRUMENTELOR DE SECURIZARE


A INFORMAIEI N CADRUL CASEI NAIONALE DE
ASIGURRI SOCIALE (CNAS)

Autorul:
_____________________ Nadejda SCRIPNIC
Semntura

Conductorul tiinific:
_____________________ Igor COJOCARU,
Semntura
dr., lect.sup.univ

CHIINU, 2015

CUPRINS

ADNOTARE....................................................................................................................................3
ANNOTATION ...............................................................................................................................4
INTRODUCERE .............................................................................................................................5
I. INSTRUMENTE DE SECURIZARE A INFORMAIEI ...........................................................9
1.1.

Sarcinile actuale ale securitii informaionale ..............................................................11

1.2.

Scannere de vulnerabilitate web .....................................................................................17

1.3.

Elemente i cerine privind securizarea informaiei........................................................25

II. POLITICA DE SECURITATE N CADRUL CNAS.............................................................32


2.1.

Caracteristica Casei Naionale de Asigurri Sociale.......................................................34

2.2.

Formarea politicii de securitate a sistemelor informatice i Sistemul de Management al

Securitii Informaiei ................................................................................................................38


2.3.

Evaluarea riscurilor de securitate a informaiei n cadrul CNAS ...................................49

III. COMPONENTELE DE SECURITATE ALE SISTEMELOR INFORMATICE DIN


CADRUL CNAS ...........................................................................................................................66
3.1.

Securitatea fizic a sistemelor informatice .....................................................................70

3.2.

Securitatea reelelor i gestionarea conturilor de utilizator.............................................76

3.3.

Securitatea nivelelor de securitate n SO Windows, aplicaiilor i datelor .....................83

CONCLUZII I RECOMANDRI ..............................................................................................94


BIBLIOGRAFIE ...........................................................................................................................97
ANEXE........................................................................................................................................103

ADNOTARE
Scripnic Nadejda, Utilizarea instrumentelor de securizate a informaiei n cadrul
CNAS, tez de masterat, Academia de Administrare Public, or. Chiinu, 2015.
Teza cuprinde introducere, trei compartimente, concluzii i recomandri, bibliografia de
99 titluri i 3 anexe i este perfectat pe 125 pagini, din care 85 pagini partea de baz, inclusiv 2
figuri, i 5 tabele.
Cuvintele cheie: Securitatea informaiei, politica de securitate, Sistem de Management
al Securitii Informaiei (SMSI), vulnerabilitate web, riscuri de securitate, securitatea fizic,
securitatea reelelor.
Domeniul de studiu: Utilizarea instrumentelor de securizare a informaiei.
Scopul lucrrii: Eficientizarea utilizrii instrumentelor de securizare a informaiei n
cadrul CNAS.
Obiectivele lucrrii: Stabilirea, analiza i verificarea vulnerabilitii SI ale CNAS i de
a evalua riscurile de securitate a informaiei, precum i de a elabora un plan de tratare a riscurilor
pentru eficientizarea securitii informaiei n cadrul CNAS.
Valoarea teoretic i aplicativ a lucrrii: Tehnologia sistemelor de calculatoare i a
reelelor se dezvolt cu pai rapizi. Corespunztor, la fel de rapid apar noi metode de protecie a
informaiei. Scopul final al crerii culturii securitii informaiei n cadrul oricrei organizaiei
este obinerea participrii, prin intermediul iniiativelor, angajailor la procesul de dezvoltare a
Sistemelor Informaionale (SI).
n Republica Moldova nu exist o abordare unic i consistent n domeniul securitii
informaiei. Bune practici n domeniu sunt aplicate preponderent n sectorul privat, dar nu au un
caracter sistemic. Guvernul, prin intemediul Centrului de Guvernare Electronic, ncearc s
schimbe aceast situaie n sectorul public, unde este necesar de nceput cu contientizarea
acestor practici i treptat de trecut la implementarea lor.
Evaluarea ameninrilor i a vulnerabilitilor de securitate ale SI n cadrul CNAS va
permite ordonarea activitilor de securizare n dependen de nivelul de risc. Rezultatele
obinute pot servi drept baz pentru determinarea cilor eficiente de securizare a informaiei n
cadrul CNAS, precum i la stabilirea, dar i la respectarea unor obiective de perfecionare a
funcionalitii SI utilizat de ctre specialitii CNAS.

ANNOTATION
Scripnic Nadejda, Use of information security tools within the National Office of
Social Insurance, masters thesis, Academy of Public Administration, Chiinu, 2015.
The thesis is composed by introduction, three compartments, conclusions and
recommendations, bibliography of 99 titles and 3 annexes and its written on 125 pages, of which
85 pages are the main part, including 2 figures and 5 tables.
Keywords: Information security, security policy, Information Security Management
System (ISMS), web vulnerability, security risks, physical security, network security.
The field of study: Use of information security tools.
The aim of the work: Improvement of information security tools usage within NOSI.
The objectives of the work: Determination, analysis and vulnerability check of
Information Systems within NOSI and risks evaluation on information security, also to develop a
plan for dealing with risks in order to improve information security within NOSI.
Theoretical and practical value of the work: Network and computer systems technology
are developing very fast. Therefore, new methods for information protection appear with the
same speed. The final purpose of creating an information security culture within any
organization is to involve the employees in the process of Information Systems (IS)
development.
In the Republic of Moldova there is no unique and consistent approach to information
security area. Good practices in this area are being applied, but very infrequent and mostly in the
private sector. The Government, through the Center for Electronic Governance is trying to
change this situation, in the public sector, where its necessary to start with the awareness of this
practices and progressively implement them. Security risk assessment and vulnerability of
Information Systems within NOSI, will allow to order the security activities according to
vulnerability and risk levels. The obtained results can serve as a basis for determining efficient
ways of information protection within NOSI, as well as for establishment and respecting of some
objectives for functionality improvement of the Information System used by NOSI specialists.

INTRODUCERE
Actualitatea temei. Securitatea informaiilor este o problem major cu care se
confrunt societatea electronic. Indiferent de dimensiunea organizaiei, odat cu creterea
exploziv a fluxului informaional, o companie trebuie s gseasc elementele care s asigure
protecia potrivit la nivel de reea i nivel de aplicaie n faa atacurilor din ce n ce mai
sofisticate.
n Republica Moldova sunt mai multe instituii implicate n procesul de asigurare a
securitii informaionale, fiecare cu atribuiile i responsabilitile sale: Serviciul de Informaii
i Securitate, Ministerul Afacerilor Interne, Procuratura, Ministerul Tehnologiei Informaiilor i
Comunicaiei, Centrul de Telecomunicaii Speciale, Centrul Naional de Protecie a Datelor cu
Caracter Personal.
Orice reea conectat la Internet are un potenial ridicat de vulnerabilitate n faa unor
atacuri sau aciuni cu efecte distructive pentru resursele informaionale din aceast reea.
Spaiul cibernetic ajunge s reprezinte o platform confortabil pentru pregtirea i
efectuarea crimelor informatice, a actelor de terorism cibernetic i a altor aciuni maliioase,
menite s afecteze, direct sau indirect, securitatea naional. Astfel, penetrarea sistemelor
informaionale sau de comunicaii electronice ale autoritilor administraiei publice i ale altor
instituii i ntreprinderi de stat sau private, n cadrul crora se gestioneaz informaie sensibil,
poate duce la compromiterea confidenialitii, integritii sau disponibilitii acestei informaii,
i, prin urmare, la cauzarea prejudiciilor financiare sau de alt natur, inclusiv la afectarea
securitii statului. De asemenea, penetrarea sistemelor informatice aferente infrastructurii critice
ale Republicii Moldova poate conduce spre obinerea controlului neautorizat asupra acestor
sisteme, i, n consecin, la afectarea proceselor economice, sociale, politice, informaionale,
militare etc.
Totodat, natura global a sistemelor informaionale i a reelelor de comunicaii
electronice, precum i natura transnaional a criminalitii informatice necesit o coordonare
strns ntre toate instituiile responsabile att la nivelul naional, ct i la nivel global. [52]
Tehnologia informaiei i comunicaiilor se dezvolt cu pai rapizi. Corespunztor, la fel
de rapid apar noi metode de protecie a informaiei. Scopul final a crerii culturii securitii
informaiei n cadrul oricrei organizaiei este obinerea participrii, prin intermediul
iniiativelor, angajailor la procesul de dezvoltare a SI. De aceea tematica tezei de masterat

Utilizarea instrumentelor de securizare a informaiei n cadrul Casei Naionale de


Asigurri Sociale (CNAS) este destul de actual.
Scopul i obiectivele tezei. Scopul lucrrii este de a eficientiza utilizarea instrumentelor
de securizare a informaiei n cadrul CNAS. Pentru atingerea scopului enunat este nevoie de a
soluiona un ir de probleme:
- analiza ameninrilor ce in de securitatea informaiei n cadrul CNAS i clasificarea
acestora;
- eficientizarea utilizrii instrumentelor de securizare a informaiei n cadrul CNAS;
- elucidarea posibilitilor mijloacelor fizice, de aparat i program de protecie a
informaiei n reelele de calculatoare, determinarea avantajelor ct i dezavantejelor lor;
- analiza metodelor, mijloacelor de protecie a informaiei n cadrul CNAS.
Obiectivele acestei lucrri sunt:
- stabilirea, analiza i verificarea vulnerabilitii securitii informaiei a CNAS;
- studierea legislaiei RM privind securitatea informaional n RM, i a modului de
aplicare a legislatiei n cadrul CNAS;
- evaluarea riscurilor de securitate a informaiei;
- elaborarea unui plan de tratare a riscurilor pentru eficientizarea securitii informaiei
n cadrul CNAS.
Pentu aceasta este necesar:
- analiza politicii de securitate i a Sistemului de Management al Securitii
Informaiei a CNAS;
- analiza vulnerabilitii Sistemelor Informaionale ale CNAS;
- elaborarea unor recomandri pentru cretera nivelului de securitate a infromaiei n
cadrul CNAS.
Gradul de studiere, baza metodologic, importana teoretic, dar i aplicativ a
lucrrii. La capitolul aplicarea bunelor practici n domeniul securitii informaiei avem restane.
n Republica Moldova nu exist o abordare unic i consistent n acest sens. Practici bune n
domeniu sunt aplicate, dar rzle i preponderent n sectorul privat. Guvernul, prin intemediul
Centrului de Guvernare Electronic, ncearc s schimbe aceast situaie, n primul rnd n
sectorul public, unde este necesar de nceput cu contientizarea acestor practici, apoi treptat de
trecut la implementarea lor.
Evaluarea riscurilor de securitate, dar i vulnerabilitatea SI n cadrul CNAS va permite
ordonarea activitilor de securizare dup gradul de vulnerabilitate i risc. Rezultatele obinute
pot servi drept baz pentru determinarea cilor eficiente de securizare a informaiei n cadrul
6

CNAS, precum i la stabilirea, dar i la respectarea unor obiective de perfecionare a


funcionalitii SI utilizat de ctre specialitii CNAS.
La nivel internaional sunt elaborate i utilizate pe larg o serie de standarde i practici n
domeniu. Printre cele mai rspndite sunt standardele familiei ISO/IEC 27000 care, de fapt,
definesc o serie de msuri necesare pentru a fi implementate la diferite niveluri (organizaional,
procedural, etc.) cu scopul de a asigura o securitate adecvat a informaiei n cadrul unei
instituii, organizaii, inclusiv i la nivel de Guvern. ns, pentru ceteanul simplu este important

s cunoasc i s aplice nite reguli simple de protecie a informaiei referitoare la: selectarea i
protejarea parolei, utilizarea Internet-ului, utilizarea potei electornice, protejarea calculatorului
personal, etc.[53]
Odat cu apariia civilizaiei, informaia era pstrat pe purttori materiali cum ar fi:
plci de piatr, apoi pe foi de hrtie. Pentru protecia informaiei se utilizau la fel obiecte
materiale cum ar fi: perei, anuri, safeuri.
Informaia deseori se transmitea prin intemediul solilor nsoii de paz. Chiar i aceste
msuri erau destul de eficace la timpul respectiv, deoarece singura modalitate de a obine
informaia mult dorit era furtul acesteia. Din pcate, asigurarea securitii prin utilizarea forei
are i neajunsuri destul de vdite. Odat furat, infractorii aveau acces la toat informaia. Iulius
Cezar a aplicat o merod original de protectie a informaiei n procesul de transmitere a
acesteia. El a inventat cifrul Cezar. Acest cifru permitea expedierea mesajelor, pe care nimeni nu
era n stare s le descifreze n cazul furtului lor.
Acest concept a fost dezvoltat i utilizat destul de intens n timpul celui de-al doilea
rzboi mondial. Germania utiliza maina denumit Enigma pentru criptarea informaiei care era
expediat forelor armate.
Apariia ct i rspndirea calculatoarelor a condus la faptul c majoritatea oamenilor i
organizaiilor au nceput s pstreze informaia n format electronic. A aprut necesitatea de a
asigura securitatea informaiei aflate pe suport electronic.[27]
La nceputul anilor 70 a secolului XX David Bell i Leonard La Padula au elaborat
modelul securitii operaiilor, realizate la calculator. Acest model se baza pe clasificarea datelor
(nesecretizat, confidenial, secret, strict secret) ct i a nivelurilor de acces. Acest concept se
afl la baza standardului 5200.28 Trusted Computing System Evaluation Criteria-TCSEC,
elaborat n anul 1983 de ctre Ministerul Aprrii al SUA. Datorit culorii coperii crii acesta a
primit denumirea de Cartea Orange.
Pentru realizarea altor criterii au fost realizate diverse tentative de a diviza cerinele
funcionale i cerinele ce in de garanie. Aceste elaborri au intrat n Cartea Verde a
7

Germaniei n anul 1989, n Criteriile Canadei n anul 1990, Criteriile de determinare a


securitii tehnologiilor informaionale (ITSEC) n anul 1991 i Criteriile Federale (cunoscute
sub denumirea de Common Criteria-Criterii de baz) n anul 1992. Fiecare standard propunea
metoda lui de certificare a securitii sistemelor informaionale.
n Cartea Orange nu erau analizate problemele ce apreau prin unificarea
calculatoarelor ntr-o reea comun, de aceea n anul 1987 a aprut TNI (Trusted Network
Interpretation), sau Cartea Roie. n Cartea Roie snt salvate toate cerinele ce in de
securitate din Cartea Orange, este realizat tentativa de adresare a spaiului de reea i crearea
conceptului de securitate a reelei.
n zilele noastre problemele au devenit i mai serioase. nterprinderile au nceput s
utilizeze pe larg reele fr fir, apariia crora Cartea Roie nu putea s le anticipeze. Pentru
reelele fr fir, certificarea Cartea Roie este considerat nvechit.[37]
Desigur metodele de asigurare a securitii informaiei n continuu se modific,
evolueaz, la fel cum se dezvolt societatea i tehnologiile.
Volumul i structura tezei. Teza const din introducere, adnotare, trei compartimente,
concluzii i recomandri i trei anexe (n total 125 pagini).

n primul compartiment

Instrumente de securizare a informaiei sunt prezentate n trei paragrafe aspectele teoretice


ale securitii informaiei, sarcinile actuale ale securitii informaionale. Sunt descrise
scannerele de vulnerabilitate web, care au un rol deosebit n evaluarea riscurilor de securitate a
SI i sunt menionate cerinele, dar i elementele care trebuie s le cuprind un SI pentru a fi
securizat eficient.
Compartimentul doi Politica de securitate n cadrul CNAS cuprinde trei paragrafe.
Primul paragraf prezint caracteristica Casei Naionale de Asigurri Sociale. Paragraful doi definete
noiunea de politic de securitate i descrie politica de securitate aplicat n cadrul CNAS, precum i
Sistemul de Management al Securitii Informaiei, iar paragraful trei este destinat elaborrii
metodologiei de evaluare a riscurilor de securitate a informaiei n cadrul CNAS.
Compartimentul trei Componentele de securitate ale sistemelor informatice din cadrul
CNAS cuprinde trei paragrafe. n cele trei paragrafe sunt prezentate: Securitatea fizica a SI,
securitatatea reelelor i gestionarea conturilor de utilizator, securitatea aplicaiilor i a datelor,
nivelurile de securitate n sistemele de operare Windows.
Anexele conin informaii auxiliare n completarea informaiilor din compartimentele de
baz, inclusiv: organigrama CNAS, Politica de securitate a CNAS, Fie de post a specialitilor
din cadrul CNAS, responsabili de securitatea informaiei.

I. INSTRUMENTE DE SECURIZARE A INFORMAIEI


Securitatea informaional este ca o necesitate zilnic. Pentru a fi sigur c datele noastre
personale sunt i rmn confideniale, n primul rnd, trebuie s avem grij s nu le divulgm
nimnui. Trebuie s avem grij ca s nu lsm la vedere PIN-ul cardului bancar, informaia de pe
calculatorul personal sau de la serviciu, inclusiv parola de acces la contul de e-mail, facebook,
twitter sau la alte reele de socializare. Dac oamenii se ngrijesc de securitatea lor
informaional, atunci in neaprat s publice ct mai puin informaie despre viaa lor personal
pe reelele de socializate sau s nu divulge informaie de serviciu n discuiile private. Ei sunt, de
asemenea, precaui atunci cnd descarc informaie din Internet. Acestea sunt nite reguli simple
de respectat, dar absolut necesare pentru asigurarea securitii datelor personale.[24]
Asigurarea securitii informaionale a procesului de prestare a serviciilor publice n
Republica Moldova este o parte component a politicii de stat n formarea societii
informaionale, n ridicarea eficienei autoritilor administraiei publice i n asigurarea nivelului
nalt al calitii pentru sistemul de prestare a serviciilor publice.
Securitatea nseamn de obicei c utilizatorii nu vor executa dect activitile pe care
sunt autorizai s le execute i s obin informaiile pe care sunt autorizai s le aib. Trebuie s
fie prevenit deteriorarea de ctre utilizatori a datelor, aplicaiilor sau a sistemului de operare.
Cuvntul securitate implic protecia mpotriva atacurilor ru-voitoare; de asemenea implic
controlul efectelor pe care le au erorile i defeciunile echipamentelor. Dac un sistem de
securitate va fi protejat mpotriva unui atac wireless, probabil se vor preveni, de asemenea, i alte
tipuri de probleme.
Scopurile asigurrii securitii informaionale n procesul prestrii serviciilor constau n
asigurarea integritii i confidenialitii informaiei, protecia i garantarea disponibilitii,
veridicitii i integritii informaiei, evitarea scurgerii de informaie, minimizarea prejudiciilor
cauzate de evenimentele care reprezint un pericol pentru securitatea informaional.
Pentru a asigura securitatea informaional n procesul de prestare a serviciilor publice
este necesar de realizat urmtoarele obiective:
- asigurarea confidenialitii informaiei n conformitate cu clasificarea realizat;
- asigurarea integritii informaiei la toate etapele i a proceselor aferente acesteia
(crearea, procesarea, pstrarea, transmiterea i distrugerea) n procesul de prestare a serviciilor
publice;

- asigurarea oportun a disponibilitii informaiei n procesul de prestare a serviciilor


publice;
- asigurarea supravegherii, orientate spre nregistrarea oricrei activiti a utilizatorilor
i proceselor;
- asigurarea autenticitii i negrii al tranzaciilor i aciunilor ntreprinse de
participanii la procesul de prestare a serviciilor publice;
- evidena tuturor proceselor i evenimentelor privind introducerea, procesarea,
pstrarea, furnizarea i distrugerea informaiei.[38]
Astfel pentru implementarea unu sistem integrat de securitate a unei reele este necesar
de a se identifica mai nti marea parte de ameninri ce urmeaz s apar i mpotriva crora se
cere o protecie maxim.
Pentru a realiza obiectivele asigurrii securitii n procesul de prestare a serviciilor
publice este necesar de ndeplinit urmtoarele sarcini:
- identificarea resurselor i sistemelor informaionale i clasificarea acestora n
funcie de valoarea i importana acestora n procesul de prestare a serviciilor publice
(componentele analizei trebuie s includ date, aplicaii, tehnologii, mijloace de telecomunicaii
i hardware, ncperi, resurse umane, etc.);
- identificarea pericolelor (ameninrilor) de securitate informaional i
determinarea surselor poteniale de pericole pentru fiecare resurs i sistem informaional;
- identificarea punctelor vulnerabile care pot fi exploatate de fiecare pericol
identificat;
- evaluarea riscurilor pentru resursele i sistemele informaionale identificate;
- selectarea activitilor de management a securitii informaionale n baza
analizei corelaiei dintre costul realizrii lor, pe de o parte, i efectul diminurii riscurilor i
prejudiciile poteniale n caz de nclcare a securitii, pe de alt parte;
- elaborarea i implementarea mecanismelor i a msurilor de reacionare
operativ la pericolele securitii informaionale i la manifestarea tendinelor negative n
funcionarea resurselor i sistemelor informaionale de prestare a serviciilor publice;
- elaborarea i implementarea sistemului de controale care s permit funcionarea
eficient a mecanismului i a msurilor de asigurare a securitii;
- organizarea procesului de reprimare eficient a atentatelor asupra resurselor si
sistemelor informaionale;
- organizarea procesului de asigurare a continuitii prestrii serviciilor i crearea
condiiilor pentru compensarea maximal posibil i localizarea prejudiciului cauzat prin
10

intermediul aciunilor nelegitime cauzate de personae fizice i juridice, diminuarea impactului


negativ al efectelor nclcrii securitii informaionale;
- organizarea procesului de asigurare a securitii n caz de existen a furnizorilor
de servicii care au acces la resursele i sistemele informaionale n procesul de prestare a
serviciilor publice.[38]

1.1. Sarcinile actuale ale securitii informaionale


Problema securitii informaionale este o problem tratat de foarte mult timp.
Tentativele de soluionare a acesteia de ctre oameni are loc nc din timpurile strvechi.
O provocare constant n cadrul securitii informaiei - i n domeniul IT n general este ritmul n care tehnologia, i, n mod corespunztor, ameninrile i atacurile informatice se
dezvolt. Dac privim retrospective, n urm cu civa ani, tehnologii care erau adecvate n
termeni de mecanisme de securitate, astzi sunt depite, fiind compromise n cel mai bun caz n
cteva minute. Instituiile care ignor securitatea i se bazeaz pe informaii neactuale despre
ameninri i vulnerabiliti reprezint o int uoar pentru atacatori. n egal msur,
tehnologiile care previn sau limiteaz atacurile informatice au evoluat astfel nct s poat oferi
un grad de securitate i protecie ridicat. Dar cum putem s ne cretem gradul de securitate?
Rspunsul este simplu: prin investiii n tehnologie, procese de securitate i, nu n ultimul rnd,
oameni.
n contextul economic actual, multe instituii sunt tentate s reduc bugetele de formare
i s limiteze investiiile n personal. Dimpotriv, noi credem c situaia actual ofer instituiilor
oportunitatea de a-i consolida poziia pe pia, avnd angajai cu un nivel ridicat de calificare.
Succesul unei companii IT este adesea corelat n mod direct cu competenele i expertiza
angajailor. Lipsa acestor capabiliti eseniale este adesea substituit prin alocarea de bugete
semnificative pentru serviciile de consultan n scopul realizrii de sarcini operaionale n cadrul
organizaiei. Aceste sarcini pot include, de exemplu, scanarea periodic a reelei sau dezvoltarea
de politici de securitate i multe altele. A avea capacitatea de a furniza aceste tipuri de servicii cu
resurse interne din cadrul organizaiei ar putea fi un mare beneficiu, datorit reducerii costurilor
i, de asemenea, motivrii angajailor.
Pentru a dispune de aceste resurse interne foarte specializate, organizaia are nevoie s
i instruiasc angajaii n mod corespunztor, prin intermediul cursurilor de Securitate IT. Acest
tip de formare este foarte util, deoarece consolideaz noiunile specifice securitii informaiilor,

11

n structura acestuia regsindu-se standardele n domeniul securitii (ISO 27001),


managementul riscurilor, strategii de securitate i managementul incidentelor.
Un aspect important din securitatea informaiilor n cadrul unei organizaii l reprezint
educarea angajailor cu responsabiliti n domeniul IT, n scopul de a ntelege semnificaia
securitii informaiilor, gradul importanei acesteia, precum i responsabilitile individuale
legate de securitatea informaiilor. Dac resursele interne nu au cunotinte despre ceea ce
reprezint un comportament sigur n materie de utilizare IT, chiar nu are importan ct de muli
bani cheltuiete organizaia pe soluii tehnice sofisticate.
Aa cum am menionat anterior, tehnologia evolueaz rapid i este att n interesul
insituiilor ct i al angajailor s fie la curent cu ultimele tendine (informaii) din domeniu. Pe
de o parte, insituiile i vor proteja eficient activele informaionale (informaii, sisteme, resurse
umane), iar angajaii, pe de alt parte, vor beneficia de un set nou de competene.[87]
Sistemul de asigurare a securitii informaionale n procesul de prestare a serviciilor
publice trebuie s fie creat pe urmtoarele principii:
- principiul echirezistenei prevede asigurarea proteciei echipamentului, softwareului i sistemelor de administrare mpotriva tuturor tipurilor de pericole;
- principiul continuitii prevede asigurarea continu a securitii resurselor
informaionale, SI pentru prestarea continu a serviciilor publice;
- principiul suficienei rezonabile prevede aplicarea unor msuri i mijloace de
protecie rezonabile, raionale i care implic cheltuieli ce nu depesc costul nclcrilor
securitii informaionale;
- principiul complexitii - pentru asigurarea securitii cu ajutorul ntregii diversiti
de elemente de structur, pericole i canale de acces neautorizat trebuie aplicate toate tipurile i
formele de protecie n volum deplin (este inadmisibil utilizarea unor forme sau mijloace
tehnice separate);
- principiul controlului complex - efectuarea cercetrilor i controalelor speciale,
analizei inginereti speciale a echipamentului, cercetrilor de verificare a software-ului, este
necesar de realizat monitorizarea continu a mesajelor de avarie i a parametrilor erorilor, este
necesar de efectuat testarea permanent a hardware-ului i software-ului precum i controlul
integritii mijloacelor software att n procesul ncrcrii mijloacelor software, ct i n procesul
de funcionare a acestora;
- principiul fiabilitii - metodele, mijloacele i formele de protective trebuie s
asigure blocarea sigur a tuturor cilor de ptrundere i a canalelor eventuale de scurgere a
informaiei, n acest scop, este permis dublarea mijloacelor i msurilor de securitate;
12

- principiul universalitii - msurile de securitate trebuie s blocheze cile de pericol


indiferent de locul aciunii lor posibile;
- principiul planificrii - planificarea trebuie s se efectueze prin elaborarea detaliat
a planurilor de aciuni cu privire la asigurarea proteciei informaionale a tuturor componentelor
sistemului de prestare a serviciilor publice;
- principiul managementului centralizat - n cadrul unei structuri determinate
trebuie asigurat autonomia organizatorico-funcional a procesului de asigurare a securitii n
procesul de prestare a serviciilor publice;
- principiul orientrii spre realizarea scopului - este necesar de protejat ceea ce
trebuie s fie protejat n interesul unui scop anumit;
- principiul activitii - msurile de protecie pentru asigurarea securitii activitii
procesului de prestare a serviciilor trebuie s fie realizate cu un grad de insisten suficient;
- principiul calificrii personalului de deservire - echipamentul trebuie s fie
deservit de colaboratori instruii nu numai n probleme de exploatare tehnic, dar i n
problemele tehnice privind asigurarea securitii informaiei;
- principiul responsabilitii - responsabilitatea pentru asigurarea securitii
informaionale trebuie stabilit ntr-un mod clar, transmis personalului corespunztor i
aprobat de toi participanii la procesul de asigurare a securiti informaionale. [38]
n Republica Moldova sunt mai multe instituii implicate n procesul de asigurare a
securitii informaionale, fiecare cu atribuiile i responsabilitile sale (Tabelul 1.)
Tabelul 1. Instituiile RM implicate n procesul de asigurare a securitii informaionale
Instituia
Serviciul de
Informaii i
Securitate

Subordinea
Guvernul RM

Centrul de
Telecomunicaii
Speciale

Cancelaria de
Stat

Misiune
Protejarea eficient a drepturilor i
libertilor fundamentale ale
ceteanului, societii i statului
mpotriva riscurilor i ameninrilor
la adresa securitii de stat,
promovarea valorilor democratice i
intereselor naionale ale Republicii
Moldova.
Asigurarea schimbului protejat de
informaii ntre autoritile publice,
reprezentanele Republicii Moldova
din strintate, organizaii, instituii
i ntreprinderi, autoritile publice
ale altor state;
Protejarea informaiilor importante
pentru stat;
Crearea, administrarea, deservirea
i dezvoltarea sistemelor de

Link
http://www.sis.md/r
o/misiune-viziunesi-valori

http://cts.md/ro/con
tent/directii-deactivitate

13

Ministerul
Afacerilor
Interne

Guvernul RM

Secia tehnologii
informaionale i
investigaii ale
infraciunilor n
domeniul
informaticii

Procuratura
General

Ministerul
Tehnologiei
Informaiilor i
Comunicaiei

Guvernul RM

Centrul Naional
de Protecia a
Datelor cu

Insituie
autonom

telecomunicaii speciale;
Elaborarea i implementarea
tehnologiilor avansate n domeniul
securitii informaionale, inclusiv
tehnologiile semnturii digitale.
Instituie democratic n slujba
ceteanului, instituie menit s
apere valorile fundamentale ale
societii: drepturile i libertile
ceteneti, proprietatea privat i
public, ordinea i linitea public

Examineaz sesizrile persoanelor


fizice i juridice, organelor de
constatare, organului de urmrire
penal, care conin date despre
comiterea infraciunilor informatice i
din domeniul telecomunicaiilor, altor
categorii de infraciuni;
Coordoneaz, conduce i exercit
urmrirea penal, se autosesizeaz, n
cazurile comiterii infraciunilor i/sau
nclcrilor legislaiei n vigoare;
Reprezint acuzarea n numele statului
n instanele de judecat, n cauzele
penale n care a condus sau, dup caz, a
exercitat urmrirea penal;
Asigur, n cadrul desfurrii
urmririi penale, la solicitarea organului
de urmrire penal sau din oficiu,
conservarea imediat a datelor
informatice ori a datelor referitoare la
traficul informatic, fa de care exist
pericolul distrugerii ori alterrii, n
condiiile legislaiei de procedur
penal; etc.

Elaboreaz, promoveaz i aplic


politica guvernamental n sfera
tehnologiei informaiei, societii
informaionale i comunicaiilor.
Misiunea const n asigurarea unei
creteri durabile a sectorului TIC
prin promovarea unor politici
orientate spre export i o pia
liber. MTIC i propune s creeze
oportuniti pentru sfera de afaceri i
s ncurajeze
investiiile prin
promovarea concurenei echitabile i
sporirea
competitivitii
internaionale.
Obiectivul Centrului este aprarea
drepturilor i libertilor
fundamentale ale persoanelor fizice,

http://www.mai.gov
.md/istoria

http://www.procura
tura.md/md/struct/#
STIIIDI

http://www.mtic.go
v.md/about_rom/

http://www.dateper
sonale.md/md/gene
ral/
14

Caracter
Personal

n special a dreptului la via privat


n legtur cu prelucrarea i
transmiterea transfrontalier a datelor
cu caracter personal.

Orice reea conectat la internet are un potenial ridicat de vulnerabilitate n faa unor
atacuri sau aciuni cu efecte distructive pentru resursele informaionale din aceast reea.
Una dintre misiunile primordiale este prevenirea i combaterea agresiunilor din mediul
virtual, intern sau extern, ndreptate spre sistemele informatice i de comunicaii electronice de
importan statal. Aceast misiune este realizat, n conformitate cu legislaia n vigoare, prin
intermediul urmtoarelor procese operaionale:
- elaborarea propunerilor privind asigurarea securitii informatice, elaborarea i
promovarea politicii de stat i exercitarea controlului n domeniul asigurrii proteciei informaiei
atribuite la secretul de stat n spaiul cibernetic;
- crearea, asigurarea funcionrii i securitii sistemelor guvernamentale de
comunicaii electronice, elaborarea strategiei i realizarea politicii naionale n domeniul crerii,
administrrii i asigurrii funcionrii i securitii sistemelor speciale de comunicaii
electronice;
- asigurarea conducerii rii, a ministerelor, departamentelor i a altor autoriti
publice, inclusiv i n strintate, conform Nomenclatorului ntocmit de Guvern, cu legtur
guvernamental, cifrat, secret i cu alte tipuri de telecomunicaii, organizarea i asigurarea
siguranei exploatrii lor;
-

depistarea emiterilor radio ale mijloacelor radioelectronice emitoare a cror

activitate pericliteaz securitatea de stat.


Studiile arat c n medie 90% din breele de securitate identificate nu sunt datorate
problemelor tehnologice i instalrii i configurrii necorespunztoare sau datorit nerespectrii
unor proceduri de utilizare i administrare a sistemului. n multe cazuri, aceste proceduri nici nu
exist. Trebuie s privim problema n ansamblu, adresnd tehnologia, oamenii i procedurile
interne ale companiei/organizaiei.
Studierea materialelor i practicii de pn acum din domeniul securitii informaiei
arat c metodele tehnice i programul de aplicare a principiilor securitii informaionale sunt
bine documentate i este foarte greu de ales vre-un domeniu unde aceste metode nu sunt
subiectul unei cri sau articol.
Necesitatea pentru instruirea adecvat a angajailor n domeniul securitii
informaionale a fost recunoscut nu demult. n majoritatea organizaiilor din Statele Unite ale
15

Americii aceast instruire a devenit obligatorie. n orice caz, n urma analizei informaiei din
cadrul ntreprinderilor din Moldova i unor organizaii din strintate, instruirea nu este privit
ca o prioritate de majoritatea din cei intervievai. Ca exemplu, Organizatia Ernst & Young n anul
2003 a intervievat 1400 de companii din 66 de ri, dintre care numai 29% din organizaii
ofereau instruire angajailor n domeniul securitii informaionale. Similar un alt studiu arta c
13% din businessul din Anglia nu deinea proceduri pentru educarea angajailor privitor la
responsabilitile lor n acest domeniu. [64]
Cu toate acestea, majoritatea literaturii publicate este concentrat la descrierea
domeniilor tehnice a securitii informaionale i foarte puine materiale analizeaz acest
domeniu din punct de vedere al instruirii personalului n domeniul securitii informaionale i
crearea culturii securitii informaionale n cadrul unei organizaii. De exemplu, n cartea
"Information Security Management Handbook, Fifth edition" din 1000 de pagini dedicate
securitii informaionale, crerii culturii securitii informaionale au fost dedicate n jur de 15
pagini. Plus la aceasta n orice publicaie este indicat importana instruirii personalului i
statisticile arat c majoritatea incidentelor legate de furtul de informaii au fost depistate de
personalul companiilor ce nu sunt direct implicate n aplicarea securitii informaionale. [p. 989]
Problemele ce influeneaz personalul s nu reacioneze adecvat la instruirea n domeniul
securitii informaionale sunt urmtoarele:
- Angajaii pot s ntlneasc dificulti din cauza vitezei mari de dezvoltare a
companiei;
- Angajaii pot avea dificulti din cauza complexitii sistemelor din prezent;
- Iniiativele n urma analizei eficienei pot impune angajaii s se concentreze la
obligaiunile principale de serviciu, cele legate de SI rmn pe ultimul plan;
- Cei ce au iniiat reorganizarea companiei pot s subestimeze viteza de nvare a
angajailor a noilor obligaiuni i responsabititi, ct i a noilor tehnologii desigur;
- O parte de angajai dein cunotine minime n domeniul tehnologiilor informaionale
(calculatoarelor).
Rezistena pe care o opun angajaii este un fenomen cunoscut, dar n domeniul
securitii informaionale situaia este i mai grav din cauza nenelegerii de ctre utilizatori de
ce sunt necesare aceste modificri n domeniu. Adiional, elementele de control pot fi cteodat
"greoaie" i impun un anumit lucru de rutin i activiti n plus. Dac angajaii nu sunt convini
de necesitatea acestor pai, ei probabil vor ignora paii i iniiativele managementului de vrf.

16

1.2. Scannere de vulnerabilitate web


O vulnerabilitate n securitatea IT reprezint o sum de condiii care mpreun pot duce
la un sistem deschis al accesului nedorit sau neautorizat din partea unui intrus, la neputina de a
folosi corespunztor sistemul, sau reprezint o violare a politicilor de securitate ale sistemului. O
vulnerabilitate se poate referi la politica de securitate a sistemului, la modul cum a fost planificat,
implementat sau configurat. Astfel, o vulnerabilitate poate fi reprezentat de una din
urmtoarele:
-

o eroare sau un defect neprevzut n software sau n hardware care permite, ca

sistemului sa fie folosit ntr-un mod pentru care nu a fost conceput (spre exemplu depiri ale
buffer-ului care permit execuia de cod arbitrar);
-

un defect de planificare prin care se poate ocoli securitatea sistemului (spre exemplu

dac exist posibilitatea de a schimba o parol fr a fi nevoie de a ti parola precedent);


-

o configurare greit a software-ului sau a hardware-ului care permite sistemului s

fie folosit ntr-un mod pentru care nu a fost conceput (spre exemplu folosirea conturilor i
parolelor implicite care permit accesul neautorizat). [46]
O aplicaie care evalueaz vulnerabilitile (scanner de vulnerabiliti) poate fi definit
ca un utilitar care poate fi folosit pentru a testa securitatea unui sistem sau a unei reele i
descoper puncte de slbiciune. Aceste aplicaii nu ofer n mod direct protecie sau securitate
pentru un sistem sau o reea, dar n schimb adun i raporteaz informaii pe care alte
mecanisme, politici sau aplicaii le pot pune n aplicare pentru a oferi protecie mpotriva
vulnerabilitilor gsite.
Aplicaiile de evaluare a vulnerabilitilor pot fi, n general, de urmtoarele tipuri:
-

Gazd

Serviciu

Aplicaie

Active/pasive

17

Gazda. Aplicaiile de evaluare a vulnerabilitilor gazd scaneaz i raporteaz doar


calculatorul pe care se afl; nu au nici un fel de interaciune cu alte sisteme. Avantajul acestei
arhitecturi const n faptul c scannerul are acces complet la toate resursele sistemului, cum ar fi
nregistrri sau fiiere de sistem. Principalul dezavantaj const n posibilitatea scannerului de a
consuma prea mult din resursele calculatorului.
Serviciu. Aplicaiile de reea care evalueaz vulnerabilitile sunt aplicaii care sunt
proiectate s scaneze o serie de calculatoare i serviciile de reea pe care acestea le ofer pentru a
identifica vulnerabiliti. Aceste aplicaii variaz de la simple scannere de porturi, care identific
ce porturi sunt deschise, pn la scannere automate care vor detecta care calculatoare sunt n
funciune i vor ncerca s extrag de la ele date i informaii referitoare la vulnerabiliti.
Aplicaiile mai avansate permit utilizatorului s specifice care tip de vulnerabiliti sunt
de interes i de asemenea permit generarea unui raport la finalul scanrii. Exist de asemenea i
scannere proiectate pentru un tip specific de serviciu, de exemplu scannere de vulnerabiliti de
baze de date.
Aplicaie. Cele mai ntlnite astfel de scannere sunt cele pentru aplicaii web. Exist o
multitudine de astfel de scannere specifice care pot varia de la simple utilitare care ajut la
localizarea paginilor web care nu ar trebui s fie accesibile pn la scannere complexe care s
ncerce manipularea aplicaiei web de aa natur, nct s obin informaii sau acces suplimentar.
Un exemplu de manipulare ar putea fi ncercarea de injectare de interogri SQL pentru a putea
ocoli securitatea sau pentru a accesa informaii stocate n aplicaie.
Scannere active. Scannerele active ncearc s compromit (sau s evalueze
posibilitatea de a compromite) o reea, un sistem sau serviciu specific folosind strategii de atac
care ar putea fi folosite ntr-un atac real. Multe dintre scannerele active identific vulnerabilitile
cauzate de configurri defectuoase sau de patch-uri de sistem lips. Motivul pentru care sunt
denumite "active" este pentru c efectueaz teste care consum efectiv resurse ale reelei.
Un avantaj al scannerelor active este c administratorul are un control mbuntit
asupra timpului i a profunzimii scanrii de vulnerabiliti. Un alt avantaj const n faptul c,
uneori, prezena unei vulnerabiliti poate fi determinat de succesul unui test (de exemplu dac
scannerul ghicete un nume de cont sau o parol).
Marele dezavantaj al scannerelor active const n posibilitatea lor de a ntrerupe
funcionarea sistemelor. Scannerele active nu ar trebui folosite asupra sistemelor critice
operaionale fr o planificare atent n prealabil. Scannerele active, prin definiie, folosesc
resursele sistemului fapt ce ar putea conduce la ncetinirea altor procese.

18

Scannere pasive. Scannerele pasive, spre deosebire de cele active, nu afecteaz n mod
semnificativ resursele sistemului deoarece doar monitorizeaz datele pe sistem i execut orice
procesri ale datelor pe o main separat de analiz. Scannerele pasive se comport similar cu
sistemele de detecie a ntruziunilor, n sensul c intercepteaz sau primesc date despre sistem i
le evalueaz folosind un set de reguli. Analiza ofer informaii despre procesele care ruleaz pe
sistem.
Un avantaj al acestui tip de scanner este c scannerele pasive pot funciona "non-stop"
deoarece nu consum din resursele sistemului. Un dezavantaj consta n faptul c scannerele
pasive vor raporta informaii derivate doar din date disponibile cu uurin, dintre care unele sunt
de multe ori deduse deci pot fi inexacte. [56]
n general, tipurile de teste folosite de un scanner pasiv sunt: determinarea versiunii
unui program pentru a verifica prezena vulnerabilitilor (de exemplu dac a fost aplicat un
patch sau nu) i verificarea prezenei unui program care nu a mai fost ntlnit n sistem. Un
exemplu de detecie pasiv a semnturii unei vulnerabiliti l reprezint analiza unui banner
SMTP (Simple Mail Transfer Protocol) atunci cnd o conexiune ctre un server de e-mail este
fcut pentru a verifica dac acel server ruleaz o versiune vulnerabil de SMTP.
Vulnerabilitile pot exista n software-ul serviciilor de reea sau n software-ul care este
capabil s primeasc date din reea. Viermii din internet i compromiterea sistemelor de la
distan exploateaz vulnerabiliti ale serviciilor de reea. Alte vulnerabiliti sunt locale pentru
o aplicaie particular care ruleaz pe un calculator sau care are nevoie de acces nemijlocit la
sistemul de operare sau la sistemul de fiiere al calculatorului respectiv. Toate tipurile de
vulnerabiliti de mai jos se aplic att vulnerabilitilor serviciilor de reea ct i
vulnerabilitilor locale:
-

Software fr patch-uri de securitate - majoritatea viruilor, viermilor i atacurilor

asupra sistemelor unui calculator exploateaz vulnerabiliti cunoscute ale software-ului


calculatorului. Pentru a v putea proteja de aceste atacuri este important existena unei aplicaii
automate de scanare de vulnerabiliti care s identifice sistemele din reea care nu au toate
patch-urile instalate.
-

Configurri greite - fiecare organizaie adopt configuraii diferite pentru

echipamentele lor datorit cerinelor diferite, dar este foarte important ca acea configuraie aleas
s fie sigur i orice posibil vulnerabilitate s fie descoperit (de exemplu, firewall-uri cu seturi
de reguli incomplete, parole ale conturilor de utilizatori slabe sau fiiere cu drepturi de acces
incorecte)

19

Configurri implicite - un numr mare de produse, att hardware ct i software, au

configurri implicite nesecurizate care pot include conturi de utilizatori i parole implicite bine
cunoscute sau rularea de servicii care nu sunt necesare.
-

Aplicaii fr suport de securitate - exist dou tipuri de aplicaii fr suport:

software care este nvechit i astfel furnizorul nu mai ofer patch-uri pentru vulnerabilitile din
software-ul respectiv i software care nu este permis de organizaia utilizatorului. Unele tipuri de
vulnerabiliti sunt mult mai greu de detectat dac nu au o semntur cunoscut sau nu afecteaz
dect unele versiuni ale unui software.
-

Erori de programare n validarea datelor de intrare - acest tip de vulnerabilitate

include printre altele depiri ale buffer-ului, cross-site scripting, SQL injection. Este de departe
cel mai utilizat tip de vulnerabilitate folosit n compromiterea sistemelor.
-

Vulnerabiliti ale kernel-ului - kernel-urile sistemelor de operare pot avea

vulnerabiliti care pot fi exploatate. Scannerele de vulnerabiliti actuale nu pot gsi aceste
vulnerabiliti dect dac este tiut faptul c versiunea respectiv de kernel este vulnerabil.
Singura metod complet pentru a gsi aceste vulnerabiliti este de a verifica codul surs, dac
acesta este disponibil, care poate fi fcut cu aplicaii automate de analiz a codului. Altfel ar
putea fi necesar folosirea dezasambloarelor sau o analiz a funcionrii proceselor. Toate aceste
metode presupun un consum mare de resurse precum i experiena i calificarea unui
specialist.[59]
Aplicaiile de evaluare a vulnerabilitilor sunt doar unelte de detecie i doar prin
nelegerea, analiza i aciunea unui administrator de sistem pot deveni unelte de protecie
mpotriva vulnerabilitilor. Toate aceste aplicaii necesit un grad ridicat de expertiz tehnic i
timp pentru a nelege, alerta, a stabili c nu este un fals pozitiv i a lua msurile necesare.
Scannerele de vulnerabiliti sunt folosite pentru a ajuta la protejarea sistemelor sau reelei aa c
asigurai-v c aceste aplicaii nu au efectul opus, deteriorarea sistemelor i degradarea
performanei lor. Este recomandat ca nainte de a folosi un nou scanner de vulnerabiliti, sau de
a implementa noi teste pentru acest scanner s fie rulate n prealabil pe un sistem sau o reea care
nu se afl n exploatare. Este de asemenea recomandat ca testele care pot avea un efect distructiv
s fie nlturate atunci cnd se efectueaz scanri pe o reea operaional.[54]
nainte de a folosi aceste aplicaii este esenial o bun nelegere a modului lor de
funcionare precum i a datelor care pot fi culese n urma folosirii lor.
Trebuie luat n considerare locaia surs de unde se va face scanarea deoarece
mecanismele de securitate vor fi, cel mai probabil, diferite n funcie de tipul accesului: din afara
reelei sau din interiorul ei. Decizia despre unde s fie poziionat sursa trebuie luat n funcie
20

de datele care se doresc a fi obinute. O scanare din exteriorul reelei va simula un atacator extern
n timp ce o scanare din interiorul reelei va arta cu mai mare acuratee vulnerabilitile prezente
n sistem i care pot fi exploatate de un atacator din interior sau care a compromis un sistem din
interiorul reelei.
Atunci cnd se efectueaz o scanare a unei reele toate calculatoarele din reea ar trebui
s colecteze nregistrri despre ce se ntmpl. Acestea reprezint mecanisme de validare a unui
rezultat pentru a determina dac o vulnerabilitate raportat a fost corect sau a fost un fals
pozitiv.
Utilizatorii de scannere de vulnerabiliti ar trebui s scaneze n mod regulat sistemele
lor, astfel avnd un istoric asupra vulnerabilitilor existente. n plus, utilizatorii de scannere de
vulnerabiliti ar trebui s urmreasc apariia unor noi vulnerabiliti i s aplice noile teste
pentru acestea ct mai curnd posibil.
Exist o multitudine de aplicaii de evaluare a vulnerabilitilor att comerciale ct i
non-comerciale. Unele din scannerele de vulnerabiliti care au licen open-source sau care sunt
disponibile fr costuri sunt:
- Nikto,

scanner

open-source

pentru

servere

web

http://www.cirt.net/code/nikto.shtml
Nikto Web Scanner este un scaner server Web care testeaza servere Web pentru fiierele
periculos / CGIs, software de tip server depite i alte probleme. Se efectueaz verificri
specifice tipului de generice i de server. De asemenea, surprinde i imprim toate cookie-urile
primite.
Nikto este un Open Source (GPL) web scanner server care efectueaz teste
cuprinztoare mpotriva serverelor web pentru mai multe elemente, inclusiv peste 6700 de fiiere
potenial periculoase / CGIs, controale pentru versiunile vechi de peste 1250 de servere, i
probleme specifice pe versiunea peste 270 de servere. Se verific, de asemenea, pentru elemente
de configurare a serverului, cum ar fi prezena mai multor fiiere index, opiuni de server HTTP,
i va ncerca s identifice servere de web instalate i software. Obiecte de scanare i plugin-uri
sunt actualizate frecvent i pot fi actualizate automat.[68]
-

WPScan scanner web, este o cutie neagr WordPress. Software-ul WPScan i datele

sale sunt dual-liceniate - drepturi de autor 2011-2014 WPScan Team - http://wpscan.org


Cazurile care includ comercializarea de WPScan necesit o licen non-comercial
liber. n caz contrar, sistemul poate fi utilizat n conformitate cu termenii GNU General Public
License.
Cazurile de comercializare sunt:
21

- Folosind WPScan pentru a oferi / Software-as-a-Service servicii comerciale


administrate.
- Distribuirea WPScan ca un produs comercial sau ca parte a unei.
- Folosind WPScan ca o valoare adugat serviciu / produs.
Cazurile care nu necesit o licen comercial, i, prin urmare, se ncadreaz n termenii
GNU General Public License, includ (dar nu sunt limitate la):
- Testele de penetrare (sau organizaii de testare de penetrare), folosind WPScan, ca
parte din set de instrumente de evaluare a lor. Atta timp ct nu intr n conflict cu clauza de
comercializare.
- Folosind WPScan pentru a testa propriile sisteme.
- Orice utilizare non-comerciale de WPScan.[69]
-

Vega web scanner, este un instrument de testare de securitate automat care se trte

un site web, analiznd coninutul paginii pentru a gsi link-uri i parametrii de form https://subgraph.com/vega/
Vega are dou perspective: scanerul, proxy. Vega gsete puncte de injectare, denumite
noduri de stat n drum, i se execut ca module scrise n JavaScript pentru a le analiza. Vega se
execut, de asemenea, pe module JavaScript pe toate rspunsurile trimise napoi de la server n
timpul scanrii. Vega stocheaz informaiile scanate actuale i trecute ntr-un "spaiu de
lucru". tergerea spaiul de lucru va elimina toate datele de scanare, inclusiv alertele i cererile /
rspunsurile salvate.
Vega scaneaz site-uri recursiv, construind o reprezentare intern a site-ului ntr-o
structur de date de tip arbore format din entiti cunoscute sub numele de "path state nodes
(noduri de stat n cale)". Path state nodes pot fi directoare, fiiere, sau fiiere cu POST sau
GET parametri. Site-uri complexe pot duce la scanri lungi i structuri mari de date de stat n
cale, aa Vega ofer parametri configurabile care limiteaz domeniul de aplicare de scanare n
preferinele de scanare. Exist dou seturi de preferine asociate cu scanerul: preferinele scaner
i depanare Scanner.[70]
-

Arachni web scanner, este un Open Source, cu funcii complete, modulare, de nalt

performan cadru Ruby menit pentru a ajuta testerii de penetrare i administratorii de evaluare a
securitii aplicaiilor web - http://arachni-scanner.com
Web scanerul Arachni, este un scanner de vulnerabilitate web inteligent, el se pregtete
pentru monitorizarea i nvarea comportamentulului aplicaiei web n timpul procesului de
scanare i este capabil de a efectua meta-analiza, folosind o serie de factori, n scopul de a evalua
corect gradul de ncredere a rezultatelor.
22

Spre deosebire de alte scanere, se ia n considerare natura dinamic a aplicaiilor web,


poate detecta schimbri cauzate n timp ce cltoresc prin cile de complexitate ciclomatice a
aplicaiei web i este capabil s se adapteze n consecin. n acest fel, atacurile care altfel nu ar
fi detectabile pot fi manipulate cu uurin.
Mai mult dect att, datorit mediului su, browser-ul integrat, se poate, de asemenea,
de inspectat i de sprijinit aplicaiile web extrem de complicate care folosesc intens tehnologiile
avansate, cum ar fi JavaScript, HTML5, DOM i AJAX.
n ciuda faptului c Arachni este n mare parte orientat spre securitatea aplicaiei web,
acesta poate fi utilizat cu uurin pentru uz general de profilaxie cu adaos de componente
personalizate.[71]
-

Microsoft Baseline Security Analyzer, scanner de vulnerabiliti Microsoft destinat

calculatoarelor cu sisteme de operare Microsoft Windows - http://www.microsoft.com/


technet/security/tools/mbsahome.mspx
Freeware-ul Microsoft Baseline Security Analyzer (MBSA) ofer gestionare
mbuntit a securitii pentru companiile mici i mijlocii.
Microsoft Baseline Security Analyzer (MBSA) ofer abilitatea de a aprecia
vulnerabilitile administrative prezente pe unul sau mai multe computere. MBSA scaneaz
computerele specificate i apoi genereaz un raport ce conine detalii pentru fiecare computer
despre verificrile de securitate pe care MBSA le-a efectuat, rezultate, i recomandri pentru
fixarea problemelor. Adiional verificrii de configuraii greite care pot cauza probleme de
securitate n sistemul de operare, potem verifica pentru probleme de securitate n Microsoft SQL
Server i Microsoft Internet Information Services (IIS).
Microsoft Baseline Security Analyzer (MBSA) - poate fi folosit pentru a analiza
sistemele existente i a inventaria vulnerabilitile descoperite pentru sistemele de operare
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum i a altor
produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange,
Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML,
BizTalk Server, Commerce Server, Content Management Server i Host Integration Server.[72]
MBSA adaug o interfa grafic la utilitarul linie de comand HFNetCheck i folosete
un fiier MSSECURE.XML ce poate fi downloadat de la Microsoft i conine informaii despre
toate patch-urile disponibile n acel moment. Astfel se pot crea rapoarte pentru sistemele scanate
ce afieaz patch-urile care nu au fost nc instalate pe sisteme. MBSA este capabil s identifice
de asemenea vulnerabiliti cunoscute la servicii i aplicaii. MBSA poate scana o singur
main sau mai multe folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu
23

condiia s aib permisiuni administrative. MBSA poate face doar analiza sistemelor, nu i
instalarea propriu-zis a patch-urilor.[62]
-

Winfingerprint, scanner de vulnerabiliti open source pentru reele cu

calculatoarele cu sisteme de operare Microsoft Windows - http://winfingerprint.con/index.php


WinFingerprint este un scaner administrativ resurs de reea care permite scanarea
mainilor de pe LAN i returneaz diverse detalii despre fiecare gazd. Aceasta include aciuni
NetBIOS, informaii disc, servicii, utilizatori, grupuri, etc. Se poate alege efectuarea unei scanri
pasive sau interactive. Scanarea poate fi rulat pe o singur gazd sau ntregul cartier de
reea. WinFingerprint ofer posibilitatea, de asemenea, de intrare pe o list de adrese IP sau
specific un interval personalizat IP pentru a fi scanate. Funciile suplimentare includ NULL
IPC$ Sessions, de detectare a Service Pack i remedieri rapide, ICMP i rezoluia DNS, de
detectare a sistemului de operare i mult mai mult. Winfingerprint poate utiliza Active Directory
(ADSI) sau Windows Management Instrumentation (WMI) interfee n plus fa de standard de
SMB (NetBIOS peste TCP) interfa.[73]
-

CIS Benchmarks/Security Tool, scanner de vulnerabiliti pentru calculatoare Unix,

Microsoft Windows, Sun Solaris i Oracle - http://www.cissecurity.com/ [74]


-

OpenVAS, Open Vulnerabilty Assesment System - http://wald.intevation.org/

projects/openvas
Scanerul OpenVAS este un sistem complet de evaluare a vulnerabilitii, care poate
detecta problemele de securitate n tot felul de servere i dispozitive de reea. Software-ul
OpenVAS poate fi folosit pentru a testa cu uurin infrastructura Internet.
Rezultatele vor fi livrate la adresa de email pentru analiz; permind nceperea
remedierii oricror riscuri a sistemelor i a face fa ameninrilor externe.
Scanarea vulnerabilitilor efectuate de servere gzduite extern ofer aceeai perspectiv
ca un atacator.
Motivul principal pentru a utiliza acest tip de scanare este acela de a efectua teste de
securitate cuprinztoare a unei adrese IP. Se va efectua iniial o scanare de porturi de o adres IP
pentru a gsi servicii deschise.
Dup ce s-au primit rezultatele testelor, va trebui verificat fiecare constatare pentru
relevan. Orice vulnerabiliti confirmate ar trebui s fie remediate pentru a asigura c sistemele
nu sunt supuse nici unui risc.
O utilizare secundar a acestui tip de scanare presupune testarea proceselor de rspuns
la incidente i sisteme de prevenire a intruziunilor de detectare. Fiind un tip de scanare agresiv i

24

zgomotos, de monitorizare a securitii reelei ar trebui s detecteze scanarea i s ofer alerte


pentru soluia de monitorizare a securitii.[75]
-

Paros, arhitectur pentru testare web - http://parosproxy.org/

Paros este un instrument de testare valoros pentru testarea de securitate i


vulnerabilitate.[76]
Aplicaiile prezentate mai sus reprezint doar o parte din multitudinea de aplicaii
existente.

1.3. Elemente i cerine privind securizarea informaiei


Asigurarea securitii informaionale este un proces continuu care const n
fundamentarea i realizarea celor mai raionale forme, metode, procedee i ci de formare,
perfecionare i dezvoltare a sistemelor de securitate, n administrarea nentrerupt, controlul,
depistarea zonelor limitate i vulnerabile, precum i a pericolelor poteniale.
Securitatea informaional reprezint starea de protecie a informaiei i infrastructurii
de susinere la toate etapele proceselor de creare, procesare, transmitere i protecie mpotriva
unor aciuni ocazionale sau intenionate, cu caracter natural sau artificial, care pot cauza
prejudicii procesului de prestare a serviciilor publice.
Securitatea informaional trebuie s fie asigurat prin intermediul utilizrii complexe a
tuturor mijloacelor de protecie pentru toate elementele de structur ale sistemului i
componentele infrastructurii TI i la toate etapele ciclului tehnologic ale activitii acestuia.
Pentru a atinge nivelul optim al managementului securitii informaionale este necesar de
utilizat toate mijloacele, metodele i activitile n calitate de mecanism integru unic.
Securitatea informaiei se ocup cu protejarea informaiei i sistemelor informatice de
accesul neautorizat, folosirea, dezvluirea, ntreruperea, modificarea ori distrugerea lor. Cele trei
componente ale securitii informaiei sunt: confidenialitatea, integritatea i disponibilitatea.
Confidenialitatea este asigurat prin criptarea informaiei. Integritatea se obine prin mecanisme
i algoritmi de dispersie. Disponibilitatea e asigurat prin ntrirea securitii reelei sau reelelor
de sisteme informatice i asigurarea de copii de siguran.[25]
Sistemele informaionale sunt ameninate att din interior ct i din exterior. Pot fi
persoane bine intenionate care fac diferite erori de operare sau persoane ru intenionate, care
sacrific timp i bani pentru penetrarea sistemelor informaionale. Dintre factorii tehnici care
permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare
sau anumite defecte ale echipamentelor de calcul sau de comunicaie. De asemenea, lipsa unei
25

pregtiri adecvate a administratorului, operatorilor i utilizatorilor de sisteme amplific


probabilitatea unor probleme de securitate. Folosirea abuziv a unor sisteme (piraterie
informatic) reprezint, de asemenea, unul din factorii de risc major privind securitatea
sistemelor informatice.[28]
Pe msura extinderii razei manifestrii economice umane tot mai pronunat devine
caracterul social al informaiei n cauz, iar procesele informaionale necesit organizarea lor n
mod contient. De aceea dac la faza iniial a activitilor economice umane fluxurile
informaionale spaial se formau i se realizau acolo unde i celelalte materiale, apoi treptat, n
mod evolutiv ele tot mai esenial i-au majorat att termenii ct i scara de aciune.
n aa circumstane funcionarea eficient a sistemului informaional economic este
bazat nu numai pe concordana spaial i n timp a proceselor informaionale, dar n msur
egal i pe asigurarea securitii unitilor informaionale funcionale. Aceasta de pe urm i
gsete explicarea n faptul c odat cu integrarea activitilor economice n parametrii
nominalizai automat se produce i integrarea fluxurilor informaionale, ce le nsoesc. n
consecin fenomenului produs e suficient ca un singur element informaional s fie alterat, ori
pierdut i sistemul informaional n ansamblu poate s nu mai corespund solicitrilor
sistemului de gestiune concret, deoarece elementul respectiv dispune de o mulime de conexiuni
cu o mulime de alte elemente i pierderea (alterarea) lor firete negativ influeneaz
sistemul informaional integral.
De aceea conceptul de organizare a resurselor informaionale sub form de fiiere
separate nu n mod evident accentueaz valoarea securitii datelor, aa cum neasigurarea ei se
refer la fiecare fiier n parte i nu afecteaz tot sistemul informaional n ntregime, ori o bun
parte a lui. Totodat organizarea integrat a datelor pune probleme stringente privind securitatea
lor din cauza c realizarea ei este condiionat de conexiunile informaionale dintre problemele
soluionate. n aa condiii deteriorarea unei uniti de date poate s se rsfrng asupra calitii
sistemului informaional n ansamblu.
Integrarea datelor n procesele de organizare i transformare obiectiv acutizeaz
necesitatea asigurrii stricte a securitii lor. Pornind de la aceast consideren, creterea
nsemntii activitilor de protecie a datelor este condiionata i de urmtorii factori de baz:
-

evoluarea conceptului de organizare a datelor odat cu trecerea de la fiiere separate

la baza informaional unic i integrat, ce deservete tot obiectul economic i fiecare


subdiviziune, participant i activitate a lui;
-

coordonarea i reglarea proceselor informaionale economice n spaiu i timp;

creterea continu a numrului i volumelor unitilor informaionale;


26

majorarea complexitii structurale a acestor uniti;

majorarea varietii componistice a unitilor n cauz;

complicarea efecturii proceselor de organizare, transformare i utilizare a unitilor

informaionale n cadrul sistemului de gestiune a unitii economice.


La rndul su, aceti factori de contribuire la securitatea datelor au condus la necesitatea:
-

evidenierii, ordonrii i integrrii funcionale a unitilor structurale informaionale,

condiionate de interconexiunea informaional a problemelor soluionate i de utilizarea ct mai


econom al spaiului memorial al sistemului informatic;
-

evidenierii, sistematizrii i integrrii structurale a unitilor informaionale cu

scopul unificrii structurii lor;


-

evidenierii, clasificrii i integrrii procedurilor de organizare, prelucrare i utilizare

a unitilor de structuri de date pentru a exclude dublarea i iteractivitatea lor nejustificat.


Securitatea datelor se efectueaz divers n funcie de mediul formrii i transformrii
lor. Se evideniaz dou medii de aa natur sistemul informaional i sistemul informatic.
Primul include toat informaia ce este organizat, prelucrat i utilizat conform cerinelor i n
cadrul sistemului de conducere concret n ansamblu att pe baza de metode manuale, ct i
automate. n acelai timp, sistemul informatic este nu altceva dect sistemul informaional
realizat prin intermediul mijloacelor tehnice.[55]
Securitatea trebuie s fie o caracteristic intrinsec a sistemului. Un sistem sigur este
unul bine proiectat, implementat, utilizat i administrat.
Sistemul securitii informaionale reprezint un ansamblu organizat de msuri,
mijloace, metode i activiti legislative, organizaionale i economice ce asigur securitatea
informaional.
Scopul sistemului securitii informaionale n procesul de prestare a serviciilor publice
const n prevenirea divulgrii, pierderii, scurgerii, denaturrii i distrugerii informaiei,
dereglrii activitii sistemului de prestare a serviciilor publice.
Subiectul proteciei n procesul de prestare a serviciilor publice l constituie resursele
informaionale i SI, inclusiv i cele cu acces limitat, ce constituie secret de serviciu i de stat,
amplasate pe baz magnetic i/sau optic, masivele informaionale i bazele de date, softwareul, cmpurile fizice informative de natur diferit.
Obiectul proteciei prestrii serviciilor publice sunt mijloacele i sistemele de
informatizare (sistemele automatizate i reelele de calcul de diferite niveluri i destinaii, liniile
de telecomunicaii, mijloacele tehnice de transmitere a informaiei, mijloacele de multiplicare i

27

reflectare a informaiei, mijloacele i sistemele tehnice auxiliare), mijloacele tehnice i sistemele


de paz i protecie a resurselor i sistemelor informaionale (SI).
Securitatea resurselor informaionale i a SI caracterizeaz o stare a resurselor
informaionale i a SI care susine infrastructura acestora, n cadrul creia trebuie asigurat, cu
probabilitatea necesar, protecia informaiei n procesul de prestare a serviciilor mpotriva
scurgerii, aciunilor neautorizate i nepremeditate.[33]
Asigurarea securitii informaionale reprezint o abordare multidimensional pentru
instituia ce presteaz servicii publice. Asigurarea securiti informaionale trebuie s fie realizat
n cadrul a patru nivele:
- nivelul legislativ (legi, acte normative, standarde);
- nivelul administrativ (aciuni cu caracter general ntreprinse de conducere);
- nivelul procedural (msuri concrete de securitate care implic nemijlocit populaia);
- nivelul tehnic (msuri tehnice concrete).
n procesul prestrii serviciilor publice pentru asigurarea securitii resurselor
informaionale este necesar de asigurat cel puin trei aspecte ale securitii:
- confidenialitate asigurarea accesibilitii informaiei numai celor autorizai s aib
acces;
- integritate pstrarea acurateei i completitudinii informaiilor, precum i metodelor
de procesare;
- disponibilitate asigurarea faptului c utilizatorii autorizai au acces la informaie,
precum i la resursele asociate, atunci cnd este necesar.
Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare:
uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizat,
meninerea la zi a sistemelor din punct de vedere al patch-urilor i fix-urilor (pentru sistemele de
operare i aplicaiile instalate), aplicarea unor configurri standard de securitate pe toate
serverele i staiile de lucru, n funcie de rolul funcional al acestora precum i realizarea unor
proceduri standard de utilizare i administrare.
Soluiile de afaceri prin Internet, cum sunt comerul electronic, managementul lanului
de distribuie i marketingul prin web, fac posibil creterea eficienei n cadrul companiilor,
reduc costurile i mresc veniturile.[59]
Asemenea aplicaii necesit reele de importan critic, care permit traficul de voce,
date i video.
Aceste reele trebuie s fie scalabile pentru a susine tot mai muli utilizatori i o nevoie
crescut de capacitate i performan.
28

Cu toate acestea, pe msur ce mai multe aplicaii sunt posibile i devin accesibile unui
numr mai mare de utilizatori, reelele devin mai vulnerabile la o gam larg de ameninri de
securitate. Atacurile la adresa reelelor compromit disponibilitatea aplicaiilor de reea. n plus,
confidenialitatea datelor companiei poate fi compromis prin accesul extern neautorizat. Sau
integritatea datelor poate fi afectat de, spre exemplu, hackeri care modific coninutul
documentelor sau al bazelor de date.[49]
Securitatea reelelor are ca scop protejarea reelelor i a aplicaiilor de reea mpotriva
unor asemenea atacuri. Pentru a realiza acest lucru, companiile abordeaz securitatea reelelor
crend o politic de securitate i, pe baza acestei politici, o arhitectur de securitate a reelelor.
Aceast arhitectur trebuie s ia n considerare urmtoarele elemente de securitate a reelei:
-

n primul rnd, trebuie s cunoatem identitatea persoanelor prezente n reea i tipul

de acces care le este permis.


-

n al doilea rnd, accesul la aplicaiile de reea, la datele i la serviciile critice trebuie

s fie controlat astfel nct numai utilizatorii i informaiile legitime s poat trece prin reea.
Acest aspect este deseori denumit securitatea perimetrului.[66]
Confidenialitatea datelor sau conectivitatea securizat a reelei pot fi realizate prin
implementarea Reelelor Private Virtuale sau VPN, care permit companiilor s i extind
reeaua securizat a companiei ctre birouri aflate la distan, lucrtori mobili sau parteneri
extranet.
Tehnologiile de criptare asigur c datele care circul printr-un VPN nu pot fi
interceptate sau citite de receptori neautorizai.
Instrumente de monitorizare a securitii permit monitorizarea, recunoaterea i testarea
vulnerabilitilor n infrastructura reelei, astfel nct s poat fi rezolvate nainte ca intruii s le
exploateze.
n final, pe msur ce reelele cresc n mrime i complexitate, este necesar folosirea
unor instrumente de management al politicilor de securitate, care pot administra centralizat
elementele de securitate menionate mai sus.
Cadrul folosit pentru a controla accesul la reelele de calculatoare este cunoscut de
obicei ca AAA, numit i Triplu A, care nseamn Autentificare, Autorizare si Accounting
(Contabilizare).[54]
Autentificarea se refer la metoda de identificare a utilizatorilor prin pai cum ar fi login
i dialog cu parol. n esen, autentificarea verific cine eti.

29

Autorizarea reprezint verificarea a ceea ce i este permis utilizatorului s opereze n


reea. Aceast permisiune poate varia de la o autorizare unic la un nivel specific de autorizare
pentru fiecare serviciu de reea.
Contabilizarea ofer posibilitatea de a urmri serviciile pe care le acceseaz utilizatorii,
la fel ca i cantitatea de resurse din reea pe care le consum acetia. Contabilizarea ajut la
monitorizarea securitii i verific ce ai fcut n reea.
Triplu A se bazeaz de obicei pe protocoale cum ar fi RADIUS, TACACS+ i
Kerberos, pentru a administra funciile sale de securitate.
Numai utilizatorilor i informaiilor legitime le este permis accesul n reea. Acesta este
realizat prin soluii de securitate a perimetrului, cum ar fi: liste de control al accesului i
firewalluri.
nainte ca un utilizator s primeasc acces la o reea, componentele reelei, cum sunt
routerele sau serverele de acces, decid dac traficul n reea care vine de la computerul sau
reeaua utilizatorului respectiv este transmis mai departe sau blocat. Aceast decizie se bazeaz
pe listele de control al accesului sau liste de acces.[40]
Un firewall este o soluie specific hardware sau software care restricioneaz accesul la
anumite resurse ale reelei i permite numai trecerea traficului autorizat. Un firewall poate
proteja totodat reeaua mpotriva atacurilor denialofservice. Aceste atacuri nu ofer intruilor
accesul la anumite date, dar blocheaz resursele informatice, trimindu-le cantiti mari de date
i, prin urmare, mpiedicnd utilizatorii legitimi s acceseze aplicaiile. [35]
Informaiile unor insituii pot fi protejate mpotriva accesului neautorizat. Aadar,
capacitatea de a oferi comunicare autentificat i confidenial la cerere este crucial.
Tehnologia VPN ofer asemenea conexiuni private, separnd datele n tuneluri. n
acest mod, o reea privat poate fi creat prin reele publice cum ar fi Internetul, folosind
protocoale ca Generic Routing Incapsulation (GRE) sau Layer 2 Tunneling Protocol, pe scurt
L2TP.
Pentru a oferi protecia datelor pe care le transport, echipamentele hardware i software
VPN susin tehnologia de criptare. Tot traficul care circul printr-un tunel ntre dou puncte ntrun VPN este criptat.
Uneori, separarea datelor folosind tehnologii de tunneling ofer confidenialitate
eficient, de exemplu n cadrul reelei locale. Deseori ns, cerinele suplimentare de
confidenialitate necesit protecie mai mare, de exemplu prin folosirea unor tehnologii sau
protocoale de criptare digitale ca IPSec.[34]

30

IPSec, sau protocolul de securitate IP, este un cadru de standarde deschise pentru
asigurarea comunicaiilor private securizate pe Internet. IPSec asigur confidenialitatea,
integritatea i autenticitatea comunicaiilor de date printr-o reea public, fiind o component
tehnic cheie pentru o soluie de securitate total.
Acest protocol poate rezolva ameninrile de securitate din infrastructura de reea, fr a
cere modificri costisitoare ale gazdei i aplicaiilor. IPSec ofer criptare i autentificare la
nivelul de reea IP. Deoarece pachetele criptate arat ca pachete IP obinuite, ele pot fi
redirecionate uor ctre o reea IP, ca Internetul, exact ca pachetele IP obinuite. Singurele
dispozitive care cunosc criptarea sunt punctele finale.
IPSec utilizeaz diferite tehnologii existente, cum sunt criptarea DES i certificatele
digitale.
Tehnologia de criptare asigur c mesajele nu sunt interceptate sau citite de altcineva
dect destinatarul autorizat.
Criptarea este folosit pentru a proteja date care sunt transportate printr-o reea public,
i folosete algoritmi matematici avansai pentru a cifra mesajele i documentele ataate. Exist
mai multe tipuri de algoritmi de criptare, dar unii sunt mai siguri dect alii. n cei mai muli
algoritmi, datele originale sunt criptate folosind o anumit cheie de criptare, iar computerul
destinatar sau utilizatorul pot descifra mesajul folosind o cheie de decriptare specific.[42]
Algoritmii de criptare ca DES, PGP sau SSL determin construirea i schimbarea
acestor chei.

31

II. POLITICA DE SECURITATE N CADRUL CNAS


Politica de securitate const dintr-un set de reguli i practici care reglementeaz modul
n care o instituie folosete, administreaz, protejeaz i distribuie propriile informaii sensibile
ce trebuie protejate; reprezint modul de gestiune prin care un Sistem de Management al
Securitii Informaionale (n continuare SMSI) confer un grad suficient de ncredere.[66]
O politic de securitate, de regul, are n vedere dou laturi: a subiectului i a obiectului
politicii. Subiectul este reprezentat de ceva activ n SMSI (utilizator, program, proces etc.), iar
obiectul este cel, asupra cruia acioneaz un subiect (fiiere, dosare, diferite dispozitive i
echipamente etc.). Se impune elaborarea unui set de reguli utilizate de SMSI, pentru ca acesta s
poat determina n ce caz un anume subiect este autorizat s aib acces la un anume obiect.
Politica de securitate i propune urmtoarele obiective:
- asigurarea confidenialitii, integritii i disponibilitii datelor i informaiilor
vehiculate n cadrul organizaiei;
- oferirea mijloacelor de ghidare i susinere a ntregii activiti referitoare la
securitatea informaiei n cadrul organizaiei;
- susinerea eforturilor managementului n direcia adoptrii de soluii de securitate
integrate, efort convergent defurrii unei activiti de afaceri profitabile;
- definirea clar a drepturilor, obligaiilor i responsabilitilor utilizatorilor interni i a
partenerilor externi, n ceea ce privete datele aflate n format electronic sau pe documente;
- armonizarea necesitilor i obiectivelor organizaiei, cu un cadru de securitate
adecvat, absolut necesar;
- impunerea unui echilibru ntre securitatea resurselor i productivitatea muncii
cadrelor;
- inierea unor msuri disciplinare n cazul nclcrii cadrului normativ instituit i/sau a
utilizrii inadecvate a resurselor.[91]
Republica Moldova nu are o politic de stat n domeniul securitii informaionale,
aceasta n condiiile n care rile vecine, Romnia i Ucraina, sunt printre primele 10 state
mpotriva crora sunt ndreptate cele mai multe atacuri cibernetice. Consiliul Suprem de
Securitate, reunit la 7 octombrie 2014 n edin, a decis s recomande Parlamentului s
examineze n mod prioritar proiectele de acte legislative ce in de domeniile securitii
informaionale, prevenirii i combaterii infraciunilor informatice i de telecomunicaii.
Urmeaz, de asemenea, s fie elaborat o concepie informaional pentru a diminua riscurile de
atac cibernetic.[81]
32

Lipsete o abordare de sistem i o politic de stat n domeniul securitii


informaionale. Este necesar de elaborat Concepia Securitii Naionale. Snt multe lacune n
legislaia noastr a evideniat Alexei Barbneagr, secretar al Consiliului Suprem de Securitate.
Pavel Filip, ministrul tehnologiei informaiei i comunicaiilor, a menionat Este bine
s prevenim, iar aciunea de astzi (7 octombrie 2014) are caracter preventiv. Nu exist pericole
iminente, dar am vorbit despre ceea ce trebuie s facem. Trebuie s fim contieni, c devenim
mai vulnerabili odat cu rspndirea internetului.[81]
Consiliul va recomanda Guvernului s asigure executarea Planului de aciuni privind
implementarea Strategiei Naionale de dezvoltare a societii informaionale Moldova Digital
2020. De asemenea, s asigure crearea Centrului de reacie la incidentele de securitate, care,
suplimentar la funciile de baz, va defini un instrument comun n efectuarea campaniilor de
informare a statului, a companiilor i a cetenilor cu privire la crimele informatice, ameninrile
i cile de prevenire ale acestora. Guvernului i se mai recomand s asigure elaborarea
Concepiei securitii informaionale i Strategiei de securitate informaional i s intensifice
aciunile orientate spre reducerea impactului potenialelor riscuri la adresa securitii
informaionale.[81]
Politica de securitate adoptat i implementat n cadrul CNAS constituie ansamblul
normelor ce trebuie cunoscute i respectate de ctre toate persoanele crora le revin
responsabiliti cu privire la utilizarea, administrarea i gestiunea resurselor informaionale i
de comunicaii ale unitii.[22]
Totodat, politica de securitate are un rol consultativ n analiza i implementarea
tehnicilor, instrumentelor i mecanismelor de securitate, precum i n susinerea aciunilor
personalului tehnic i a deciziilor factorilor de conducere n domeniul securitii informaiei din
firm.
Aceast politic a fost aprobat prin decizia Consiliului de Administraie al CNAS i
constituie cadrul procedural i legal de aplicare a controalelor i msurilor ce vizeaz reducerea
riscurilor i vulnerabilitilor de securitate manifestate n cadrul unitii. Securitatea informaiilor
este un efort de echip i necesit participarea i suportul tuturor angajailor care lucreaz cu
sisteme informaionale.
Totodat, managerii structurilor funcionale din cadrul societii sunt responsabili de
implementarea acestei politici de securitate, precum i de iniierea msurilor corective i de
mbuntire, n conformitate cu mutaiile intervenite n cadrul funcional existent.

33

2.1. Caracteristica Casei Naionale de Asigurri Sociale

Casa Naional de Asigurri Sociale este o instituie public autonom de interes


naional, cu personalitate juridic ce administreaz i gestioneaz sistemul public de asigurri
sociale. Instituia sus-numit a fost nfiinat n anul 2001 n baza Legii privind sistemul public
de asigurri sociale de stat nr. 489-XIV din 08.07.1999.
Casa Naional este condus de un preedinte desemnat de Guvernul Republicii
Moldova. Activitatea Casei Naionale este supravegheat de ctre Consiliul de Administraie,
compus din 12 persoane: reprezentani ai Guvernului, Sindicatelor, Patronatului i Consiliului
Republican al Veteranilor.
CNAS este organul puterii executive, care realizeaz politica statului n domeniul
asigurrilor sociale.
Prin intermediul sistemului public de asigurri sociale, statul garanteaz cetenilor
dreptul la protecia social n cazurile de btrnee, omaj, boal, invaliditate, de pierdere a
ntreintorului prin pli sociale a pensiilor, indemnizaiilor, compensaiilor nominative i alte
prestaii de asigurri sociale.
n Casa Naional activeaz n jur de 1400 de specialiti, din ei circa 1100 funcionari
publici, care deservesc mai mult de un milion de ceteni, beneficiari de pli sociale (situaia la
30.06.14). Din ei numai beneficiari de pensii sunt 649 909 de ceteni, indemnizaii
adresate familiilor cu copii 73 508, alocaii sociale de stat 55 216, alocaii lunare de stat - 36
584, alocaii nominale de stat pentru merite deosebite fa de stat 19 623.
Din momentul crerii Casei Naionale, reforma sistemului public de asigurri sociale n
Republica Moldova a cunoscut mari schimbri, anual se asigur o cretere a pensiilor i
indemnizaiilor prin intermediul mririi i indexrii lor.
O parte component a reformei de asigurri sociale a fost elaborarea sistemului
informaional al Registrului evidenei individuale conform Hotrrii Guvernului nr. 418 din
34

03.05.2000

cu

privire

la

crearea

Registrului

de

stat

al

evidenei

individuale

n sistemul public de asigurri sociale. Scopul implementrii evidenei individuale presupune


crearea unor condiii egale de stabilire a pensiei dup rezultatul muncii a persoanei asigurate,
asigurarea veridicitii informaiei privind stagiul de cotizare, care n rezultat determin mrimea
pensiei. Aceasta va spori considerabil interesul persoanelor asigurate n ceea ce privete plata
contribuiilor de asigurri sociale, simplificarea ordinii i accelerarea procedurii de stabilire a
pensiei.
Casa Naional este membru al Asociaiei Internaionale de Asigurri Sociale i al
Asociaiei Internaionale a Fondurilor Sociale i Fondurilor de Pensii.
Casa Naional desfoar o activitate de colaborare internaional n cadrul acordurilor
i conveniilor bilaterale ncheiate cu guvernele Romniei, Rusiei, Ucrainei, Uzbechistanului,
Belarusi, Azerbaidjan i cu organizaii analogice a Ungariei, Letoniei, Poloniei i Germaniei.[82]
Aparatul central al CNAS cuprinde 19 subdiviziuni prezentate n organigrama CNAS
(anexa 1), inclusiv 3 subdiviziuni axate pe Sistemele Informaionale:
- Secia securitatea informaional
- Direcia general elaborarea i dezvoltarea sistemului informational
- Direcia general implemetarea sistemului informational.
Funciile Seciei securitatea informaional:
- coordonarea i organizarea elaborrii, n comun cu alte subdiviziuni structurale, a
proiectelor actelor normative, precum i alte acte de reglementare a Casei Naionale de Asigurri
Sociale privind problemele ce in de Politica Securitii Informaionale Casei Naionale de
Asigurri Sociale, inclusiv dezvoltarea (elaborarea punctelor noi) a Politicii Securitii
Informaionale;
- coordonarea

organizarea

monitorizrii

procesului

de

implementare

perfecionare, precum i analiza strii Politicii Securitii Informaionale a Casei Naionale de


Asigurri Sociale;
- coordonarea i organizarea aciunilor subdiviziunilor structurale i specialitilor
Casei Naionale de Asigurri Sociale, ce in de implementarea i aplicarea Politicii Securitii
Informaionale a Casei Naionale de Asigurri Sociale;
- informarea i consultarea conducerii Casei Naionale de Asigurri Sociale privind
problemele ce in de securitatea informaional;
- coordonarea i organizarea controlului procesului de administrare a sistemului de
securitate fizic a Casei Naionale de Asigurri Sociale;

35

- coordonarea i organizarea elaborrii i dezvoltrii standardelor interne i cerinelor


ctre configuraia echipamentelor, ce asigur securitatea informaional n cadrul Casei Naionale
de Asigurri Sociale;
- managementul sistemului de securitate fizic a Casei Naionale de Asigurri Sociale,
administreaz Sistemul de Control i Managementul de Acces (SCMA);
- administrarea serviciului de parole, acordarea accesului subdiviziunilor Casei
Naionale de Asigurri Sociale, Caselor Teritoriale de Asigurri Sociale n SI SPAS;
- asigurarea, administrarea activitii Biroului de informaii i documentaiei tehnice
Casei Naionale de Asigurri Sociale;
- constituirea unui singur serviciu de parole a Casei Naionale de Asigurri Sociale n
baza serviciului de parole i documentaie tehnic (conform posibilitilor).
Funciile Direciei generale elaborarea i dezvoltarea sistemului informaional:
- elaborarea planurilor strategice de dezvoltare IT din cadrul CNAS n domeniul
sistemului public de asigurri sociale;
- elaborarea planurilor strategice de dezvoltare IT din cadrul CNAS n domeniul
sistemului public de asigurri sociale;
- elaborarea metodologiilor, cerinelor i soluiilor de program pentru asigurarea
funcionrii continue a business-proceselor CNAS;
- elaborarea politicilor i soluiilor eficiente n domeniul tehnologiilor informaionale
(IT) CNAS;
- coordonarea i organizarea lucrului cu clienii sistemelor informaionale;
- elaborarea i implementarea specificaiilor i metodologiilor de proiectare a
sistemelor informaionale CNAS;
- monitorizarea modificrilor efectuate n sistemele informaionale CNAS;
- elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaionale;
- elaborarea sistemelor informaionale;
- iniierea de investiii a proiectelor IT i s gestioneze punerea lor n aplicare, precum
i riscurile asociate interaciunii;
- colaborarea cu furnizorii externi, dezvoltarea i monitorizarea executrii planurilor
comune de lucru;
- organizarea de acceptare a lucrrilor prestate;
- controlul executrii bugetului de IT, proiectele de investiii;
- asigurarea integritii unei politici tehnice unificat n domeniul IT.
36

Funciile Direciei generale implemetarea sistemului informaional:


- asigurarea procesului de implementare SI SPAS, MIS, FMS i altor programe
aplicative, utilizate n cadrul CNAS;
- asigurarea procesului de funcionare a soft-ului bazelor de date (controlul
versiunilor, nnoirea soft-ului );
- instalarea, configurarea i administrarea SGBD;
- monitorizarea productivitii bazelor de date;
- efectuarea procesului de copiere de rezerv i restabilire dup incident;
- analiza funcionrii LAN i WAN;
- asigurarea procesului de funcionare LAN i WAN, utilizate n cadrul CNAS;
- delimitarea accesului la reeaua INTERNET;
- administrarea utilajului de reea activ (suport i dezvoltarea configurrilor utilajului
de reea activ), asigurarea procesului de copiere de rezerv i restabilire n cazul de necesitate;
- suportul procesului de funcionare a serviciilor de reea: DHCP, DNS, serviciul
timpului de reea;
- asigurarea procesului de colaborare cu serviciile de deservire a furnizorilor de utilaj
i soft n perioada de garanie i post-garanie;
- asigurarea procesului de administrare a staiilor de lucru;
- asigurarea proteciei staiilor de lucru i serverelor cu mijloacele antivirus;
- reacia operativ i nlturarea incidentelor depistate de ctre Serviciul Help Desk n
domeniul de competen;
- asigurarea procesului de funcionare continu a SI SPAS, MIS, FMS i altor
programe aplicative, utilizate n cadrul CNAS;
- susinerea sistemelor informaionale SPAS, MIS, FMS;
- testarea sistemelor informaionale SPAS, MIS, FMS;
- n comun cu grupele de lucru a utilizatorilor efectuarea monitorizrii problemelor
nerezolvate privind funcionarea SI, descrierea problemelor, controlul realizrii problemelor
naintate;
- necesit conlucrarea grupelor de lucru cu programatorii SI n procesul implementrii;
- conlucrarea cu utilizatorii privind exploatarea business-proceselor;
- instalarea softului aplicativ SPAS, MIS, FMS (clasificatoare, interfeele, formatele
datelor pentru schimbul informaional cu sistemele informaionale externe).[82]
Ca anexe la prezenta tez sunt i fiele de post al specialitilor din cadrul acestor
direcii/secii. (Anexa 2 Fie de post)
37

2.2. Formarea politicii de securitate a sistemelor informatice i


Sistemul de Management al Securitii Informaiei
Actualmente este perceput faptul c asigurarea securitii nu reprezint doar o protecie
contra potenialelor pagube materiale, ci i asigurarea unui atu concurenial, a unei reputaii
sigure, precum i ctigarea ncrederii partenerilor i clienilor. Pornind de la importana celor
menionate marea majoritate a subiecilor care tind la prosperarea i realizarea unei activiti
ndelungate i prospere investesc temeinic n crearea unei politici actuale i sigure de securitate
n propriul sistem informatic.
Sarcina de baz n etapa de exploatare a oricrui sistem informatic este asigurarea unui
nivel viabil de securitate. Aceast cerin este la fel de strict ca i cea fa de funcionalitatea
resurselor i componentelor sistemului, precum i a ntregii activiti a sistemului informatic n
general. Exploatarea sistemelor informatice, dotate cu sisteme de securitate contemporane, nu
este ns o sarcin uoar, putem spune c reprezint o sarcin destul de dificil i specific.
Scopul politicii de securitate a informaiei const n asigurarea soluionrii problemelor
de securitate a informaiei i implicarea conducerii de vrf n procesul respectiv.
Politica de securitate a informaiei reprezint cel mai important document n sistemul de
management al securitii instituiei i este unul din mecanismele cheie ale securitii, n baza
cruia urmeaz s fie edificat ntregul sistem de msuri i mijloace de asigurare a securitii n
procesul de prestare a serviciilor publice.
n procesul de elaborare i meninere a politicii de securitate a informaiei este necesar
de respectat urmtoarele cerine:
- politica de securitate a informaiei instituiei trebuie s fie elaborat i realizat de
conducerea de vrf prin determinarea unei poziii clare n soluionarea problemelor de securitate;
- politica de securitate a informaiei trebuie s stabileasc responsabilitatea conducerii,
precum i s specifice metoda de abordare a managementului securitii de ctre instituie.
O politic de securitate a informaiei eficient trebuie s stabileasc un set necesar i
suficient de cerine ale securitii, care s permit diminuarea riscurilor securitii pn la un
nivel acceptabil. Cerinele respective trebuie s fie stabilite n funcie de particularitile
proceselor din cadrul instituiei ce presteaz servicii publice, trebuie s fie susinute de
conducere, s fie asimilate pozitiv i ndeplinite de colaboratorii instituiei.[80]
n planul de asigurare a securitii sunt stabilite toate aciunile privind realizarea
scopurilor asigurrii securitii, implementarea complexului de hardware i software i sunt

38

determinate procedurile de perfecionare a procesului de asigurare a securitii, de desfurare a


instructajelor i seminarelor de instruire i ridicare a nivelului de informare a personalului.
Particularitatea de baz a unui sistem de securitate (spre deosebire de alte componente
TI) const n faptul c sistemul informatic care este protejat astzi sigur, mine poate deveni
vulnerabil. n acelai timp, sistemul de securitate care nu este exploatat n corespundere cu
cerinele contemporane sau nu se ia n consideraie apariia unor noi pericole, peste cteva luni
i va pierde actualitatea. n acest sens, productorii permanent emit noi versiuni ale produselor,
care conin mbuntiri, modificri, care introduc noi aspecte funcionale i corecii de program
ce lichideaz erorile i lacunele. Este necesar de a monitoriza aceste modificri i de le instalat n
propriul sistem. Nu reprezint un secret faptul c multe vulnerabiliti, utilizate pentru
desfurarea atacurilor asupra sistemelor corporative, la momentul atacului erau deja depistate i
cunoscute productorilor mijloacelor de protecie sau componentelor TI atacate. Aceste
vulnerabiliti erau posibil a fi lichidate cu cteva sptmni pn la atac, pur i simplu instalnd
patch-ul informaional corespunztor. Pentru a fi la curent cu toate modificrile, e necesar de
urmrit evoluia lor i evenimentele legate de ele. Dac aceast msur este ignorat, sistemul de
securitate foarte rapid i va ncetini ndeplinirea sarcinilor sale.[80]
Exploatarea sistemelor informatice protejate reprezint o particularitate n sine, dat fiind
faptul c n structura lor sunt introduse permanent modificri. De regul, dup cum a demonstrat
practica, sistemul informatic care asigur activitatea unei organizaii mari, practic, nu rmne
static niciodat. Modificrile i completrile cu noi componente reprezint un proces firesc i
continuu, dat fiind faptul c sistemul informatic activeaz n strns concordan cu procesele de
activitate ce se desfoar n instituia respectiv: implementarea unor noi segmente de activitate
duce la crearea unor noi locuri de munc i la apariia de noi servicii informaionale, creterea
volumului de informaie implic introducerea noilor tehnologii informaionale, precum i a
necesitii de a optimiza sistemul etc., ceea ce duce la micorarea mecanismelor i procedurilor
de protecie. Deci, apare necesitatea mbuntirii nivelului de securitate, coordonnd permanent
cu structura sistemului informatic ce necesit protejare. De aceea, n sistemele informatice
perpetue este important nu numai introducerea mecanismelor corespunztoare de protecie, dar
i asigurarea unui nivel adecvat de securitate n procesul de exploatare. Pentru aceasta este
necesar att asigurarea viabilitii mijloacelor de protecie, ct i efectuarea msurilor
profilactice, materializate prin verificarea nivelului de protecie a resurselor, ceea ce va permite
garantarea acestui nivel chiar i n contextul introducerii modificrilor.
Astfel, asigurarea securitii este posibil prin exploatarea corect a sistemului i prin
susinerea politicii de securitate. Aceasta presupune desfurarea unui ir de msuri permanente
39

i periodice de susinere tehnic a mijloacelor de protecie, monitorizarea i analiza


evenimentelor de securitate ce se deruleaz n sistem, verificarea periodic a nivelului de
protecie a resurselor protejate, aplanarea situaiilor nefaste i lichidarea consecinelor. De
asemenea, administrarea sistemelor de securitate trebuie s fie nzestrat cu un anumit grad de
automatizare a funciilor de administrare i a altor funcii de exploatare. Acest punct presupune
asigurarea tehnic i cu programe a administratorilor de securitate i a efilor de secii i servicii
(scanere, mijloace de monitorizare i dirijare cu securitatea), corelarea evenimentelor, analiza
gradului de protecie a componentelor TI, mijloace de obinere a statisticii, de generare a
concluziilor etc.[39]
Noi mai suntem de prere c asigurarea i verificarea gradului de protecie a sistemului
informatic reprezint o sarcin comun att pentru serviciile de securitate, ct i pentru serviciile
TI. n unele cazuri, funcionarii serviciului de securitate trebuie s verifice activitatea serviciului
TI; n alte cazuri, exist situaii zilnice care necesit coordonarea serviciilor. Pentru ca procesul
de colaborare ntre diverse servicii s decurg eficient i fluent, e necesar s se respecte cteva
condiii: s fie strict delimitate sferele de responsabilitate i obligaiile tuturor participanilor la
procesul de asigurare a activitii informaionale, periodic s fie anihilate i prentmpinate
posibilele conflicte de interese ntre diferite servicii, verificate prin analiza drilor de seam ale
serviciului TI starea de securitate n scopul de a menine la nivel atenia serviciului respectiv fa
de problema asigurrii continue a nivelului competitiv de securitate informaional.
De asemenea, am dori s menionm c elaborarea unui sistem solid, bine securizat, cu
proceduri de acces att din exterior, ct i din interior, bine puse la punct, confer activitii
sistemului informatic multiple avantaje. Astfel, orict de mic este instituia, existena unei
politici de securitate este necesar pentru desfurarea eficient a activitii propriu-zise.
Soluionarea sarcinilor cu privire la elaborarea unei politici eficiente de securitate n
etapa actual, pentru oriicare instituie, organizaie, ntreprindere, companie, se reflect n
alegerea criteriilor i indicatorilor de asigurare a proteciei, precum i a gradului de eficien a
sistemului de protecie a informaiei. Astfel, pe lng diferite acte normative interne naionale, e
necesar de implementat i recomandrile de ordin internaional, n unele cazuri adaptnd
metodele naionale la standardele internaionale gen: ISO/CEI 27002:2013 Cod de bune practici
pentru controlul n domeniul securitii informaionale, ISO 15408 Tehnologia informaional
metode de protecie criteriile de analiz a securitii informaionale etc.[80]
Pentru elaborarea politicii de securitate i a planurilor de perfecionare a acesteia este
necesar:

40

1. Argumentarea i realizarea calculului investiiilor financiare n asigurarea securitii


n baza tehnologiilor de analiz a pericolelor, coraportarea cheltuielilor pentru asigurarea
securitii cu dauna potenial i probabilitatea survenirii ei;
2. Descoperirea i scoaterea la iveal, precum i blocarea celor mai periculoase lacune
pn la sesizarea i atacarea lor de ctre agresor;
3. Determinarea relaiilor funcionale i a zonelor de responsabilitate a subdiviziunilor
i persoanelor cu privire la asigurarea securitii informaionale a instituiei, crearea pachetului
necesar de documentaie cu privire la organizarea i dirijarea activitii n domeniul respectiv;
4. Elaborarea i coordonarea cu serviciile i subdiviziunile instituiei, serviciile de
supraveghere, proiectul de introducere a complexelor necesare de protecie, care se vor elabora
n corespundere cu nivelul modern i tendinele de dezvoltare a tehnologiilor informaionale;
5. Asigurarea susinerii complexului introdus de securitate n conformitate cu condiiile
dinamice de activitate a instituiei, perfecionarea dinamic a setului de documentaie de
organizare i dirijare cu procesul n cauz, modificarea procesului tehnologic i a mijloacelor
tehnice de asigurare a proteciei.
Conform cerinelor ISO/IEC 27001:2013, p.5.2, Politica de securitate a informaiei
trebuie s includ n mod obligatoriu urmtoarele:
1) determinarea securitii, scopurilor i sferei sale de aciune, precum i dezvluirea
importanei securitii n calitate de instrument de asigurare a posibilitii de utilizare n comun a
informaiei;
2) specificarea scopurilor i principiilor securitii formulate de conducere;
3) specificarea succint a politicilor de securitate a informaiei, a principiilor, regulilor
i cerinelor celor mai importante pentru instituie;
4) determinarea obligaiilor generale i concrete ale colaboratorilor n cadrul
managementului securitii, inclusiv informarea privind incidentele de nclcare a securitii;
5) referinele la documentele ce completeaz politica de securitate a informaiei, spre
exemplu, politicile i procedurile mai detaliate ale securitii pentru SI concrete, precum i
regulile de securitate care trebuie respectate de ctre utilizatori.[91]
O politic de securitate a informaiei eficient trebuie s stabileasc un set necesar i
suficient de cerine ale securitii, care s permit diminuarea riscurilor securitii pn la un
nivel acceptabil. Cerinele respective trebuie s fie stabilite n funcie de particularitile
proceselor din cadrul instituiei ce presteaz servicii publice, trebuie s fie susinute de
conducere, s fie assimilate pozitiv i ndeplinite de colaboratorii instituiei.

41

n planul de asigurare a securitii sunt stabilite toate aciunile privind realizarea


scopurilor asigurrii securitii, implementarea complexului de hardware i software i sunt
determinate procedurile de perfecionare a procesului de asigurare a securitii, de desfurare a
instructajelor i seminarelor de instruire i ridicare a nivelului de informare a personalului.
n prealabil, nainte de a implementa careva soluii de protejare a informaiei, e necesar
elaborarea politicii de securitate corespunztoare scopurilor i sarcinilor unei instituii sau
companii moderne. Politica de securitate trebuie s conin i s prevad n special: ordinea de
oferire i folosire a drepturilor de acces de ctre utilizatori, de asemenea, darea de seam a
utilizatorilor pentru aciunile ntreprinse n problemele ce in de sfera de securitate. Sistemul de
securitate informaional va fi eficient, dac va corespunde i va susine sigur regulile de
securitate ale politicii de securitate i viceversa.[80]
Avnd n vedere c tendinele economiei mondiale i naionale, sunt ndreptate spre
gestionarea informaiei prin intermediul sistemelor informaionale, informaia devine cel mai
important activ, att n cadrul instituiilor publice, ct i celor private. Din aceast perspectiv, o
atenie deosebit trebuie s fie acordat problemelor de securitatea informaiei.
Cerinele privind planul de asigurare a securitii n procesul de prestare a serviciilor
publice trebuie s includ urmtoarele:
- cerine privind planul de asigurare a securitii:
1) este necesar de elaborat i de realizat planul de asigurare a securitii n procesul de
prestare a serviciilor;
2) planul de asigurare a securitii trebuie s conin o prezentare succint a cerinelor
de securitate la prestarea serviciilor i o descriere a msurilor i mijloacelor de asigurare a
securitii aplicate sau planificate pentru a fi implementate n vederea ndeplinirii cerinelor
respective;
3) planul de asigurare a securitii trebuie s fie examinat i aprobat de persoanele cu
funcii de rspundere corespunztoare;
4) planul de asigurare a securitii trebuie s fie revizuit i corectat periodic, lundu-se
n consideraie modificrile n sistemul de prestare a serviciilor publice sau problemele aprute n
procesul realizrii acestuia, i evaluarea eficienei msurilor i mijloacelor de asigurare a
securitii;
- cerine privind regulile de comportare a personalului care particip la procesul de
prestare a serviciilor publice:
1) este necesar de stabilit regulile de comportament al personalului cu privire la
asigurare securitii;
42

2) regulile de comportament trebuie s caracterizeze obligaiile personalului i aciunile


ateptate din partea acestuia n privina asigurrii securitii;
3) trebuie primit, din partea fiecrui specialist, o confirmare n scris a faptului c
acesta a luat cunotin i este de acord s respecte regulile de comportament stabilite.
n condiiile gestionrii informaiei ce necesit protecie i securitate sporit, modul de
gestionare i control al externalizrii serviciilor este un factor determinant n organizarea
activitilor aferente TI.[43]
Din aceast perspectiv, lipsa unei abordri manageriale a problemelor de securitate
informaional reprezint un factor de risc pentru asigurarea confidenialitii informaiei i
securitatea componentelor Sistemului Informaional al CNAS.
Compromiterea securitii informaiei poate afecta capacitatea CNAS de a oferi servicii,
poate conduce la fraude sau distrugerea datelor, divulgarea secretelor de stat si informaiei
confideniale, afectarea credibilitii CNAS etc.[22]
Politica de Securitate Informaional a CNAS (Anexa 3), este parte component a
Strategiei de Dezvoltare a CNAS i se focuseaz pe determinarea principiilor, cerinelor i
msurilor necesare minimizrii riscului aferent securitii informaionale n cadrul Casei
Naionale de Asigurri Sociale a Republicii Moldova. Politica de securitate are ca scop, de
asemenea, stabilirea cadrului necesar pentru elaborarea regulamentelor i procedurilor de
securitate, care vor fi obligatorii pentru toi utilizatorii SI Protecie Social al CNAS.
Politica SI reprezint documentul normativ de baz, care regleaz procesul de
management al securitii informaionale al CNAS. Exigenele prezentei Politici vizeaz toi
colaboratorii CNAS fr excepie, fiind aduse la cunotina acestora i sunt obligatorii pentru
execuie. Cerinele naintate partenerilor CNAS, antreprenorilor i altor tere persoane, sunt
expuse n contractele i acordurile respective. n conformitate cu prezenta Politic, toate
informaiile CNAS, fr excepie, independent de forma de prezentare - pe supori materiali,
n form vizual sau oral, trebuie protejate.[22]
Managementul securitii informaionale a CNAS este un proces continuu. Pentru
managementul SI n CNAS este implementat sistemul de management, care corespunde
standardului internaional ISO/IEC 27001:2013. La baza procesului de management al SI este
pus ciclul PDCA, care asigur perfecionarea continu a procesului de asigurarea a securitii
informaionale.
Procesul ciclic al managementului SI este prezentat n fig. 1.

43

Fig. 1. Modelul abordrii orientate pe procese


Planificarea SMSI presupune estimarea riscurilor informaionale i stabilirea msurilor
de contracare a acestora. Msurile de diminuare a riscurilor sunt introduse n aplicare n
conformitate cu planul de tratare a riscurilor. Monitorizarea SMSI permite depistarea riscurilor
noi, incidentelor de securitate, ca i nclcrile procedurilor de asigurare a SI. Rezultatele
executrii procedurilor de monitorizare sunt utilizate la introducerea modificrilor n SMSI la
etapa de perfecionare.
Administrarea SI CNAS este bazat pe estimarea riscurilor informaionale, aceast
abordare asigurnd adecvana alegerii msurilor de garantare a securitii informaionale
referitor

la

daunele

poteniale,

care

rezult

din

nclcarea exigenelor SI. Pentru

estimarea eficient a riscurilor, asociate nclcrii cerinelor securitii informaionale, are loc
categorisirea tuturor activelor informaionale n conformitate cu nivelul de importan al
acestora. La estimarea riscurilor SI este luat n calcul starea curent de protejare a fiecrui
activ. Metodologia de estimare a riscurilor este reglementat de documentele normative
respective.
Msurile organizatorice au scopul asigurrii administrative a proteciei activelor
informaionale ale CNAS. n cadrul msurilor administrative sunt identificate documentele
normative ale CNAS n sfera securitii informaionale, ca i obligaiunile i responsabilitile
colaboratorilor CNAS n domeniul SI. Sunt documentate din punct de vedere administrativ i
legal relaiile cu colaboratorii, partenerii CNAS, antreprenorii i alte tere persoane.
Responsabilitile subdiviziunilor CNAS privind SI sunt reglementate prin documentele
normative respective, iar activitatea lor este coordonat de ctre conducerea CNAS.[22]

44

Procedurile de angajare, concediere sau trecerea la un alt post n cadrul CNAS


sunt reglementate de documentele normative respective. Colaboratorii CNAS sunt implicai n
instruirea continu n sfera securitii informaionale.
Politica de securitate cuprinde un set de reglementri care determin modul n care se
folosete, administreaz, protejeaz i se distribuie propriile informaii sensibile/critice i
implementarea crora va contribui la crearea unui sistem de securitate corespunztor cerinelor n
domeniu.
Gestiunea continuitii businessului din punctul de vedere al securitii informaionale
presupune funcionarea fr ntrerupere a sistemului informaional al CNAS.
Asigurarea funcionrii fr ntrerupere a sistemului informaional al CNAS implic
elaborarea unor planuri de susinere a funcionrii nentrerupte. Trebuie s fie
proceduri,

care

vor

lua

consideraie

nivelul

elaborate

vulnerabilitii accesului la sistemul

informaional.
Activitile pentru asigurarea funcionrii fr ntrerupere a sistemului informaional
includ:
a) Elaborarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informaional,
b) Implementarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informaional,
c) Testarea

planurilor

de

asigurare

funcionrii

nentrerupte

sistemului

informaional,
d) Actualizarea planurilor de asigurare a funcionrii nentrerupte a sistemului
informational.
La elaborarea Politicii de securitate s-a inut cont de caracteristicile Casei Naionale de
Asigurri Sociale, practici de securitate deja implementate, riscurile utilizrii tehnologiilor
informaionale i recomandrile existente n domeniu.
Prevederile Politicii se aplic nediscriminatoriu tuturor angajailor CNAS (cu contract
de munc pe perioada determinat sau nedeterminat) crora li s-au autorizat accesul la activele
informaionale i CNAS, precum i altor persoane fizice i juridice (declarani, beneficiari,
consultani, experi, stagiari, practicieni etc.).
n scopul controlului la conformitate a SMSI cu legislaia Republicii Moldova,
standardele internaional i alte cerine regulatorii, are loc auditul regulat al SMSI al CNAS.
Conceptul Sistemul de Management al Securitii Informaiei al CNAS este parte a
sistemului de management al organizaiei care, bazndu-se pe o abordare a riscurilor afacerii,
45

stabilete, implementeaz, opereaz, monitorizeaz,

revizuiete, menine i mbuntete

securitatea informaiei
Familia standardelor ISO din domeniul securitii informaiei sunt urmtoarele:
- ISO/IEC 27001 Tehnologia Informaiei. Tehnici de securitate. Cerine pentru un
system de management al securitii informaiei;
- ISO/IEC 27002 Tehnologia informaiei. Tehnici de securitate. Cod de practice
pentru managementul securitii informaiei;
- ISO/IEC 27003 Tehnologia informaiei. Tehnici de securitate. Ghid de
implementare;
- ISO/IEC 27004 Tehnologia informaiei. Tehnici de securitate. Msuri;
- ISO/IEC 27005 Tehnologia informaiei. Tehnici de securitate. Managementul
riscurilor securitii informaiei;
- ISO/IEC 27006 Tehnologia informaiei. Tehnici de securitate. Cerine pentru
organisme care efectueaz auditul i certificarea sistemelor de management a securitii
informaiei.
Certificarea organizaiilor pe baza unui SMSI are loc n baza standardului ISO/IEC
27001. Standardul dat este aplicabil tuturor organizaiilor ce doresc mbuntirea i respectarea
securitii informaiei att din domeniul IT ct i din alt domeniu.
Standardul ISO/IEC 27001 este un standard de management. El descrie cerinele pentru
un SMSI, descrie ce trebuie de implementat n domeniul securitii informaiei.
Standardele ISO/IEC 27001:2013 (fost BS 7799-2) Sistemul de Management al
Securitii Informaiei i ISO/IEC 27002:2013/ Cor 1:2007 (fost BS 7799-1, ulterior, ISI/IEC
17799), Codul de practic pentru Managementul Securitii Informaiei sunt cele mai
importante, pn la ora actual, n domeniul securitii informaiei. Ele stabilesc un limbaj
internaional comun pentru securitatea informaiei.
Un SMSI elaborat n conformitate cu cerinele standardului ISO/IEC 27001:2013
reprezint un sistem complex care include att mecanismele de gestionare, ct i mecanismele de
protecie a informaiei. Modelul procesului de realizare a SMSI presupune un ciclu perpetuu de
msuri, i anume: planificarea, realizarea, verificarea i meninerea.[30]
ISO/IEC 27001:2013 Tehnologia informaiei tehnici de securitate sisteme de
management al securitii informaiei Cerine: Obiectivul standardului este de a ajuta
organizaiile la implementarea, certificarea i meninerea unui sistem de securitate a informaiei
n baza evalurii riscurilor de securitate i stabilirea msurilor de asigurare a confidentialittii,
integritii i a disponibilitii informaiei. n baza standardului ISO/IEC 27001:2013 se face
46

auditul i certificarea SMSI.


ISO/IEC 27000:2014 Tehnologia informaiei Tehnici de securitate Sisteme de
management

al

securitii

informaiei

Descriere

general

vocabular:

Prezint o descriere general a sistemelor de management al securitii informaiei, precum i


termenii i definiiile utilizate n familia de standarde ISO/IEC 2700X.
ISO/IEC 27002:2013 Tehnologia informaiei Tehnici de securitate Cod de practici
pentru controalele de securitate: Standardul ofer recomandri pentru realizarea obiectivelor de
securitate prezentate n anexa A (normativ) a standardului ISO/IEC 27001.
ISO/IEC 27003:2010 Tehnologia informaiei Tehnici de securitate Ghid pentru
implementarea SMSI: Obiectivul standardului este de a oferi ndrumri pentru implementarea
eficace a SMSI. Este focalizat pe aplicarea metodei PDCA pentru stabilirea, implementarea,
verificarea eficacitii i mbuntirea SMSI.
ISO/IEC 27004:2009 Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Msurri: Este un ghid pentru aplicarea msurrilor cu
utilizarea metricilor de securitate n vederea evalurii eficacitii implementrii SMSI conform
ISO 27001.
ISO/IEC 27005:2011 Tehnologia informaiei Tehnici de securitate Managementul
riscurilor de securitate a informaiei: Standardul prezint un ghid pentru identificarea i
evaluarea riscurilor de securitate a informaiei i susine concepia general specificat n
ISO/IEC 27001 privind implementarea eficace a sistemului de securitate a informaiei n baza
abordrii de management al riscurilor.
ISO/IEC 27006:2011 Tehnologia informaiei Tehnici de securitate Cerine pentru
organismele care efectueas auditul i certificarea SMSI: n baza acestui standard se face
acreditarea organismelor de certificare a sistemelor de management al securitii informaiei.
ISO/IEC 27007:2011 Tehnologia Informaiei Tehnici de securitate Ghid pentru
auditarea SMSI: Prezint ndrumri pentru organismele de certificare acreditate,
interni i externi

auditorii

privind auditarea SMSI bazat pe cerinele standardului ISO/IEC 27001

(evaluarea conformitii cu prevederile standardului).[30]


Un element important al SMSI este procesul de gestiune al conformitii cu cerinele
legislative, obligaiunilor contractuale, standardelor naionale i internaionale.
n procesul analizei riscurilor securitii informaionale i la alegerea msurilor de
protecie a informaiei trebuie s fie luate n consideraie cerinele privind sistemul de
management al securitii informaionale.

47

O component inalienabil a sistemului de management al securitii informaionale este


estimarea eficienei SMSI. Trebuie s fie elaborate i implementate proceduri de audit i de
estimare a eficienei msurilor de diminuare a riscului SI, de analiz a conformitii SMSI
cerinelor existente.[83]
Procesul de audit al SMSI include:
a) Auditul privind conformitatea cu cerinele,
b) Auditul privind

conformitatea procedurilor, executate n realitate, cerinelor

documentelor normative ale SMSI.


SMSI al CNAS se stabilete, implementeaz, opereaz, monitorizeaz, revizuiete,
menine i mbuntete n cadrul unui proces continuu de tipul Planific-ImplementeazVerific-mbuntete (Plan-Do-Check-Act).
Consiliul de administraie al CNAS asigur suportul necesar aferent implementrii i
meninerii unui SMSI eficient.
Deasemenea, consiliul numete i desemneaz responsabilitatea pentru coordonarea
procesului de management al securitii informaiei la nivel de banc (ofier pe securitatea
informaiei).
Organizarea SMSI se efectueaz cu implicarea tuturor subdiviziunilor CNAS, n scopul
asigurrii unei abordri complexe i multidisciplinare a cerinelor de securitate.
Toate rolurile i responsabilitile pentru securitatea informaiei se definesc n mod
adecvat i clar, se comunic i sunt asumate n cadrul CNAS.
n scopul consolidrii culturii organizatorice cu privire la securitatea informaiei, CNAS
ncurajeaz i asigur condiiile necesare pentru meninerea de contacte corespunztoare cu
grupurile specializate de interes i cu asociaiile profesionale n domeniul securitii informaiei.
SMSI al CNAS se supune unei revizuiri independente cel puin o dat n an, n scopul
asigurrii funcionrii lui corespunztoare.
La implemetarea unui SMSI este necesar de creat o structur organizatoric dependent
de managementul securitii informaiei. Managerii responsabili de securitatea informaiei n
organizaie emit o politic de securitate a informaiei, care continuu este mbuntit. [83]
n fia postului a fiecrui angajat al CNAS din direciile responsabile (anexa 2) sunt
descrise obligaiile i responsabilitile referitoare politicii de securitate.
Personalul trebuie instruit n privina politicii de securitate i are loc verificarea
continu a respectrii politicii de securitate. n cazul nerespectrii politicii de securitate trebuie
stabilite aciuni disciplinare adecvate.

48

Este necesar de identificat sectoarele i prioritile la nivel de securitate a informaiei


att la nivel fizic ct i la nivel de echipament. Trebuie elaborate instruciuni de securitate a
informaiei cu descrieri detaliate i clare pentru angajai.
Identificarea i clasificarea riscurilor informaionale este necesar pentru a minimiza sau
chiar a evita apariia acestor riscuri. La calcularea riscurilor trebuie de inut seama de
infrastructura organizaiei i la necesitate de propus o infrastructur nou pentru minimizarea
riscurilor informaionale. n baza analizei riscurilor este necesar de elaborat i implementat
planuri pentru situaii de urgen.
Planurile de urgen trebuie actualizate i petrecute instruiri periodice a angajailor.
Pentru controlul alocrii dreptului de acces este nevoie de elaborat o procedur i
accesul la procesele i informaia organizaiei s fie controlat n baza politicii de securitate i
autorizrii accesului. Accesul la resursele organizaiei s fie limitat prin dispositive de securitate
la nivel de sistem de operare. Dac n cadrul organizaiei se utilizeaz calculatoare portabile i
lucrul la distan este necesar de elaborate prevederi de securitate a informaiei.
Cerinele, politicile, prevederile legate de securitate informaiei sunt definite,
documentate i aprobate de la bun nceput la implementarea unui SMSI.[83]
Auditurile interne periodice ne ajut la monitorizarea securitii informaiei. Auditurile
au loc n baza politicilor referitoare de securitate din cadrul organizaiei i sunt verificate
sistemele informaionale i platformele tehnice.
Auditurile sunt planificate, efectuate i urmrite de persoane instruite n domeniul
securitii informaiei care au o pregtire special n domeniul dat.
La aplicarea SMSI este necesar ca sistemele de operare, soft-ul i aplicaiile utilizate n
organizaie s fie liceniate.

2.3. Evaluarea riscurilor de securitate a informaiei n cadrul CNAS


Tehnologiile informaionale rmn a fi una dintre cele mai dezvoltate ramuri ale
activitii societii. Implementarea noilor tehnologii informaionale permite perfecionarea
business-proceselor, acumularea datelor operative n direciile de baz ale activitii, schimbul
operativ de informaii cu partenerii externi i deservirea calitativ a clienilor CNAS.
Gestionarea complex i multilateral a sistemului de asigurri sociale de stat este
indispensabil fr sistemul informaional integrat.

49

Sistemul informaional creat pe parcursul anilor cuprinde ntr-o singur baz de date
informaiile, care anterior se prelucrau n circa 20 de module separate, constituind o reea
separat, care ofer posibilitatea activitii concomitente a peste 1300 de specialiti, n toate
raioanele republicii.
n cadrul CNAS a demarat realizarea unei dintre cele mai importante sarcini al planului
strategic instituirea Centrului de rezerv de prelucrare a datelor. n acest sens au fost
ntreprinse urmtoarele aciuni: elaborat concepia privind crearea i funcionarea Centrului de
rezerv, create condiii de funcionare i dotat cu utilijalul necesar o ncpere special.
Pe parcursul anului 2014, a fost implementat subsistemul privind accesul on-line la
conturile personale de asigurri sociale ale persoanelor asigurate. Acest sistem informaional a
fost elaborat cu aplicarea tehnologiilor informaionale performante, platforme tehnice i
software, care stau la baza sistemului SPIS. Utilizarea sporit de ctre clieni a capacitilor
acestui sistem, care este integrat n sistemul SPIS, se va efectua n anul curent. Aceasta va
permite clienilor CNAS (agenilor economici i persoanelor asigurate) posibilitatea de a avea un
acces rapid i transparent la datele privind stagiul de cotizare i mrimea retribuirii muncii
declarate de angajator.
Ca un obiectiv n acest domeniu a fost implementarea continu a componentelor
sistemului informaional: registrele persoanelor asigurate i a agenilor economici, declaraiile
trimestriale i anuale, conturile personale ale agenilor economici i persoanelor asigurate,
interfaa de schimb cu Inspectoratul Fiscal Principal de Stat, procesele de plat a pensiilor i
prestaiilor sociale. Punerea n exploatare a fiecrui subsistem are specificul su tehnologic la
diferite etape i sarcini, precum i durate diferite a procesului de implementare.
Pentru perfecionarea deservirii operaionale i tehnice a infrastructurii tehnologice au
fost efectuate lucrri de testare i control antivirus a computerelor, instalarea, restabilirea
sistemelor operaionale, testarea computerelor, revizia tehnic i depnarea imprimantelor,
rencrcarea cartuelor pentru imprimante, asigurarea asistenei pentru utilizatori.
n cadrul grupurilor de lucru (specialitii TI i utilizatorii) la etapa de implementare a
fost analizat funcionalitatea sistemelor aplicative. Lucrrile au fost efectuate n baza
regulamentelor i procedurilor elaborate n acest sens cu suportul elaboratorului sistemului.
Crearea serviciului special a permis soluionarea problemelor aprute, reglementarea evidenei i
documentarea procesului de lucru cu furnizorii serviciilor n susinerea i dezvoltarea sistemului.
Autorul a elaborat metodologiei de evaluare a riscurilor de securitate infomaional,
care permite cuantificarea riscurilor n dependen de clasa de securitate a resursei

50

informaionale, vulnerabilitile resursei si ameninrile care pot exploata aceste vulnerabiliti,


frecvena manifestrii ameninrilor la securitatea informaiei, dup cum urmeaz:
Evaluarea riscurilor de securitate a informaiei n cadrul CNAS
Scopul.

Procedura

stabilete

metodologia

evalurii

riscurilor

de

securitate

informaional care include metodele de identificare, analiz, evaluare, acceptare, comunicare,


monitorizare i actualizare a informaiei despre riscurile de securitate informaional i cile de
tratare a riscurilor.
Procedura Evaluarea riscurilor de securitate a informaiei n cadrul CNAS, corespunde
clauzei 4.2.1 din standardul ISO/CEI 27001:2013, 4.3.1 din standardele 14001:2005 si OHSAS
18001:2007 alese ca model de referin pentru implementarea sistemului de management de
mediu.
Domeniul de aplicare. Procedura se aplic n cadrul CNAS tuturor activitilor i
serviciilor cu impact asupra securitii informaiei.
Datele privind riscurile de securitate a informaiei sunt nregistrate n formularul
Evaluarea riscurilor de securitate a informaiei i Planul de tratare a riscurilor de securitate a
informaiei elaborate de ctre autorul tezei de masterat.
Este necesar de a efectua monitorizarea continu a riscurilor pentru a lua la eviden:
-

noile resurse care au fost incluse n domeniul de aplicare a managementului riscurilor


sau modificrile n clasificarea resurselor identificate anterior;

noile ameninri sau modificarea ameninrilor identificate anterior;

noile vulnerabiliti sau modificarea vulnerabilitilor identificate anterior;

noile consecine posibile ale incidentelor de securitate a informaiei.

Evaluarea riscurilor de securitate a informaiei trebuie actualizat n mod sistematic.


Actualizarea trebuie s se bazeze pe datele, obinute n rezultatul monitorizrii riscurilor.
Metodica evalurii riscului
Condiiile necesare pentru evaluarea riscurilor sunt:
-

identificarea si clasificarea resurselor pentru care urmeaz s se efectueze analiza


riscurilor;

prezena vulnerabilitii;

prezena ameninrii care poate s exploateze vulnerabilitatea.

Identificarea ameninrilor i a surselor lor


Ameninarea urmeaz s fie analizat si s fie stabilit probabilitatea apariiei, care
poate fi clasificat n felul urmtor:
-

probabilitatea redus (R);


51

probabilitatea medie (M);

probabilitate nalt ().

Identificarea vulnerabilitilor care pot fi exploatate de ameninri


Vulnerabilitile pot fi depistate n urmtoarele domenii:
-

organizarea lucrrilor;

normele de management stabilite la ntreprindere;

personal;

mediul fizic;

configuraia sistemului informaional;

hardware, software, mijloacele de comunicaie;

prile externe, etc.

Trebuie identificate vulnerabilitile care pot fi exploatate de ameninri provocnd


riscul de securitate informaiei. Gradul de simplitate a exploatrii vulnerabilitii se clasific n
trei categorii (abordarea calitativ):
-

redus (R);

mediu (M);

nalt ().

Determinarea msurii de risc


Se determin msura de risc conform Tabelului 2:
Tabelul 2. Stabilirea msurii de risc
Probabilitatea ameninrii

Redus (R)
(R)
(M)

Gradul de vulnerabilitate
()
S0
Informaii
0
1
2
publice
S1
Informaii
1
2
3
disponibile
Clasificarea
S2 Informaii cu
2
3
4
resursei
acces limitat
S3
Informaii
3
4
5
confideniale
S4 Informaii strict
4
5
6
confideniale
NOT - Resursele informaionale sunt clasificate
Managementul resurselor.

Medie (M)
(R) (M) ()

nalt ()
(R) (M)

()

n conformitate cu procedura

52

Evaluarea impactului posibilelor incidente de securitate asupra resurselor


informaionale.
Impactul incidentelor de securitate se determin reieind din urmtoarele considerente,
nelimitndu-se, ns, la ele:
-

timpul de investigaii i recuperare a resursei;

pierderi de timp;

securitate i sntate n munc;

costuri financiare;

pierderea reputaiei, etc.

Se determin gradul de gravitate a consecinelor conform urmtoarei clasificri:


-

Nivel neglijabil - 1;

Nivel redus - 2;

Nivel mediu - 3;

Nivel nalt - 4;

Nivel critic - 5.

Stabilirea nivelului de risc.


Nivelul de risc se determin conform formulei (1):
Nivelul de risc = Msura riscului

Impactul consecinelor

(1)

Se identific msurile de securitate deja aplicate si cele planificate pentru a evita


eforturi inutile i dublarea msurilor de securitate.
Adoptarea deciziilor de tratare a riscurilor
Deciziile privind tratarea riscurilor se iau de ctre Comitetul pentru securitatea
informaiei.
Dac aplicarea msurilor de securitate, necesare pentru reducerea riscurilor pn la un
nivel acceptabil, necesit eforturi financiare sau Comitetul pentru securitate informaiei nu
dispune de autoritatea necesar, decizia urmeaz s fie luat de ctre Preedintele Casei
Naionale de Asigurri Sociale (CNAS).
Deciziile referitoare la riscuri se adopt reieind din clasificarea nivelurilor de risc,
conform tabelului 3.

53

Tabelul 3. Zonele de risc al securittii informaiei

Msura de risc

8
7
6
5
4
3
2
1

Impactul asupra securitii informaiei


1
2
3
4
8
16
24
32
7
14
21
28
6
12
18
24
5
10
15
20
4
8
12
16
3
6
9
12
2
4
6
8
1
2
3
4

5
40
35
30
25
20
15
10
5

n dependen de nivelul de risc urmeaz s fie luate urmtoarele decizii:


- n cazul n care nivelul de risc se afl ntre valorile de 30 si 40, sunt necesare msuri
urgente de reducere a riscului;
- n cazul n care nivelul de risc se afl ntre valorile de 13 si 30, este necesar de elaborat
un plan de tratare a riscului pentru a-l reduce pn la un nivel acceptabil;
- n cazul n care nivelul riscului este sub valoarea 12, el poate fi acceptat fr a
ntreprinde careva msuri de tratare.
NOT 1 - n cazul n care nivelul de risc rmne peste valoarea de prag stabilit
chiar i dup aplicarea msurilor de securitate conform Anexei A a standardului ISO/CEI
27001:2005 sau din lipsa resurselor necesare pentru tratarea lor, aceste riscuri se asum de
ctre conducerea instituiei.
Pot fi aplicate urmtoarele variante de tratare a riscurilor:
- reducerea riscului nivelul de risc este redus prin aplicarea unor msuri de securitate
astfel, ca riscul rezidual s fie la nivelul acceptabil;
- evitarea riscului renunare la activitile sau condiiile care pot genera un risc
specific;
- transferarea riscului riscul este transferat unei tere pri, care i ia rspunderea
pentru managementul acestui risc.
- acceptarea riscului ( a se vedea Nota 1)
La adoptarea deciziilor referitoare la tratarea riscurilor de securitate urmeaz s se in
cont de urmtoarele limitri:
-

de timp;

financiare;

tehnice;
54

culturale;

etice;

ecologice;

juridice;

posibilitti de control;

personal;

integrarea msurilor de securitate noi cu cele deja aplicate.

Dup efectuarea evalurii riscului urmeaz s fie elaborat Planul de tratare a riscului
care const n documentarea msurilor adecvate pentru tratarea riscurilor, termene de timp
privind implementarea msurilor i resursele necesare. La elaborarea planului de tratare a
riscurilor trebuie s fie selectate obiectivele de control i msurile de securitate conform SR
ISO/CEI 27001 (anexa A) pentru a acoperi cerinele de securitate informaiei, inclusiv cele
legale, de reglementare i contractuale.
Dup tratarea riscului urmeaz s fie adoptate urmtoarele decizii:
-

acceptarea riscului rezidual dac nivelul su este acceptabil sau dac este prezent
situatia descris n Nota 1;

tratarea suplimentar a riscului.

Decizia de acceptare a riscului trebuie s fie nregistrat.


Autorul lucrrii a evaluat riscurile de securitate a informaiei n cadrul CNAS i
respectiv a elaborat planul de tratare a riscurilor de securitate a informaiei n cadrul CNAS i a
completat n modul corespunztor tabelul 4 Evaluarea riscurilor de securitate a informaiei n
cadrul CNAS i tabelul 5 Planul de tratare a riscurilor de securitate a informaiei, dup cum
urmeaz:

55

Msura riscului

Descrierea efectelor

Nivelul de semnificaie a
efectelor

Nivelul de risc

Msuri de securitate
actuale

Simplitate a exploatrii
vulnerabilitii

12

Deteriorare
informaie,
vizualizarea i
utilizarea datelor cu
caracter personal
ntrerupere procese
de lucru

20

Controlul
accesului

16

Mentenan
planificat

ntrerupere procese
de lucru

UPS

tergere site,
vizualizarea i
utilizarea datelor cu
caracter personal

10

Controlul
accesului.
Actualizarea
sistemului de
securitate,
inclusiv site

Probabilitatea apariiei
ameninrii

11

Descrierea ameninrii

10

Clasificarea resursei

Identifi-catorul i
denumirea resursei

Descrierea vulnerabilitii

Tabelul 4. Evaluarea riscurilor de securitate a informaiei n cadrul CNAS

1.

SI Protecia Social,
Site web
www.cnas.md
i www.raportare.md

S2

Acces
neautorizat

Defeciune
echipament
de suport
Pana curent
electric

Lipsa
mentenan

Atac extern

Prezena
generatorului de
curent
Setarea eronat/
ineficient a
securitii

6
7
Resursele informaionale
Parola nesigur.

Transmitere
parol
persoanelor tere

56

S4

Incendiu

Inundare

Cutremur

Pana de
curent
electric

Msuri de securitate
actuale

Servere i echipament
de reea

Nivelul de risc

2.

Nivelul de semnificaie a
efectelor

Probabilitatea apariiei
ameninrii
5

Descrierea efectelor

Descrierea ameninrii
4

Msura riscului

Clasificarea resursei
3

6
7
Tehnic de calcul
Personal
M
neinstruit.
Lipsa
Instruciunii de
intervenie
Defecte ale
R
acoperiului

10

11

12

Distrugere
echipament

25

Deterioare
echipament

20

Personal
neinstruit
Lips surs
alternativ
permanent de
curent electric

20

Distrugere
echipament
Oprirea proceselor
de lucru

12

Sistem
anciincendiar
care
reacioneaz
la fum
Respectarea
regulilor de
evitare a
inundaiilor
Verificare
periodic a
acoperiului
Construcie
autorizat
Procurare
UPS-uri
adiionale

Simplitate a exploatrii
vulnerabilitii

Identifi-catorul i
denumirea resursei
2

Descrierea vulnerabilitii

57

12
Supraveghere
video

25

Procurare
echipament
adiional.
Mentenan
preventiv

Pierdere confiden
ialitate

ntreruperea
proceselor de lucru

12

Controlul
accesului.
Respectarea
principiului
ecranului
curat i al
biroului
curat
Mentenan
accidentar

5
R

6
Lipsa sistem de
semnalizare

7
R

8
4

Defeciune
echipament

Acces
neautorizat

Lips
redundan
echipament
Lips
mentenan,
Lipsa procedurii
Posibilitatea
accesului
persoanelor
strine

Defeciune
echipament

Lipsa
mentenan

Msuri de securitate
actuale

Nivelul de risc
11
16

4
Acces
neautorizat

Descrierea efectelor

Nivelul de semnificaie a
efectelor

S3

10
4

Msura riscului

Calculatoare/
staii de lucru

9
Deteriorare
intenionat, Furt
resurse
ntreruperea
proceselor de lucru

Simplitate a exploatrii
vulnerabilitii

3.

Descrierea vulnerabilitii

Clasificarea resursei
3

Probabilitatea apariiei
ameninrii

Identifi-catorul i
denumirea resursei
2

Descrierea ameninrii

58

Nivelul de semnificaie a
efectelor

Nivelul de risc

5
R

6
Personal
neinstruit

7
R

8
4

9
Furt informaie.
Transmitere
neautorizat de
informaie

10
3

11
12

Pana de
curent
electric

Lipsa surse
alimentare
alternative

Oprirea proceselor
de lucru

10

5.

Copiatoare/
printere

S1

Documente
imprimate
negestionate

Personal
neinstruit

Scurgere
informaie

6.

Sistem de cabluri

S4

Incendiu

Personal

Distrugere

25

Msuri de securitate
actuale

Msura riscului

4
Acces
neautorizat

Descrierea efectelor

Simplitate a exploatrii
vulnerabilitii

Descrierea vulnerabilitii

Clasificarea resursei
3
S3

Probabilitatea apariiei
ameninrii

Identifi-catorul i
denumirea resursei
2
Pota electronic

Descrierea ameninrii

1
4.

12
Controlul
asupra
coresponden
ei electronice
efectuat de
Administrator
. Audituri
periodice ale
sistemului
informaional
Utilizarea
metodelor
alternative de
schimb de
informaii
Principiul
Ecranul
curat i biroul
curat
Sistem
59

Cutremur

Pana de
curent
electric (scurt
circuit)

9
echipament,
documentaie
intern i a blocului

10

11

Deterioare

20

Personal
neinstruit

20

Cablu
neconform.
Conexiune
necalitativ

Distrugere
echipament i a
cldirii
Oprirea proceselor
de lucru

12

6
neinstruit.
Lipsa
Instruciunii de
interventie
Defecte ale
acoperisului

echipament

Msuri de securitate
actuale

Nivelul de risc

Inundare

Nivelul de semnificaie a
efectelor

Probabilitatea apariiei
ameninrii
5

Descrierea efectelor

Descrierea ameninrii
4

Msura riscului

Clasificarea resursei
3

Simplitate a exploatrii
vulnerabilitii

Identifi-catorul i
denumirea resursei
2

Descrierea vulnerabilitii

12
anciincendiar
care
reacioneaz
la fum
Respectarea
regulilor de
evitare a
inundaiilor
Verificare
periodic a
acoperiului
Construcie
autorizat
Evaluarea
furnizorilor
de produs.
Verificare
produs la
intrare.
60

Identifi-catorul i
denumirea resursei

Clasificarea resursei

Descrierea ameninrii

Probabilitatea apariiei
ameninrii

Descrierea vulnerabilitii

Simplitate a exploatrii
vulnerabilitii

Msura riscului

Descrierea efectelor

Nivelul de semnificaie a
efectelor

Nivelul de risc

10

11

Acces
neautorizat

Lipsa registru
vizitatori

Furt de informaii.
Fraude
intenionate.

16

Procese judiciare
cu angajaii

12

Date cu caracter personal


7.

CNAS

S4

Acces
neautorizat.
Furt
Divulgare

Pstrare
neadecvat

Msuri de securitate
actuale

12
Evaluarea
furnizorilor
servicii de
montare.
Mentenan
Paz cu
trecere n
baza
permisului i
prezena
agenilor de
la S Paza de
Stat
Controlul
accesului

61

9
Pierderea imaginii
autoritii publice.
Procese judiciare
cu terii

10
3

11
12

Msuri de securitate
actuale

Nivelul de risc

8
4

Descrierea efectelor

7
R

Nivelul de semnificaie a
efectelor

6
Pstrare
neadecvat

Msura riscului

5
M

Simplitate a exploatrii
vulnerabilitii

4
Acces
neautorizat.
Furt
Divulgare

Descrierea vulnerabilitii

Clasificarea resursei
3
S4

Probabilitatea apariiei
ameninrii

Identifi-catorul i
denumirea resursei
2
Alte organizaii

Descrierea ameninrii

1
8.

12
Controlul
accesului

Tabelul 5. Planul de tratare a riscurilor de securitate a informaiei n cadrul CNAS


Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)

Descrierea
efectelor

Acces neautorizat

Deteriorare
informaie,
vizualizarea
i utilizarea
datelor cu

Msuri de
securitate
Termen de
Nivelul
propuse
executare/
de risc
(conform
Responsabil/
curent
ISO/CEI 27001,
Resurse
anexa A)
3
4
5
6
SI Protecia Social, Site web www.cnas.md i www.raportare.md
20
Controlul accesului
Limitarea
Secia securitate
accesului la
informaional/
modificarea sitePermanent
ului i verificare
acces utilizatori
Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)

Gradul de
risc
rezidual
planificat

Decizia de
acceptare a
riscului

12

Acceptat

62

Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)
1
Defectiune
echipament de
suport

Descrierea
efectelor
2
caracter
personal
ntreruperea
proceselor de
lucru

Nivelul
de risc
curent

Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)

16

Mentenan
planificat

Incendiu

Distrugere
echipament

25

Inundare

Deterioare
echipament

20

Cutremur

Distrugere
echipament

20

Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
SI Protecia
Social
Respectarea
planurilor de
mentenan

Servere i echipament de reea


Sistem antiincendiar Elaborare plan
care reacioneaz la de interventie n
fum
caz de incendiu.
Exerciii de
testare a
planului
Respectarea regulilor de evitare a
inundaiilor
Verificare periodic a acoperiului

Construcie
autorizat

Elaborare plan
de intervenie n

Termen de
executare/
Responsabil/
Resurse

Gradul de
risc
rezidual
planificat

Decizia de
acceptare a
riscului

Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informaional/
Conform planului

12

Acceptat

Personalul
responsabil de
sntatea i
securitatea n
munc/
Iulie 2015
Toi angajaii/
Permanent.
Responsabil de
infrastructur/
Conform planului de
mentenan.
Personalul
responsabil de

20

Acceptat sub
raspunderea
Preedintelui
CNAS

20

Acceptat sub
raspunderea
Preedintelui
CNAS

20

Acceptat sub
raspunderea
63

Descrierea
efectelor

Nivelul
de risc
curent

Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)

Acces neautorizat

Deteriorare
intenionat,
Furt resurse

16

Supraveghere video

Defeciune
echipament

ntreruperea
proceselor de
lucru

25

Procurare
echipament
adiional.
Mentenan
preventiv

Incendiu

Distrugere
echipament,
documentaie
intern i a

25

Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)

Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
caz de incendiu.
Exerciii de
testare a
planului
Instalare sistem
de semnalizare

Respectarea
planurilor de
mentenan

Sistem de cabluri
Sistem antiincendiar Elaborare plan
care reactioneaz la de interventie n
fum
caz de incendiu.
Exercitii de

Termen de
executare/
Responsabil/
Resurse

Gradul de
risc
rezidual
planificat

6
sntatea i
securitatea n
munc/
Iulie 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informational/ ef
subdiviziune
teritorial/
August 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informaional/
Conform planului

8
Preedintelui
CNAS

12

Acceptat

16

Acceptat sub
raspunderea
Preedintelui
CNAS

20

Acceptat sub
raspunderea
Preedintelui
CNAS

Personalul
responsabil de
sntatea i
securitatea n

Decizia de
acceptare a
riscului

64

Descrierea
riscului (resurs,
ameninare,
vulnerabilitate)

Descrierea
efectelor

Nivelul
de risc
curent

Msuri de
securitate actuale
(conform ISO/CEI
27001,
anexa A)
4

2
blocului

Inundai

Deteriorare
echipament

20

Cutremur

Distrugere
echipament i
a cldirii

20

Construcie
autorizat

Acces neautorizat

Furt
informaii.
Fraude
intenionate

16

Paz cu trecere n
baza permisului i
prezena agenilor de
la S Paza de Stat

Msuri de
securitate
propuse
(conform
ISO/CEI 27001,
anexa A)
5
testare a
planului

Respectarea regulilor de evitare a


inundaiilor
Verificare periodic a acoperiului

Elaborare plan
de intervenie n
caz de incendiu.
Exerciii de
testare a
planului
Instalare sistem
de semnalizare

Termen de
executare/
Responsabil/
Resurse

Gradul de
risc
rezidual
planificat

Decizia de
acceptare a
riscului

6
munc/
Iulie 2015

Toi angajaii.
Permanent.
Responsabil de
infrastructur/
Conform planului de
mentenan.
Personalul
responsabil de
sntatea i
securitatea n
munc/
Iulie 2015
Secia securitate
informaional/
Direcia general
implemetarea
sistemului
informational/
ef subdiviziune
teritorial/
August 2015

20

Acceptat sub
raspunderea
Preedintelui
CNAS

20

Acceptat sub
raspunderea
Preedintelui
CNAS

12

Acceptat

65

III. COMPONENTELE DE SECURITATE ALE SISTEMELOR

INFORMATICE DIN CADRUL CNAS

Etapa actual de dezvoltare a Republicii Moldova se caracterizeaz prin dezvoltarea i


rspndirea rapid a tehnologiilor informaionale, prin rolul avansat al domeniului informaional, ce
include totalitatea informaiei, infrastructurii tehnologiei informaiei i comunicaiilor (TIC),
instituiilor care prelucreaz informaia i a sistemului ce reglementeaz relaiile sociale aprute n
acest context.
Fiind o parte important i indispensabil a vieii societii moderne, domeniul
informaional influeneaz activ asupra strii componentelor de stat, sociale, militare, economice
i a altor componente ale securitii naionale. Totodat, securitatea naional depinde
considerabil de asigurarea securitii informaionale a persoanei, societii i statului.[77]
Pe parcursul ultimilor ani a crescut semnificativ necesitatea unei abordri complexe i
eficiente a procesului de asigurare a securitii spaiului informaional naional, inclusiv al
infrastructurii critice naionale, de asigurare i protecie a informaiei atribuite la secret de stat,
de prevenire i combatere a crimelor informaionale, extremismului i terorismului n spaiul
informaional.
Importana problemei a fost conturat n Concepia securitii naionale i Strategia
securitii naionale a Republicii Moldova, care, stabilind obiectivele sistemului de securitate
naional, au reflectat att ameninrile din domeniul tehnologiilor informaionale, ct i
asigurarea securitii informaionale.
Adoptarea Concepiei este determinat de necesitatea proteciei intereselor persoanelor,
societii, statului n domeniul informaional, importana pericolelor securitii informaionale n
societatea modern, de necesitatea meninerii unui echilibru ntre interesele persoanelor,
societii, statului pentru asigurarea securitii informaionale.[78]
Perfecionarea bazei normative n domeniul dat este determinat de elaborarea i
consolidarea normativ a anumitor drepturi i obligaiuni ale statului, instituiilor administraiei
publice, persoanelor cu funcii de rspundere, organizaiilor care asigur securitatea informaional,
mecanismelor de realizare a drepturilor i obligaiunilor date. Consolidarea acestora va permite
sistematizarea

relaiilor

sociale

privind

asigurarea securitii

informaionale, nlturarea

incertitudinilor i limitelor discreionare n domeniul dat.


Echipele de rspuns la incidente de securitate exist n toat lumea pentru a ajuta
utilizatorii s reacioneze la atacurile ndreptate asupra echipamentelor IT, indiferent de
tehnologia utilizat sau din ce organizaie face parte utilizatorul respectiv. Multe organizaii au
66

echipe interne de rspuns la incidente al cror scop este tratarea incidentelor din punctul de
vedere al instituiei respective pentru a proteja utilizatorii i / sau clienii si. Guvernele naionale
organizeaz echipe de rspuns la incidente de securitate la nivel de ar, pentru a contracara
atacuri masive i specializate asupra cetenilor, a companiilor i a infrastructurilor de importan
naional - unele dintre acestea critice pentru o bun existen i funcionare a societii. Dou
exemple de astfel de atacuri sunt atacurile de tip distribuit asupra serviciilor (Distributed Denial
of Service - DDoS) i atacurile de tip "phishing".[86]
Serviciul Trusted-Introducer a fost nfiinat n Europa n anul 2000 pentru a facilita
colaborarea ntre astfel de echipe de rspuns i, prin urmare, pentru a crete nivelul de securitate
prin rspunsul mai rapid la atacurile n desfurare i a ameninrilor de tip nou. TI asigur o
baz de ncredere, cu servicii adiionale specializate pentru toate echipele de rspuns la incidente
de securitate. De asemenea, TI administreaz o baz de date cu informaii despre astfel de echipe
existente i ofer o imagine de ansamblu actualizat asupra nivelului lor demonstrat de
maturitate i abilitate. Pentru garantarea acestor informaii a fost conceput un mecanism de
acreditare i certificare bazat pe cele mai bune practici dezvoltate i testate de-a lungul timpului
n cadrul aceleai comuniti TI. [86]
Pentru ndeplinirea obiectivelor sale, acest serviciu, asigur tuturor utilizatorilor si
accesul gratuit la o baz de date cu echipele de rspuns. Aceast baz de date conine informaii
despre toate echipele de rspuns cunoscute i nregistrate care sunt acceptate de comunitatea
Trusted-Introducer. Putem cuta n aceast baz de date echipa sau echipele adecvate n funcie
de tipul echipei, ara unde activeaz i statutul n cadrul TI.
n Republica Moldova, exist dou astfel de echipe de rspuns la incidente de
securitate: www.cert.gov.md i www.cert.acad.md (www.cert.md). Denumirea CERT vine de la
Echip de rspuns la incidentele legate de securitatea calculatoarelor (Computer Emergency
Response Team) ce reprezint o echip de experi n securitatea informaional, a crei sarcin
este s rspund la incidente ce in de securitatea sistemelor informaionale. Acesta asigur
serviciile necesare pentru gestionarea incidentelor i sprijinirea beneficiarilor lor n recuperarea
de pe urma a nclcrilor de securitate.
n vederea executrii prevederilor Hotrrii Guvernului Nr. 746 din 18.08.2010 "Cu
privire la aprobarea Planului Individual de Aciuni al Parteneriatului Republica Moldova
NATO actualizat", n cadrul ntreprinderii de Stat "Centrul de telecomunicaii speciale" a fost
creat Centrul pentru Securitatea Cibernetic - CERT-GOV-MD.[78]
Misiunea Centrului pentru Securitatea Cibernetic este de a susine societatea
moldoveneasc n protejarea mpotriva incidentelor IT. CERT-GOV-MD va fi punctul central de
67

raportare i coordonare privind incidentele de securitate n sistemele de comunicaii i


informatice aflate n administrarea ntreprinderii de Stat "Centrul de telecomunicaii speciale".
CERT-GOV-MD va facilita schimbul de informaii privind incidentele IT ntre organizaiile din
societate i va disemina informaiile legate de noi probleme, care ar putea mpiedica funcionarea
sistemelor IT guvernamentale. Totodat, CERT-GOV-MD asigur informaii i consultan
privind msuri pro-active, precum compilarea i completarea statisticilor.
CERT-GOV-MD a fost creat pentru a asista beneficiarii n utilizarea sistemelor
informaionale i de telecomunicaii al autoritilor administraiei publice n implementarea
msurilor proactive i reactive n vederea reducerii riscurilor de incidente a securitii IT i
acordarea asistenei n reacionarea la incidente. Centrul, de asemenea, examineaz incidentele
aprute n reele Moldoveneti i care sunt raportate de ctre ceteni i instituii din Republica
Moldova, precum i celor din strintate.[78]
Centrul de expertiz i securitate pe internet MD-CERT - este un centru de expertiz a
securitii pe internet, situat la RENAM, (Asociaia Naional Educaie i Cercetare din Republica
Moldova). Centrul dat studiaz vulnerabiliti web, cerceteaz schimbrile pe termen lung n
sistemele de reea i contribuie la dezvoltarea, informarea i instruirea cu scopul mbuntirii
securitii.
MD-CERT este un proiect necomercial i este nregistrat oficial la CSIRT (Computer
Security Incident Response Team) i este angajat n colectarea i analizarea faptelor de incidente
informatice, n ceea ce privete resursele de reea situate pe teritoriul MD. MD-CERT garanteaz
confidenialitatea tuturor informaiilor trimise cu privire la incidentele.[79]
Sistemele informatice i reelele de calculatoare din cadrul organizaiilor tot mai des
sunt atacate i securitatea este minima, ceea ce duce la mari probleme att organizaiilor ct i
clienilor acestor organizaii. n urma acestor atacuri informaionale datele confideniale sunt
deteriorate, modificate sau chiar terse.
Din aceast cauz mediul de afaceri are nevoie pentru a proteja resursele sale. Dar din
pcate cele mai dese incidente de securitate a informaiei au loc n interiorul organizaiei, din
cauza nerespectrii msurilor de securitate.
Msurile organizatorice au destinaia s asigure n mod administrativ protecia
resurselor (activelor) informaionale ale Casei naionale de asigurri sociale (CNAS). n
cadrul msurilor organizatorice vor fi elaborate documentele normative ale CNAS privind
securitatea informaional (SI), obligaiunile i responsabilitile colaboratorilor CNAS n sfera
SI. Trebuie s fie documentate din punct de vedere administrativ i legal relaiile cu
colaboratorii, partenerii CNAS, terele persoane. Responsabilitile subdiviziunilor CNAS
68

privind SI trebuie reglementate prin documentele normative respective, iar activitatea lor trebuie
s fie coordonat de ctre conducerea CNAS.[82]
Asigurarea organizatoric a securitii informaionale include:
a. delegarea responsabilitii pentru asigurarea SI,
b. Organizarea activitii subdiviziunilor CNAS n sfera SI,
c. Sporirea continu a nivelului de calificare a colaboratorilor, responsabili de SI.
Gestiunea resurselor informaionale ale CNAS reprezint baza asigurrii securitii lor.
Protecia resurselor informaionale trebuie s fie realizat n conformitate cu importana lor
pentru procesele business ale CNAS. Gradul de importan a unei resurse trebuie s fie
determinat conform cadrului metodic, elaborat n acest scop. Pentru fiecare resurs va fi numit
un colaborator, care va purta

responsabilitate

personal

privind

asigurarea

securitii

informaionale a resursei respective.


Gestiunea activelor include:
a) Evidena strict a activelor informaionale ale CNAS existente,
b) Clasificarea activelor informaionale ale CNAS.
Pentru realizarea clasificrii trebuie s fie utilizat o metodic, care va respecta
urmtoarele cerine:
- Clasificarea trebuie s fie realizat n conformitate cu urmtoarele trei caracteristici
ale resursei: confidenialitate, integritate i accesibilitate,
- Nivelul de importan a unui activ informaional trebuie s corespund
nivelului daunelor poteniale pentru CNAS n caz de nclcare a confidenialitii, integritii sau
accesibilitii.
Accesul colaboratorilor la o resurs informaional a CNAS este considerat
vulnerabilitate a resursei i reprezint un factor de risc privind confidenialitatea, integritatea i
accesibilitatea a acesteia. Reieind din aceast premis, lucrul cu personalul, n particular
angajarea, verificarea i instruirea, sunt componente importante ale asigurrii SI a CNAS.
Procedurile de procesare a informaiei de ctre utilizatorii sistemului informaional trebuie
perfectate sub form de instruciuni i regulamente conform rolului fiecrui utilizator.
Procedurile, legate de selectare, concediere sau trecerea unui colaborator la un alt post
n cadrul CNAS trebuie s fie elaborate n conformitate cu exigenele SI. Colaboratorii CNAS
trebuie s fie instruii n mod continuu n domeniul SI.
Lucrul cu personalul va include:
a) asigurarea metodic a procesului de selectare a personalului,
b) instruirea personalului n problemele de securitate,
69

c) penalizarea prin msuri disciplinare stricte a celor care ncalc cerinele SI.
Toi colaboratorii CNAS vor fi obligai s execute cerinele documentelor normative ale
CNAS n sfera asigurrii SI. Fiecare colaborator trebuie s aib rolul su n cadrul sistemului
de management al securitii informaionale (SMSI). Pentru utilizatorii infrastructurii
informaionale a CNAS trebuie s fie elaborat instrucia privind asigurarea SI.[22]

3.1. Securitatea fizic a sistemelor informatice


Modelul de securitate pentru un sistem informatic poate fi vzut ca avnd mai multe
straturi ce reprezint nivelurile de securitate ce nconjoar subiectul ce trebuie protejat. Fiecare
nivel izoleaz subiectul i l face mai dificil de accesat n alt mod dect cel n care a fost
prevzut.
Securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n
general, n nchiderea echipamentelor informatice ntr-o alt incint precum i asigurarea pazei i
a controlului accesului. O problem o constituie salvrile sub forma de copii de rezerv ale
datelor i programelor, precum i sigurana pstrrii suporilor de salvare (backup). Reelele
locale sunt, n acest caz, de mare ajutor, copiile de rezerv putndu-se face prin reea pe o singur
main ce poate fi mai uor securizat.
Securitatea fizic trebuie abordat foarte serios deoarece toate msurile de securitate
logice, cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative n cazul
accesului neautorizat la echipamente. O alt problem important n securitatea fizic unui
sistem informatic o constituie pur i simplu sustragerile de echipamente sau a suporilor de
backup.[25]
Securitatea logic const din acele metode logice (software) care asigur controlul
accesului la resursele i serviciile sistemului. Ea are, la rndul ei, mai multe niveluri mprite n
dou grupe mari: niveluri de securitate a accesului i niveluri de securitate a serviciilor.
Securitatea accesului cuprinde:
- accesul la sistem, care este rspunztor de a determina n ce condiii i n ce moment
este sistemul accesibil utilizatorilor. El poate fi raspunzator de asemenea si de gestionarea
evidentei accesului. Accesul la sistem poate efectua si deconectarea fortata in anumite cazuri (ex.
expirarea contului, ora de varf, );
- accesul la cont care verifica daca utilizatorul ce incearca sa se conecteze are un nume
si o parola valida;
70

- drepturile de acces (la fisiere, resurse, servicii etc.) care determina de ce privilegii
dispune un utilizator (sau un grup de utilizatori) dat.
- Securitatea serviciilor controleaza accesul la serviciile unui sistem (calculator, retea).
Din acest nivel fac parte:
- controlul serviciilor care este responsabil cu functiile de avertizare si de raportare a
starii serviciilor, precum si de activarea si dezactivarea diverselor servicii oferite de catre
sistemul respectiv;
- drepturile la servicii care determina exact cum foloseste un anumit cont un serviciu
dat (acces la fisiere, resurse, prioritate, )

Fig. 2. Modelul de securitate pentru un sistem informatic


Odat stabilit conexiunea logic, subsistemul de securitate a accesului valideaza contul
de acces. Subsistemul de securitate a serviciilor monitorizeaz activitatea utilizatorului i ia
msuri n cazurile n care cererile acestuia depesc drepturile specificate n profilul
utilizatorului (sau grupului de utilizatori) respectiv. Accesul ntr-un sistem sigur perfect ar trebui
s se fac prin aceste niveluri de securitate descrise mai sus, de sus in jos fr s permit
ocolirea vreunuia din ele.[57]
Securitatea la nivel de gazd urmeaz principiile enunate mai sus. n cazul unui sistem
conectat la Internet distingem:

71

entitile ce au acces local la acea maina (utilizatori, programe server, ageni locali)

precum i drepturile acestora (ce are voie s fac un anumit utilizator, cu ce privilegii ruleaz un
anume proces, ce prioritate are un proces, ce drepturi are asupra fiierelor respective, asupra
spaiului de stocare, ce resurse i ntre ce limite are voie s acceseze);
-

serviciile oferite ctre exterior (publice sau pentru anumii utilizatori; autentificare,

monitorizare);
-

sistemul de operare (tipul, distribuia, servicii implicite oferite filtrarea sau

dezactivarea celor de care nu e nevoie, bug-uri cunoscute, revizii etc.).


Scopul asigurrii securitii fizice a obiectelor CNAS const n excluderea accesului
persoanelor neautorizate i minimizarea riscului unor poteniale daune n cazul unui acces
neautorizat. Suplimentar, documentele normative, care regleaz asigurarea securitii fizice,
trebuie s includ cerine privind protecia echipamentelor i reelei fizice de mediul ambiant, n
particular, msuri privind mentenana sistemelor de asigurare a viabilitii.
Trebuie s fie elaborate cerine privind procedurile de control al accesului fizic,
repartizarea i protecia zonelor de securitate, ca i ordinea de admitere a colaboratorilor CNAS
i vizitatorilor n interiorul perimetrului i zonelor de securitate. Procedurile de control al
accesului trebuie s reglementeze regulile de lucru cu sistemul de control al accesului fizic,
inclusiv administrarea cheilor sistemului de control al accesului fizic.
Asigurarea securitii fizice va include:
a) Determinarea i protecia zonelor de securitate,
b) Controlul accesului fizic,
c) Protecia

componentelor

sistemului

informaional

contra

aciunilor mediului

ambiant i mentenana sistemului de asigurare a viabilitii.


Securitatea de perimetru (bariere, perei, ui de intrare n baz de autentificare, sisteme de
securitate etc.) este organizat pentru a forma zone de securitate i a proteja resursele informaionale
critice. Securitatea de perimetru este asigurat adecvat pentru toate ncperile CNAS.
CNAS asigur c sunt clar stabilite zonele de securitate, iar mijloacele de control i nivelul
de securitate aferent fiecrei zone corespunde tipului zonei de securitate, sunt determinate n funcie de
cerinele de securitate ale resurselor amplasate n zona respectiv i n baza unei analize a riscurilor.
CNAS asigur c zonele cu acces public, precum cele aferente deservirii clienilor, primirii
vizitatorilor, livrrilor i ncrcrilor, sunt controlate i delimitate de restul zonelor de securitate ale
CNAS.

72

Casa Naional de Asigurri Sociale asigur c zonele de securitate sunt dotate cu mijloace
adecvate de control al accesului pentru a asigura c doar persoanele autorizate vor avea acces (ex.
lacte, cartele de acces, supraveghere video, detectori efracie, etc.)
CNAS asigur c regulile i normele de lucru i acces n zonele de securitate sunt definite i
aplicate, iar drepturile de acces la zonele de securitate revizuite i rennoite n mod regulat.
CNAS asigur c regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.) sunt
stabilite, comunicate i aplicate.
CNAS asigur c vizitatorii zonelor de securitate critice sunt supravegheai sau autorizai, iar
data i ora intrrii i ieirii acestora este nregistrat.
CNAS aplic msuri pentru protecia fizic mpotriva incendiilor, inundaiilor, cutremurelor,
exploziilor, revoltelor publice i a oricror forme de dezastre naturale sau produse de oameni.
CNAS asigur c echipamentul ce asigur securitatea ncperii / localului este instalat i
funcionabil (ex.: sistem de alarm incendiar, echipament de stingere a focului, detectoare de fum i
temperatur etc.).
Procesele de tratare, pstrare i transmitere a informaiei ocup locul central n cadrul
sistemului informaional al CNAS i reprezint mijlocul tehnologic principal de susinere a
activitii. Din aceast cauz acestor procese se va acorda cea mai mare atenie din punctul de
vedere al asigurrii securitii informaionale.
Pentru fiecare rol de utilizator trebuie s fie determinate i perfectate, n conformitate cu
responsabilitile

drepturile

colaboratorului,

proceduri

instruciuni. Configurarea

componentelor sistemului informaional trebuie s fie documentat, iar toate modificrile


sistemului informaional trebuie s fie planificate i nregistrate.[17]
Trebuie s fie bine pus la punct sistemul copierii de securitate a activelor informaionale
ale CNAS, care va lua n consideraie nivelul de risc privind accesul neautorizat la o resurs
informaional. Procedura copierii de securitate trebuie s presupun diferite variante de pstrare
a suporilor copiilor de securitate, inclusiv pstrarea acestora la tere persoane.
Procedura proteciei antivirus trebuie s solicite instalarea programelor antivirus pe toate
calculatoarele CNAS i actualizarea periodic a bazelor antivirus.[21]
Procedurile de asigurare a securitii n reea trebuie s reglementeze configurarea i
administrarea echipamentelor de reea, utilizarea protocoalelor speciale de transmitere a datelor
i segmentarea reelei. Utilizarea potei electronice, instrumentelor de transmitere momentan a
mesajelor i a resurselor reelei Internet trebuie controlate i reglementate prin proceduri
respective.

73

La elaborarea documentelor normative privind asigurarea SI, o atenie special


trebuie s fie acordat utilizrii mijloacelor criptografice de protecie a informaiei i
administrrii cheilor de criptare. Mijloacele de protecie criptografic a informaiei trebuie s
fie utilizate pentru protejarea activelor informaionale cu risc nalt de vulnerabilitate al
confidenialitii i integritii.[47]
Utilizarea dispozitivelor mobile n cadrul CNAS trebuie s fie strict reglementat prin
procedurile respective.
Asigurarea Securitii informaionale n timpul procesrii, pstrrii i transmiterii
informaiei include:
a) Documentarea procedurilor operaionale i separarea responsabilitii n procesele
de tratare a informaiei,
b) Planificarea infrastructurii i monitorizarea modificrilor,
c) Protecia antivirus,
d) Copierea de securitate,
e) Administrarea echipamentelor de reea,
f) Asigurarea securitii suporilor de informaii i a echipamentelor mobile,
g) Asigurarea securitii informaiei n timpul transmiterii.
Procedurile de control a accesului reprezint modalitatea principal de asigurare a
securitii activelor informaionale. Procedura de administrare a accesului trebuie s foloseasc
reguli aprobate privind separarea accesului utilizatorilor n conformitate cu rolul fiecruia n
procesul de tratare a informaiei. Accesul la activele informaionale ale CNAS trebuie s fie
asigurat n volumul strict necesar i suficient pentru ndeplinirea obligaiunilor de serviciu.[19]
Administrarea accesului a distan trebuie s fie strict reglementat prin procedurile
respective, deoarece accesul la distan la activele informaionale ale CNAS reprezint un factor
suplimentar de risc i trebuie s fie acceptat doar n cazuri speciale. Accesul la distan va fi
permis cu condiia c vor fi implementate msuri suplimentare pentru diminuarea riscului SI.
Accesul utilizatorilor la activele informaionale ale CNAS trebuie s fie supus unei
monitorizri continue.
Controlul accesului utilizatorilor la activele informaionale include:
a) Administrarea accesului utilizatorilor la activele informaionale,
b) Administrarea accesului la distan,
c) Controlul accesului la nivelul sistemului de operare,
d) Controlul accesului la nivelul sistemelor aplicative,
e) Monitorizarea accesului i utilizrii sistemelor.
74

Resursele program reprezint mijloacele de procesare a informaiei n componentele


sistemului informaional al CNAS. Sistemele de operare i programele aplicative formeaz setul de
resurse program, utilizate pentru efectuarea proceselor business ale CNAS. Suplimentar,
procesele de asigurare a securitii informaionale cum ar fi administrarea accesului utilizatorilor
la activele informaionale, administrarea componentelor sistemului informaional, protecia
antivirus, copiere de securitate, sunt realizate la nivelul resurselor program. Reieind din
aceasta este evident, c procesul de gestiune a ciclului de via a resurselor program, pornind de
la formularea cerinelor i terminnd cu retragerea din

exploatare,

reprezint

parte

important a sistemului de management a securitii informaionale a CNAS.


n cadrul sistemului informaional al CNAS sunt utilizate produse program liceniate,
freeware, open sourse i producie proprie.
Lansarea n exploatare a unui produs program trebuie s fie permis doar dac
exist documentele de utilizare a acestuia.
O atenie deosebit la elaborarea procedurilor de gestiune a ciclului de via a
produselor program trebuie s fie acordat procesului de instalare a actualizrilor, realizate de
dezvoltatorul produsului program.
Procesul de gestiune a ciclului de via a produselor program include:
a) Formularea cerinelor de securitate privind produsul program,
b) Procesul de achiziie (dezvoltare) a produsului program,
c) Lansarea produsului program n exploatare,
d) Mentenana produsului program,
e) Retragerea din exploatare a produsului program.
Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau
afectarea facilitilor oferite de sistemul informaional.
Aceasta seciune vizeaz mecanismele prin care se asigur securitatea fizic a
imobilului n care organizaia i desfoar activitatea.
Alt aspect important al securitii fizice este cel legat de protecia echipamentelor, prin
prevenirea pierderii, distrugerii sau compromiterii funcionrii echipamentelor care pot afecta
funcionarea organizaiei.
Echipamentele de calcul trebuie s fie protejate fizic mpotriva ameninrilor voite sau
accidentale. n acest sens trebuie dezvoltate standarde i proceduri pentru securizarea att a
serverelor, ct i a staiilor de lucru ale utilizatorilor.[45]
Msurile de control al accesului, implementate la nivelul aplicaiei, bazelor de date sau
reelei pot deveni inutile dac exist i o protecie fizic corespunztoare.
75

Securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n


general, n protecia sub cheie a echipamentelor informatice ntr-un birou sau ntr-o alt incint
precum i asigurarea pazei i a controlului accesului. Aceast securitate fizic merit o
consideraie special. Tot o problem de securitate fizic o constituie sigurana pstrrii
suportilor de salvare (backup) a datelor i programelor. Reelele locale sunt, n acest caz, de mare
ajutor, copiile de rezerv putndu-se face prin reea pe o singur main ce poate fi mai uor
securizat. O alt problem important n securitatea fizic a unui sistem informatic o constituie
pur i simplu sustragerile de echipamente. n plus, celelalte msuri de securitate logic (parole
etc.) devin nesemnificative n cazul accesului fizic neautorizat la echipamente.
ntr-un sistem n care prelucrarea este distribuit, prima msur de securitate fizic care
trebuie avut n vedere este prevenirea accesului la echipamente.

3.2. Securitatea reelelor i gestionarea conturilor de utilizator


Securitatea reelelor de calculatoare este n acest moment parte integrant a
domeniului reelelor de calculatoare i ea implic protocoale, tehnologii, sisteme, instrumente i
tehnici pentru a securiza i opri atacurile ru intenionate. Atacurile cibernetice au crescut
considerabil n ultimii ani, iar conform unor rapoarte Europol, infraciunile comise n spaiul
cibernetic provoac pagube anual de peste 1 trilion de dolari.[66]
Conform anexei A din standardul ISO/IEC 27001:2013 exist n prezent 114 de msuri
de control i obiective de securitate n 14 grupe; standardul vechi a avut 133 de msuri de control
i obiective de securitate n 11 grupuri.
A.5: politici de securitate de informaii (2 msuri de control i obiective de securitate).
A.6: Organizarea securitii informaiei (7 msuri de control i obiective de securitate).
A.7: Securitatea resurselor umane - 6 msuri de control i obiective de securitate care
sunt aplicabile nainte, n timpul, sau dup angajare.
A.8: Managementul resurselor (10 msuri de control i obiective de securitate).
A.9: Controlul accesului (14 msuri de control i obiective de securitate).
A.10: Criptografie (2 msuri de control i obiective de securitate).
A.11: Securitatea fizic i a mediului (15 msuri de control i obiective de securitate).
A.12: Operaiuni de securitate (14 msuri de control i obiective de securitate).
A.13: Securitate comunicaiilor (7 msuri de control i obiective de securitate).

76

A.14: Achiziii de sistem, dezvoltare i ntreinere (13 msuri de control i obiective de


securitate).
A.15: Relaiile cu furnizorii (5 msuri de control i obiective de securitate).
A.16: Managementul incidentelor de securitate a informaiei (7 msuri de control i
obiective de securitate).
A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4
msuri de control i obiective de securitate).
A.18: Conformitatea cu cerinele interne, cum ar fi politicile, i cu cerinele externe,
cum ar fi legile (8 msuri de control i obiective de securitate).[91]
Fiind un domeniu complex, au fost create domenii de diviziune pentru a putea face
administrarea mai facil. Acesta mprire permite profesionistilor o abordare mai precis n
privina instruirii, cercetrii i diviziuni muncii n acest domeniu. Sunt 12 domenii ale securitii
reelelor specificate de International Organization for Standardization (ISO) / International
Electrotechnical Commission (IEC):
1. Evaluarea Riscului e primul pas n administrarea riscului i determin valoarea
cantitativ i calitativ a riscului legat de o situaie specific sau o amninare cunoscut;
2. Politica de Securitate este un document care trateaz msurile coercitive i
comportamentul membrilor unei organizaii i specific cum vor fi accesate datele, ce date sunt
accesibile i cui;
3. Organizarea Securitii Informaiei e un model de guvernare elaborat de o
organizatie pentru securitatea informaiei
4. Administrarea Bunurilor reprezint un inventar potrivit unei scheme clasificate
pentru bunurile informaionale
5. Securitatea Resurselor Umane defineste procedurile de securitate privind
angajarea, detaarea i prsirea de ctre un angajat a organizaiei din care va face, face sau a
fcut parte
6. Securitatea Fizica i a Mediului descrie msurile de protectie pentru centrele de
date din cadrul unei organizaii
7. Administrarea Comunicaiilor i Operaiunilor descrie controalele de securitate
pentru reele i sisteme
8. Controlul Accesului priveste restriciile aplicate accesului direct la reea, sisteme,
aplicaii i date
9. Achiziia, Dezvoltarea i Pstrarea Sistemelor Informatice definete aplicarea
msurilor de securitate n aplicaii
77

10.

Administrarea Incidentelor de Securitate a Informaiei trateaz cum

anticipeaz i rspunde sistemul la breele de securitate


11.

Administrarea Continuitii Afacerii descrie msurile de protecie, ntreinere i

recuperare a proceselor critice pentru afacere i sisteme


12.

Conformitatea descrie procesul de asigurare a conformitii cu politicile de

securitate a informaiei, standarde i reguli


Aceste 12 domenii au fost create pentru a servi ca baz comun pentru dezvoltarea de
standarde i practici de securitate eficiente i pentru a da ncredere activitilor desfurate ntre
organizaii.
Tot pe criterii de eficien n abordare i usurin n nvaare, atacurile de securitate la
adresa reelelor sunt mpartite cu carater general n: recunoatere, acces i de imposibilitate
onorri cererii(DoS).[34]
Atacuri interne
Multe atacuri privind securitatea reelei provin din interiorul ei. La atacurile interne se
refer furt de parole (care pot fi utlizate sau vndute), spionaj industrial, angajai nemulumii
care tind de a cauza daune angajatorului, sau simpla utilizare necorespunztoare. Majoritatea
acestor nclcri pot fi soluionate cu ajutorul ofierului de securitate a companiei, care
monitorizeaz activitatea utilizatorilor reelei.[66]
Puncte de acces nesecurizate
Aceste puncte de acces nesecurizate fr fir sunt foarte slabe mpotriva atacurilor din
exterior. Ele des sunt prezentate pe comunitile locale ale hakerilor. Punctul slab este c orice
persoan poate conecta un ruter fr fir ceea ce ar putea da acces neautorizat la o reea
protejat.[66]
Back Doors
Comenzi rapide administrative, erori de configurare, parole uor descifrabile pot fi
utilizate de ctre hackeri pentru a avea acces. Cu ajutorul cuttorilor computerizai (bots),
hackerii pot gsi punctul slab al reelei.[66]
Denial of Service (DoS i DDoS)
Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial of
service) este o ncercare de a face ca resursele unui calculator s devin indisponibile
utilizatorilor. Dei mijloacele i obiectivele de a efectua acest atac sunt variabile, n general el
const n eforturile concentrate ale unei, sau ale mai multor persoane de a mpiedica un sit sau
serviciu Internet s funcioneze eficient, temporar sau nelimitat. Iniiatorii acestor atacuri intesc

78

de obicei la situri sau servicii gzduite pe servere de nivel nalt, cum ar fi bncile, gateway-uri
pentru pli prin carduri de credite, i chiar servere ntregi.[66]
Hackers, Crackers, Script Kiddies
Hackerii Cuvntul hacker n sine are o mulime de interpretri. Pentru muli, ei
reprezint programatori i utilizatori cu cunotinte avansate de calculator care ncearc prin
diferite mijloace s obin controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se
refer de asemeni la persoanele care ruleaza diferite programe pentru a bloca sau ncetini accesul
unui mare numr de utilizatori, distrug sau terg datele de pe servere. Hacker are i o interpretare
pozitiv, descriind profesionistul in reele de calculatoare care-i utilizeaz aptitudinile n
programarea calculatoarelor pentru a descoperi reele vulnerabile la atacuri de securitate.
Actiunea in sine, aceea de hacking e privit ca cea care impulsioneaz cercetarea n acest
domeniu.[66]
Crackerii sunt nite persoane care au un hobby de a sparge parole i de a dezvolta
programe i virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc
programele pentru uz propriu sau pentru a le relizeaza pentru profit.[66]
Script kiddies sunt persoane care nu au cunotine sau aptitudini despre penetrarea unui
sistem ei doar descarc programe de tip Warez pe care apoi le lanseaz cu scopul de a produce
pagube imense. Aceste persoane sunt angajai nemulumii, teroriti, cooperativele politice.[66]
Virui i viermi
Viruii i viermii reprezint programe care au proprietatea de a se automultiplica sau
fragmente de cod care se ataeaz de alte programe (virui) sau calculatoare (viermii). Viruii de
obicei stau n calculatoarele gazd, pe cnd viermii tind s se multiplice i s se extind prin
intermediul reelei.[66]
Trojan Horse
Acest virus este principala cauz a tuturor atacuri a sistemelor informaionale. Calul
Troian se ataeaz de alte programe. Cnd se descarc un fiier care este infectat cu acest virus el
la urma sa infecteaz sistemul, unde ofer hakerilor acces de la distan unde ei pot manipula cu
sistemul.[66]
Botnets
ndat ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un
Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum
ar fi DDoS (Distribuited Denial of Service).

79

Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvntul
botnet provine de la robot, aceasta nsemnnd c calculatoarele ndeplinesc comenzile
proprietarului lor i reea nsemnnd mai multe calculatoare coordonate.[66]
Sniffing/Spoofing
Sniffing se refer la actul de interceptare a pachetelor TCP (Transmission Control
Protocol). Spoofing se refer la actul de trimitere nelegitim a unui packet de ateptare ACK.[66]
Administrarea performanei reelei permite colectarea, salvarea i interpretarea
statisticilor, optimizarea reelei cu resurse disponibile, detectarea modificrilor de performan,
asigurarea clitaii serviciilor.
Detecteaz schimbrile n performana reelei cu ajutorul datelor statistice (cronometre
i contoare) oferind astfel siguran i calitate n funcionarea reelei.
Performana poate fi util i pentru managementul faulturilor (pentru a detecta erorile),
pentru administrarea conturilor (pentru a adapta costurile) i pentru administrarea configuraiei
(ce modificare este necesar pentru o configuraie optim).
O reea de calculatoare este o structur deschis la care se pot conecta noi tipuri de
echipamente (terminate, calculatoare, modem-uri etc.), lucru care conduce la o lrgire nu
ntotdeauna controlat a cercului utilizatorilor cu acces nemijiocit la resursele reelei (programe,
fiiere, baze de date, trafic etc.).[42]
Administrarea securitii permite administratorului s iniializeze i s modifice
funciile care protejeaz reeaua de accese neautorizate. Prile importante ale administrrii
securitii sunt:
- protecia mpotriva tuturor ameninrilor asupra resurselor, serviciilor i datelor din
reea;
- asigurarea autorizrii, autentificrii, confidenialitii i controlului drepturilor de
acces ale utilizatorilor;
- administrarea cheilor de criptare;
- ntreinerea zidurilor de protecie;
- crearea conectrii securizate.
Vulnerabilitatea reelelor se manifest pe dou planuri: atacul la integritatea ei fizic
(distingeri ale suportuiui informaiei) i pe de alt parte folosirea sau modificarea neautorizat a
informaiilor i a resurselor reelei (scurgerea de informaii din cercul limitat de utilizatori
stabilit, respectiv utilizarea abuziv a resurselor reelei de ctre persoane neautorizate).
Dintre factorii tehnici care permit fisuri de securitate pot fi anumite defecte ale
echipamentelor de calcul sau de comunicaie sau anumite erori ale software-ului de prelucrare
80

sau de comunicare. De asemenea, lipsa unei pregtiri adecvate a administratorilor, operatorilor i


utilizatorilor de sisteme amplific probabilitatea unor bree de securitate.[46]
Folosirea abuziv a unor sisteme (piraterie informatic) reprezint, de asemenea, unul
din factorii de risc major privind securitatea sistemelor informatice.
n lucrarea de fa administrarea securitii este mprit n securitatea echipamentelor
fizice, numit i securitate fizic, securitatea aplicaiilor, numit i securitate logic i securitatea
informaiei.
Abordarea problemei securitii datelor ntr-o reea presupune n primul rnd
identificarea cerinelor de funcionare pentru acea reea, apoi identificarea tuturor ameninrilor
posibile mpotriva crora este necesar protecia. Aceast analiz const n principal n 3 subetape:
- analiza vulnerabilitilor: identificarea elementelor potenial slabe ale reelei;
- evaluarea ameninrilor: determinarea problemelor care pot aprea datorit
elementelor slabe ale reelei i modurile n care aceste probleme interfer cu cerinele de
funcionare;
- analiza riscurilor: posibilele consecine pe care problemele le pot crea.
Urmtoarea etap const n definirea politicii de securitate, ceea ce nseamn s se
decid:
- care ameninri trebuie eliminate i care se pot tolera;
- care resurse trebuie protejate i la ce nivel;
- cu ce mijloace poate fi implementat securitatea
- care este preul (financiar, uman, social etc.) msurilor de securitate care poate fi
acceptat.
Odat stabilite obiectivele politicii de securitate, urmtoarea etap const n selecia
serviciilor de securitate, adic funciile individuale care sporesc securitatea reelei. Fiecare
serviciu poate fi implementat prin metode (mecanisme de securitate) variate pentru
implementarea crora este nevoie de aa-numitele funcii de gestiune a securitii. Gestiunea
securitii ntr-o reea const n controlul i distribuia informaiilor ctre toate sistemele deschise
ce compun acea reea n scopul utilizrii serviciilor i mecanismelor de securitate i al raportrii
evenimentelor de securitate ce pot aprea ctre administratorii de reea.
Modelul de securitate pentru un sistem (un calculator sau o reea de calculatoare) poate
fi vzut ca avnd mai multe straturi ce reprezint nivelurile de securitate ce nconjoar subiectul
ce trebuie protejat. Fiecare nivel izoleaz subiectul i l face mai dificil de accesat n alt mod
dect cel n care a fost prevzut.
81

Securitatea logic const din acele metode logice (software) care asigur controlul
accesului la resursele i serviciile sistemului. Ea are, la rndul ei, mai multe niveluri impartite n
dou grupe mari: niveluri de securitate a accesului (SA) si niveluri de securitate a serviciilor
(SS).[33]
Securitatea accesului (SA) cuprinde:
- accesul la sistem (AS), care este rspunztor de a determina dac i cnd reeaua este
accesibil utilizatorilor i n ce conditii.
- accesul la cont (AC) cu nume i parol valid;
- drepturile de acces (DA) la fiiere, servicii, resurse ale utilizatorului sau grupului.
Securitatea serviciilor (SS), care se afl sub SA, controleaz accesul la serviciile
sistem, cum ar fi fire de ateptare, I/O la disc i gestiunea serverului. Din acest nivel fac parte:
- controlul serviciilor (CS) avertizeaz i raporteaz starea serviciilor, activeaz sau
dezactiveaz serviciile oferite de sitem;
- drepturile la servicii (DS) cum se folosete un seviciu dat.
Accesul ntr-un sistem de securitate perfect trebuie s se fac prin aceste niveluri de
securitate, de sus n jos.
Problemele cu care se confrunt administratorii, ntr-o reea mare, variaz de la
ntreinerea numeroaselor servere pn la rezolvarea problemelor de orice tip ale calculatoarelor
clienilor. Multe firme au un serviciu de asisten dedicat exclusiv rezolvrii problemelor
utilizatorilor. Indiferent de natura problemei, rezolvarea fiecreia implic un anumit timp de
lucru, ceea ce poate conduce la creterea costurilor generale de utilizare (TCO Total Cost of
Ownership).
Microsoft a sesizat aceast problem i a ncercat s o rezolve n decursul anilor.
Soluiile au fost reprezentate fie de unele programe dedicate (cum ar fi serviciile SMS System
Management Server), fie prin funcii incluse n Windows NT (de exemplu politicile de
utilizator).[67]
CNAS stabilete politica de control a accesului la resursele i sistemele sale, avnd la
baz principiul accesului minim conform necesitilor de afacere, n scopul realizrii atribuiilor
de serviciu sau a celor contractuale.
CNAS asigur c este stabilit o procedur de acordare, modificare, revizuire i
retragere a drepturilor de acces la toate sistemele i resursele sale. Procedura trebuie s vizeze
att angajaii bncii, ct i utilizatorii terelor pri. Accesul la toate resursele informaionale ale
CNAS se acord n strict conformitate cu necesitile de serviciu. Toate cazurile de utilizare a
resurselor informaionale necesit a fi autorizate.
82

La stabilirea drepturilor de acces se va aplica principiul este interzis tot ce nu este


permis.
CNAS asigur c toi utilizatorii si dein identificatori unici n cadrul sistemelor
accesate, iar rechizitele de acces (parola, token, cheie, etc) sunt deinute sau cunoscute doar de
acetia i stabilete politici adecvate de utilizare a parolelor pentru toate sistemele sale.
Deasemenea, stabilete o procedur special pentru gestiunea conturilor cu drepturi
privilegiate la resursele informaionale ale CNAS (administratori, super utilizatori, etc).
Procedura va asigura pstrarea n condiii de confidenialitate a parolelor pentru conturile
respective i disponibilitatea acestora n situaii de incident.
CNAS asigur c toate parolele implicite pentru echipamentele i sistemele
informaionale se schimb nainte de lansarea n exploatare i se modifica cel puin o data pe
lun.
Toate drepturile de acces ale utilizatorilor se revizuiesc la intervale regulate, ns numai
rar de o dat n an.

3.3. Securitatea nivelelor de securitate n SO Windows, aplicaiilor i


datelor
Windows XP i Windows 7 sunt cunoscute pentru stabilitatea i eficiena sa, n contrast
cu versiunile 9x de Microsoft Windows. Prezint o interfa semnificant modificat, mai
prietenoas pentru utilizator dect n celelalte versiuni de Windows. Capacitile de management
noi al software-ului au fost introduse pentru a evita "iadul DLL-urilor" care a marcat celelalte
versiuni de Windows. Este prima versiune de Windows care necesit activare pentru a combate
pirateria informatic, o facilitate care nu a fost primit cu plcere de toi utilizatorii. Windows
XP a fost criticat pentru vulnerabilitile legate de securitate, pentru integrarea aplicaiilor ca
Internet Explorer sau Windows Media Player i pentru aspecte legate de interfaa implicit a
spaiului de lucru.
Pentru Windows deosebim cteva aspecte foarte importante n vederea asigurrii unui
nivel de securitate minim:
- discurile s fie formatate n sistem NTFS prin acest sistem oferindu-se posibiliti
de administrare foarte importante;
- activarea Windows Firewall (sau instalarea unui program de la teri);

83

- realizarea de politici clare pentru parole i obligativitatea introduceri secvenei


CTRL+Alt+Delete pentru logare (anumite programe pot simula aceast secven pentru
realizarea unei conexiuni ascunse);
- Realizarea unor politici la fel de clare privind realizarea de backupuri la intervale
regulate i nu numai pentru protejarea datelor n cazuri nedorite;
- Activarea serviciului de Restore Point procedura ce ofer posibilitatea salvrii unor
stri de moment ale sistemului;
- Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru siteurile din cadrul organizaiei sau care se afl n spatele firewall-ului utilizatorului, Zona Trusted
Sites, pentru site-uri care nu se afl n spatele firewall-ului utilizatorului, dar pentru care
utilizatorul are ncredere total, Zona Restricted Sites, pentru site-uri cunoscute de utilizator c
fiind maliioase, Zona Internet Zone, pentru restul de site-uri, Zona My Computer, care ns de
obicei nu e configurabil, deoarece controalele ActiveX pe care chiar sistemul de operare le
instaleaz ruleaz pe setrile de securitate din aceast zon)
- Nu n ultimul rnd este necesar acordarea de atenie mrit datelor critice cu
caracter personal (conturi, parole, documente private) folosindu-se de criptri EFS.
Windows Xp nu vine instalat cu un program antivirus i de aceea este necesar s se
instaleze i o astfel de aplicaie (de preferat o soluie Internet Suite care conine i alte aplicaii
gen anti-spyware, firewall, back-up, etc.).
Windows 7 are sute de faciliti noi, cum ar fi o interfa grafic modern i un stil
vizual nou, Windows Aero, tehnologia de cutare mbuntit, noi unelte multimedia, precum i
sub-sistemele complet remodelate de reea, audio, imprimare i afiare (display). Vista va
mbunti comunicarea dintre maini pe o reea casnic folosind tehnologia peer-to-peer, i va
facilita folosirea n comun a fiierelor, parolelor, i mediilor digitale ntre diverse computere i
dispozitive. Pentru proiectanii de software, Vista pune de asemenea la dispoziie versiunea 4.0 a
sistemului de proiectare numit .NET Framework.
De o securitate mbuntit putem beneficia folosind i ultima versiune a aplicaiei
"Windows Firewall" inclus n sistemul de operare Windows 7. Dar securitate nseamn mult
mai mult dect updatarea sistemului de operare, o aplicaie antispyware/antivirus sau o aplicaie
firewall. Un sistem de operare trebuie s ofere ncredere utilizatorilor i s protejeze datele (mai
mult sau mai puin confideniale) stocate pe aceste sisteme. n acest domeniu al securitii
(protecia datelor, identitate i control acces) intr i tehnologiile "User Account Control" sau
"Internet Explorer 7 Protected Mode".

84

"User Account Control" - tehnologie care nu exist n Windows XP, aprnd prima dat
n Windows Vista i n Windows Server 2008 - reduce posibilitatea c o aplicaie cu privilegii
minime (low) s dobndeasc n mod automat i necontrolat privilegii sporite i s aib acces
la fiierele utilizatorului fr consimmntul acestuia.
Aceast posibilitate exist n Windows 2000/XP unde un utilizator (cu drepturi de
administrator) putea fi indus n eroare mai uor s execute un anumit cod (aplicaie ostil acelui
sistem) i care putea duce la compromiterea acestuia.[26]
Internet Explorer ruleaz n mod normal la un nivel "Low" de integritate. Orice aplicaie
care se descarc din Internet va dobndi un nivel de integritate "Low" (egal cu al procesului
Internet Explorer) i nu va putea s se execute i s-i eleveze privilegiile compromind
sistemul respectiv. Acesta este modul protejat (Protected mode) n care ruleaz IE7 pe Windows
Vista. Modul protejat oferit de IE8 este o facilitate prezent numai pe sistemul de operare
Windows 7.[29]
Un utilizator poate accesa i modifica un obiect n Windows Vista numai dac nivelul
sau de integritate este mai mare dect cel al obiectului.
n acest scop n Windows 7 sunt definite 3 politici obligatorii de acces:
- No WRITE UP o entitate nu poate modifica un obiect dac posed un nivel de
integritate mai mic dect al obiectului respective
- No READ UP o entitate nu poate citi un obiect dac poseda un nivel de integritate
mai mic dect al obiectului respective
- No EXECUTE UP o entitate nu poate executa un obiect dac posed un nivel de
integritate mai mic dect al obiectului respectiv
Putem privi aceste tehnologii i prin prisma altui principiu de securitate "principle of
least privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" n care
utilizatorul trebuie s aib privilegii minime pentru accesarea unui sistem informatic conform
fiei postului i sarcinilor pe care trebuie s le ndeplineasc.
n acest fel, n Windows 7 toi utilizatorii au acelai nivel de integritate (ncredere) pe un
sistem iar privilegiile administrative se folosesc doar n cazul n care este necesar.
Windows Server 2003, 2008, 2012 sunt construite pe structura sistemului Windows
2000 i include toate facilitile pe care un client le ateapt de la un sistem de operare Windows
Server: siguran, securitate i scalabilitate. Familia cuprinde patru produse:
- Windows Web Server reprezint o bun platform pentru dezvoltarea rapid a
aplicaiilor i desfurarea serviciilor pe Web. Este uor de administrat i se poate gestiona, de la
o staie de lucru aflat la distan, cu o interfa de tip browser.
85

- Windows Standard Server este un sistem de operare n reea care ofer soluii pentru
firmele de toate mrimile. Accept partajarea fiierelor i imprimantelor, ofer conectivitate
sigur la Internet, permite desfurarea centralizat a aplicaiilor din spaiul de lucru, ofer
colaborare ntre angajai, parteneri i clieni, accept multiprocesarea simetric cu dou ci i
pn la 4 GO de memorie.
- Windows Enterprise Server este destinat firmelor medii i mari. Este un sistem de
operare cu funcionare complet care accept pn la 8 procesoare de tip Intel Itanium.
- Windows Data Center Server este o platform pentru firmele cu un volum mare de
tranzacii i cu baze de date scalabile. Este cel mai puternic i mai funcional sistem de operare
pentru servere oferit de Microsoft.[66]
Sistemul API cuprinde trei componente: nucleul Windows Kernel, interfaa grafic cu
echipamentele periferice GDI (Graphic Devices Interface) i componenta USER. Aceste
componente sunt biblioteci de programe adresate programatorului de aplicaii i mai puin
utilizatorului obinuit.
Sistemul maini virtuale asigur interfaa cu utilizatorul i aplicaiile sale, modulele
din aceast clas fiind apelate de sistemul API. Aceast component asigur ncrcarea i
folosirea corect a spaiului de adresare. Din aceast clas face parte i programul Explorer. [26]
Atunci cnd se ia n calcul politica de securitate pentru platformele Windows Server
2003 i 2008 trebuie evaluate obligatoriu urmtoarele:
- Domain Level Acount Polices reguli ce se pot seta la nivel de Group Policies,
setri care sunt aplicate la ntreg domeniul: politici cu privire la parole, blocarea conturilor,
autentificarea folosind protocolul Kerberos tot ceea ce uzual se nelege prin acount polices
politici de cont;
- Audit Policy posibilitile de utilizare a politicilor de audit pentru a monitoriza i
fora setrile de securitate instalate. Este obligatoriu s se explice diferitele setri, folosindu-se de
exemple, pentru a se nelege ce informaii se modific cnd acele setri sunt modificate;
- User Rights trateaz diferitele posibiliti de logon drepturi i privilegii ce sunt
puse la dispoziie de sistemul de operare i oferirea de ndrumare privind care conturi ar trebui s
primeasc drepturi distincte i natura acestor drepturi;
- Security Options tratarea setrilor de securitate cu privire la date criptate cu
semnturi digitale(digital data signature), statutul conturilor Administrator i Guest, accesul
la unitile de dischet i CD-ROM(sau echivalent), instalarea driver-elor i posibilitile de
logare(logon prompts);

86

- Event Log configurarea setrilor pentru diferitele jurnale care exist sum Windows
Server 2003(respectiv 2008);
- System services utilizarea serviciilor care sunt absolut necesare i documentarea
lor dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe ct posibil a
acestor servicii pentru eliminarea setrilor by default;
- Software restriction polices descrierea pe scurt a software-ului instalat i
mecanismele folosite pentru restricia rulrii acestora;
- Additional System Countermeasures descrierea unor msuri suplimentare de
securitate care sunt necesare, setri care rezult din discuia privind rolul acelui server,
posibilitile de implementare, disponibilitatea utilizatorilor i existen personalului calificat
setri cum ar fi:setri care nu pot fi introduse ntr-o maniera compact n cadrul Group Policies,
setri la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setri Terminal
Services, setri IPsec, Dr. Watson, nu n ultimul rnd setrile cu privire la Windows Firewall.
- Additional Registry Entries documentarea modificrilor necesare la nivel de
registry.
Este de reinut faptul c n Windows 2008 s-a pus un accent mai mare pe securitate , ca
un exemplu dac n Windows 2003 server cu SP1 erau n jur de 1700 de setri n Group Polices
n Windows 2008 Server a crescut la aproximativ 2400.
n general, sistemele Windows se compun din trei clase de programe: programele
sistemului de baz; programele API (Application Programming Interface) i programele maini
virtuale.
Programele sistemului de baz asigur controlul fiierelor, servicii de comunicare i
control n reea, controlul mainii virtuale, controlul memoriei, controlul implementrii
standardului de interconectare plag&play.[29]
Securitatea aplicaiilor cuprinde msurile luate de-a lungul ciclului de via a
aplicaiilor, ceea ce ine de prevenirea lacunelor n politica de securitate a unei cereri sau politica
de baz a

sistemului

(vulnerabiliti)

prin

defecte n

proiectarea,

dezvoltarea,

implementarea, upgrade-, sau de ntreinere a cererii.


Aplicaiile pot controla doar un fel de resurse acordate acestora, i nu ce resurse sunt
acordate acestora. Acestea, la rndul lor, determin utilizarea acestor resurse de ctre utilizatorii
aplicaiei prin securitatea aplicaiei.
Open Web Project (OWASP ) i Web Application Security Consortium (WASC) au
actualizrile pentru cele mai recente ameninri care afecteaz aplicaiile web. Acest lucru ajut
dezvoltatorii, testeri i arhitecii de securitate s se concentreze pe o mai bun proiectare i
87

strategie de atenuare. OWASP Top 10 a devenit o norm industrial n evaluarea aplicaiilor


web.[66]
Accesul liber la date guvernamentale cu caracter public reprezint o iniiativ
inovatoare n cadrul guvernelor, societii civile i comunitilor de tehnologii informaionale i
de comunicaii (TIC) din ntreaga lume. Iniiativa Acces liber la datele guvernamentale cu
caracter public stipuleaz, printre altele, plasarea datelor guvernamentale n format standard
online. Scopul programului este de a crete transparena instituiilor i a permite cetenilor s ia
decizii informate. Aceast aciune a fost lansat n mai multe ri ale lumii, de la cele dezvoltate,
precum SUA i Marea Britanie, pn la rile n curs de dezvoltare.
Pentru a se alinia tendinei internaionale, Centrul de Guvernare Electronic a lansat
platformele datelor deschise date.gov.md i servicii.gov.md. Prin intermediul noilor platforme,
Guvernul Republicii Moldova ofer cetenilor i companiilor acces la seturile de date cu
caracter public. Platformele - un ghieu unic al datelor deschise - conin informaii produse de
instituii guvernamentale. Pe baza lor, companiile, organizaiile sau persoanele fizice pot
dezvolta aplicaii i analize proprii, menite s contribuie la mbuntirea calitii vieii
cetenilor i dezvoltarea mediului de afaceri.
n cadrul portalului, datele cu caracter public sunt structurate n funcie de ministere:
Casa Naional de Asigurri Sociale, Serviciul Fiscal de Stat, Ministerul Economiei, Ministerul
Finanelor, Compania Naional de Asigurri n Medicin, Centrul de Guvernare Electronic,
Agenia Turismului etc. Cetenii pot s consulte cu uurin seturile de date, s solicite anumite
informaii pe care le consider utile, s-i exprime opinia i s propun direcii de mbuntire a
platformei. Vocea cetenilor poate fi lesne auzit de ctre ministere, iar dialogul dintre autoriti
i ceteni este deosebit de important pentru deschiderea datelor utile opiniei publice.[53]
n cadrul noii platforme poate fi accesat i o aplicaie inedit care permite vizualizarea
modului n care sunt cheltuii banii publici, versiunea web a Bazei de date privind cheltuielile
publice (BOOST), realizat de Banca Mondial. Aplicaia ofer o vizualizare mai uoar a
datelor structurate pe ani, sectoare, tip de achiziii, categorii economice i regiuni.
n data de 15.01.2015, pe portalul date.gov.md sunt 785 de date deschise ctre acces,
din 41 de instituii, utiliznd 3397 resurse[84] i pe portalul servicii.gov.md - 423 de
servicii disponibile, inclusiv 98 e-Servicii, pentru 50 de instituii.[85]
Tehnologiile informaionale snt parte indispensabil a vieii contemporane.
Posibilitile i avantajele pe care le ofer snt principalele premise care fac ca ele s-i gseasc
o aplicare larg n cadrul sectorului guvernamental. n limita resurselor disponibile, autoritile

88

publice implementeaz diferite soluii ale tehnologiilor informaionale pentru a-i eficientiza
procesele de lucru.
n acest context, Curtea de Conturi, ca instituie suprem de audit a rii, este obligat
s-i creeze i s-i menin capacitile corespunztoare n domeniul auditului sistemelor
informaionale. Auditul sistemelor informaionale reprezint o provocare la care aceasta trebuie
s fac fa.
Cu suportul partenerilor strini, al Bncii Mondiale i altor donatori, Curtea de Conturi
face primii pai n acest domeniu.
Auditul tehnologiilor informaionale sau auditul sistemelor informaionale este o
examinare a controalelor n cadrul unei infrastructuri a tehnologiilor informaionale. Auditul
tehnologiilor informaionale este procesul de colectare i de evaluare a probelor de sisteme
informaionale ale organizaiei, a practicilor i operaiilor. Evaluarea probelor obinute determin
dac sistemele informaionale reprezint active sigure, menin integritatea datelor i funcioneaz
adecvat n vederea realizrii scopurilor i obiectivelor organizaiei.
Principalele funcii ale auditului tehnologiilor informaionale snt: 1) de a evalua
eficiena sistemului, n special capacitile organizaiei de a-i proteja activele informaionale,
precum i 2) de a furniza informaia prilor autorizate n modul corespunztor.
Dup iniierea de ctre Curtea de Conturi a auditului-pilot TI la CNAS, pe data de 27
noiembrie 2009, echipa de audit mpreun cu consultanii externi a efectuat o vizit iniial la
CNAS pentru a stabili care component a sistemului informaional ar putea fi subiectul misiunii
de audit TI. n timpul acestei vizite, echipa de audit a fost informat c n anul 2005, n cadrul
Proiectului Managementul n domeniul Proteciei Sociale, finanat de Banca Mondial, a fost
stabilit nvingtorul concursului (Intracom S.A.) pentru designul, dezvoltarea i implementarea
Sistemului Informaional Protecia Social (SPIS).
La CNAS controalele generale TI i cele ale aplicaiei din cadrul Sistemului
Informaional Protecia Social snt bine concepute i ofer garanii suficiente pentru
introducerea i prelucrarea datelor.
Au fost identificate unele neajunsuri n controalele generale i cele ale aplicaiei, dar nu
n msura n care ar putea fi afectat integritatea, disponibilitatea i confidenialitatea datelor.
Aplicarea corect a controalelor, elaborarea i implementarea documentelor strategice aferente
vor asigura minimalizarea riscurilor privind posibilele situaii critice i funcionarea nentrerupt
i corect a sistemului.
A fost discutat i situaia la zi privind implementarea SPIS. La finalul ntlnirii, echipa
de audit mpreun cu consultanii externi i factorii de decizie ai CNAS au determinat domeniul
89

de aplicare a auditului. S-a concluzionat c modulul Colectarea contribuiilor din SPIS poate fi
selectat drept subiectul auditului nostru, din motiv c acesta este implementat pe deplin i este
utilizat numai n sistemul nou.
CNAS, din punct de vedere al infrastructurii informaionaltehnologice, reprezint un
numr mare de obiecte, divizate teritorial. Reele locale exist la 42 de obiecte (Oficiul central al
CNAS i 41 de Case teritoriale ale acesteia). Interaciunea Caselor teritoriale cu Oficiul central
este realizat prin conexiune VPN. Casele introduc n regim on-line n baza de date SPIS date
din rapoartele colectate de la ageni economici i persoane asigurate.
CNAS utilizeaz att Sistemul Informaional Protecia Social (SPIS) nou, ct i altele,
elaborate anterior ntru realizarea business-proceselor sale.
SPIS constituie elementul central al sistemului de asigurri sociale.
Obiectivul principal al SPIS este de a stabili i de a menine sistemul de contribuii, de
atribuire i plat a pensiilor, compensaiilor i altor pli pentru persoanele asigurate, de a asigura
respectarea legislaiei privind asigurrile sociale i de a mbunti sistemul de asigurri sociale.
Suplimentar, acesta are ca funcie prezentarea propunerilor privind bugetul asigurrilor
sociale de stat i formarea rapoartelor cu privire la executarea bugetului.
SPIS a fost dezvoltat pentru a integra toate bazele de date gestionate de ctre CNAS
ntr-un sistem, asigurnd excluderea dublrii datelor i implementarea business-proceselor
optimizate, pentru o gestionare eficient i raportare rapid.
SPIS are urmtoarele subsisteme:
1. Sistemul de Aplicaii al Proteciei Sociale (SPAS);
2. Sistemul Informaional de Management (MIS);
3. Sistemul de Management Financiar (FMS).
Sistemul de Aplicaii al Proteciei Sociale (SPAS) este conceput pentru a oferi sprijin
business-proceselor CNAS, i anume: colectarea contribuiilor; evaluarea i achitarea pensiilor,
beneficiilor i plilor compensatorii i nregistrarea cheltuielilor legate de plile pensiilor;
raportarea la CNAS; raportarea la IFPS; bilete de tratament.
Sistemul Informaional de Management (MIS) este conceput pentru a sprijini
managementul sistemului de asigurri sociale n Republica Moldova n cadrul procesului
bugetar, inclusiv elaborarea sistemelor de gestiune a eficienei generale a activitii organizaiei
i dirijarea utilizrii lor; elaborarea planului strategic i controlul ndeplinirii i corectrii
planurilor. Sistemul respectiv a fost proiectat i este implementat la CNAS ncepnd cu anul 2005
pn n prezent, pe cnd, conform prevederilor contractuale, acesta urma s fie implementat n

90

termen de 18 luni de la semnarea contractului iniial, iar cu amendamentele ulterioare pn la


31.03.2007.
Sistemul de Management Financiar (FMS) este o aplicaie care automatizeaz
urmtoarele operaiuni: gestiunea cheltuielilor; prelucrarea conturilor pentru plat; prelucrarea
conturilor pentru primire; gestiunea mijloacelor bneti; evidena fondurilor fixe i gestiunea lor;
prelucrarea salariului; prelucrarea restituirii cheltuielilor colaboratorilor; prelucrarea impozitelor;
planificarea, ntocmirea bugetului i prognozarea; ntocmirea drilor de seam financiare;
nchiderea crilor contabile.
La momentul actual, CNAS utilizeaz n activitatea sa zilnic i aplicaiile vechi, din
motiv c nu au fost implementate toate modulele SPIS.
n pofida acestor neajunsuri, principala ngrijorare o constituie suportul continuu al
sistemului ntr-o perspectiv mai mare. Sistemul este creat pe o platform de baze de date
complexe i pe o interfa dezvoltat i proiectat individual, ceea ce necesit personal de nalt
calificare pentru a asigura suportul sistemului.
Activitile CNAS n domeniul TI snt asigurate de ctre 4 Direcii, i anume:
- Direcia general proiectare i programare a sistemelor informaionale;
- Direcia general exploatare a sistemelor informaionale;
- Direcia susinere a sistemelor informaionale n CTAS (Help Desk);
- Direcia suport operaional i tehnic.
Pentru necesitile funcionale ale SPIS, CNAS preia informaii de la Ministerul
Tehnologiilor Informaionale i Comunicaiilor (.S. Registru, .S. Pota Moldovei) i
Ministerul Finanelor (Trezoreria de Stat), n acest scop fiind ncheiate acorduri privind
furnizarea informaiei.
Pentru necesitile funcionale ale sistemului de asigurri sociale, CNAS asigur cu
informaii Inspectoratul Fiscal Principal de Stat, Compania Naional de Asigurri n Medicin,
Fondul municipal de susinere social a populaiei al Consiliului municipal Bli etc. Pentru
organizarea achitrii pensiilor, indemnizaiilor, alocaiilor sociale etc., CNAS are ncheiate
contracte cu .S. Pota Moldovei i cu B.C. Banca de Economii S.A.
Echipa de audit este satisfcut de nivelul controalelor, att al celor generale, ct i al
controalelor aplicaiei i, n pofida unor probleme, principala ngrijorare o constituie suportul
continuu al SPIS ntr-o perspectiv mai mare. SPIS este creat pe o platform de baze de date
Oracle i pe o interfa dezvoltat i proiectat individual, ceea ce necesit personal de nalt
calificare pentru a asigura suportul sistemului.

91

n cadrul CNAS a fost lansat un nou seriviciu - Serviciul de raportare electronic este
implementat la Casa Naional de Asigurri Sociale (CNAS) cu ncepere de la 1 ianuarie 2012.
Agenii economici pot prezenta drile de seam prin intermediul portalului www.raportare.md.
De menionat c, pe parcursul unui an la CNAS sunt prezentate circa 1 mln. de declaraii.
Avantajele noii modaliti de raportare sunt evidente i anume: operativitatea procesrii
informaiei, excluderea erorilor i funcionarea on-line a programului. Serviciul electronic
simplific considerabil lucrul agenilor economici i i scutete de pierderea timpului.
Prin intermediul sistemului e-CNAS, angajatorii din RM pot prezenta n format
electronic declaraiile Rev 5 pentru angajaii si concomitent cu declaraiile privind calcularea i
utilizarea contribuiilor de asigurri sociale de stat obligatorii, forma 4-BASS. Avantajele eCNAS sun urmtoarele: eliminarea deplasrilor la Casele Teritoriale de Asigurri Sociale i
economisirea timpului de ateptare la ghiee, depistarea automat a divergenelor dintre datele
din declaraiile Rev 5 i Forma 4-BASS, greelilor din datele personale ale angajailor i
excluderea necesitii de tiprire a documentelor pe suport de hrtie.
Raportarea electronic la CNAS poate fi efectuat att prin intermediul mijloacelor de
protecie criptografic a informaiei, eliberate de

.S. Centrul de telecomunicaii

speciale(CTS), ct i prin intermediul serviciului Semnatura Mobil.


Pentru obinerea dreptului de semntur digital prin intermediul telefonului mobil sunt
folosite certificate eliberate de .S. Centrul de telecomunicaii speciale, iar dreptul de
nregistrare a utilizatorilor apartine operatorilor de telefonie mobil (Orange, Moldcell).
Asigurarea securitii datelor n cadrul CNAS

este

strns

legat

de

posibilitile

financiare n a investi n asigurarea securitii.


Analiza vulnerabilitilor trebuie realizat utiliznd produse specializate, actualizate la
zi pentru a oferi o imagine de ansamblu asupra breelor de securitate din reeaua analizat
precum i metodele de nlturare sau acoperire a acestora. Pentru a oferi o protecie actual i
eficien mpotriva ameninrilor informatice ce exploateaz vulnerabilitile existente n reea,
procesul de analiz a vulnerabilitilor poate fi programat la intervale de timp prestabilite, de
exemplu: 1, 3, 6 luni.
Un raport de analiz a vulnerabilitilor trebuie s conin informaii detaliate despre
numrul de staii vulnerabile, tipul vulnerabilitilor descoperite precum i principalele aciuni de
nlturare a vulnerabilitilor.
CNAS investete n securitate, pentru a pstr integritatea datelor i informaiilor, dar
totui instrumentele utilizate de securizare a informaiei nu sunt destul de eficiente i sigure.

92

Consiliul de administrare al CNAS contientizeaz necesitatea i importana securitii


datelor, astfel acordnd importan maxim problemelor de securitate a datelor i are ca baz
normativ juridical Legea nr. 133 din 08.07.2011 privind protecia datelor cu caracter personal.
Asigurarea securitii datelor depinde n mare msur de ct de contient este
conducerea de faptul c trebuie asigurat o securitate maxima, dar i ct de contient este fiecare
angajat despre necesitatea securitii informaiei.

93

CONCLUZII I RECOMANDRI
Securitatea informatic a devenit una din compenentele majore ale internetului.
Analitii acestui concept au sesizat o contradicie ntre nevoia de comunicaii i conectivitate, pe
de o parte, i necesitatea asigurrii confidenialitii, integritii i autenticitii informaiilor, pe
de alt parte. Domeniul relativ nou al securitii informatice caut soluii tehnice pentru
rezolvarea acestei contradicii aparente. Viteza i eficiena comunicaiilor instantanee de
documente i mesaje confer numeroase atuuri actului decizional ntr-o societate modern,
bazat pe economie concurentia. ns utilizarea serviciilor de pot electronic, web, transfer
de fonduri etc. se bazeaz pe un sentiment, adeseori fals, de securitate a comunicaiilor, care
poate transforma potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore,
cauzate de furtul de date sau de nserarea de date false ori denaturate.
n loc de a ne focaliza numai pe un anumit tip de securitate, este important s nelegem
c o soluie complet de securitate a informaiilor este necesar instituiei pentru ai proteja
datele i resursele informatice. Aceast soluie trebuie s includ autentificare i autorizare,
confidenialitatea datelor i securitatea perimetrului.
Studierea materialelor i practicii de pn acum din domeniul securitii informaiei
arat c metodele tehnice i programul de aplicare a principiilor securitii informaionale sunt
bine documentate i este foarte greu de ales vre-un domeniu unde aceste metode nu sunt
subiectul unei cri sau articol.
Necesitatea pentru instruirea adecvat a angajailor n domeniul securitii
informaionale a fost recunoscut nu cu mult timp n urm. n majoritatea organizaiilor din
Statele Unite ale Americii aceast instruire a devenit obligatorie. n orice caz n urma analizei
informaiei din cadrul ntreprinderilor din Moldova i unor organizaii din strintate instruirea
nu este privit ca o prioritate de majoritatea angajatorilor, dar i angajailor.
Cu toate acestea, majoritatea literaturii publicate este concentrat la descrierea
domeniilor tehnice a securitii informaionale i foarte puine materiale analizeaz acest
domeniu din punct de vedere al instruirii personalului n domeniul securitii informaionale i
crearea culturii securitii informaionale n cadrul unei organizaii.
Problemele ce influeneaz personalul CNAS s nu reacioneze adecvat la instruirea n
domeniul securitii informaionale:
-

Angajaii ntlnesc dificulti din cauza digitizrii rapide a instituiei;

Angajaii au dificulti din cauza complexitii sistemelor din prezent;


94

Iniiativele n urma analizei eficienei impun angajaii s se concentreze la

obligaiunile principale de serviciu, cele legate de SI rmn pe ultimul plan;


-

Cei ce au organizat digitizarea instituiei subestimeaz viteza de nvare a

angajailor a noilor obligaiuni i responsabititi, ct i a noilor tehnologii desigur;


-

O parte de angajai dein cunotine minime n domeniul tehnologiilor informaionale

(calculatoarelor).
Rezistena pe care o opun angajaii este un fenomen cunoscut, dar n domeniul
securitii informaionale situaia este i mai grav din cauza nenelegerii de ctre utilizatori de
ce sunt necesare aceste modificri n domeniu. Adiional, elementele de control pot fi cteodat
"greoaie" i impun un anumit lucru de rutin i activiti n plus. Dac angajaii nu sunt convini
de necesitatea acestor pai, ei vor ignora paii i iniiativele managementului de vrf.
Securitatea informaiei nu trebuie tratat doar din punct de vedere tehnic, ea trebuie
inclus n managementul CNAS. Securitatea informaiei poate fi pus la ncercare de virui,
acces neautorizat, procesarea neadecvat de ctre angajaii CNAS (aa-numitele erori umane),
defeciuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.
Pstrarea datelor a devenit o problem tot mai important att datorit faptului c se manipuleaz
un volum tot mai mare de date, dar i modului de accesare al acestor informaii care trebuie s fie
rapid, eficient, optim din punct de vedere al raportului timp accesare/valoare informaie. Nu n
ultimul rnd, datele stocate trebuie s fie protejate astfel nct s se asigure o securitate adecvat
n ceea ce privete persoanele care au acces la ele, dar i din punct de vedere al concordanei cu
legislaia privind securitatea i protecia informaiilor i datelor cu caracter personal.
n urma evalurii riscurilor de securitate a informaiei n cadrul CNAS i studierii
politicii de securitate putem recomanda urmtoarele aciuni:
1. Instruirea regulat a angajailor tuturor subdiviziunilor structurale ale CNAS privind
securitatea informaional ntru crearea culturii securitii informaionale. Fiecare trebuie s tie
s recunoasc un mesaj de tip phishing, s tie cum s trateze ataamentele care vin n e-mail-uri,
s le scaneze i, foarte important, s raporteze departamentului de IT orice incident sau situaie
care li s-a prut suspect. Folosirea de parole diferite pentru conturi diferite. Evitarea conectrii
la conturi personale folosind resursele CNAS. Evitarea publicrii pe conturile personale din
diferite reele de socializare a informaiilor ce privesc compania angajatoare;
2. nregistrarea CNAS i a Sistemelor Informaionale, care opereaz cu date cu caracter
personal, utilizate de Casa Naional de Asigurri Sociale la Centrul de Protecie a Datelor cu
Caracter Personal;

95

3. Securitatea la etapa de proiectare (security by design) - Proiectarea iniial a


Sistemelor Informatice innd cont de aspectele de securitate;
4. Evaluarea datelor deinute. Este important s tim exact i din timp ce anume putem
pierde n cazul unei bree de securitate. Ce fel de informaii deinem, dac sunt sau nu
confideniale, ct sunt de importante pentru instituie, clieni sau angajai i care sunt riscurile de
a pierde controlul acestor date. Odat ce tim ce protejm, vom ti i cum s protejm;
5. Configurarea arhitecturii reelei trebuie fcut n aa fel nct s se poat interveni
rapid pentru a se izola o infecie, s spunem, la nivelul unei singure subreele, prevenind astfel
rspndirea infeciei n toat reeaua. Acest lucru minimizeaz impactul pe care l-ar putea avea
un atac care a reuit s penetreze prima linie defensiv. Un firewall bine configurat poate
contribui substanial la minimizarea riscurilor;
6. Este important evidena dispozitivelor precum i a pachetelor software folosite n
cadrul sistemului informatic al organizaiei;
7. E necesar evaluarea periodic a nivelului de securitate al sistemului informatic prin
teste de penetrare, audituri de securitate sau simple scanri pentru identificarea vulnerabilitilor.
8. Aplicarea msurilor de securitate pentru limitarea accesului neautorizat la sistemul
informatic: protecie fizic, blocare porturi, separare logic prin reele virtuale (VLAN), acces pe
baz de smartcard-uri, conturi de utilizatori individuale protejate prin parol etc.;
9. Verificarea i controlul permanent al modului de folosire al conturilor de acces
privilegiate (conturi de administrator). Acestea trebuie folosite doar n caz de necesitate i nu
permanent de ctre persoanele responsabile de administrarea sistemului informatic;
10. Folosirea tehnologiilor avansate de protecie a sistemului informatic: IDS/IPS,
soluii antimalware de tip enterprise, criptare fiiere i conexiuni, acces la distan prin VPN etc.;
11. Folosirea procedurilor de rspuns la incidente de securitate cibernetic i stabilirea
responsabililor pentru astfel de activiti.
12. Documentarea arhitecturii sistemului informatic al CNAS i luarea la eviden a
tuturor modificrilor.
Toate aceste msuri de securitate trebuie s fac fa unor obiceiuri mai puin sigure ale
utilizatorilor Sistemelor Informaionale, dar i a informaiilor n general. Pierderea sau
distrugerea n totalitate sau parial a datelor poate avea efecte dezastruoase asupra securitaii i
integritii instituiei, astfel trebuie de respectat regulile de securizare a informaiei i respective
de urmrit i de aplicat cele mai sigure instrumente de securizare i protecie a informaiei.

96

BIBLIOGRAFIE
Legi i acte normative ale Republicii Moldova
1.

Legea privind protecia datelor cu caracter personal nr. 133 din 08.07.2011 // Monitorul
Oficial nr. 170-175 din 14.10.2011;

2.

Legea privind accesul la informaie nr. 982-XIV din 11.05.2000 // Monitorul Oficial nr. 8890 din 28.07.2000 cu modificrile ulterioare;

3.

Legea cu privire la informatizare i la resursele informaionale de stat nr. 467-XV din


21.11.2003 // Monitorul Oficial nr. 006 din 01.01.2004 cu modificrile ulterioare;

4.

Legea privind prevenirea i combaterea criminalitii informatice nr. 20 din 03.02.2009 //


Monitorul Oficial nr. 11-12 din 26.01.2010 cu modificrile ulterioare;

5.

Legea pentru aprobarea Concepiei securitii naionale a Republicii Moldova nr. 112 din
22.05.2008 // Monitorul Oficial nr. 97-98 din 03.06.2008;

6.

Legea privind organele securitii statului nr. 619 din 31.10.1995 // Monitorul Oficial nr. 1011 din 13.02.1997 cu modificrile ulterioare;

7.

Legea cu privire la informatic nr. 1069 din 22.06.2000 // Monitorul Oficial nr. 073 din
05.07.2001 cu modificrile ulterioare;

8.

Hotrrea Parlamentului pentru aprobarea Strategiei securitii naionale a Republicii


Moldova nr. 153 din 15.07.2011 // Monitorul Oficial nr. 170-175 din 14.10.2011;

9.

Hotrrea Guvernului cu privire la crearea Registrului de stat al evidenei individuale n


sistemul public de asigurri sociale nr. 418 din 03.05.2000 // Monitorul Oficial nr. 054 din
12.05.2000 cu modificrile ulterioare;

10. Hotrrea Guvernului cu privire la aprobarea Concepiei sistemului informaional


automatizat

"Registrul

resurselor

sistemelor

informaionale

de

stat"

nr.

1032 din 06.09.2006 // Monitorul Oficial nr. 150-152 din 22.09.2006 cu modificrile
ulterioare;
11. Hotrrea Guvernului privind aprobarea Cerinelor fa de asigurarea securitii datelor cu
caracter personal la prelucrarea acestora n cadrul sistemelor informaionale de date cu
caracter personal nr. 1123 din 14.12.2010 // Monitorul Oficial nr. 254-256 din 24.12.2010;
12. Hotrrea Guvernului privind aprobarea Regulamentului Registrului de eviden a
operatorilor de date cu caracter personal nr. 296 din 15.05.2012 // Monitorul Oficial nr. 99102 din 25.05.2012;

97

13. Hotrrea

Guvernului cu

privire

la

aprobarea

Programului

privind

Cadrul

de

Interoperabilitate nr. 656 din 05.09.2012 // Monitorul Oficial nr. 186-189 din 07.09.2012;
14. Hotrrea Guvernului privind Registrul resurselor i sistemelor informaionale de stat nr.
1008 din 28.12.2012 // Monitorul Oficial nr. 1-5 din 04.01.2013;
15. Hotrrea Guvernului cu privire la Strategia Naional de dezvoltare a societii
informaionale Moldova Digital 2020 nr. 857 din 31.10.2013 // Monitorul Oficial nr.
252-257 din 08.11.2013;
Cadrul juridic CNAS
16. Regulament privind modul de prezentare a declaraiilor n form electronic ctre CNAS,
aprobat prin Ordinul CNAS nr. 263-A din 07 noiembrie 2013;
17. Regulament cu privire la nregistrarea utilizatorilor n sistemul informaional ACCES CPAS,
aprobat prin Ordinul CNAS nr.279-A din 10.12.2012;
18. Regulament privind accesul utilizatorilor la resursele informaionale a CNAS, aprobat prin
ordinul Preedintelui CNAS Nr. 123A din 28.03.2008;
19. Instruciune privind conectarea i exploatarea reelei interne de acces comun n CTAS,
aprobat prin Ordinul Preedintelui CNAS Nr. 287- din 12.07. 2010;
20. Instruciune privind organizarea proteciei cu parol a sistemului informaional CNAS,
aprobat prin ordinul Preedintelui CNAS Nr.16-A de la 20.01.2010;
21. Instruciunea utilizatorului privind asigurarea proteciei antivirale, aprobat prin ordinul
Preedintelui CNAS 459- din 21.12.2009;
22. Politica Securitii Informaionale CNAS, aprobat prin decizia Consiliului de Administraie
CNAS nr.6/8 din 21.11.2008;
23. Dispoziia Preedintelui CNAS cu privire la protecia datelor cu caracter personal nr. 14 din
05.09.2012;
Manuale, monografii, cri, brouri i articole
24. Andress M., Surviving Security, SAMS, 2001;
25. Auerbach Publications, Information Security Management Handbook, Fifth edition, 2005, p
989;
26. Bragg R., Windows 2000 Security, New Riders, 2001;
27. Buraga C., Reele de calculatoare - Introducere n securitate, Universitatea A. I. Cuza Iasi,
2007;

98

28. Ciampa M.D., Security +Guida To Networking Security Fundamentals, Editura Cengage
Learning, 2004, 600 p.;
29. Georgescu I., Sisteme de operare, Editura Arves, Craiova, 2006;
30. Guzun M., Cojocaru I., Ionescu R. Sistemul de management al securitii inormaionale
ISO/IEC 27001:2013. Algoritmul de implementare. VIII International Conference on
Microelectronics and Computer Science, Chiinu, October 22-25, 2014. Chiinu, 2014, p. 362
365;
31. Habracken J., Reele de calculatoare pentru nceptori, Editura ALL;
32. Hallberg B., Reele de calculatoare. Ghidul nceptorului, Rosetti Educaional, Bucureti,
2006, 456 p.;
33. Held, G., .a., Arhitecturi de securitate, Editura Teora, 2003;
34. Hontanon R.J., Securitatea reelelor, Editura Teora, 2003;
35. Hsiao S.B., Stemp R., Advanced Computer Security, CS 4602, Monterey, California, 2006;
36. Ionescu D., Retele de calculatoare, Editura All, Alba Iulia. 2007;
37. Mihai I.C., Securitatea informaiilor, Editura Sitech, 2012, 317 p.;
38. Mihai I.C., Securitatea sistemului informatic, Editura Dunrea de Jos, 2007;
39. Mihai I.C., Managementul riscului de securitate n sistemele informatice, Revista de
investigare a criminalitii, nr 2, 2012, ISSN 1844-7945;
40. Mircea F. V., Tehnologii de securitate alternative pentru aplicaii n reea, Universitatea
Tehnic din Cluj Napoca, 2009;
41. Northcutt S., .a., Network Intrusion Detection: An Analyst's Handbook, 2nd Edition. New
Riders, 2000;
42. Oprea D., Protecia i securitatea informaiilor, Editura Polirom, 2007, 448 p.;
43. Peltier T.R., Information Security Risk Analysis, Editura Taylor & Francis Ltd, 2005, 360 p.;
44. Patriciu, V. V., .a., Semnturi electronice i securitate informatic, Editura All, 2006;
45. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference,
McGraw-Hill, 2003;
46. Sarcinschi A., Vulnerabilitate, risc, ameninare. Securitatea ca reprezentare psihosocial,
Editura Militar, 2009;
47. Stamp M., Information Security, Editura John Wiley And Sons Ltd, 2005, 416 p.;
48. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003;
49. Udroiu, M., .a., Securitatea informaiilor n societatea informaional, Editura
Universitar, 2010, 402 p.;
50. Zwicky, E., .a., Building Internet Firewalls, 2nd Edition. O'Reilly & Associates, 2000;
99

Resurse internet
51. Banu C., Responsabilitatea securitii informaiilor, http://www.datasecurity.ro

(vizitat

24.11.2014);
52. Asigurarea

securitii

informaionale,

http://www.sis.md/ro/asigurarea-securitatii-

informationale (vizitat 24.11.2014);


53. Securitatea informaiei n Republica Moldova, http://www.egov.md/index.php/ro/resurse
/newsletter/item/1015-securitatea-informaiei-n-republica-moldova (vizitat 24.11.2014)
54. Moraru R., Crearea culturii securitii informaionale n cadrul unei companii,
http://www.security.ase.md/publ/ro/pubro31/ (vizitat 24.11.2014);
55. Leahu T., Despre necesitatea, varietile, evoluia i unii termini ai securitii datelor n
sistemele

informaionale

informatice

economice,

http://security.ase.md

/publ/ro/pubro02.html (vizitat 24.11.2014);


56. Serviciul

de

Telecomunicaii

Speciale,

Scannere

de

vulnerabiliti,

https://corisweb.stsisp.ro/instrumente/scannere (vizitat 24.11.2014);


57. Information

Security

Officers

Manual,

RUSecure,

http://www.computer-security-

policies.com (vizitat 24.11.2014);


58. Instrumente

resurse

pentru

securitatea

informaional,

http://www.theiia.org/?doc_id=3061 (vizitat 24.11.2014);


59. Procese

activiti

de

management

al

securitii

informaionale,

http://www.secinf.net/Network_Security/ (vizitat 24.11.2014);


60. SecTools.Org: Top 125 Network Security Tools, http://sectools.org/ (vizitat 24.11.2014);
61. Network

Scanners,

http://www.securitywizardry.com/index.php/products/scanning-

products/network-scanners.html (vizitat 24.11.2014);


62. Centrul

tehnic

de

securitate,

Microsoft

Baseline

Security

Analyzer,

http://technet.microsoft.com/ro-ro/security/cc184924.aspx, (vizitat 24.11.2014);


63. Cunotine

de

calculator,

Instrumente

Vulnerability

Scanner,

http://www.punzakhvac.com/instrumente-vulnerability-scanner/ (vizitat 24.11.2014);


64. Canal media oficial al ARASEC Asociaia Romn pentru Asigurarea Securitii
Informaiei,

informaii

multiple

http://www.criminalitatea-informatica.ro/ (vizitat

27.11.2014);
65. NIST Issues New Revision of Guide to Assessing Information Security Safeguards,
http://www.nist.gov/itl/csd/sp8000-53a-121614.cfm (vizitat 27.11.2014);
66. Informaii multiple, http://ro.wikipedia.org (vizitat 27.11.2014);
100

67. Informaii multiple, http://support.microsoft.com (vizitat 27.11.2014);


68. Scanner Nikto, http://www.cirt.net/code/nikto.shtml (vizitat 27.11.2014);
69. WPScan scanner, http://wpscan.org (vizitat 27.11.2014);
70. Vega web scanner, http://subgraph.com/vega/ (vizitat 27.11.2014);
71. Arachni Scanner, http://arachni-scanner.com (vizitat 27.11.2014);
72. Microsoft Baseline Security Analyzer, http://www.microsoft.com/technet/security/tools/
mbsahome.mspx (vizitat 27.11.2014);
73. Winfingerprint scanner, http://winfingerprint.con/index.php (vizitat 27.11.2014);
74. CIS Benchmarks/Security Tool scanner, http://www.cissecurity.com/ (vizitat 27.11.2014);
75. OpenVAS,

Open

Vulnerabilty

Assesment

System,

http://wald.intevation.org/

projects/openvas (vizitat 27.11.2014);


76. Paros, arhitectur pentru testare web, http://parosproxy.org/ (vizitat 27.11.2014);
77. Analiz vulnerabiliti i evenimente de securitate, http://www.eyenet.ro/securitate-it.html
(vizitat 27.11.2014);
78. Informaii multiple, http://cert.gov.md/noutati/noutati.html (vizitat 27.11.2014);
79. Informaii multiple, http://cert.acad.md/ro (vizitat 27.11.2014);
80. Griniuc R., Ploteanu N., Formarea politicii de securitate a sistemelor informatice,
http://www.security.ase.md/publ/ro/pubro34/9.pdf (vizitat 08.12.2014);
81. Consiliul suprem de securitate recomand elaborarea concepiei securitii informaiei,
http://www.timpul.md/articol/consiliul-suprem-de-securitate-recomanda-elaborareaconceptiei-securitatii-informationale-64474.html?action=print (vizitat 08.12.2014);
82. Informaii multiple, www.cnas.md (vizitat 15.01.2015);
83. Bulai R., Analiza etapelor de creare a unui sistem de management al securitii informaiei,
http://www.security.ase.md/publ/ro/pubro35/Bulai_Rodica%20.pdf (vizitat 15.01.2015);
84. Informaii multiple, http://date.gov.md/ (vizitat 15.01.2015);
85. Informaii multiple, https://servicii.gov.md/ (vizitat 15.01.2015);
86. TF-CSIRT

Trusted

Introducer,

https://www.trusted-introducer.org/services/overview/

romanian.html (vizitat 20.01.2015);


87. Popescu

M.,

Securitatea

IT

provocare

de

maxim

actualitate,

http://www.ensight.ro/newsletter/no51/art3.html (vizitat 20.01.2015);

101

Alte surse
88. ISO 13335-1, Managementul securitii informaiilor i tehnologiei comunicaiilor, Partea I:
Concepte i modele pentru managementul securitii informaiilor i tehnologiei
comunicaiilor, 2004;
89. ISO 27001:2005, Sistemul de management al securitii informaiilor Cerine;
90. ISO 27002:2005, Codul de practic al managementului securitii informaiilor;
91. ISO 27001:2013, Sistem de management al securitii informaiei: specificaii i ghid de
utilizare;
92. ISO/IEC 27007:2011,

Tehnologia Informaiei Tehnici de securitate Ghid pentru

auditarea SMSI;
93. ISO/IEC 27000:2014, Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Descriere general i vocabular;
94. ISO/IEC 27002:2013, Tehnologia informaiei Tehnici de securitate Cod de practici
pentru controalele de securitate;
95. ISO/IEC 27003:2010, Tehnologia informaiei Tehnici de securitate Ghid pentru
implementarea SMSI;
96. ISO/IEC 27004:2009, Tehnologia informaiei Tehnici de securitate Sisteme de
management al securitii informaiei Msurri;
97. ISO/IEC 27005:2011, Tehnologia informaiei Tehnici de securitate Managementul
riscurilor de securitate a informaiei;
98. ISO/IEC 27006:2011, Tehnologia informaiei Tehnici de securitate Cerine pentru
organismele care efectueas auditul i certificarea SMSI;
99. ISO/IEC 27007:2011, Tehnologia Informaiei Tehnici de securitate Ghid pentru auditarea
SMSI.

102

ANEXE
Anexa 1

103

Anexa 2: Fie de post


APROBAT
_____________
Maria BORTA,
Preedinte al Casei Naionale
de Asigurri Sociale
L.. _____ ______________ 201_
FIA POSTULUI
Capitolul I.
Dispoziii generale
Autoritatea public: Casa Naional de Asigurri Sociale
Compartimentul: Direcia general elaborarea i dezvoltarea sistemelor informaionale (n
continuare Direcia general), Direcia elaborarea sistemelor aplicative (n continuare Direcia).
Adresa: mun. Chiinu, str. Gh. Tudor, 3
Denumirea funciei: Programator principal
Nivelul funciei: Funcie de deservire tehnic ce asigur funcionarea autoritii publice
Nivelul de salarizare: Conform prevederilor Legii nr.355
Capitolul II.
Descrierea funciei
Scopul general al funciei:
Asigurarea procesului de proiectare, elaborare, testarea i implementare, ntreinerea aplicaiilor
programatice a sistemelor aplicative ale sistemelor informaionale privind sistemul public de
asigurri sociale i alte sisteme informaionale pentru automatizarea proceselor de activitate ale
subdiviziunilor Casei Naionale de Asigurri Sociale.
Asigurarea procesului de elaborare a caietelor de sarcini pentru elaborarea, modificarea sau
procurarea sistemelor informaionale.
Sarcinile de baz:
1. Testarea sistemelor aplicative ale sistemelor informaionale privind sistemul public de
asigurri sociale.
2. Implementarea sistemului informaional sistemul public de asigurri sociale (SPAS).
3. Completarea i perfectarea documentaiei de proiect.
4. Implementarea sistemelor informaionale in Casele Teritoriale de Asigurri Sociale.
104

5. Elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor


informaionale.
Atribuiile de serviciu:
1. Testarea sistemelor aplicative ale sistemelor informaionale privind sistemul public de
asigurri sociale.
1.1.

Particip la testarea i ntreinerea aplicaiilor programatice.

1.2.

Particip la proiectarea i elaborarea procesului tehnologic al sistemelor informaionale

create n cadrul Direciei.


1.3.

Analiza i testarea structurii bazei de date, Soft i Nomenclaturilor.

1.4.

Modific sistemele informaionale existente.

1.5.

Excluderea din folosin a sistemelor informaionale ce nu se mai exploateaz.

1.6.

Particip la elaborarea materialelor metodologice privind implementarea sistemului de

asigurri sociale de stat


2. Implementarea sistemului informaional sistemul public de asigurri sociale(SPAS).
2.1.

Asigur pregtirea datelor din sistemele informaionale necesare pentru migrare.

2.2.

Controleaz rezultatul migrrii i particip la elaborarea algoritmelor de migrare.

2.3.

Particip la procesul de testare a sistemului i la formarea cerinelor fa de sistem.

3. Completarea i perfectarea justa a documentaiei de proiect.


3.1.

Completarea i perfectarea justa a documentaiei de proiect, prezentarea la timp a drilor

de seama, conform formelor aprobate la Casa Naional de Asigurri Sociale.


3.2.

Pregtete note explicative, instruciuni n cadrul problemelor ce in de executarea

obligaiilor Direciei.
3.3.

Elaborarea caietelor de sarcini pentru elaborarea, modificarea sau procurarea SI.

4. Implementarea sistemelor informaionale in Casele Teritoriale de Asigurri Sociale.


4.1.

Efectueaz ndrumarea metodologic a lucrtorilor structurilor Caselor Teritoriale de

Asigurri Sociale privind problemele ce apar n procesul utilizrii sistemului informaional creat.
5. Elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaionale
5.1.

particip la elaborarea i examinarea caietelor de sarcini pentru elaborarea, modificarea,

procurarea sistemelor informaionale


Responsabilitile. Titularul postului rspunde de:
-

Proiectarea, elaborarea la timp si calitativa a sistemelor aplicative.

105

Particip la testarea i ntreinerea aplicaiilor programatice a sistemelor informaionale i

baze de date.
-

Perfecionarea si ridicarea nivelului de calificare.

Implementarea, susinerea i protecia sistemelor informaionale n domeniul proteciei

sociale a populaiei.
-

Respectarea strict a regulamentului Casei Naionale de Asigurri Sociale, regulamentului

intern a Casei Naionale de Asigurri Sociale, regulamentului Direciei.


-

Confidenialitatea informaiei i materialelor primite n cadrul ndeplinirii activitii

Direciei.
-

Pstrarea i folosirea raional a utilajului i materialelor primite din Direcie.

mputernicirile:
S primeasc n ordinea cuvenit consultaiile specialitilor de la Direcia General
elaborarea i dezvoltarea sistemelor informaionale.
S primeasc din subdiviziunile structurale ale Casei Naionale de Asigurri Sociale i
Direcia general informaia i consultaia necesar pentru exercitarea funciilor sale.
S participe la seminare si conferine.
Cui i raporteaz titularul funciei Programatorul principal din cadrul Direciei elaborarea
sistemelor aplicative i raporteaz efului Direciei elaborarea sistemelor aplicative.
Pe cine substituie: Programatorul principal din cadrul Direciei poate s substituie, n caz de
necesitate, de un alt programator principal din cadrul Direciei.
Cine l substituie: Programator principal din cadrul Direciei poate fi substituit, n caz de
necesitate, de un alt programator principal din Direcie.
Cooperarea intern:
- Cu colaboratorii Direciei elaborarea sistemelor aplicative.
- Cu colaboratorii subdiviziunilor Casei Naionale de Asigurri Sociale.
- Cu colaboratorii Caselor teritoriale de asigurri sociale.
Mijloacele de lucru/echipamentul utilizat:
- computer, imprimant, telefon, fax.
- Internet.
- Manuale, materiale metodologice i informative n domeniul tehnologii informaionale.
- Pres periodic din domeniu.
Condiiile de munc:
- Regim de munc: 40 ore pe sptmn, 8 ore pe zi.
- Program de munc: luni-vineri, orele 8.00-17.00, pauza de mas 12.00-13.00.
106

- Activitate preponderent de birou, la necesitate, deplasri n teritoriu.


Capitolul III.
Cerinele funciei fa de persoan
Studii: superioare, de licen sau echivalente, n domeniul tehnologii informaionale.
Experien profesional: - 1 ani de experien profesional n domeniu.
Cunotine:
- Cunoaterea legislaiei n domeniu.
- Tehnologii informaionale: (UNIX, WINDOWS) RDBMS (ORACLE), limbaje de programare
(SQL, PL/SQL, Delphi, FOXPRO/VISUAL FOXPRO, Clipper, PHP, HTML, ORACLE
DEVELOPER Suite)
Abiliti: de organizare, coordonare, control, gestionare resurse, analiz i sintez, obiectivitate
i apreciere, corectitudine, lucru n echip.
Atitudini/comportamente: respect fa de oameni, spirit de iniiativ, creativitate, flexibilitate,
disciplin, responsabilitate, tendin spre dezvoltare profesional continu.
ntocmit de:
Nume, prenume _______________________Boris Goonoaga_____________
Funcia public de conducere __________ef Direcie____________________
Semntura ______________________________________________________
Data ntocmirii ___________________________________________________
Vizat de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcia public ______ef Direcie________________
Semntura ______________________________________________________
Data __________________________________________________________
Luat la cunotin de ctre titularul funciei:
Nume, prenume __________________________________________________
Semntura ______________________________________________________
Data ___________________________________________________________

107

APROBAT
_____________
Maria BORTA,
Preedinte al Casei Naionale
de Asigurri Sociale
L.. _____ ______________ 201_
FIA POSTULUI
Capitolul I.
Dispoziii generale
Autoritatea public: Casa Naional de Asigurri Sociale.
Compartimentul: Direcia general elaborarea i dezvoltarea sistemelor informaionale (n
continuare Direcia general), Secia e-Transformare (n continuare Secia).
Adresa: mun. Chiinu, str. Gh. Tudor, 3
Denumirea funciei: Specialist principal
Nivelul funciei: Funcie public de execuie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012 .
Capitolul II.
Descrierea funciei
Scopul general al funciei: Contribuirea la perfecionarea proceselor de activitate ale Casei
Naionale de Asigurri Sociale prin elaborarea i analiza cerinelor business n susinerea i
dezvoltarea sistemelor informaionale n domeniul drepturilor sociale.
Sarcinile de baz:
1. Planificarea resurselor, investiiilor i achiziiilor TI n vederea realizrii procesului eTransformare a CNAS.
2. Asigurarea meninerea arhitecturii infrastructurii informaionale i tehnologice.
3. Asigurarea securitii informaiei i a infrastructurii TI.
4. Gestionarea tehnologic i evaluarea resurselor TI.
Atribuiile de serviciu:
1. Planificarea resurselor, investiiilor i achiziiilor TI n vederea realizrii procesului eTransformare a CNAS:
1.1.

Identific necesitile de achiziie a mijloacelor TI.

1.2.

Particip la elaborarea conceptelor, termenelor de referin, caietelor de sarcini i a altor

documente tehnice, necesare procesului de achiziie a soluiilor TI.


108

1.3.

Planific achiziiile de hardware i software pe etape, n baza necesitilor identificate.

1.4.

Particip la procesul de acceptare de ctre autoritate a soluiilor TI achiziionate.

1.5.

Identific sursele de finanare i particip n procesul de bugetare a resurselor n baza

planului de achiziie.
1.6.

Coordoneaz planul de achiziie cu eful subdiviziunii e-Transformare.

2. Asigurarea meninerea arhitecturii infrastructurii informaionale i tehnologice:


2.1.

Elaboreaz i documenteaz arhitectura infrastructurii informaionale i tehnologice,

inclusiv topologia reelei, canalele de acces la internet, arhitectura de date.


2.2.

Menine arhitectura infrastructurii informaionale i tehnologice.

3 . Asigurarea securitii informaiei i a infrastructurii TI.


3.1.

Realizeaz analiza de evaluare a riscurilor i vulnerabilitilor.

3.2.

Planific msurile de prevenire i reacie la incidentele de securitate.

3.3.

Examineaz i investigheaz incidentele de securitate i planific aciunile corective.

3.4.

Monitorizeaz implementarea aciunilor corective.

3.5.

Asigur aplicarea standardelor i politicilor de securitate a informaiei.

4. Gestionarea tehnologic i evaluarea resurselor TI.


4.1.

Realizeaz monitorizarea coerenei investiiilor n infrastructura informaional i

tehnologic la nivelul autoritii i asigur interoperabilitatea organizaionala n corespundere cu


obiectivele modernizrii tehnologice a guvernrii.
4.2.

Asigur administrarea cu acuratee a informaiei.

4.3.

Elaboreaz, n comun cu eful subdiviziunii e-Transformare, standarde de calitate pentru

prestarea serviciilor electronice n cadrul autoritii.


4.4.

Definete si implementeaz mbuntirea calitii n managementul informaiei.

4.5.

Planific i efectueaz darea n exploatare i scoaterea din uz a resurselor TI (hardware si

software).
4.6.

Gestioneaz activele TI (hardware i software).

4.7.

Planific necesitile de resurse TI pentru asigurarea bunei funcionri a autoritii.

4.8.

Monitorizeaz piaa de produse hardware i software n vederea utilizrii acestora pentru

a spori performana autoritii i calitatea serviciilor prestate.


4.9.

Asigur integritatea i meninerea resurselor TI.

Responsabilitile. Titularul postului rspunde de:


- Exercitarea atribuiilor sale de serviciu n strict conformitate cu Regulamentul Seciei.
- Organizarea raional a activitii seciei, executarea calitativ i n termenele stabilite a
aciunilor incluse n planul de activitate al Seciei.
109

- Elaborarea i analiza calitativa a software-ului aplicativ.


- Implementarea, susinerea i protecia sistemelor informaionale n domeniul asigurrilor
sociale de stat.
- Confidenialitatea informaiei i materialelor primite n cadrul ndeplinirii activitii direciei.
- Sporirea competenei sale profesionale.
- Consultarea corect a colaboratorilor din subdiviziunile Casei Naionale de Asigurri Sociale
n domeniul su de competen.
- Pstrarea i folosirea raional a utilajului i materialelor primite din direcie.
mputernicirile:
- Ia decizii cu privire la organizarea i desfurarea activitii Seciei, precum i aprecierea
colaboratorilor Seciei.
- Reprezint cu acordul efului seciei, Secia n subdiviziunile Direciei generale pentru
soluionarea problemelor, ce in de competenta Seciei.
- Face propuneri la proiectele elaborate n Secie i le propune pentru aviz conducerii Seciei.
- Decide soluii de optimizare i modernizare a activitii Seciei.
- Face propuneri, soluii de optimizare i modernizare

n grupurile de lucru stabilite de

conducerea ierarhic.
- Particip la activitile de instruire (conferine, seminare, cursuri de instruire, etc.) organizate
n Casa Naional de Asigurri Sociale.
- Decide asupra participrii colaboratorilor Direciei la activitile de instruire profesional.
- Solicit de la conducerea Direciei generale i Direciei informaia i materialele necesare
pentru ndeplinirea Regulamentului Seciei i atribuiilor sale de serviciu.
- Solicit din subdiviziunile structurale ale Casei Naionale de Asigurri Sociale informaia i
consultaia necesar pentru exercitarea funciilor sale, cu acordul conducerii Direciei.
Cui i raporteaz titularul funciei: Specialistul principal din cadrul Seciei i raporteaz
efului Seciei e-Tranformare.
Pe cine l substituie: Specialistul principal al Seciei poate substitui pe un alt specialist principal
n cazul absenei temporare acestuia din Seciei e-Tranformare.
Cine l substituie: Specialistul principal al Seciei e-Tranformare poate fi substituit, n caz de
necesitate, de un alt specialist principal din Seciei.
Cooperarea intern:
- Cu colaboratorii Direciei generale elaborarea i dezvoltarea sistemelor informaionale.
- Cu colaboratorii subdiviziunilor Casei Naionale de Asigurri Sociale.
Cooperarea extern:
110

- Cu colaboratorii din cadrul altor autoriti publice.


- Cu agenii economici i beneficiarii de prestaii sociale de stat.
- Cu diferite proiecte i programe internaionale, relevante domeniului su de competen.
Mijloacele de lucru/echipamentul utilizat:
- Monitorul Oficial al Republicii Moldova, culegeri de acte normative.
- Computer, imprimant, telefon, fax.
- Varianta electronic a bazei legislative Moldlex.
- Documentaia tehnic.
- Fiiere electronice.
- Internet.
- Dicionare etc.
Condiiile de munc:
- Regim de munc: 40 ore pe sptmn, 8 ore pe zi, disponibilitatea lucrului peste
program i n zile de repaus, dup caz.
- Program de munc: luni-vineri, orele 8.00-17.00, pauza de mas 12.00-13.00.
Capitolul III.
Cerinele funciei fa de persoan
Studii: Superioare, de licen sau echivalente n domeniul tehnologii informaionale sau
tiinelor economice.
Experien profesional: - 1 ani de experien profesional n domeniu.
Cunotine:
- Cunoaterea legislaiei n domeniu.
- Sistemele Operaionale WINDOWS, MS Office, limbaje de programare SQL
- Ordinea perfectrii documentaiei tehnice de proiect .
- Documentele normative si materialele metodice de elaborare a sistemelor informaionale.
- Metodele matematico-economice, aplicarea lor justa, selectarea raional.
- Metodele si mijloacele de construire raional a documentelor de main.
- Capacitile tehnico-exploataionale a tehnicii electronice de calcul.
Abiliti: de lucru cu informaia, elaborare a documentelor, argumentare, planificare, organizare,
luare a deciziilor, analiz i sintez, consultare, instruire, prezentare, comunicare eficient, lucru
n echip, soluionare de probleme.
Atitudini/comportamente: respect fa de oameni, spirit de iniiativ, creativitate, flexibilitate,
disciplin, responsabilitate, tendin spre dezvoltare profesional continu.
111

ntocmit de:
Nume, prenume _____________________Ivan Cucia____________
Funcia public de conducere __________ef Direcie General__________
Semntura ______________________________________________________
Data ntocmirii ___________________________________________________
Vizat de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcia public ______ef Direcie________________
Semntura ______________________________________________________
Data __________________________________________________________
Luat la cunotin de ctre titularul funciei:
Nume, prenume __________________________________________________
Semntura ______________________________________________________
Data ___________________________________________________________

112

APROBAT
_____________
Maria BORTA,
Preedinte al Casei Naionale
de Asigurri Sociale
L.. _____ ______________ 201_
FIA POSTULUI
Capitolul I.
Dispoziii generale
Autoritatea public: Casa Naional de Asigurri Sociale
Compartimentul: Direcia general elaborarea i dezvoltarea sistemelor informaionale (n
continuare Direcia general), Direcia analiza de sistem i metodologie de dezvoltare sistemelor
informaionale (n continuare Direcia).
Adresa: mun. Chiinu, str. Gh. Tudor, 3
Denumirea funciei: Specialist superior
Nivelul funciei: Funcie public de execuie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012.
Capitolul II.
Descrierea funciei
Scopul general al funciei: Contribuie la procesul de planificare i analiz a eficacitii
tehnologiilor informaionale n sistemele informaionale ale Casei Naionale

de Asigurri

Sociale, la implementarea noului sistem informaional.


Sarcinile de baz:
13. Implementarea proceselor de planificare, elaborare i analiz a proiectelor.
14. Implementarea metodologiilor, cerinelor i soluiilor de program pentru asigurarea
funcionrii continue a business proceselor n Casa Naional de Asigurri Sociale.
15. Participarea

realizarea

planificrii,

coordonrii

monitorizrii

tehnologiilor

informaionale n Casa Naional de Asigurri Sociale.


16. Organizarea proceselor de instruire i difuzare a informaiei.
17. Asigurarea ntreinerii documentaiei de nsoire.
Atribuiile de serviciu:
1.

Implementarea proceselor de planificare, elaborare i analiz a proiectelor:

1.1. Efectueaz analiza eficacitii proceselor de dirijare a soluiilor tehnologii informaionale n


domeniul sistemului public de asigurri sociale.
113

1.2. Efectueaz analiza proceselor de dirijare n domeniul tehnologii informaionale i


eficacitatea sistemelor informaionale n corespundere cu sarcinile i obiectivele Casei Naionale
de Asigurri Sociale.
1.3. Efectueaz analiza activelor informaionale n Casa Naional de Asigurri Sociale.
2.

Implementarea metodologiilor, cerinelor i soluiilor de program pentru asigurarea

funcionrii continue a business proceselor n Casa Naional de Asigurri Sociale:


2.1. Efectueaz elaborarea cerinelor funcionale i tehnice pentru modificrile aprobate, finisarea
software-urilor aplicative ori achiziionarea sau elaborarea unui software aplicativ nou.
2.2. Efectueaz proiectarea i elaborarea diverselor module i soluii pentru asigurarea
eficacitii funcionrii business proceselor.
2.3. Efectueaz elaborarea i implementarea metodologiei de proiectare, elaborare, dezvoltare i
exploatare a sistemelor informaionale.
3.

Participarea

realizarea

planificrii,

coordonrii

monitorizrii

tehnologiilor

informaionale n Casa Naional de Asigurri Sociale.


3.1. Meninerea unei baze centralizate de instalri de sisteme informaionale n Casa Naional
de Asigurri Sociale.
3.2. Meninerea i anexarea coninutului contentelor din Casa Naional de Asigurri Sociale.
4.

Organizarea proceselor de instruire i difuzare a informaiei:

4.1. Participarea la planificarea i organizarea proceselor de instruire sistematic a


colaboratorilor Casei Naionale de Asigurri Sociale CNAS n domeniul tehnologii
informaionale.
4.2. Asigurarea informaional-analitic a activitii Casei Naionale de Asigurri Sociale n
domeniul tehnologiilor informaionale.
5.

Asigurarea ntreinerii documentaiei de nsoire.

5.1. Efectueaz ntreinerea evidenei documentaiei privind programele aplicate elaborate,


implementate i aflate n exploatare.
5.2. Efectueaz introducerea specificrilor privind modificrile efectuate n software-urile
aplicative i bazele de date.
Responsabilitile. Titularul postului rspunde de:
- Exercitarea atribuiilor sale n strict conformitate cu legislaia i actele normative n vigoare.
- Organizarea raional a activitii sale conform planului de activitate a Seciei i a indicaiilor
efului Seciei.
- Calitatea materialelor elaborate i prezentarea lor n termenii stabilii.
114

- Sporirea competenei sale profesionale.


- Confidenialitatea informaiei i materialelor primite n cadrul ndeplinirii activitii Direciei.
- Pstrarea i folosirea raional a utilajului i materialelor primite din Direcie.
mputernicirile:
- Solicit de la conducerea Seciei i Direciei informaia i materialele necesare pentru
ndeplinirea atribuiilor sale de serviciu.
- Face propuneri conducerii la proiectele elaborate n Secie.
- Face propuneri de optimizare i modernizare a activitii Seciei.
- Particip la activitile de instruire (conferine, seminare, cursuri de instruire, etc.) organizate
n Casa Naional de Asigurri Sociale.
Cui i raporteaz titularul funciei: Specialist superior al Direciei i raporteaz efului
Direciei.
Pe cine l substituie: Specialistul superior al Direciei l poate substitui pe un alt specialist
superior din Direcie, n cazul absenei temporare a acestora.
Cine l substituie: Specialist superior al Direciei poate fi substituit de un alt specialist superior
sau principal, n caz de necesitate.
Cooperarea intern:
- Cu colaboratorii Direciei generale elaborarea i dezvoltarea sistemelor informaionale.
Mijloacele de lucru/echipamentul utilizat:
- Computer, imprimant, telefon.
- Varianta electronic a bazei legislative Moldlex.
- Documentaia tehnic.
- Fiiere electronice.
- Internet.
- Dicionare etc.
Condiiile de munc:
- Regim de munc: 40 ore pe sptmn, 8 ore pe zi, disponibilitatea lucrului peste
program i n zile de repaus, dup caz.
-

Program de munc: luni-vineri, orele 8.00-17.00, pauza de mas 12.00-13.00.


Capitolul III.
Cerinele funciei fa de persoan

Studii: Superioare tehnologii informaionale, economice, cursuri de perfecionare profesional n


domeniul tehnologii informaionale.
Experien profesional: - 6 luni de experien profesional n domeniu.
115

Cunotine:
- Cunoaterea legislaiei n domeniu.
- Sistemele Operaionale (WINDOWS), RDBMS (Oracle), limbaje de programare (SQL,
PL/SQL)
- ordinea perfectrii documentaiei tehnice de proiect conform lucrrilor executate.
- documente normative i materiale metodice de elaborare n sistemele automatizat dirijate.
- metodele matematico-economice, aplicarea lor justa, selectarea raional.
- metodele si mijloacele de construire raional a documentelor de maina.
- capacitile tehnico-exploataionale a tehnicii electronice de calcul.
Abiliti: de lucru cu informaia, consultare, instruire, prezentare, comunicare eficient, lucru n
echip.
Atitudini/comportamente: respect fa de oameni, spirit de iniiativ, creativitate, flexibilitate,
disciplin, responsabilitate, tendin spre dezvoltare profesional continu.
ntocmit de:
Nume, prenume _____________________Natalia Netreba_______________
Funcia public de conducere __________ef Direcie____________________
Semntura ______________________________________________________
Data ntocmirii ___________________________________________________
Vizat de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcia public ______ef Direcie________________
Semntura ______________________________________________________
Data __________________________________________________________
Luat la cunotin de ctre titularul funciei:
Nume, prenume __________________________________________________
Semntura ______________________________________________________
Data ___________________________________________________________

116

Anexa 3: Politica securitii informaionale a CNAS


CONSILIUL DE ADMINISTRAIE AL CASEI NAIONALE DE ASIGURRI
SOCIALE

DECIZIA nr. _6_/8


mun. Chiinu

21 noiembrie 2008

Cu privire la aprobarea
Concepiei securitii informaionale i
Politicii securitii informaionale
a Casei Naionale de Asigurri Sociale

n urma analizei i audierii informaiei privind aprobarea Concepiei


securitii
informaionale i Politicii securitii informaionale a Casei Naionale de Asigurri
Sociale, Consiliul de Administraie al Casei Naionale de Asigurri Sociale
DECIDE:
Se aprob Concepia securitii informaionale i Politica securitii informaionale a
Casei Naionale de Asigurri Sociale.

Preedintele Consiliului de
Administraie

Igor DODON

117

Aprobat
prin Decizia Consiliului de Administraie al CNAS
nr. 6/8 din 21 noiembrie 2008
Casa Naional de Asigurri Sociale
Republica Moldova
Politica Securitii Informaionale
Controlul versiunilor
Versiunea

Data

Modificri introduse

1. Generaliti
1.1 Introducere
Politica Securitii Informaionale determin scopurile, obiectivele i direciile
activitilor privind asigurarea securitii informaionale (SI) n cadrul

principale ale

Casei Naionale de

Asigurri Sociale a Republicii Moldova (n continuare CNAS).


Prezentul document a fost elaborat n conformitate cu legislaia Republicii Moldova i standardul
internaional ISO/IEC 27001:2005. Politica SI ia n consideraie stipulrile Directivei 95/46/ a
Parlamentului european i a Consiliului Uniunii Europene din 24 octombrie 1995 privind protecia
drepturilor persoanelor despre tratarea datelor personale i publicarea lor.
CNAS este organ autonom al puterii de stat a Republicii Moldova cu statut de persoan
juridic i administreaz sistemul de asigurare social obligatorie de stat. Activitatea
multilateral a CNAS este imposibil fr un sistem informaional fiabil, care proceseaz i
datele personale ale cetenilor Republicii Moldova, inclusiv. Pentru organizarea unei protecii
eficiente n cadrul CNAS este elaborat i implementat Sistemul de Management al Securitii
Informaionale (SMSI).
Politica SI reprezint documentul normativ de baz, care regleaz procesul de management al
securitii informaionale al CNAS. Exigenele prezentei Politici vizeaz toi colaboratorii CNAS
118

fr excepie, fiind aduse la cunotina acestora i sunt obligatorii pentru execuie. Cerinele
naintate partenerilor CNAS, antreprenorilor i

altor

tere

persoane,

sunt

expuse

contractele i acordurile respective. n conformitate cu prezenta Politic, toate informaiile


CNAS, fr excepie, independent de forma de prezentare - pe supori materiali, n form
vizual sau oral, trebuie protejate.
1.2 Introducerea modificrilor
Revizia regulat a prezentei Politici i a altor documente normative ale CNAS din
domeniul securitii informaionale se va realiza n scopul perfecionrii lor.
Prezenta Politic i alte documente normative ale CNAS din domeniul securitii informaionale
vor fi revizuite cel puin o dat la doi ani. Revizia extraplan va avea loc n urmtoarele
situaii:
n cazul unor modificri eseniale ale condiiilor de activitate a CNAS, structurii
organizaionale sau a sistemului informaional,
n cazul modificrii cadrului legislativ al Republicii Moldova sau a standardelor
internaionale.
2. Terminologie
Activ toate resursele, care prezint valoare pentru organizaie [ISO/IEC 13335-1:2004].
Accesibilitate proprietatea informaiei de a fi accesibil i utilizabil de ctre partea
autorizat [ISO/IEC 13335-1:2004].
Securitate informaional asigurarea confidenialitii, integritii i accesibilitii informaiei,
ca i unor caracteristici suplimentare, cum ar fi autenticitatea, nonrefuzul sau veridicitatea
[ISO/IEC 27002:2005].
Sistem informaional set de sisteme de procesare a informaiei i a datelor, utilizat n
scopul asigurrii activitii organizaiei [ISO/IEC 27002:2005 Toolkit Glossary].
Incident de securitate informaional eveniment unitar indezirabil sau neateptat privind
securitatea informaional (sau ansamblu de asemenea evenimente) care poate compromite
procesul de activitate al companiei sau amenina securitatea ei informaional [ISO/IEC TR
18044:2004].
Confidenialitate proprietatea informaiei de a fi accesibil doar persoanelor, prilor sau
proceselor autorizate [ISO/IEC 13335-1:2004].
Estimarea riscurilor proces general de analiz i determinare a nivelului de risc [ISO/IEC
Guide 73:2002].
Sistemul de management al securitii informaionale component a sistemului de
management al companiei, bazat pe analiza riscurilor afacerii i necesar pentru elaborarea,
119

implementarea, monitorizarea, revizuirea i perfectarea activitilor privind asigurarea securitii


informaionale [ISO/IEC 27001:2005].
Eveniment al securitii informaionale eveniment nregistrat n funcionarea sistemului,
service-ului sau reelei, care indic posibile nclcri ale politicii SI, deteriorarea mijloacelor de
protecie sau situaii anterior necunoscute, care pot influena securitatea [ISO/IEC 27002:2005].
Managementul riscurilor aciuni coordonate privind managementul companiei, care iau n
consideraie valorile determinate ale riscului.
NB: managementul riscurilor include, de obicei, estimarea riscurilor, diminuarea riscurilor,
acceptarea riscurilor ca i discutarea i adoptarea msurilor privind managementul riscurilor
[ISO/IEC Guide 73:2002].
Integritate proprietatea de pstrare a exactitii i completitudinii unui activ [ISO/IEC
13335-1:2004].
3. Abrevieri
SI
SMSI

Securitate informaional
Sistemul de management al securitii informaionale

4. Scopurile i obiectivele securitii informaionale


4.1 Scopurile
Activele informaionale al CNAS, inclusiv datele personale ale cetenilor Republicii Moldova,
reprezint una din cele mai preioase resurse, utilizate n activitatea CNAS. Sistemul de
asigurare social obligatorie de stat depinde de securitatea acestor active. Conducerea CNAS,
contientiznd n deplin msur importana activelor informaionale, consider procesul de
management al securitii informaionale una din formele de activitate cu prioritate maxim.
Scopurile managementului SI n cadrul CNAS sunt:
1.

Prevenirea

violrii

confidenialitii,

integritii

sau

accesibilitii activelor

informaionale ale CNAS,


2.

Asigurarea funcionrii continue a sistemului informaional al CNAS.

4.2 Obiectivele SI
n vederea atingerii scopurilor susmenionate n cadrul procesului de asigurare a securitii
informaionale vor fi soluionate urmtoarele probleme:
1. Implementarea msurilor

organizaionale

direcionate

spre

reglarea administrativ a

procesului de asigurare a securitii informaionale,


2. Inventarierea i clasificarea activelor informaionale, estimnd protecia lor i stabilind regulile
de utilizare,
120

3. Estimarea

riscurilor,

asociate

nclcrilor

exigenelor

securitii informaionale,

4. Identificarea utilizatorilor SI, determinarea regulilor de difereniere a accesului utilizatorilor


la activele informaionale i controlul ndeplinirii acestor reguli,
5. Asigurarea securitii fizice a activelor informaionale,
6. Asigurarea securitii informaionale la etapele de achiziie, elaborare i mentenan a
componentelor SI,
7. Asigurarea securitii proceselor de tratare, pstrare i transmitere a informaiei,
8. nregistrarea incidentelor de securitate, depistarea i eliminarea cauzelor apariiei lor,
9. Elaborarea planurilor de restabilire a funcionalitii SI CNAS,
10. Controlul eficienei msurilor de asigurare a SI, auditul regulat al SI i al SMSI al CNAS.
5. Managementul securitii informaionale
5.1 Abordare bazat pe procese
Managementul securitii informaionale a CNAS este un proces continuu. Pentru managementul
SI n CNAS este implementat sistemul de management, care corespunde standardului
internaional ISO/IEC 27001:2005. La baza procesului de management al SI este pus ciclul
PDCA, care asigur perfecionarea continu a procesului de asigurarea a securitii
informaionale.
Procesul ciclic al managementului SI este prezentat n fig. 1.

Fig. 1. Modelul abordrii orientate pe procese


Planificarea SMSI presupune estimarea riscurilor informaionale i stabilirea msurilor

de

contracare a acestora. Msurile de diminuare a riscurilor sunt introduse n aplicare n


conformitate cu planul de tratare a riscurilor. Monitorizarea SMSI permite depistarea riscurilor
noi, incidentelor de securitate, ca i nclcrile procedurilor de asigurare a SI. Rezultatele
executrii procedurilor de monitorizare sunt utilizate la introducerea modificrilor n SMSI la
etapa de perfecionare.
121

5.2 Administrarea riscurilor


Administrarea SI CNAS este bazat pe estimarea riscurilor informaionale, aceast abordare
asigurnd adecvana alegerii msurilor de garantare a securitii informaionale

referitor

la

daunele poteniale, care rezult din nclcarea exigenelor SI. Pentru estimarea eficient a
riscurilor, asociate nclcrii cerinelor securitii informaionale, are loc categorisirea tuturor
activelor informaionale n conformitate cu nivelul de importan al acestora. La estimarea
riscurilor SI este luat n calcul starea curent de protejare a fiecrui activ. Metodologia de
estimare a riscurilor este reglementat de documentele normative respective.
6. Asigurarea securitii informaionale
6.1 Msuri organizatorice
Msurile organizatorice au scopul asigurrii administrative a proteciei activelor informaionale
ale CNAS. n cadrul msurilor administrative sunt identificate documentele normative ale
CNAS n sfera securitii informaionale, ca i obligaiunile i responsabilitile colaboratorilor
CNAS n domeniul SI. Sunt documentate din punct de vedere administrativ i legal relaiile cu
colaboratorii, partenerii CNAS, antreprenorii i alte tere persoane. Responsabilitile
subdiviziunilor CNAS privind SI sunt reglementate prin documentele normative respective,
iar activitatea lor este coordonat de ctre conducerea CNAS.
Procedurile de angajare, concediere sau trecerea la un alt post n cadrul CNAS sunt
reglementate de documentele normative respective. Colaboratorii CNAS sunt implicai n
instruirea continu n sfera securitii informaionale.
6.2 Gestiunea activelor
Orice informaie, creat de colaboratorii CNAS n procesul activitii lor sau achiziionat de
ctre CNAS, indiferent de forma de reprezentare, este proprietatea CNAS.
Gestiunea activelor CNAS reprezint baza asigurrii securitii informaionale a acestora.
Protecia activelor informaionale este realizat n conformitate cu categoria de criticitate a
proceselor business ale CNAS. Nivelul de criticitate a unui activ este determinat n conformitate
cu metodica aprobat. Pentru fiecare activ este numit o persoan responsabil. Care poart
responsabilitate personal privind asigurarea securitii.
Regulile de inventariere i clasificare a activelor informaionale ale CNAS sunt stabilite de
documentele normative respective.
6.3 Administrarea accesului
n scopul prentmpinrii accesului nesancionat la activele informaionale ale CNAS sunt
realizate anumite aciuni de administrare a accesului. Drepturile de acces sunt stabilite i
documentate pentru fiecare categorie de utilizatori.
122

Ordinea de introducere a nregistrrilor de eviden n sistemul informaional i drepturile de


accesare a activelor informaionale sunt reglementate prin documentele normative respective.
Accesul la activele informaionale este admis doar din necesiti de serviciu n conformitate
cu principiul totul ce nu este n mod evident admis este interzis.
Obligaiunile utilizatorilor privind asigurarea securitii accesului la activele informaionale, ca i
regulile de utilizare a parolelor, cheilor de acces i echipamentelor, sunt descrise n
instruciunile respective. Utilizatorii sunt obligai s respecte principiul mesei curate i
ecranului curat.
Regulile de gestiune a accesului la serviciile de reea, inclusiv metodele de segmentare a reelei
locale, controlul conexiunilor de reea i configurarea echipamentelor de reea active, sunt
stabilite de documentele normative respective.
Accesul la distan la sistemul informaional al CNAS este permis doar n caz de necesitate
de lucru. Utilizarea de ctre colaboratorii CNAS a dispozitivelor mobile este reglementat de
documentele normative respective.
6.4 Securitatea fizic
Garantarea securitii fizice este chemat s previn penetrarea nesancionat de

ctre

persoanele strine a teritoriului CNAS i provocarea unor daune n rezultatul acestor


penetrri. Obiectele CNAS vor fi incluse n cadrul unui perimetru de securitate, accesul la aceste
obiecte vor avea doar colaboratorii autorizai.
Vor fi planificate aciuni, menite s protejeze obiectele CNAS de ameninri naturale, tehnogene
sau sociale.
6.5 Securitatea proceselor de tratare, pstrare i transmitere a informaiei
Protecia proceselor de tratare, pstrare i transmitere a informaiei reprezint o component
important n asigurarea securitii informaionale a CNAS. Obligaiunile privind tratarea
informaiei sunt partajate ntre colaboratorii CNAS i sunt expuse n documentele respective.
Mediile de dezvoltare, testare i execuie a operaiilor business sunt separate unele de altele.
Orice modificare a sistemului informaional are loc n conformitate cu procedura respectiv
documentat.
Regulile de operare cu suporii de informaie, inclusiv transportarea i distrugerea, sunt
reglementate de documentele normative respective.
Activitatea CNAS nu este posibil fr interaciunea structurilor sale cu tere organizaii, din care
cauz o atenie special se acord asigurrii securitii informaiei n timpul transmiterii prin
mijloace electronice.
123

Pentru protecia activelor informaionale ale CNAS sunt utilizate mijloace criptografice de
protecie a informaiei. Regulile de utilizare a mijloacelor criptografice de protecie a
informaiei, inclusiv administrarea cheilor de criptare sunt reglementate de documentele
normative respective.
Toate aciunile utilizatorilor i administratorilor sistemului informaional sunt protocolate i
controlate n scopul evidenierii nclcrilor cerinelor securitii informaionale i prevenirii
incidentelor de securitate.
6.6 Gestiunea ciclului de via a resurselor program
Asigurarea securitii informaionale n timpul procurrii, elaborrii i mentenanei produselor
program are destinaia s garanteze, c funcia proteciei informaiei este parte inalienabil a
acestora i este realizat la toate etapele ciclului de via.
Cerinele privind resursele program din punctul de vedere al securitii informaionale sunt
determinate i documentate.
Elaborarea resurselor program se realizeaz lund n consideraie cerinele procedurilor de
asigurare a securitii datelor procesate.
n cadrul procesului de management al securitii informaionale sunt respectate proceduri
contemporane de instalare a actualizrilor i a pachetelor cu modificri, publicate de
dezvoltatorii resurselor program. Procedurile de instalare i testare a actualizrilor sunt
reglementate de documentele normative respective.
6.7 Gestiunea incidentelor
Procedurile de gestiune a incidentelor securitii informaionale sunt ndeplinite n scopul
nregistrrii operative a evenimentelor SI, eliminarea consecinelor incidentelor SI, ca i
depistrii i eliminrii vulnerabilitilor n securitatea informaional.
Incidentele de securitate sunt cercetate anchetate scurpulos n scopul depistrii cauzelor apariiei
i prevenirea posibilitii repetrii lor.
Procedurile de gestiune a incidentelor de securitate i vulnerabilitate sunt reglementate de
documentele normative respective.
6.8 Mentenana funcionrii continue a sistemului informaional
Obiectivul mentenanei funcionrii continue a sistemului informaional este neutralizarea
eficient a consecinelor incidentelor de securitate pentru activitatea CNAS. Aceasta permite s
se garanteze c procesele business ale CNAS vor fi restabilite ntr-un interval de timp prestabilit
dup cdere.

124

n cadrul mentenanei funcionrii continue a sistemului informaional sunt elaborate,


implementate, testate i actualizate planuri de restabilire a capacitii de funcionare a sistemului
informaional.
6.9 Controlul eficienei i auditul securitii informaionale
Eficiena ndeplinirii msurilor de asigurare a SI este controlat regulat n scopul garantrii
nivelului riscurilor, introdus la planificarea acestor msuri. Estimarea eficienei msurilor de
asigurare a SI este realizat n conformitate cu metode documentate.
n scopul controlului la conformitate a SMSI cu legislaia Republicii Moldova, standardele
internaional i alte cerine regulatorii, are loc auditul regulat al SMSI al CNAS.

125