Sunteți pe pagina 1din 61

NESECRET

ntroducere

Progresul tehnologic al sistemelor de calcul a permis dezvoltarea reelor


informatice, iniial a aprut sub forma unui program militar al Statelor Unite ale
Americii (ARPNET) menit s reziste unui rzboi nuclear, ulterior transformat n
ceea ce astzi este internet. n 1991 un grup de cercettori de la Organiza ia
European pentru Cercetarea Nuclear au pus bazele primului web-site pentru a
uura accesul la informaii tiinifice. Ulterior, profilul internetului a suferit
modificri eseniale prin telecomunicaii, telefonie mobil, tranzacii economice
sigure, dar nu a putu lispi i de aa numitul cyber-theft 1. Cyber-theftul a fost i este
un program / aplicaie de operaiuni la calculator, de fapt o infrac iune Securitatea
cibernetic este starea de normalitate rezultat n urma aplicrii unui ansamblu de
msuri proactive i reactive prin care se asigur confidenialitatea, integritatea,
disponibilitatea, autenticitatea i non-repudierea informaiilor n format electronic,
a resurselor i serviciilor publice sau private, din spaiul cibernetic. Msurile
proactive i reactive pot include politici, concepte, standarde i ghiduri de
securitate, managementul riscului, activiti de instruire i contientizare,
implementarea de soluii tehnice de protejare a infrastructurilor cibernetice,
managementul identitii, managementul consecinelor.

Domeniul securitii cibernetice a nceput s capete noi dimensiuni odat cu


creterea gradului de automatizare a nivelului tehnologic, extinderea i
amplificarea ameninrilor / atacurilor cibernetice.

Domeniul securitii cibernetice relev din securitatea informaiei, care se se


ocup de protejarea informaiei i sistemelor informatice de accesul neautorizat,
folosirea, dezvluirea, ntreruperea, modificarea ori distrugerea lor.

1 Larry. J. Siegel, Criminology: The Core,4th, Edition, Ed. Wadsworth, Belmont, SUA, 2011, p.33

NESECRET
4 din 59
NESECRET

ISO/IEC27002/2013 trateaz securitatea informaiilor prin cele trei componente


principale: confidenialitatea, integritatea i disponibilitatea.

Confidenialitatea este asigurat prin criptarea informaiei. Integritatea se


obine prin mecanisme i algoritmi de dispersie. Disponibilitatea e asigura t prin
ntrirea securitii reelei sau reelelor de sisteme informatice i asigurarea de
copii de siguran.

Motivaia alegerii temei reiese din faptul, c putine fenomene au avut in


istorie un impact att de rapid si profund asupra statului si societii precum
revolutia cibernetica. Evolutiile tehnologice fara precedent si dezvoltarea unor
comunitai virtuale intr-un spatiul cibernetic, fara frontiere, au dus practic la
aparitia unei noi dimensiuni a puterii, puterea digitala, cu efecte importante
asupra cunoasterii strategice si actiunilor statale. Aceasta dinamica implica riscuri
importante si numeroase oportunitati, iar gestionarea acestora va fi determinata de
capacitatea de accesare, procesare si utilizare a informatiei, de valorificare a
acesteia in cunoastere.

De altfel, provocarea majora pentru instituiile statului este de a se conecta la


aceste transformri specifice societatii informaionale si de a se agrega intr-un
veritabil stat inteligent, suplu, responsabil acel stat capabil, prin resursele sale
umane i tehnologice, s gestioneze saltul de la informaie la cunoa tere i, mai
departe, n spiritual piramidei lui Ackoff, ctre inelepciune.

Gradul de noutate este pe de o parte un studiu specific, detaliat vis a vis de


faptul, c ameninrile la adresa securitii cibernetice continu s creasc n numr
i complexitate. Utilizarea tot mai mare de tehnologii de colaborare - de la
dispozitive mobile i social media pentru virtualizare i cloud computing va
continua s fie unul dintre factorii cei mai importani care influenteaza peisajul de
securitate. Dup cum se cunoate foarte bine, o mare parte din incidentele de

NESECRET
5 din 59
NESECRET

securitate cibernetic, care se manifest n prezent sunt generate din mediul


criminalitii informatice.

Spaiul cibernetic se caracterizeaz prin lipsa frontierelor, dinamism i


anonimat, genernd deopotriv att oportuniti de dezvoltare a societii
informaionale bazate pe cunoatere, ct i riscuri la adresa funcionrii acesteia (la
nivel individual, statal i chiar cu manifestare transfrontalier).

Securitatea cibernetic este starea de normalitate rezultat n urma aplicrii


unui ansamblu de msuri proactive i reactive prin care se asigur
confidenialitatea, integritatea, disponibilitatea, autenticitatea i non-repudierea
informaiilor n format electronic, a resurselor i serviciilor publice sau private, din
spaiul cibernetic.
Msurile proactive i reactive pot include politici, concepte, standarde i
ghiduri de securitate, managementul riscului, activiti de instruire i
contientizare, implementarea de soluii tehnice de protejare a infrastructurilor
cibernetice, managementul identitii, managementul consecinelor.

Lumea n care trim devine din ce n ce mai interdependent, iar acest lucru
se datorez n mare parte evoluiilor din domeniul tehnologiei informaiei i
comunicaiilor. Aceast interdependen crescnd genereaz numeroase avantaje,
ct i dezavantaje, avnd n vedere faptul c instituiile publice i companiile
private au devenit aproape n totalitate dependente de sistemele informatice pentru
a ndeplini activiti importante. Aadar, guvernele de peste tot n lume trebuie s
se pregteasc pentru a face fa unor provocri noi care pot aprea n spaiul
cibernetic, deoarece viaa de zi cu zi a oricrui cetean, economia naional,
precum i securitatea naional a oricrui stat depind n prezent de stabilitatea i
securitatea spaiul cibernetic.

NESECRET
6 din 59
NESECRET

Aceste provocri sunt incluse n conceptul de securitate cibernetic care se


refer la ameninri, vulnerabiliti i necesitatea ca guverne i structuri supra-
statale s dezvolte o strategie de securitate cupriztoare pentru reeaua lor digital.
Acest lucru implic crearea i finanarea unor instituii, care s se ocupe doar de
securitatea cibernetic, realiznd planuri pentru prevenirea atacurilor cibernetice,
pentru posibilitatea de a avea un rspuns rapid n cazul n care asemenea
evenimente au lor, pentru abilitatea de a descoperi persoanele sau organizaiile
responsabile pentru acestea astfel nct s fie aduse n faa justiiei i, nu n ultimul
rnd, pentru abilitatea de a nlocui sau repara n cel mai scurt timp componentele
afectate ale reelei digitale.

Securitatea cibernetic reprezint o provocare ce trebuie abordat prin


cooperare ntre diveri actori naionali, precum instituii, companii private sau
organizaii nonguvernamentale, dar i la nivel internaional, prin cooperarea ntre
state, organizaii regionale i globale, avnd n vedere faptul c securitatea
cibernetic este o problem global. i Romnia a recunoscut securitatea
cibernetic drept o dimensiune important pentru securitatea sa naional n anul
2010, atunci cnd a fost inclus n Strategia Naional de Aprare.

n acelai timp, actualul context geopolitic i implicaiile recunoaterii de


ctre NATO a spaiului cibernetic ca domeniu operaional n contextul Summit-ului
de la Varovia (Polonia) din 8-9 iulie 2016 marcheaz o important schimbare de
paradigm n privina aprrii cibernetice colective, conferind spaiului cibernetic
acelai nivel de relevan cu mediile convenionale de desfurare a aciunilor
militare.

Capitolul 1.
Cyber-theft infraciuni cibernetice

NESECRET
7 din 59
NESECRET

1.1 Furtul de informaii


Infraciunile de acest tip nu au un caracter unic ci mai degrab sunt
infraciuni de drept comun, comise cu ajutorul tehnologiei contemporane.
Furtul de informaii reprezint opiunea neautorizat a acestora dintr-un
compiter, inclusiv partea software care este copiat n scopul de a profita de
informaii. Mail mult, furtul de informaii sau de software a condus la crearea unei
vaste piei ilegale i datorit uurinei cu care un program pentru ordinator poate fi
copiat i transmis. Schima de tip Salami reprezint acea metod prin care
infractorul sustrage sume mici de bani dintr-un numr mare de conturi bancare
pentru a evita detecia automat mpotriva splarii banilor, respectiv auditul
intern al bncii.
Un alt tip de infraciune consta n spionajul corporativ, targetat pe furtul de
informaie secret, cu potenial ridicat de a aduce prejudicii semnificate.
Atacul de tip DOS (Denial of Service) reprezint ncercarea de obine sume de
bani prin ameninarea unei companii, instituii sau chiar personae publice, cu
izolarea utilizatorului ctre serverele publice, prin intermediul flooding-ului, prin
transmiterea unui numr imens de solicitri ctre serverul atacat, blocndu-I astfel
activitatea virtual. n ianuarie 2008 o serie de atacuri cibernetice a fost lansat
mpotriva website-ului Bisericii Scientologice de ctre un grup ntitulat
Anonymous. Declarnd rzboi bisericii, grupul a coordonat o serie de atacuri,
incliznd bombardarea cu solicitri de afiare a paginii de internet, blocnd serverul.
Mai mult, ei au lansat i un atac relative nou n universal virtual, a a numitul
Google Bomb2.

1.2 nclcarea drepturlor omului

2 Larry. J. Siegel, Criminology: The Core, 4th Edition, Ed. Wadsworth, Belmont, SUA, 2011, p.334.

NESECRET
8 din 59
NESECRET

Software ul poate fi nsuit concomitant cu furtul unitii hardware (hard discul de


exemplu). Hoii pot lua unitii optice sau magnetice coninnd copii ale softurilor
comerciale (incluznd i codurile surs ale programelor soft). Aplicaia software
este purttoare de drepturi intelectuale, putnd avea o valoare mare, mai ales n
stadiul de creaie. n ultimii ani, grupuri autonome de indivizi, denumi i warez
groups au lucrat mpreun pentru obinerea de produse software n mod illegal, ca
mai apoi s elimine sistemele de protecie antitheft cu ajutorul operaiunilor de tip
craking.

1. Software-
ul rezultat poart
denumirea de warez2. De obicei aceste
comuniti sunt
specializate pe diferite tipuri de
fiiere
3
, ntre acestea existnd o real competiie n ceea ce privete obinerea acestor fiiere
naintea dateloroficiale de punere n vnzare a respectivelor produselor
software. Membrii
comunitii sunt de obicei
pe
rsoane cu o nalt pregtire n domeniul tehnologiei informaiei,urmai de persoane care
lucreaz n domeniul software
-
ului i care au acces la
noile
aplicaii
,
nc nepublicate. Totodat aceti indivizi sunt cutai i judecai de ctre autoriti,
n vi
rtutea
nclcrii drepturilor de autor precum i uneori
,
a accesrii neautorizate a sistemelor computer
4

NESECRET
9 din 59
NESECRET

.
Exis i alte moduri de a fura software. De exemplu angajatul care copiaz softul
de serviciu
pentru a-
l folosi acas
5
. n baza acordului de licen,

acesta fie i este prohibit s copiezesoftul, fie i sunt permise un numr limitat de
copieri.Funcie de acest criteriu, se poate stab
ili
gradul de infracionalitate aplciabil situaiei date. Companiile productoare de
software
folosesc o serie de algo
ritmi pentru a nu permite multiplicarea neautorizat a programelor soft
6
,soft
6
, furtul de aplicaii soft rmnnd o problem global, estimat a produce pagube
n
valoare de miliarde de dolari.
1
Modificri ale prii software menite s nlature sau s dezactiveze
opiuni considerate indezirabile (de
exemplu: cod de activare, procedura de verificare a compact-discului original etc.).
2
Larry. J. Siegel, Criminology: The Core, 4
th
Edition, Ed. Wadsworth, Belmont, SUA, 2011, p.335.
3
Software s
ub forma documentelor, aplicaiilor, videoclipurilor .a.
4
n dreptul romn regsim legea nr.161/2003 prin care se incrimineaz accesul, fr
drept la un sistem informatic.
5
Amza Tudor,C.P Amza,
Criminologie: tratat de teorie i politic criminilogic,Ed. Lumina Lex, Bucureti,
2008, p.457.
6
Ibidem.

NESECRET
10 din 59
NESECRET

6
Una din cele mai rspndite metode de nclcare a drepturilorde autor, o reprezint

filesharing-ul
sau punerea la dispoziie a programelor software, de ctre utilizator, n
vedereadescrcrii
acestora pe hard-disk-u
l local, de ctre publicul larg, fr a fi pltite licenele sau
onorariile cuvenite creatorilo
r de material software protejat. Furtul prin multiplicarea ilegal idistribuirea
filmelor, aplicaiilor, jocurilor i muzicilor prejudiciaz industriile de profil cu
aproximativ 19 miliarde dolari, n fiecare an
1
.
II.2 Furtul de Identitate
Mijloc
ul prin care o persoan folosete reeaua de internet pentru a fura datele personale alevictimei
i/sau
a s e s u b r o gr a n
persoana victimei poart denumirea de furt de identitate. Scopulurmrit de
infractor este acela de a iniia operaiuni cu caracter fi
nanciar-bancar (transfer sume
de bani, pli cu cartea de credit etc.) i de a culege ct mai multe informaii despre
pgubit.Furtul de identitate poate influena puternic viaa unei persoane
, mai ales cnd infractorii
folosesc tehnici variate de acionare. Una din aceste metode presupune
traficareainformaiilor aflate pe crile de credit furate, prin creerea unor web
-site-uri specializate pe
tranzacionarea acestor informaii.
Un astfel de site, denumit
Shadowcrew
a fost responsabil pentru un prejudiciu n valoare de 4 milioane de dolari,
totaliznd aproximativ 1,7 milioane de
numere de cri de credit furate.Unii hoi de identitate creaz adrese de e
-
mail false i/sau
web-site-uri car
e la prima vedere par autentice, legitime dar sunt fcute sa obin accesneautorizat
ctre informaiile personale ale victimei. Aceast metod poart denumirea de
phising
. Odat cu uurina cu care pot fi copiate/multiplicate logo

NESECRET
11 din 59
NESECRET

- u r i l e c o mp a n i i l o r,a d
atelor grafice de identificare a acestora, acest tip de infraciune a devenit o
problemcrescnd, victimele creznd c se afl n contact cu respectiva
companie. Majoritatea celor care folosesc aceast metod de fraudare, trimit un
numr mare de mesaje
e-
mail, tiind c
uniidintre destinatarii corespondenei pot avea deschise conturi, la compania personificat.
Denumirea de
phising
ii are originea la
cuvntului
fishing
, adic operaiunea de pescuire a petelui prin folosirea unei momeli false.

1
Larry J. Siegel
Criminology: Theories, Patterns, andTypologies,
10
th
Edition, Ed. Wadsworth, Belmont, SUA,2010, p.472

Capitolul I.

Managementul incidentelor de securitate cibernetic i rolul cooperrii

n prezent, tot mai multe incidente de securitate cibernetic au un caracter


transfrontalier, prin nsi natura lor i necesit utilizarea unor tehnologii avansate
pentru a putea fi analizate i gestionate eficient. n mod evident, acest fapt
determin accelerarea cooperrii naionale i internaionale, adesea ntre organizaii
din sectoare economice diferite, precum cele din sectorul public i cel privat.
Gestionarea incidentelor de securitate cibernetic la scar larg, spre deosebire de
cazul infrastructurilor cibernetice din medii bine definite, se caracterizeaz printr-
un grad ridicat de complexitate, datorat unui cumul de factori: imposibilitatea
definirii de granie n mediul cibernetic, standarde tehnologice i de securitate ne-
uniforme, infrastructuri cibernetice utilizate n sectoare economice diferite,

NESECRET
12 din 59
NESECRET

proprietari diferii i, nu n ultimul rnd, atribuii distribuite ntre mai multe


autoriti naionale i internaionale.
Unul dintre cele mai importante acte legislative adoptate n domeniul
securitii cibernetice la nivel european este Directiva pentru securitatea reelelor
i a sistemelor informatice (NIS Directive), care stabile te msuri n vederea
obinerii unui nivel comun ridicat de securitate a reelelor i a sistemelor
informatice n cadrul Uniunii Europene, astfel nct s se mbunteasc
funcionarea pieei interne. Multe dintre msurile prevzute de aceast directiv
influeneaz modul n care vor fi gestionate incidentele/crizele cibernetice la
nivelul statelor membre sau chiar la nivelul Uniunii: adoptarea de strategii
naionale privind securitatea reelelor i a sistemelor informatice; desemnarea de
autoriti competente la nivelul statelor membre; crearea unui grup de cooperare
strategic; crearea unei reele de echipe de intervenie/ rspuns la incidente (reeaua
CSIRT); obligativitatea notificrii incidentelor.
Entitile de tip CERT/CSIRT joac un rol esenial n gestionarea
incidentelor cibernetice, cooperarea acestora fiind foarte important n situaia unor
incidente transfrontaliere, astfel c la nivel european i internaional exist diferite
comuniti i iniiative dedicate cooperrii CSIRT-urilor naionale,
guvernamentale, private sau sectoriale, precum TF-CSIRT (Task Force of
Computer Security Incident Response Teams), TI (Trusted Introducer), FIRST
(Forum of Incident Response and Security Teams), EGC (European Government
CERTs group) i bineneles noua reea a CSIRT-urilor naionale ale statelor
membre UE (conform Directivei NIS).
n ceea ce privete capabilitile tehnice i operaionale ale entitilor cu
atribuii n gestionarea incidentelor de securitate cibernetic, acestea se mpart n 3
mari categorii: servicii proactive, servicii reactive i servicii de consultan.

NESECRET
13 din 59
NESECRET

Mecanismele de gestionare a incidentelor variaz de la o entitate la alta, de


la o ar la alta i chiar n funcie de regiuni geografice, ns n general, majoritatea
se caracterizeaz prin respectarea unor etape precum cele prezentate n Figura 1.
Un rol foarte important n mecanismul de mbuntire a capabilitilor
operaionale, dar i n vederea sporirii gradului de cooperare la nivel naional,
regional sau internaional, este deinut de exerciiile cibernetice, aspect confirmat
pe deplin de succesul nregistrat de exerciiile Cyber Europe i Cyber Atlantic.
Cyber Europe a avut loc n 2016, iar primele concluzii sunt extrem de
mbucurtoare: au participat peste 1000 de playeri din 30 de state membre ale UE
i EFTA, printre care i reprezentaii a 300 de organizaii din domeniul IT i experi
n securitate cibernetic, ntr-un scenariu cu un grad mare de complexitate.
Toi actorii cu atribuii n gestionarea incidentelor de securitate cibernetic
au neles deja importana cooperrii i n ultima perioad s-au fcut pai mari n
sensul mbuntirii mecanismelor de cooperare. Totui, una dintre concluziile
rezultate n urma exerciiilor cibernetice i nu numai este aceea c nc este loc
pentru mbuntirea uneltelor tehnice de facilitare a cooperrii n domeniul
securitii cibernetice.

Capitolul 2.

Studiu de caz: Securitatea cibernetic a Romniei

Strategia Naional de Aprare a Romniei din 2010 include, n ceea ce


privete securitatea cibernetic, obiective pe termen scurt i pe termen lung,
deoarece menionez, c ara depinde de buna funcionare a multiplelor reele de
care depind vieile cetenilor romni i economia naioal. n Strategia Naional
se recunoate, de asemenea, faptul, c Romnia are vulnerabiliti n a asigura

NESECRET
14 din 59
NESECRET

securitatea spaiului cibernetic naional, deoarece prezint deficiene n a ceea ce


privete protecia i funcionarea infrastructurii digitale i a celei critice.

Totodat, Strategia evideniaz c un nivel mai ridicat de securitizare a


infrastructurii digitale este necesar, deoarece la nivel mondial atacurile cibernetice
sunt din ce n ce mai frecvente i mai complexe. De aceea, Romnia a avut n
vedere anumite obiective care ntre timp au fost ndeplinite, precum nfiinarea
unei comuniti de experi n domeniul informaticii i a securitii reelelor digitale,
CERT-RO (Centrul Naional de Rspuns la Incidente de Securitate Cibernetic).
CERT RO este acum un centru funcional responsabil pentru prevenirea,
analiza, identificarea i reacia la incidentele cibernetice i pentru dezvoltarea de
politici publice n domeniu.

Exist, de asemenea, instituii naionale implicate n activiti specifice


securitii cibernetice, precum Ministerul Comunicaiilor i Societii
Informaionale, Direcia de Investigare a Infraciunilor de Criminalitate Organizat
i Terorism (DIICOT), Serviciul Romn de Informaii, Autoritatea Naional de
Supraveghere a Prelucrrii Datelor cu Caracter Personal i alte cteva avnd
capabiliti limitate.

Cu toate acestea, nu exit o instituie central, care s se ocupe specific de


riscuri cibernetice la nivel naional, avnd ca fundament o strategie de securitate
cibernetic. ns, Ministerul Comunicaiilor i Societii Informaionale a elaborat
prima Strategie de Securitate Cibernetic a Romnieim care stabile te legislaiea
naional, un cadru legal pentru activitile viitoare n acest domeniu, precum i o
asemenea instituie specializat.

n ceea ce privete legislaia i regulile pentru utilizarea internetului,


Romnia are legi care reglementeaz comerul electronic, dreptul de autor pentru
materiale online, semntura electronic, publicitatea online, protecia datelor cu

NESECRET
15 din 59
NESECRET

caracter personal, criminalitatea informatic, pornografia pe internet, guvernarea


electronic i comunicaiile electronice. Exist i cteva proiecte iniiate de
Ministerul Comunicaiilor pentru asigurarea condiiilor minime de securitate
pentru sistemele digitale ale administraiei publice i a datelor naionale n format
electronic.

De asemenea, evenimente i schimbri legislative la nivel internaional pot


avea un impact semnificativ asupra viziunii i opiunilor Romniei n domeniul
securitii cibernetice. Asemenea schimbri sunt cele care au loc n Uniunea
European i NATO, care n ultimii ani au adoptat reguli pentru utilizarea i
protejarea internetului i care se strduiesc s adopte la rndul lor o strategie pentru
aceast dimensiune a securitii.

Deciziile Uniunii Europene pot avea un impact puternic asupra nivelului


securitii cibernetice n Romnia, deoarece aceasta din urm este obligat s
implementeze legile i reglementrile adoptate la nivel european. Securitatea
cibernetic nu a reprezentat o preocupare major pentru Uniune pentru cea mai
mare parte a anilor 90, ci o component indirect a dou politici: cadrul care
reglementa telecomunicaiile i cel pentru protecia datelor.

Interesul Uniunii pentru securitatea cibernetic a fost declanat odat cu cel


pentru crima organizat i delictele legate de internet care au nceput s apar n
ultimul deceniu. Abia n anul 2004 a fost nfiinat o instiuie care s se ocupe de
criminalitatea cibernetic la nivelul european, Agenia European pentru
Securitatea Reelelor Informatice i a Datelor (ENISA), care colecteaz i
analizeaz date, realizeaz analize de risc i ncerc s mbunteasc cooperarea
ntre autoritile de reglementare din statele membre.

n 2005 a fost adoptat i o Decizie Cadru pentru atacuri mpotriva


sistemelor informatice, care abordeaz vulnerabilitile acestor sisteme i include

NESECRET
16 din 59
NESECRET

pedepse pentru majoritatea delictelor cibernetice. Ulterior ns, Uniunea European


a identificat diferene majore n ceea ce privete nivelul securitii cibernetice al
statelor membre care ar putea nsemna un impediment pentru realizarea unei
cooperri judiciare.

De aceea, n noiembrie 2010 a fost pus n aplicare primul exerciiu pan-


european pentru identificarea modurilor n care aprarea cibernetic a Europei
poate fi realizat. Cteva din obiectivele care au fost stabilite n urma acestui test
au fost:

- sporirea nelegerii modului n care managementul unor atacuri cibernetice


este efectuat n statele membre;

- stabilirea canalelor de comunicare, a punctelor de comunicare i a


procedurilor dintre statele membre n timpul unui atac;

- creterea procedurilor de sprijin reciproc ntre membri n timpul unor


incidente izolate i n cazul unor atacuri cibernetice extinse etc.

Aadar, avnd n vedere preocuparea din ce n ce mai accentuat a Uniunii


Europene, este foarte probabil ca anul urmtor o strategie de securitate cibernetic
la acest nivel s fi ntocmit, care apoi n timp s fie implementat n toate statele
membre, inclusiv n Romnia. Dac pn n acel moment Romnia nu va avea deja
o strategie naional n acest sens, cea a Uniunii va completa iniiativele naionale,
oferind astfel rii noastre posibilitatea de a scpa de eticheta uneia dintre cele mai
vulnerabile ri din lume la atacuri cibernetice. Aceast concluzie a fost tras n
raportul din 2012 a McAfee, al doilea productor de programe antivirus din lume,
n care Romnia a primit doar 2,5 puncte din 5, din cauza lipsei unei legislaii clare
pentru spaiul cibernetic, din cauza fondurilor insuficiente alocate pentru
dezvoltarea dimensiunii securitii cibernetice la nivel naional, dar i din cauza

NESECRET
17 din 59
NESECRET

faptului c utilizatorii obinuii de produse IT nu cunosc pericolele pe care le


prezint delictele cibernetice sau atacurile cibernetice.

Romnia urmrete att dezvoltarea unui mediu informaional dinamic,


bazat pe interoperabilitate i servicii specifice societii informaionale, ct i
asigurarea respectrii drepturilor i libertilor fundamentale ale cetenilor i a
intereselor de securitate naional cu respectarea prevederilor cadrului normativ n
domeniu.

Capitolul 3.
Securitatea cibernetic n Republica Moldova

Trind ntr-o er digital, suntem dependeni de sisteme i reele


informaionale, iar problemele securitii digitale devin un subiect din ce n ce tot
mai important n toat lumea. Din pcate, multe persoane, precum i organizaii
private din Republica Moldova, se ciocnesc cu lipsa cunotinelor n domeniu, cea
ce mrete ansele acestora s devin victime a unor atacatori cibernetici n
mediul online.
Astfel, sigurana informaional a instituiilor de stat, ct i a celor private
este foarte important. Dezvotarea n continuare a societii n domeniul
ciberneticii va oferi posibilitatea identificrii unor soluii tehnice ce vor permite
mbuntirea capacitii de rezisten a sistemelor informaionale i dezvoltarea
unor strategii pentru contientizarea riscurilor cibernetice n rndul personalului
companiilor i utilizatorilor internet pentru a spori nivelului securit ii
informaionale.
n ziua de azi, securitatea cibernetic este unul dintre cele mai discutate
subiecte att n lume, ct i n Republica Moldova.

NESECRET
18 din 59
NESECRET

Cetenii, guvernul i agenii economici din Republica Moldova utilizeaz


tehnologiile informaionale i de comunicaii tot mai des n ultima perioada.
Preurile reduse pentru internet n band larg, precum i poziionarea Republicii
Moldova printre primele zece ri n lume dup viteza internetului a permis
creterea numrului de utilizatorilor ai internetului de band larg, astfel circa 38%
din populaie utilizeaz activ internetul. Totodat, ateptrile cetenilor Republicii
Moldova fa de serviciile publice online de asemenea au crescut ceea ce a
condiionat n mod natural dezvoltarea guvernrii electronice.
Astfel, pe msura creterii gradului de informatizare a societii
Republicii Moldova, aceasta devine tot mai vulnerabil la atacuri, iar
asigurarea securitii spaiului cibernetic a devenit o garanie a securitii
naionale, economice i chiar personale.
n prezent implementarea Strategiei naionale de securitate a informaiei,
precum i adoptarea standardelor i practicilor internaionale care vor contribui la
sigurana serviciilor electronice i la protejarea informaiei sensibile a devenit o
preocupare la nivel naional.
Infractorii folosesc spaiul cibernetic pentru a accesa informaiile cu caracter
personal, a fura proprietatea intelectual a ntreprinderilor i a dobndi informaii
senzitive deinute de guvern, n scopul unui ctig financiar sau politic, sau n alte
scopuri maliioase. Astfel, cu prere de ru constatm c n spaiul informaional,
frontierele naionale nu prezint bariere pentru infractorii cibernetici.
Un eventual atac cibernetic soldat cu succes ar putea perturba activitatea
infrastructurilor critice ale unui stat, dunnd grav economiei i ameninnd
securitatea naional. Moldova nu are imunitate la astfel de atacuri.
Spre exemplu, n 2014 au fost recepionate 2.700.000 de alerte de ctre
CERT-GOV-MD, 22.000 de email-uri detectate cu virui, numrul de virui
detectai a crescut de la 9 alerte pe zi la 107 pe zi, adic de 12 ori mai mult dect
media anului 2013. Din fericire, aceste incursiuni i activitatea nefast au fost

NESECRET
19 din 59
NESECRET

detectate i blocate cu succes. De asemenea, Moldova se confrunt i cu o serie de


ameninri cibernetice adresate infrastructurilor critice.
Avnd n vedere interdependena infrastructurilor informaionale i
sectoarelor cum ar fi bancar, de transport, energetic, proteciei sociale i aprrii
naionale, acest lucru prezint un motiv de ngrijorare.
Guvernul Republicii Moldova a recunoscut necesitatea
mbuntirii securitii cibernetice, astfel liderii guvernrii neleg c o astfel de
garanie este corelat direct cu securitatea naional n era globalizrii
tehnologice. Crearea unei legislaii naionale complete n acest domeniu, inclusiv
stabilirea i aplicarea msurilor de securitate de baz pentru
infrastructura naional critic, a devenit o prioritate pentru Guvernul Republicii
Moldova.
n 2010, Moldova a lansat procesul de e-Transformare a Guvernului.
Acest program strategic ofer o viziune unificat a modernizrii i
mbuntirii eficienei serviciilor publice prin intermediul Guvernrii TI.
Asigurarea de informaii ncrederea n securitatea, integritatea i disponibilitatea
sistemelor informatice este esenial pentru o dezvoltare logic a unui stat
modern, ns aceasta ar nsemna i implementarea de noi sisteme i msuri de
protecie a acestor sisteme informaionale.
Ritmul de dezvoltare rapid din ultimul deceniu, din pcate, nu a
inclus suficiente controale pentru a asigura securitatea cibernetic
complet. Moldova nu este singur n fa acestor provocri, fiind strns legat
de dezvoltarea TI la nivel mondial i a ameninrilor cibernetice
emergente persistente n toat lumea.
Unul dintre principalele dezavantaje ale erei digitale ns rmne a fi
dependena de sisteme i reele. Astfel, problemele de securitate sunt
omniprezente. Cnd vine vorba de securitatea cibernetic, recunoatem c este
important ca cetenii s aib ncredere n instituiile de stat i private. Prin urmare,

NESECRET
20 din 59
NESECRET

Centrul pentru Securitatea Cibernetic de nivel guvernamental al Republicii


Moldova trebuie s corespund caracterului evolutiv al ameninrilor cibernetice.
n ziua de azi, pstrarea activelor informaionale n siguran ntr-un mediu
al sistemelor informaionale interconectate este o provocare care devine tot mai
dificil cu fiecare nou e serviciu lansat, cu fiecare nou instrument intrus. Cu
prere de ru, nu exist o soluie unic pentru securizarea activelor informaionale,
iar, o abordare cuprinztoare a riscurilor cibernetice care ar putea fi asigurat de o
strategie i politici de securitate este emergent. Metodele de prevenire, protecie i
combatere n domeniul securitii cibernetice trebuie s coreleze n mod adecvat
riscurile existente. Pe moment, lipsa unei culturi de securitate
informaional precum i a unei baze legislative adecvate sunt unele dintre cele
mai mari provocri pentru factorii de decizie i utilizatori.
Astfel, dezvoltarea i implementarea unui set cuprinztor de cerine minime
pentru protecia informaional att n guvern ct i n societate este obligatorie
pentru asigurarea securitii cibernetice. n acest sens, chiar i micile modificri
n sistemul educaional, de proceduri i n politic pot ridica n mod
considerabil nivelul general de securitate al societii.
n acest context n anul 2010, o iniiativ guvernamental n
domeniul securitii cibernetice a fost implementat cu succes. Astfel, n
cadru ntreprinderii de stat Centrul de Telecomunicaii Speciale
responsabil pentru sistemele info-tele-comunicaionale ale guvernului
Republicii Moldova a fost creat, Centrul pentru Securitatea Cibernetic, CERT-
GOVMD. CERT-GOV-MD este o structur absolut necesar pentru a
rspunde necesitilor de securitate informaional i pentru a preveni
infraciunile cibernetice la nivel guvernamental. Specialitii din cadrul CERT-
GOV-MD examineaz nu numai incidentele aprute la nivel de stat, dar i
incidentele informaionale din societate, raportate de ceteni sau chiar i
acelea venite din strintate. Actualmente n Republica Moldova, CERT-GOV-

NESECRET
21 din 59
NESECRET

MD este o entitate unic care gestioneaz securitatea informaional a


sistemelor guvernamentale de date. CERT-GOV-MD primete i proceseaz
informaiile cu privire la ameninrile existente sau poteniale ameninri
cibernetice, ofer recomandri cu privire la utilizarea securizat a datelor online i
ofer asisten pentru autoritile publice a Republicii Moldova n prevenirea i
atenuarea incidentelor cibernetice. Cooperarea cu diverse instituii, att naionale
ct i internaionale, este esenial n activitatea CERT-GOV-MD.
n ianuarie 2014 CERT-GOV-MD a devenit membru Trusted Introducer,
astfel fiind primul i unicul CERT din Moldova acreditat Trusted Introducer,
fcnd astfel parte din comunitatea echipelor europene membre CSIRT n scopul
cooperrii mpotriva atacurilor cibernetice. Prin calitatea de membru, CERT-GOV-
MD construiete o platform pentru cooperare bilateral i multilateral, n
conformitate cu prioritile sale strategice privind abordarea activ a ameninrilor
i incidentelor actuale, enume rate n Planul de aciuni a Strategiei de dezvoltare
digital Moldova 2020.
n ultimii ani la CERT-GOV-MD au fost dezvoltate o serie de iniiative care
trebuie continuate. Mai exact, CERT-GOV-MD a fost implicat n aciuni de
sensibilizare prin publicarea de rapoarte, organizarea de ateliere ale xperilor i
dezvoltarea de parteneriate public-privat. Sensibilizarea i mbuntirea relaiilor
de cooperare ntre sectorul public i privat reprezint unul dintre domeniile
principale asupra cruia lucreaz echipa pe probleme de securitate cibernetic
CERT-GOV-MD.
n timp ce lupta cu noile ameninri la adresa securitii continu,
coordonarea aciunilor instituiilor guvernamentale cu cele ntreprinse de sectorul
privat devine mai important ca niciodat. Iar parteneriatului pubic privat n
domeniul securitii cibernetice i revine un rol aparte n asigurarea securitii
informaionale. n acest context, Centrul pentru Securitatea

NESECRET
22 din 59
NESECRET

Cibernetic organizeaz anual conferine internaionale, menite s fortifice


cooperarea ntre entitile de stat i companiile private.
Conferina Internaional Rolul Parteneriatului Public-Privat n
domeniul securitii cibernetice, ca parte a evenimentului Luna European a
Securitii Cibernetice a avut loc n octombrie 2015. Obiectivul principal al
acestor evenimente este crearea unei platforme de dialog public-privat, care
va oferi posibilitatea identificrii unor soluii orientate spre reducerea riscurilor de
incidente a securitii TI, precum i dezvoltarea unor parteneriate strategice ntre
sectorul public i privat.
Pe fundalul creterii globale a numrului incidentelor semnificative de
securitate cibernetic, pregtirea pentru situaii de urgen devine tot mai
important. Astfel, pregtirea instituiilor din Moldova de a rspunde la atacuri
cibernetice este esenial pentru rezistena cibernetic a Moldovei.

Capitolul 4.
Implementarea politicii de securitate

Politicile de securitate sunt necesare pentru a asigura sigurana tuturor


proceselor informaionale din organizaii. Aceste politici sau regulamente ofer un
proces transparent, prin care personalul este informat despre cerinele de utilizare,
i permite managementului s monitorizeze i s verifice practicile de securitate
mpotriva politicii.
Politicile de securitate trebuie s fie scrise i comunicate personalului pentru
a fi eficiente. O politic de securitate este un document, care cuprinde normele i
practicile pe care dorii ca personalul s le respecte atunci cnd utilizeaz e-mail,
Internet i acceseaz datele confideniale stocate n sistem. O politic de securitate
poate ajuta organizaia s reduc numrul nclcrilor normelor de securitate i
pierderea datelor, ajutnd angajaii prin respectarea practicilor de securitate sigure

NESECRET
23 din 59
NESECRET

de utilizare a computerului. n unele cazuri ar putea fi i situaia cnd clienii i/sau


furnizorii v vor cere s avei o politic proprie de securitate, pentru a primi acces
la sistemelor TI ale acestora.
La crearea politicii de securitate, specialitii din domeniu recomand
identificarea i securizarea activelor TI, care au un impact major n activitate.
Implementarea raporrii nclcrilor favoriza gestionarea i protejarea sistemelor.
n cazul n care personalul va putea raporta despre nclcri ntr-un mod
confidenial, ei vor fi dispui s raporteze orice incident. Angajaii clar trebuie s
tie care site-uri nu pot fi accesate de ctre angajai. Personalul trebuie s cunoasc
procedura de utilizare a e-mail i internet la locul de munc. Pe lng acestea,
actualizarea politicii de securitate prin revizuirea anual va asigura relevana.
O politic de securitate ar trebui s includ un ir de instruciuni pentru
personal, pentru a putea rspunde la orice ntrebare a acestora, inclusiv i la
ntrebarea: la ce folosete aceast politic de securitate? Motivul principal pentru a
implementa o politic de securitate const n necesitatea de a informa to i angaja ii
despre metodele corecte de utilizare a calculatoarelor i nu numai, ct i de a
informa cum s reacioneze n cazurile unor incidente.
O politic de securitate cibernetic pentru o instituie include:
Utilizarea acceptabil - modul n care personalul utilizeaz e-mail i internet.
Ar trebui s fie blocate anumite site-uri web de personal? Ar trebui s existe o
restricie privind dimensiunea atasamentelor de e-mail?
Manipularea datelor sensibile - cine i cum ar trebui s manipuleze i s
stocheze date sensibile.
Securizarea i gestionarea echipamentului ce sisteme sunt instalate pentru
a urmri cine se utilizeaz echipamentul n organizaie?
Asigurarea condiiilor de securitate la utilizarea Internetului - ce sisteme
antivirus, anti - spyware, sisteme de operare, browsere Web i alte software-uri
sunt instalate i actualizate?

NESECRET
24 din 59
NESECRET

Acces la distan - ce sistem asigur meninerea securitii n timpul lucrului


aflndu-se n drum sau la domiciliu?
3.4 Implementarea procesului de raportare a nclcrilor
Oferii personalului metode confideniale pentru a raporta despre nclcrile
de securitate. Deseori angajailor le este dificil s vorbeasc n mod deschis. Dac
oferii un astfel mecanism de raportare, este o probabilitate c ei mai devreme vor
raporta despre ceea ce-i ngrijoreaz.
3.5 Elaborai un cod de conduit
Elaborai unui cod de conduit pentru angajaii dumneavoastr la locul de
munc. Ai putea s discutai ceea ce este necesar de a include n codul de conduit
prin intermediul unui forum public, n afara serviciului. Au existat o serie de cazuri
mediatizate n care angajaii au discutat opiniile cu colegii n reele socializate cu
privire la locul de munc i normele de conduit.

3.6 Elaborai planuri de aciuni


Elaborai un plan de aciuni, pe care personalul poate s-l urmeze dac ceva
nu merge n cazul cnd:
echipamentul este pierdut sau furat;
un computer este infectat cu un virus sau suspectai acest lucru;
ai constatat o pierdere de date.
3.7 Actualizai politica de securitate
Odat ce politica de securitate este implementat, ea trebuie s devin o
parte a activitii de afaceri de zi cu zi i a culturii generale de afaceri.
Dumneavoastr i personalul dumneavoastr trebuie s fii informat despre
probleme de securitate actuale, astfel nct politica de securitate elaborat de Dvs
s fie actual. Actualizarea politicii de securitate este o activitate de zi cu zi pentru
fiecare angajat, cum ar fi verificarea potei electronice mpotriva viruilor i
deconectarea computerului de la Internet, la sfritul zilei. Monitorizai i testai

NESECRET
25 din 59
NESECRET

politica de securitate i nu identificai problemele poteniale i reale de securitate


nainte ca acestea s devin probleme care pot costa timp i bani.
Securitatea cibernetic n Republica Moldova

NESECRET
26 din 59
NESECRET

Figura 1
Etapele generice ale gestionrii incidentelor cibernetice
GO811/2015
ID intern unic: 361818 Fia actului juridic

Republica Moldova

GUVERNUL

HOTRRE Nr. 811


din 29.10.2015

cu privire la Programul naional de securitate cibernetic


a Republicii Moldova pentru anii 2016-2020

Publicat : 13.11.2015 n Monitorul Oficial Nr. 306-310 art Nr : 905

n temeiul prevederilor Legii nr.64-XII din 31 mai 1990 cu privire la Guvern (republicat
n Monitorul Oficial al Republicii Moldova, 2002, nr.131-133, art. 1018), cu modificrile i
completrile ulterioare, Guvernul HOTRTE:
1. Se aprob Programul naional de securitate cibernetic a Republicii Moldova pentru anii
2016-2020 (se anexeaz).
2. Ministerele i alte autoriti administrative centrale vor prezenta Ministerului
Tehnologiei Informaiei i Comunicaiilor semestrial, pn la data de 1 august i 1 februarie,
informaia despre executarea Programului naional de securitate cibernetic a Republicii
Moldova pentru anii 2016-2020, conform responsabilitilor stabilite n acesta.
3. Ministerul Tehnologiei Informaiei i Comunicaiilor va generaliza informaia
recepionat i va prezenta Guvernului semestrial, pn la data de 1 septembrie i 1 martie,
raportul despre executarea Programului naional de securitate cibernetic a Republicii
Moldova pentru anii 2016-2020.
4. Monitorizarea i coordonarea procesului de realizare a Programului naional de
securitate cibernetic a Republicii Moldova pentru anii 2016-2020 se pun n sarcina
Ministerului Tehnologiei Informaiei i Comunicaiilor.

PRIM-MINISTRU Valeriu STRELE

Contrasemneaz:
Ministrul tehnologiei informaiei
i comunicaiilor Pavel Filip
Ministrul afacerilor interne Oleg Balan
Ministrul aprrii Anatolie alaru

NESECRET
27 din 59
NESECRET

Nr. 811. Chiinu, 29 octombrie 2015.


Aprobat
prin Hotrrea Guvernului nr. 811
din 29 octombrie 2015
PROGRAMUL NAIONAL DE SECURITATE CIBERNETIC
A REPUBLICII MOLDOVA PENTRU ANII 2016-2020
I. DISPOZIII GENERALE
1. Programul naional de securitate cibernetic a Republicii Moldova pentru anii 2016-2020
(n continuare Program) are drept scop crearea unui sistem de management al securitii
cibernetice a Republicii Moldova prin securizarea serviciilor societi informaionale,
contribuind astfel la dezvoltarea unei economii bazate pe cunoatere, ceea ce, la rndul su, va
stimula creterea gradului de competitivitate economic i de coeziune social, precum i va
asigura crearea de noi locuri noi de munc.
2. Termenii utilizai n Program au urmtoarele semnificaii:
1) ameninare cibernetic circumstan sau eveniment care constituie un pericol poten ial
la adresa securitii cibernetice;
2) aprare cibernetic aciuni desfurate n scopul proteciei, monitorizrii, analizrii,
detectrii, contracarrii agresiunilor i asigurrii rspunsului oportun la ameninrile asupra
infrastructurilor cibernetice destinate aprrii naionale;
3) atac cibernetic aciune ostil, desfurat n spaiul cibernetic, de natur s afecteze
securitatea cibernetic;
4) audit de securitate cibernetic evaluare sistemic, detaliat, msurabil i tehnic a
modului n care politicile de securitate cibernetic snt aplicate la nivelul infrastructurilor
cibernetice, cu emiterea de recomandri pentru minimizarea riscurilor identificate;
5) incident cibernetic eveniment survenit n spaiul cibernetic ale crui consecin e
afecteaz securitatea cibernetic;
6) eveniment survenit n spaiul cibernetic aciune desfurat n spaiul cibernetic care
are drept consecin modificarea strii infrastructurilor cibernetice;
7) infrastructuri cibernetice infrastructuri din domeniul tehnologiei informaiei i
comunicaiei, constnd din sisteme informatice, aplicaii aferente, reele i servicii de
comunicaii electronice;
8) infrastructuri cibernetice de interes naional (ICIN) infrastructuri cibernetice care
susin servicii publice sau de interes public, precum i servicii ale societii informa ionale a
cror afectare poate aduce atingere securitii naionale ori prejudicii grave statului sau
cetenilor acestuia;
9) management al identitii metode de validare a identitii persoanelor atunci cnd
acestea acceseaz anumite infrastructuri cibernetice;
10) management al riscului proces complex, continuu i flexibil de identificare, evaluare
i contracarare a riscurilor la adresa securitii cibernetice, bazat pe utilizarea unor tehnici i
instrumente complexe, pentru prevenirea pierderilor de orice natur;
11) operaii n reelele de calculatoare proces complex de planificare, coordonare,
sincronizare, armonizare i desfurare a aciunilor n spaiul cibernetic pentru protecia,
controlul i utilizarea reelelor de calculatoare, n scopul obinerii superioritii
informaionale, concomitent cu neutralizarea capabilitilor adversarului;
12) rezilien a infrastructurilor cibernetice capacitate a componentelor infrastructurilor
cibernetice de a rezista unui incident sau unui atac cibernetic i de a reveni n starea de

NESECRET
28 din 59
NESECRET

normalitate;
13) risc de securitate n spaiul cibernetic probabilitate ca o ameninare s se
materializeze, exploatnd o anumit vulnerabilitate specific infrastructurilor cibernetice;
14) securitate cibernetic stare de normalitate rezultat n urma aplicrii unui ansamblu
complex de msuri proactive i reactive prin care n spaiul cibernetic se asigur
confidenialitatea, integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n
format electronic, a sistemelor i resurselor informaionale, a serviciilor publice i private.
Msurile proactive i reactive includ politici, concepte, standarde i ghiduri de securitate,
managementul riscului, activiti de instruire i contientizare, implementarea de soluii
tehnice de protecie a infrastructurilor cibernetice, managementul identitii, managementul
consecinelor;
15) spaiu cibernetic mediu virtual, generat de infrastructurile cibernetice, incluznd
coninutul informaional procesat, stocat sau transmis, precum i aciunile derulate de
utilizatori n acest mediu;
16) vulnerabilitate n spaiul cibernetic ineficacitate n proiectarea i implementarea
infrastructurilor cibernetice sau a msurilor de securitate aferente, care poate fi exploatat de
ctre o ameninare.
Ali termeni din Program snt utilizai n sensul definit de Legea nr.20-XVI din 3 februarie
2009 privind prevenirea i combaterea criminalitii informatice, Legea comunicaiilor
electronice nr.241-XVI din 15 noiembrie 2007 i Legea nr.467-XV din 21 noiembrie 2003 cu
privire la informatizare i la resursele informaionale de stat.
3. Conceptul securitii cibernetice se bazeaz pe urmtoarele principii:
1) protecia drepturilor i libertilor fundamentale ale omului. Asigurarea securitii
cibernetice poate fi adecvat i eficient doar n cazul n care se bazeaz pe drepturile i
libertile fundamentale ale omului, inclusiv pe valorile general umane. Nici un proces de
transfer, procesare sau stocare de date, inclusiv cu caracter personal, comercial i confidenial,
nu poate fi asigurat fr utilizarea sistemelor informaionale, a reelelor i serviciilor de
comunicaii electronice securizate. Orice tratare a informaiilor efectuat n scopul asigurrii
securitii cibernetice trebuie s fie conform cadrului legal i tratatelor la care Republica
Moldova este parte;
2) accesul pentru toi. Accesul sigur i liber la internet i la resursele acestuia este un drept
al fiecrei persoane. Accesibilitatea limitat sau lipsa accesului, precum i analfabetismul
digital constituie dezavantaje att pentru ceteni, ct i pentru autorit i;
3) reziliena cibernetic. Sesizarea preventiv sau anticipat a ameninrilor i atacurilor
cibernetice, a altor evenimente survenite n spaiul cibernetic este esenial din cauza
caracterului lor transfrontalier i materializrii asimetrice. Astfel, acestea urmeaz a fi
depistate, pentru a elimina sau a diminua efectele care pot afecta starea de normalitate a
securitii cibernetice. Ameninrile cibernetice apar ca urmare a exploatrii unor
vulnerabiliti. Mediul de ameninri i vulnerabiliti este extrem de fluid i dinamic:
ameninrile pot aprea n decurs de zile sau chiar ore. Avnd n vedere acest mediu specific,
responsabilii i coordonatorii de securitate cibernetic trebuie s l monitorizeze continuu, s
depisteze ameninrile cibernetice i s consulte permanent sursele recunoscute de informare
ale companiilor-lider n domeniul securitii cibernetice, experii din mediul academic i
diverse publicaii;
4) administrare multiparticipativ. Att la nivel local sau naional, ct i la nivel regional
sau global, spaiul cibernetic nu poate fi inut sub control de o singur entitate. n spa iul
cibernetic nu pot fi fixate frontiere analogic frontierelor dintre unitile administrativ-
teritoriale sau dintre state. Astfel, pentru a asigura reziliena cibernetic, autoritile publice i

NESECRET
29 din 59
NESECRET

sectorul privat trebuie s-i dezvolte abilitile necesare i s coopereze n mod eficient ntre
ele. Prin administrare multiparticipativ i aciuni comune, autoritile publice i sectorul
privat pot s combat cu succes riscurile i ameninrile cibernetice, pot contribui cu un
rspuns coordonat i eficient la evenimentele survenite n spaiul cibernetic, care au
dimensiuni naionale i transfrontaliere;
5) responsabilitatea comun i rspunderea personalizat pentru asigurarea securitii
cibernetice. Dependena crescnd a activitilor umane de tehnologiile informaiei i
comunicaiei implic vulnerabiliti care urmeaz a fi identificate, analizate minuios i
eliminate sau diminuate, n funcie de pericolul potenial la adresa securitii cibernetice.
Toate prile implicate n executarea activitilor de asigurare a securitii cibernetice, fie c
snt autoriti publice, fie c aparin sectorului privat sau snt doar simpli ceteni, trebuie s
recunoasc aceast responsabilitate comun i rspundere personalizat, s ntreprind aciuni
proprii i comune de protecie, s contribuie la consolidarea securitii cibernetice i aprrii
cibernetice n conformitate cu cadrul legal.
II. SITUAIA ACTUAL I IDENTIFICAREA
PROBLEMEI DE BAZ
4. Dezvoltarea accelerat a tehnologiilor informaiei i de comunicaii moderne ridic la un
alt nivel abordarea ameninrilor, riscurilor i vulnerabilitilor ntr-o societate informaional.
n prezent, la nivel mondial, atacurile cibernetice capt o frecven, o complexitate i o
amploare din ce n ce mai mari, aducnd pagube enorme sectorului guvernamental, celui
privat i cetenilor, ca urmare a caracterului lor asimetric. Accesarea neautorizat a reelelor
i serviciilor de comunicaii electronice, modificarea, tergerea sau deteriorarea neautorizat
de date informatice, restricionarea ilegal a accesului la aceste date i spionajul cibernetic
constituie constrngeri la nivel global. Ameninrile i riscurile, atacurile i incidentele
cibernetice, precum i alte evenimente survenite n spaiul cibernetic se materializeaz prin
exploatarea vulnerabilitilor de natur uman, tehnic i procedural. Prejudiciile economice
provenite din exploatarea unor asemenea vulnerabiliti snt destul de semnificative.
5. Astfel, potrivit rapoartelor Norton1 pentru anii 2012 i 2013, costul global al
criminalitii cibernetice este n cretere. Pierderile globale au constituit n anul 2013 circa
113 miliarde dolari SUA fa de 110 miliarde dolari SUA n 2012, iar pierderile n medie pe o
victim au fost de 298 dolari SUA n 2013 fa de 197 dolari SUA n anul 2012. Potrivit
datelor din aceleai rapoarte, sntem supui n permanen unor riscuri majore la accesarea
reelelor wi-fi neprotejate. Este destul de mare riscul accesrii neautorizate a po tei
electronice personale (54% n anul 2013 fa de 64% n anul 2012) ca urmare a interceptrii
parolei de accesare, precum i riscul accesrii neautorizate a paginilor personale ale
utilizatorilor reelelor sociale (56% n anul 2013 fa de 63% n anul 2012). Este destul de
ridicat i riscul n comerul electronic, efectuat prin magazine online, accesate prin
intermediul reelelor wi-fi neprotejate (29% n anul 2013 fa de 31% n anul 2012). A crescut
riscul accesrii neautorizate a conturilor bancare n urma efecturii operaiunilor prin
intermediul reelelor wi-fi neprotejate, care n anul 2013 a crescut la 29% fa de 24% n anul
2012. Accesarea conturilor bancare prin intermediul reelelor wi-fi neprotejate sporete
considerabil riscul interceptrii datelor de acces i, prin urmare, al accesrii neautorizate
ulterioare a acestora n scopuri criminale.

1
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.

6. Din cauza ratei destul de ridicate a riscurilor de accesare sus-menionate, precum i a

NESECRET
30 din 59
NESECRET

altor riscuri cibernetice specifice, n anul 2013 numrul victimelor care au suferit n urma
unor fraude, atacuri i incidente cibernetice a constituit circa 379 milioane, fa de 558
milioane n anul 2012. Astfel, n anul 2013 au fost afectai 64% dintre proprietarii
dispozitivelor mobile, 63% dintre utilizatorii reelelor sociale, 68% dintre utilizatorii reelelor
wi-fi publice, 65% dintre prinii copiilor i 68% dintre pieele emergente. n pofida
numrului foarte mare de victime, doar o parte dintre utilizatorii internetului contientizeaz
c dispozitivele lor electronice (telefoane mobile, tablete, laptopuri, calculatoare etc.) pot fi
supuse unor atacuri cibernetice la conectarea la internet, al cror impact poate fi diminuat
semnificativ dac se respect cele mai simple recomandri de siguran. Acest fapt
favorizeaz considerabil creterea criminalitii cibernetice (informatice) prin exploatarea
vulnerabilitilor de natur uman.
7. Pn n prezent nu a fost efectuat nici un audit de securitate cibernetic, nu exist studii
sau rapoarte care ar reflecta n detalii situaia privind criminalitatea informatic n Republica
Moldova, ameninrile i riscurile cibernetice, atacurile i incidentele cibernetice, alte
evenimente survenite n spaiul cibernetic, numrul victimelor i prejudiciile economice ale
materializrii acestora.
8. Unica surs oficial de date statistice privind criminalitatea informatic este Registrul de
eviden a infraciunilor, a cauzelor penale, a persoanelor care au svrit infraciuni i a
materialelor cu privire la infraciuni din cadrul Sistemului informaional integral automatizat
de eviden a infraciunilor, a cauzelor penale i a persoanelor care au svrit infraciuni.
Potrivit informaiei din Sistemul informaional automatizat Registrul informaiei
criminalistice i criminologice, prezentate de Ministerul Afacerilor Interne, ncepnd cu anul
2013 i pn n august 2015 inclusiv au fost nregistrate 72 de infraciuni informatice pe
art.259-2611 i art.2081 ale Codului penal al Republicii Moldova, cu un prejudiciu material
estimat la circa 21588 mii lei. n particular, ca urmare a activit ilor Procuraturii Generale i
Inspectoratului General al Poliiei, au fost nregistrate n anul 2013 23 de infrac iuni, cu un
prejudiciu de circa 14139 mii lei, n anul 2014 24 de infrac iuni, cu un prejudiciu de circa
1323 mii lei, iar n primele 8 luni ale anului 2015 25 de infraciuni, cu un prejudiciu de circa
6126 mii lei. Concomitent, n aceeai perioad de timp au fost nregistrate 57 de nclcri ale
dreptului de autor i drepturilor conexe, cu valoarea total a amenzilor aplicate de circa 99 mii
lei. Cu toate c datele din Registrul informaiei criminalistice i criminologice nu snt nc
complete i nu reflect toate clasele de infraciuni i contravenii n sensul Conveniei
Consiliului Europei de la Budapesta privind criminalitatea informatic, se poate constata c
numrul infraciunilor i contraveniilor informatice este n cretere.
9. Totodat, conform datelor Centrului de Telecomunicaii Speciale, numrul atacurilor
cibernetice asupra serverelor web a crescut n anul 2014 fa de anul 2013 cu circa 26%, iar
vulnerabilitile porturilor deschise au sporit cu circa 385%. Posibilitile de infectare a
calculatoarelor cu virui informatici au crescut cu circa 27%. Numrul incidentelor asupra
potei electronice guvernamentale s-a micorat n 2014 fa de 2013 cu circa 1%.
Concomitent, s-a micorat ponderea acestor incidente n totalul atacurilor cibernetice. n 2014
aceast pondere s-a diminuat la 40%, fa de 51% n 2013.
10. Pericolul major de materializare a acestor evenimente survenite n spaiul cibernetic, n
care nu exist frontiere, a impus ca pe agenda unui ir de ri, ncepnd cu anul 2009, s fie
inclus ca subiect dominant problema securitii cibernetice. Deja 56 de state din lume dispun
de documente de politici2 aprobate n domeniul securitii cibernetice, inclusiv 21 de state ale
Uniunii Europene. 37 de state din lume au aprobat documentele de politici pe parcursul anilor
2013-2015, inclusiv 14 state n 2015.

NESECRET
31 din 59
NESECRET

2
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.

11. Cadrul legal intern al acestor ri se ajusteaz corespunztor prevederilor Conveniei


Consiliului Europei privind criminalitatea informatic, adoptate la Budapesta la 23 noiembrie
2001, inndu-se cont de Recomandrile Uniunii Internaionale a Telecomunicaiilor
referitoare la securitatea cibernetic.
12. Republica Moldova a ratificat Convenia Consiliului Europei privind criminalitatea
informatic prin Legea nr.6-XVI din 2 februarie 2009. Totodat, a fost adoptat Legea nr.20-
XVI din 3 februarie 2009 privind prevenirea i combaterea criminalitii informatice, au fost
operate modificri i completri la Codul penal n corespundere cu prevederile Conven iei
ratificate, ns prevederile de ordin procedural ale acesteia, precum i cele ce in de
dezvoltarea punctului de contact al reelei 24/7 nu au fost nc implementate.
13. n baza analizei efectuate a fost identificat problema de baz lipsa unui sistem de
management al securitii cibernetice, n cadrul cruia s se efectueze coordonat planificarea
i utilizarea resurselor disponibile, identificarea vulnerabilitilor i riscurilor n urma
auditului de securitate cibernetic, a interveniilor necesare pentru diminuarea impactului
duntor al criminalitii, atacurilor i incidentelor cibernetice asupra dezvoltrii sigure a
societii informaionale. Acest sistem urmeaz s fie extins n toate sferele vieii sociale,
economice i politice. Acesta trebuie s fie creat i implementat de ctre entitile vizate din
domeniul public i cel privat.
14. Lipsa unui sistem de management al securitii cibernetice a Republicii Moldova
genereaz i lipsa datelor statistice complete, veritabile, actualizate i structurate, ceea ce, la
rndul su, impune unele limitri n analiza efectuat i identificarea de soluii optime. De
rezultatul soluionrii problemei de baz depinde eficiena msurilor ntreprinse n vederea
dezvoltrii unei societii informaionale securizate n Republica Moldova, avansrii
tehnologice i tiinifice, participrii active a cetenilor la viaa social i cultural, precum i
dinamica de cretere economic a rii.
15. Pn n prezent nu exist un cadru legal privind delimitarea i armonizarea
competenelor i responsabilitilor instituiilor statului i celor private n domeniul securit ii
cibernetice, nu se aplic mecanismul obligatoriu de audit al securitii cibernetice n cadrul
instituiilor publice i private, prin care pot fi identificate vulnerabilitile, riscurile i
ameninrile cibernetice n scopul prevenirii sau diminurii, prin msuri speciale, a impactului
atacurilor, incidentelor i altor evenimente survenite n spaiul cibernetic, a cror origine este
dificil de stabilit.
16. n afara reglementrilor legislative, normative i tehnico-normative, persist o serie de
probleme specifice ce in de asigurarea securitii cibernetice a Republicii Moldova i care
snt pri componente ale problemei de baz identificate mai sus:
1) nu este asigurat sigurana deplin la procesarea, stocarea i accesarea datelor publice,
indiferent de clasificarea acestora;
2) securitatea i integritatea reelelor i serviciilor de comunica ii electronice nu snt
ajustate la standardele i recomandrile Uniunii Europene, Uniunii Internaionale a
Telecomunicaiilor, la prevederile Acordului de Asociere ntre Republica Moldova i Uniunea
European;
3) nu exist capaciti suficiente de prevenire i reacie urgent la nivel naional (CERT),
innd cont de caracterul asimetric al atacurilor i incidentelor cibernetice;
4) cadrul legislativ-normativ naional nu este armonizat integral la prevederile Conveniei
Consiliului Europei privind criminalitatea informatic, instituiile vizate nu dispun de

NESECRET
32 din 59
NESECRET

competene clare privind asigurarea securitii cibernetice;


5) dispunem de capaciti reduse de aprare cibernetic ca urmare a caracterului asimetric
al atacurilor cibernetice;
6) nu snt asigurate educaia, formarea i informarea continu n domeniul securitii
cibernetice;
7) exist o insuficien a cooperrii i interaciunii internaionale privind identificarea
riscurilor, vulnerabilitilor, altor evenimente survenite n spaiul cibernetic global i
prevenirea ameninrilor i atacurilor cibernetice transfrontaliere.
17. Soluionarea problemei de baz, inclusiv a problemelor specifice, presupune intervenii
n cadrul legislativ i instituional, n cadrul normativ i tehnico-normativ, n pregtirea
continu i certificarea specialitilor n domeniul securitii cibernetice, auditului de securitate
cibernetic a entitilor care dein infrastructuri cibernetice, sisteme informaionale i reele de
comunicaii electronice, inclusiv a celor care presteaz servicii informatice i de comunica ii
electronice.
18. Totodat, soluionarea problemelor identificate este n concordan cu obiectivul
general orizontal privind asigurarea securitii cibernetice stipulat n Strategia na ional de
dezvoltare a societii informaionale Moldova Digital 2020, aprobat prin Hotrrea
Guvernului nr.857 din 31 octombrie 2013, cu prevederile Acordului de Asociere ntre
Republica Moldova i Uniunea European, ratificat prin Legea nr. 112 din 2 iulie 2014,
precum i cu noua viziune a Strategiei securitii naionale a Republicii Moldova.
III. OBIECTIVELE PROGRAMULUI
19. Obiectivul principal al Programului, stabilit n urma analizei efectuate i identificrii
problemei de baz, este crearea i implementarea unui sistem de management al securitii
cibernetice a Republicii Moldova care s asigure entitilor vizate din domeniul public i cel
privat planificarea i utilizarea resurselor disponibile, identificarea interveniilor necesare
pentru diminuarea impactului duntor al criminalitii, atacurilor i incidentelor cibernetice
asupra dezvoltrii sigure a societii informaionale.
20. Realizarea obiectivului principal al Programului, n conformitate cu problemele
specifice identificate n capitolul precedent, se va produce prin realizarea complex a 7
obiective specifice:
1) procesarea, stocarea i accesarea n siguran a datelor, inclusiv a datelor de interes
public;
2) securitatea i integritatea reelelor i serviciilor de comunicaii electronice;
3) dezvoltarea capacitilor de prevenire i reacie urgent la nivel naional (reeaua CERT
naional);
4) prevenirea i combaterea criminalitii informatice;
5) consolidarea capacitilor de aprare cibernetic;
6) educaia, formarea i informarea continu n domeniul securitii cibernetice;
7) cooperarea i interaciunea internaional n sferele ce in de securitatea cibernetic.
IV. ACIUNILE CE URMEAZ A FI NTREPRINSE
PENTRU REALIZAREA OBIECTIVELOR
21. Pentru realizarea obiectivelor formulate n capitolul precedent au fost identificate,
mpreun cu autoritile vizate, o serie de aciuni ce urmeaz a fi executate, care pentru
comoditate i n corespundere cu obiectivele specifice au fost sistematizate ntr-un Plan de
aciuni privind implementarea Programului naional de securitate cibernetic a Republicii
Moldova (n continuare Plan de aciuni).
22. Conform Planului de aciuni, anex la prezentul Program, obiectivul specific
Procesarea, stocarea i accesarea n siguran a datelor, inclusiv a datelor de interes public

NESECRET
33 din 59
NESECRET

va fi realizat prin asigurarea ajustrii cadrului normativ-legislativ privind securitatea


cibernetic a Republicii Moldova, clasificarea tipurilor de informaie, analiza i elaborarea
propunerilor de aplicare la nivel naional a standardelor ce in de procesarea, stocarea i
accesarea n siguran a datelor, elaborarea unei metodologii pentru evaluarea
vulnerabilitilor sistemelor informaionale n baza standardelor prestabilite, elaborarea
cerinelor minime obligatorii de securitate cibernetic, certificarea specialitilor, efectuarea
auditului de securitate cibernetic i elaborarea planurilor de nlturare a vulnerabilitilor
depistate, executarea altor msuri, conform Planului de aciuni.
23. Obiectivul specific Securitatea i integritatea reelelor i serviciilor de comunica ii
electronice va fi realizat prin armonizarea legislaiei din domeniul comunica iilor electronice
la directivele-cadru UE din domeniu, stabilirea msurilor minime de securitate ce trebuie
luate de ctre furnizori pentru asigurarea securitii i integritii reelelor i serviciilor de
comunicaii electronice, raportarea incidentelor cu impact asupra acestor reele i servicii,
aplicarea la nivel naional a standardelor europene i internaionale ce in de protec ia i
securitatea reelelor de comunicaii electronice, executarea altor msuri, conform Planului de
aciuni.
24. Obiectivul specific Dezvoltarea capacitilor de prevenire i reacie urgent la nivel
naional (reeaua CERT naional) va fi realizat prin crearea Centrului naional de reac ie la
incidentele de securitate cibernetic (CERT) i a centrelor departamentale n autorit ile
publice centrale, autoritile publice locale, alte entiti ce dein sisteme informaionale de
stat, stabilirea obligaiilor de raportare i eviden operativ obligatorie a incidentelor de
securitate cibernetic pentru autoritile administraiei publice centrale i locale i mediul de
afaceri din domeniul tehnologiei informaiei i comunicaiilor, elaborarea i aplicarea unor
metode de prevenire anticipat a incidentelor de securitate cibernetic n Republica Moldova,
desfurarea unor exerciii i antrenamente de consolidare a capacitilor de reacie la
incidentele i atacurile cibernetice cu blocarea acestora, executarea altor msuri, conform
Planului de aciuni.
25. Obiectivul specific Prevenirea i combaterea criminalitii informatice va fi realizat
prin elaborarea proiectelor de legi pentru armonizarea continu a legislaiei penale,
contravenionale i procesuale la prevederile Conveniei europene privind criminalitatea
informatic i la deciziile Comitetului acestei Convenii, ratificarea Protocolului adiional la
aceast Convenie, ajustarea legislaiei i statisticii naionale la prevederile Conveniei
Consiliului Europei pentru protecia copiilor mpotriva exploatrii i abuzurilor sexuale i
Protocolului adiional la aceast Convenie, consolidarea capacitilor de prevenire i
combatere a criminalitii informatice n cadrul Procuraturii Generale, Serviciului de
Informaii i Securitate, Inspectoratului General al Poliiei al Ministerului Afacerilor Interne,
instruirea angajailor organelor de drept n domeniul securitii cibernetice conform
recomandrilor proiectului EAP al Consiliului Europei, executarea altor msuri, conform
Planului de aciuni.
26. Obiectivul specific Consolidarea capacitilor de aprare cibernetic va fi realizat
prin stabilirea autoritilor responsabile i asigurarea cooperrii dintre acestea pe timp de
pace, n situaii de criz, asediu i rzboi n cadrul spaiului cibernetic, elaborarea
compartimentului de aprare cibernetic a Republicii Moldova ca parte component a
Strategiei securitii informaionale a Republicii Moldova, instruirea n domeniul securit ii
cibernetice a personalului din sfera securitii i aprrii naionale, dezvoltarea capabilitilor
militare de protecie a infrastructurii i serviciilor critice ce in de aprarea na ional,
executarea altor msuri, conform Planului de aciuni.
27. Obiectivul specific Educaia, formarea i informarea continu n domeniul securit ii

NESECRET
34 din 59
NESECRET

cibernetice va fi realizat prin crearea unui laborator de securitate cibernetic, completarea


curriculumului de nvmnt cu studierea materiei din domeniul securitii cibernetice,
elaborarea i implementarea conceptului campaniilor de informare i contientizare a
riscurilor din spaiul cibernetic, stabilirea cerinelor de competen n domeniul securitii
cibernetice pentru personalul din sectorul public i privat, evidena, instruirea, evaluarea i
certificarea acestui personal, organizarea i efectuarea trainingurilor i workshopurilor n
domeniul securitii cibernetice pentru personalul instituiilor deintoare de elemente ale
infrastructurii cibernetice critice, executarea altor msuri, conform Planului de aciuni.
28. Obiectivul specific Cooperarea i interaciunea internaional n sferele ce in de
securitatea cibernetic va fi realizat prin crearea unui Centru de excelen pentru cercetare i
dezvoltare n domeniul securitii cibernetice, stabilirea i dezvoltarea relaiilor cu
comunitatea internaional de cercetare n domeniile specifice ce stau la baza securitii
cibernetice, dezvoltarea cooperrii dintre sectorul public i cel privat privind identificarea
soluiilor comune de securitate cibernetic, implementarea msurilor de evaluare a
ameninrilor i riscurilor fa de vulnerabilitile cibernetice identificate, ncheierea
acordurilor de cooperare internaional cu echipele de tip CERT europene, nord-atlantice i
naionale din alte ri, executarea altor msuri, conform Planului de aciuni.
V. ETAPELE, TERMENELE I RESPONSABILII DE
IMPLEMENTARE
29. Programul nu prevede implementarea pe etape. ns dup fiecare an de implementare se
va realiza evaluarea intermediar, n cadrul creia se vor analiza i se vor compara rezultatele
intermediare cu cele scontate, se va stabili nivelul de implementare a Programului. Ca urmare
a concluziilor din Informaia de raportare a monitorizrii i evalurii (IRME), se vor propune,
n caz de necesitate, ajustri ale obiectivelor i/sau ale rezultatelor preconizate, aciuni noi,
actualizarea Programului i/sau a Planului de aciuni.
30. n Planul de aciuni, anexat la Program, ac iunile snt grupate conform obiectivelor
specifice care trebuie realizate. n rubricile respective ale Planului de ac iuni snt stabilii
responsabilii de executarea aciunilor, coexecutorii i termenele de executare pentru obinerea
rezultatului scontat. Prima instituie din lista responsabililor se consider responsabil
principal de executarea aciunii, care dirijeaz activitile coexecutorilor i ale celorlali
responsabili, atrage partenerii de dezvoltare pentru a obine rezultatul scontat n termenul
stabilit pentru aciune.
VI. ESTIMAREA GENERAL A COSTURILOR
I REZULTATELE SCONTATE
31. La rubricile respective din Planul de aciuni snt indicate rezultatele scontate i costurile
estimative de realizare a fiecrei aciuni aparte pentru obinerea acestor rezultate. Sursele de
finanare includ contribuia partenerilor de dezvoltare i alocrile bugetare.
32. Astfel, costurile estimative pentru obinerea rezultatelor scontate, totalizate pe aciunile
din cadrul fiecrui obiectiv al Programului, snt urmtoarele:
1) procesarea, stocarea i accesarea n siguran a datelor, inclusiv a datelor de interes
public circa 9504 mii lei;
2) securitatea i integritatea reelelor i serviciilor de comunicaii electronice circa 1944
mii lei;
3) dezvoltarea capacitilor de prevenire i reacie urgent la nivel naional (reeaua CERT
naional) circa 49608 mii lei;
4) prevenirea i combaterea criminalitii informatice circa 2916 mii lei;
5) consolidarea capacitilor de aprare cibernetic circa 2232 mii lei;
6) educaia, formarea i informarea continu n domeniul securitii cibernetice circa

NESECRET
35 din 59
NESECRET

10089 mii lei;


7) cooperarea i interaciunea internaional n sferele ce in de securitatea cibernetic
circa 648 mii lei.
33. Costul estimativ preliminar de implementare integral a Programului este de 76941 mii
lei. Rezultatul scontat al implementrii Programului este un sistem de management al
securitii cibernetice a Republicii Moldova, creat i implementat n entitile vizate din
domeniul public i cel privat, care va asigura planificarea i utilizarea resurselor disponibile,
identificarea interveniilor necesare pentru diminuarea impactului duntor al criminalitii,
atacurilor i incidentelor cibernetice asupra dezvoltrii sigure a societii informaionale.
Acest sistem urmeaz a fi extins n toate sferele vieii sociale, economice i politice din ar.
VII. INDICATORII DE PROGRES I PERFORMAN
34. Domeniul securitii cibernetice, fiind relativ nou n lume, nu dispune nc de indicatori
de progres i performan recomandai pentru monitorizarea i evaluarea implementrii
documentelor de politici n acest domeniu. Totodat, pornind de la necesitatea monitorizrii i
evalurii implementrii Programului se vor aplica n complexitate 17 indicatori de rezultat
(IR):
IR1 ponderea elaborrii proiectelor de acte legislative i normative, documente de politici
i tehnice, calculat n % din numrul total al acestora prevzute n Planul de ac iuni;
IR2 ponderea rapoartelor (informaiilor) de monitorizare i evaluare realizate, calculat n
% din numrul total al acestora prevzute n Program;
IR3 numrul aciunilor din Planul de aciuni realizate (nainte de, dup i n termenele
prestabilite);
IR4 numrul recomandrilor privind evitarea riscurilor i diminuarea vulnerabilitilor
cibernetice;
IR5 numrul prescripiilor tehnice i proiectelor standardelor de securitate cibernetic
elaborate;
IR6 numrul entitilor care au beneficiat de instruirea angajailor n asigurarea securitii
cibernetice, numrul persoanelor care au beneficiat de aceast instruire;
IR7 numrul entitilor care au beneficiat de audit extern/intern de securitate cibernetic
n scopul identificrii la nivel de entitate a riscurilor i vulnerabilitilor cibernetice;
IR8 ponderea autoritilor administraiei publice care aplic politici proprii de securitate
cibernetic intern;
IR9 ponderea autoritilor administraiei publice centrale care au creat propriul CERT
departamental n reeaua CERT naional;
IR10 numrul entitilor participante n Sistemul de management al securit ii cibernetice
a Republicii Moldova;
IR11 numrul de cazuri penale i contravenionale ce in de criminalitatea informatic
nregistrate n Sistemul informaional automatizat Registrul informaiei criminalistice i
criminologice, numrul persoanelor care au svrit aceste infraciuni i/sau contraven ii,
numrul victimelor, volumul prejudiciului adus victimelor i volumul amenzilor aplicate;
IR12 numrul cercetrilor i studiilor efectuate n domeniul securitii cibernetice;
IR13 numrul referatelor/comunicrilor privind securitatea cibernetic fcute public;
IR14 numrul realizat de seminare, mese rotunde, trainingurilor, workshopurilor i alte
evenimente privind securitatea cibernetic, numrul participanilor la acestea;
IR15 numrul recomandrilor practice de sensibilizare a populaiei despre riscurile i
vulnerabilitile cibernetice, asigurarea la domiciliu a securitii cibernetice;
IR16 numrul de campanii informative organizate de institu iile vizate n domeniul
securitii cibernetice;

NESECRET
36 din 59
NESECRET

IR17 numrul informaiilor (rapoarte de monitorizare i evaluare, note informative etc.)


publicate pe pagina web oficial a Ministerului Tehnologiei Informaiei i Comunicaiilor.
35. Pentru a stabili progresul i performana implementrii curente i finale a Programului,
indicatorii de rezultat periodic vor fi comparai cu indicatorii din Strategia naional de
dezvoltare a societii informaionale Moldova Digital 2020, cu rezultatele curente de
realizare a Acordului de Asociere ntre Republica Moldova i Uniunea European, cu
Recomandrile Uniunii Internaionale a Telecomunicaiilor i cu recomandrile partenerilor
de dezvoltare.
VIII. PROCEDURILE DE RAPORTARE I EVALUARE
36. Procedurile de raportare i evaluare snt orientate spre maximizarea efectelor obinute
de la implementarea Programului n corespundere cu rezultatele scontate indicate la rubrica
Indicatori de rezultat din Planul de aciuni.
37. Procesul de implementare a Programului este nsoit de monitorizarea permanent la
nivel instituional, naional i internaional a realizrii aciunilor propuse i a rezultatelor real
obinute pentru ca, n caz de necesitate, s fie operate modificrile respective n politicile
publice promovate i aciunile ntreprinse, precum i de corelarea obiectivelor i a aciunilor
din Planul de aciuni cu rezultatele ateptate de la implementarea Programului, n scopul
efecturii unei evaluri ct mai corecte a modului de implementare a Programului.
38. n cadrul procesului de monitorizare se elaboreaz Informaia de raportare a
monitorizrii i evalurii, care include date relevante privind rezultatele realizrii obiectivelor
Programului i executrii aciunilor respective din Planul de aciuni, corelate cu rezultatele
implementrii Strategiei naionale de dezvoltare a societii informaionale Moldova Digital
2020. La aceast informaie se anexeaz rapoarte de progres, rapoarte de evaluare i/sau note
informative, cu concluzii i propuneri. n particular, procesul de monitorizare i evaluare este
orientat s contribuie la analiza situaiei curente i a tendinelor n realizarea obiectivelor
Programului, la analiza realizrii Planului de aciuni i la evaluarea corect a rezultatelor
curente i finale obinute fa de rezultatele scontate.
39. La nivelul organismelor internaionale donatoare (partenerilor de dezvoltare), care
finaneaz anumite etape, pri componente sau seturi de activiti din cadrul Programului,
raportarea i monitorizarea se va conforma cerinelor acestora. Rapoartele periodice de
progres, notele informative i rapoartele de evaluare vor fi elaborate n formatul agreat de
respectiva instituie financiar donatoare i Guvern.
40. La nivel naional, procedurile de raportare i evaluare se efectueaz de Ministerul
Tehnologiei Informaiei i Comunicaiilor n baza Informaiei de raportare a monitorizrii i
evalurii prezentate semestrial de responsabilii principali de executarea aciunilor din Planul
de aciuni. Pentru fiecare an de implementare, Ministerul Tehnologiei Informa iei i
Comunicaiilor, n colaborare cu responsabilii principali specificai n Planul de aciuni i alte
instituii interesate, elaboreaz Raportul anual de evaluare a implementrii Programului, care
se prezint Guvernului i Consiliul intersectorial de securitate cibernetic pn la data de 1
martie a anului urmtor. n funcie de caz, Ministerul Tehnologiei Informaiei i
Comunicaiilor, n baza rezultatelor evalurii intermediare sau semestriale, va nainta spre
examinare i aprobare proiecte de hotrri ale Guvernului privind actualizarea Programului
i/sau a Planului de aciuni.
41. La nivel instituional, procedurile de raportare i evaluare se efectueaz semestrial de
instituiile responsabile de aciunile din Planul de aciuni. Principala institu ie responsabil de
executarea aciunii ntocmete Informaia de raportare a monitorizrii i evalurii privind
realizarea aciunii de care este responsabil i prezint aceast informaie Ministerului
Tehnologiei Informaiei i Comunicaiilor pn la data de 1 august i 1 februarie a semestrului

NESECRET
37 din 59
NESECRET

urmtor. n caz de necesitate, principala instituie responsabil de executarea aciunii instituie


un grup de lucru din reprezentanii instituiilor responsabile i coexecutoare a aciuni,
partenerilor de dezvoltare, altor instituii de profil, n scopul organizrii i executrii eficiente
a aciunii n cauz, conform unui plan de lucru aprobat. Faptul instituirii grupului de lucru i
aprobrii planului de lucru privind executarea aciunii se va reflecta n Informaia de raportare
a monitorizrii i evalurii.
42. Evaluarea se efectueaz prin compararea rezultatelor real obinute fa de cele scontate
pentru perioada respectiv de raportare. Dup caz, evaluarea poate fi efectuat prin cercetri
i studii, n colaborare cu instituiile interesate specificate n Planul de aciuni.
43. Dup fiecare an de implementare a Programului se efectueaz evaluarea intermediar,
iar la sfritul implementrii acestuia evaluarea final. n cadrul evalurii intermediare se
analizeaz rezultatele intermediare n comparaie cele scontate. Ca urmare a concluziilor i
propunerilor din Raportul de evaluare a implementrii Programului, n caz de necesitate, se
propun ajustri ale obiectivelor i/sau ale rezultatelor preconizate, aciuni noi, actualizarea
Programului i/sau a Planului de aciuni.
44. La sfritul anului 2020 va fi elaborat Raportul de evaluare final a implementrii
Programului, n care se va reflecta realizarea obiectivelor Programului, executarea aciunilor
prevzute n Planul de aciuni, inclusiv impactul implementrii Programului asupra securit ii
cibernetice a Republicii Moldova. Raportul final va include concluzii i propuneri privind
dezvoltarea i extinderea rezultatelor implementrii n alte sfere ale vieii sociale, economice
i politice din ar.
45. Ministerul Tehnologiei Informaiei i Comunicaiilor informeaz publicul despre
implementarea Programului prin plasarea pe site-ul su oficial a comunicatelor de pres
privind activitile de implementare a Programului, privind rezultatele semestriale, anuale i
finale obinute la implementarea acestuia, precum i prin oferirea informaiilor relevante
partenerilor din ar i de peste hotare.
46. n procesul de monitorizare, un rol important se atribuie societii civile, care urmeaz:
1) s participe activ, n calitate de supraveghetor social al ndeplinirii prezentului Program,
inclusiv prin generalizarea i diseminarea informaiilor independente privind indicatorii de
progres real, precum i prin expunerea experienei avansate acumulate i a neajunsurilor
depistate;
2) s se angajeze ntr-un dialog social cu Guvernul, n special cu Ministerul Tehnologiei
Informaiei i Comunicaiilor, cu alte organe administrative centrale i s ofere soluii noi de
sporire a eficienei implementrii Programului.

planul
Anex
La Programul naional de securitate
Cibernetic a Republicii Moldova
pentru anii 2016-2020

Planul de aciuni privind implementarea Programului naional


de securitate cibernetic a Republicii Moldova pentru anii 2016-2020

NESECRET
38 din 59
NESECRET

Nr. Aciuni Instituii Partener Termene Indicator Surse de


d/o responsabile i i/sau i de finanare,
. perioade rezultat costuri
de estimative,
executare
lei

1 2 3 4 5 6 7

1. Procesarea, stocarea i accesarea n siguran a datelor, inclusiv a datelor de interes public . Costul
estimativ 9504 mii lei

1.1. Asigurarea ajustrii cadrului Ministerul Cancelaria de 2016-2017 Proiect de Bugetul


normativ-legislativ privind Tehnologiei Stat; Ministerul act legislativ instituiilo
securitatea cibernetic a Informaiei i Afacerilor elaborat i r, n
Republicii Moldova, care va Comunicaiilo Interne; remis spre limitele
prevedea: r; Ministerul examinare alocaiilor
Aprrii; Guvernului aprobate;
a) definirea termenilor Serviciul de Procuratura resursele
(noiunilor) din domeniul Informaii i General; parteneril
securitii cibernetice; Securitate Agenia or de
b) delimitarea pe domenii a Naional de dezvoltare
competenelor; Reglementare . Costul
n Comunicaii estimativ
c) stabilirea organului cu Electronice i 2592
funcii de monitorizare a Tehnologia mii
respectrii cerinelor de Informaiei;
securitate cibernetic;
Centrul
d) desemnarea organului Naional pentru
responsabil de controlul Protecia
implementrii rezultatelor Datelor cu
auditului de securitate Caracter
cibernetic; Personal
e) obligaiile deintorilor
sistemelor informaionale de
stat privind efectuarea
periodic a auditului acestor
sisteme, cu stabilirea
periodicitii, nivelelor,
obligaiilor de prezentare a
raportului ctre organul
competent;

f) sanciuni pentru
nerespectarea deciziei
auditului privind
conformitatea cu cerinele
minime obligatorii de
securitate cibernetic;

g) responsabilitatea

NESECRET
39 din 59
NESECRET

1 2 3 4 5 6 7

personal pentru asigurarea


securitii cibernetice;

h) introducerea n
autoritile publice a
funciei de coordonator de
securitate cibernetic,
inclusiv atribuiile
principale ale acestuia;

i) formarea Consiliului
intersectorial de securitate
cibernetic (cu funcie de
coordonare a activitilor de
securitate cibernetic)

1.2. Clasificarea tipurilor de Ministerul Serviciul de 2016 Clasificare Bugetul


informaie, cu excepia Tehnologiei Informaii i aprobat instituiilo
secretului de stat Informaiei i Securitate; r, n
Comunicaiilo Ministerul limitele
r Afacerilor alocaiilor
Interne; aprobate;
Procuratura resursele
General; parteneril
Centrul or de
Naional pentru dezvoltare
Protecia . Costul
Datelor cu estimativ
Caracter 432 mii
Personal;
Centrul de
Telecomunicai
i Speciale

1.3. Analiza i elaborarea Ministerul Institutul 2016-2017 Propuneri Bugetul


propunerilor de aplicare la Tehnologiei Naional de de aplicare a instituiilo
nivel naional a standardelor Informaiei i Standardizare; standardelor r, n
ce in de procesarea, Comunicaiilo Centrul de europene i limitele
stocarea i accesarea sigur r; Telecomunicai internaional alocaiilor
a datelor conform i Speciale; e ce in de aprobate;
clasificrii tipurilor de Agenia Ministerul procesarea, resursele
informaie, examinate n Naional de Afacerilor stocarea i parteneril
cadrul comitetelor tehnice Reglementare Interne; accesarea n or de
de standardizare CT 28 n siguran a dezvoltare
Tehnologia informaiei i Comunicaii Ministerul datelor . Costul
CT 29 Comunicaii Electronice i Aprrii; estimativ
electronice Tehnologia 216 mii
Informaiei Serviciul de
Informaii i
Securitate;
Centrul
Naional pentru
Protecia
Datelor cu
Caracter

NESECRET
40 din 59
NESECRET

1 2 3 4 5 6 7

Personal;
comitetele
tehnice de
standardizare
CT 28
Tehnologia
informaiei i
CT 29
Comunicaii
electronice

1.4. Elaborarea unei metodologii Ministerul Institutul 2016-2017 Metodologie Bugetul


pentru evaluarea Tehnologiei Naional de elaborat i instituiilo
vulnerabilitilor sistemelor Informaiei i Standardizare; aprobat r, n
informaionale de stat n Comunicaiilo Cancelaria de prin hotrre limitele
baza standardelor r; Stat; Ministerul de Guvern alocaiilor
identificate, transpuse i Afacerilor aprobate;
aprobate Serviciul de Interne; resursele
Informaii i Ministerul parteneril
Securitate; Aprrii; or de
Agenia comitetele dezvoltare
Naional de tehnice de . Costul
Reglementare standardizare estimativ
n CT 28 432 mii
Comunicaii Tehnologia
Electronice i informaiei i
Tehnologia CT 29
Informaiei Comunicaii
electronice

1.5. Elaborarea cerinelor Ministerul Ministerul 2016-2017 Cerine Bugetul


minime obligatorii de Tehnologiei Aprrii; minime instituiilo
securitate cibernetic Informaiei i Ministerul obligatorii r, n
Comunicaiilo Afacerilor de securitate limitele
r Interne; cibernetic alocaiilor
Agenia aprobate de aprobate;
Naional de Guvern resursele
Reglementare parteneril
n Comunicaii or de
Electronice i dezvoltare
Tehnologia . Costul
Informaiei; estimativ
Serviciul de 432 mii
Informaii i
Securitate;
Centrul de
Telecomunicai
i Speciale;
Centrul
Naional pentru
Protecia
Datelor cu
Caracter

NESECRET
41 din 59
NESECRET

1 2 3 4 5 6 7

Personal

1.6. Certificarea specialitilor Ministerul Cancelaria de 2016-2018 Numr de Bugetul


reieind din standardele i Tehnologiei Stat; autoriti ale instituiilo
metodologia identificate i Informaiei i administrai r, n
cerinele minime obligatorii Comunicaiilo Serviciul de ei publice limitele
de securitate cibernetic r Informaii i centrale i alocaiilor
aprobate Securitate; locale, alte aprobate;
Procuratura entiti resursele
General; deintoare parteneril
Ministerul de sisteme or de
Afacerilor informaion dezvoltare
Interne; ale de stat . Costul
Ministerul pentru care estimativ
Aprrii au fost 864 mii
certificai
specialiti;
numr de
specialiti
certificai

1.7. Identificarea i planificarea Ministerul Cancelaria de 2016 Mijloace Bugetul


n bugetele instituiilor a Finanelor; Stat; financiare instituiilo
mijloacelor financiare alocate r, n
necesare pentru efectuarea autoritile Ministerul limitele
auditului securitii administraiei Afacerilor alocaiilor
cibernetice n baza publice Interne; aprobate;
metodologiei aprobate centrale i resursele
locale, Procuratura
General; parteneril
deintorii or de
sistemelor Ministerul dezvoltare
informaional Aprrii; . Costul
e de stat estimativ
Serviciul de nu este
Informaii i identificat
Securitate

1.8. Efectuarea unui audit n Autoritile Ministerul 2017-2020 Numr de Bugetul


autoritile administraiei administraiei Tehnologiei entiti n instituiilo
publice centrale i locale, n publice Informaiei i care a fost r, n
alte entiti deintoare de centrale i Comunicaiilor efectuat limitele
sisteme informaionale de locale, auditul alocaiilor
stat, cu scopul identificrii deintorii aprobate;
vulnerabilitilor i sistemelor resursele
corespunderii la cerinele informaional parteneril
minime obligatorii de e de stat or de
securitate cibernetic dezvoltare
. Costul
estimativ
864 mii

1.9. Elaborarea planului de Autoritile Ministerul 2016-2018 Numr de Bugetul


nlturare a administraiei Tehnologiei entiti care instituiilo
vulnerabilitilor conform publice Informaiei i au raportat r, n

NESECRET
42 din 59
NESECRET

1 2 3 4 5 6 7

recomandrilor auditului i centrale i Comunicaiilor despre limitele


executarea acestuia prin locale, realizarea alocaiilor
responsabilitate deintorii planului de aprobate;
personalizat n cadrul sistemelor nlturare a resursele
autoritilor administariei informaional vulnerabilit parteneril
publice centrale i locale, e de stat ilor or de
altor entiti deintoare de dezvoltare
sisteme informaionale de . Costul
stat estimativ
1296
mii

1.1 Elaborarea i implementarea Centrul Ministerul 2016-2019 Metodologie Bugetul


0. metodologiei de marcare a Naional Tehnologiei elaborat i instituiilo
informaiei furnizate prin pentru Informaiei i implementat r, n
sistemul care conine date Protecia Comunicaiilor limitele
cu caracter personal cu Datelor cu ; alocaiilor
utilizarea mrcii Caracter aprobate;
temporale Personal Serviciul de resursele
Informaii i parteneril
Securitate; or de
Ministerul dezvoltare
Afacerilor . Costul
Interne; estimativ
Centrul de 216 mii
Telecomunicai
i Speciale

2.1 Elaborarea i implementarea Ministerul Cancelaria de 2017 Acte Bugetul


1. actelor legislative necesare Tehnologiei Stat; legislative instituiilo
pentru introducerea Informaiei i elaborate i r, n
msurilor de securitate i Comunicaiilo Ministerul remise spre limitele
standardelor obligatorii n r; Agenia Aprrii; examinare alocaiilor
companiile din domeniul Naional de Serviciul de Guvernului aprobate;
tehnologiei informaiei i Reglementare Informaii i resursele
comunicaiilor, cu stabilirea n Securitate; parteneril
unor cerine minime de Comunicaii Ministerul or de
securitate a sistemelor Electronice i Afacerilor dezvoltare
informaionale de stat i a Tehnologia Interne . Costul
informaiilor din aceste Informaiei estimativ
sisteme 432 mii

2. Securitatea i integritatea reelelor i serviciilor de comunica ii electronice . Costul estimativ 1944


mii lei

2.1. Armonizarea legislaiei din Ministerul Serviciul de 2016 Proiect de Bugetul


domeniul comunicaiilor Tehnologiei Informaii i lege instituiilo
electronice la directivele- Informaiei i Securitate; elaborat i r, n
cadru UE din domeniu Comunicaiilo Ministerul remis spre limitele
r; Agenia Afacerilor examinare alocaiilor
Naional de Interne; Guvernului aprobate;
Reglementare Ministerul resursele
n Aprrii; parteneril
Comunicaii Centrul de or de

NESECRET
43 din 59
NESECRET

1 2 3 4 5 6 7

Electronice i Telecomunicai dezvoltare


Tehnologia i Speciale; . Costul
Informaiei estimativ
Centrul 216 mii
Naional pentru
Protecia
Datelor cu
Caracter
Personal

2.2. Stabilirea msurilor minime Agenia Ministerul 2016-2017 Proiect de Bugetul


de securitate ce trebuie luate Naional de Tehnologiei act normativ instituiilo
de ctre furnizori pentru Reglementare Informaiei i aprobat prin r, n
asigurarea securitii, non- n Comunicaiilor Decizia limitele
repudierii i integritii Comunicaii consiliului alocaiilor
reelelor i/sau serviciilor Electronice i de aprobate;
de comunicaii electronice i Tehnologia administrare resursele
raportarea incidentelor cu Informaiei al Ageniei parteneril
impact semnificativ asupra Naionale de or de
acestora Reglementar dezvoltare
e n . Costul
Comunicaii estimativ
Electronice 432 mii
i
Tehnologia
Informaiei

2.3. Analiza i transpunerea la Ministerul Institutul 2016-2017 Standarde Bugetul


nivel naional a standardelor Tehnologiei Naional de adoptate instituiilo
europene i internaionale ce Informaiei i Standardizare; r, n
in de protecia i securitatea Comunicaiilo limitele
reelelor de comunicaii r Comitetul alocaiilor
electronice i naintarea spre tehnic de aprobate;
adoptare ctre Institutul standardizare resursele
Naional de Standardizare CT 29 parteneril
Comunicaii or de
electronice dezvoltare
. Costul
estimativ
432 mii

2.4. Efectuarea unui studiu cu Serviciul de Ministerul 2016-2017 Studiu Bugetul


privire la modificarea Informaii i Tehnologiei elaborat instituiilo
legislaiei n domeniul Securitate Informaiei i r, n
comunicaiilor electronice Comunicaiilor limitele
n vederea eliminrii sau ; alocaiilor
diminurii numrului aprobate;
abonailor serviciilor de Procuratura resursele
comunicaii electronice General; parteneril
depersonalizai Ministerul or de
Afacerilor dezvoltare
Interne; . Costul
estimativ
Centrul 432 mii
Naional pentru

NESECRET
44 din 59
NESECRET

1 2 3 4 5 6 7

Protecia
Datelor cu
Caracter
Personal

2.5. Dezvoltarea n continuare a Cancelaria de Ministerul Conform Numr de Bugetul


reelei de comunicaii Stat; Afacerilor planului orae instituiilo
speciale a autoritilor Interne; aprobat de cuprinse de r, n
administraiei publice pe Serviciul de Guvern reeaua de limitele
ntreg teritoriul Republicii Informaii i Ministerul telecomunic alocaiilor
Moldova Securitate; Aprrii; aii speciale aprobate;
Centrul de resursele
Telecomunica Procuratura
General; parteneril
ii Speciale or de
Ministerul dezvoltare
Tehnologiei . Costul
Informaiei i estimativ
Comunicaiilor 432 mii

3. Crearea centrului de reacie la incidente cibernetice la nivel naional (reeaua CERT naional) .
Costul estimativ 49608 mii lei

3.1. Crearea Centrului naional Cancelaria de Procuratura 2016 Centru Bugetul


de reacie la incidentele de Stat; General; naional instituiilo
securitate cibernetic Ministerul creat r, n
(CERT) Tehnologiei Centrul de limitele
Informaiei i Telecomunicai alocaiilor
Comunicaiilo i Speciale; aprobate;
r; Ministerul Ministerul resursele
Afacerilor Aprrii parteneril
Interne; or de
Serviciul de dezvoltare
Informaii i . Costul
Securitate estimativ

29700 mii

3.2. Crearea unui sistem naional Cancelaria de Serviciul de 2016-2017 Sistem Bugetul
de alerte i informare n Stat; Informaii i funcional instituiilo
timp real despre incidentele Securitate; creat r, n
de securitate cibernetic Centrul de Ministerul limitele
Telecomunica Afacerilor alocaiilor
ii Speciale Interne; aprobate;
Ministerul resursele
Aprrii; parteneril
Procuratura or de
General dezvoltare
. Costul
estimativ
594 mii

3.3. Crearea centrelor de reacie Autoritile 2016-2017 Numr de Bugetul


la incidentele de securitate administraiei centre instituiilo
cibernetic departamentale publice departament r, n
n autoritile administraiei centrale i ale create limitele

NESECRET
45 din 59
NESECRET

1 2 3 4 5 6 7

publice centrale i locale, n locale, alocaiilor


alte entiti deintoare de deintorii aprobate;
sisteme informaionale de sistemelor resursele
stat informaional parteneril
e de stat or de
dezvoltare
. Costul
estimativ

14850 mii

3.4. Stabilirea obligaiilor pentru Cancelaria de Serviciul de 2016-207 Obligaii Bugetul


autoritile administraiei Stat Informaii i aprobate instituiilo
publice centrale i locale i Securitate; r, n
mediul de afaceri din Ministerul limitele
domeniul tehnologiei Afacerilor alocaiilor
informaiei i comunicaiilor Interne; aprobate;
privind raportarea operativ Ministerul resursele
obligatorie a incidentelor de Aprrii; parteneril
securitate cibernetic n Ministerul or de
baza unui mecanism de Tehnologiei dezvoltare
schimb de date i rolurile Informaiei i . Costul
bine definite Comunicaiilor estimativ
; Procuratura 432 mii
General;
Centrul de
Telecomunicai
i Speciale;

Centrul
Naional pentru
Protecia
Datelor cu
Caracter
Personal

3.5. Organizarea unei baze de Cancelaria de Procuratura Permanent Sistem creat Bugetul
date cu acces al autoritilor Stat General; n instituiilo
responsabile privind conformitate r, n
ameninrile, Ministerul cu concepia limitele
vulnerabilitile i Afacerilor aprobat alocaiilor
incidentele de securitate Interne; aprobate;
cibernetic identificate sau Serviciul de resursele
raportate, tehnicile i Informaii i parteneril
tehnologiile folosite pentru Securitate; or de
atacuri, bunele practici Ministerul dezvoltare
pentru protecia domeniului Aprrii; . Costul
tehnologiei informaiei i Ministerul estimativ
comunicaiilor Tehnologiei 1800
Informaiei i mii
Comunicaiilor
; Centrul de
Telecomunicai
i Speciale;

NESECRET
46 din 59
NESECRET

1 2 3 4 5 6 7

Banca
Naional a
Moldovei;
Inspectoratul
Fiscal Principal
de Stat; Centrul
Naional pentru
Protecia
Datelor cu
Caracter
Personal

3.6. Desfurarea exerciiilor i Cancelaria de Ministerul Permanent Numr de Bugetul


antrenamentelor comune de Stat; Serviciul Aprrii; exerciii instituiilo
consolidare a capacitilor de Informaii Ministerul organizate; r, n
de reacie la atacuri i Securitate; Afacerilor numr de limitele
cibernetice, inclusiv de Centrul de Interne; antrenament alocaiilor
blocare a atacurilor Telecomunica e efectuate; aprobate;
cibernetice simulate ii Speciale Procuratura capacitate resursele
General; ridicat a parteneril
Ministerul reaciei la or de
Tehnologiei ameninrile dezvoltare
Informaiei i cibernetice . Costul
Comunicaiilor estimativ
900 mii

3.7. Consolidarea capacitilor Cancelaria de Serviciul de 2016-2018 Capaciti Bugetul


echipei Centrului naional Stat; Centrul Informaii i mbuntite instituiilo
de reacie la incidentele de de Securitate; r, n
securitate cibernetic pentru Telecomunica Ministerul limitele
a asigura analiza strategic a ii Speciale Afacerilor alocaiilor
incidentelor de securitate i Interne; aprobate;
coordonarea aciunilor de Ministerul resursele
rspuns la incidente de Aprrii; parteneril
securitate n sectorul public, Procuratura or de
privat i academic, inclusiv General dezvoltare
prin organizarea . Costul
trainingurilor de ctre estimativ
experi calificai 900 mii

3.8. Elaborarea mecanismelor Cancelaria de Serviciul de 2016-2018 Metode Bugetul


(modelelor) de prevenire Stat; Informaii i (modele) de instituiilo
timpurie a incidentelor de Securitate; prevenire r, n
securitate cibernetic n Centrul de Ministerul timpurie a limitele
Republica Moldova, Telecomunica Afacerilor incidentelor alocaiilor
inclusiv n baza ii Speciale Interne; de securitate aprobate;
parteneriatelor public- Ministerul cibernetice resursele
private Aprrii parteneril
or de
dezvoltare
. Costul
estimativ
432 mii

NESECRET
47 din 59
NESECRET

1 2 3 4 5 6 7

4. Prevenirea i combaterea criminalitii informatice. Costul estimativ 2916 mii lei

4.1. Elaborarea proiectului de Ministerul Ministerul 2016 Proiect de Bugetul


lege privind modificarea i Afacerilor Aprrii; lege privind instituiilo
completarea legislaiei Interne; modificarea r, n
penale i contravenionale Serviciul de Ministerul i limitele
pentru prevenirea i Informaii i Tehnologiei completarea alocaiilor
combaterea crimelor Securitate; Informaiei i Codului aprobate;
informatice n scopul Comunicaiilor penal, resursele
armonizrii continue a Procuratura Codului de parteneril
acesteia la prevederile General procedur or de
Conveniei Europene penal i dezvoltare
privind criminalitatea Codului . Costul
informatic i la deciziile contravenio nu este
Comitetului acestei nal elaborat estimat
Convenii i remis spre
examinare
Guvernului

4.2. Instruirea angajailor Institutul Ministerul 2016-2020 Numr de Bugetul


organelor de drept, Naional de Afacerilor instruiri instituiilo
specialitilor certificai n Justiie Interne; efectuate; r, n
domeniul securitii numr de limitele
cibernetice privind: Serviciul de persoane alocaiilor
Informaii i instruite aprobate;
a) depistarea, investigarea, Securitate; resursele
urmrirea penal i Procuratura parteneril
judecarea infraciunilor General or de
informatice; dezvoltare
b) legtura dintre . Costul
criminalitatea informatic, estimativ
crima organizat, 900 mii
infraciunile economice i
alte categorii de infraciuni

4.3. Implementarea Institutul Procuratura 2016 Curriculum Bugetul


recomandrilor Consiliului Naional de General; elaborat i instituiilo
Europei, n special ale Justiie; implementat r, n
proiectului EAP privind Academia Ministerul limitele
instruirea personalului tefan cel Afacerilor alocaiilor
organelor de drept Mare a Interne; aprobate;
Ministerului Serviciul de resursele
Afacerilor Informaii i parteneril
Interne Securitate; or de
Universitatea dezvoltare
Tehnic a . Costul
Moldovei; estimativ
Universitatea 900 mii
de Stat din
Moldova

4.4. Elaborarea i aprobarea Ministerul Cancelaria de 2016 Proiect de Bugetul


proiectului de lege privind Afacerilor Stat; lege instituiilo
ratificarea protocolului Interne elaborat i r, n

NESECRET
48 din 59
NESECRET

1 2 3 4 5 6 7

adiional la Convenia Serviciul de remis spre limitele


Consiliului Europei privind Informaii i examinare alocaiilor
criminalitatea informatic Securitate; Guvernului aprobate.
Procuratura Costul nu
General; este
Ministerul estimat
Afacerilor
Externe i
Integrrii
Europene

4.5 Ajustarea legislaiei Ministerul Procuratura 2016-2017 Proiect de Bugetul


naionale la prevederile Afacerilor General lege instituiilo
Conveniei Consiliului Interne elaborat i r, n
Europei pentru protecia transmis limitele
copiilor mpotriva spre alocaiilor
exploatrii i abuzurilor examinare aprobate;
sexuale i a Protocolului Guvernului resursele
adiional la Convenie parteneril
(Lanzarote, 25 octombrie or de
2007) dezvoltare
. Costul
nu este
estimat

4.6. Efectuarea unui studiu Procuratura Cancelaria de 2016 Proiect de Bugetul


pentru perfecionarea General; Stat; Ministerul modificare a instituiilo
cadrului normativ n Justiiei; cadrului r, n
domeniul prevenirii i Ministerul Ministerul normativ limitele
combaterii crimelor Afacerilor Tehnologiei elaborat i alocaiilor
informatice Interne; Informaiei i remis spre aprobate;
Serviciul de Comunicaiilor examinare resursele
Informaii i ; Centrul de Guvernului parteneril
Securitate Telecomunicai or de
i Speciale; dezvoltare
. Costul
Ministerul estimativ
Aprrii 216 mii

4.7. Consolidarea n cadrul Ministerul 2016-2019 Capaciti Bugetul


Procuraturii Generale, Afacerilor instituional instituiilo
Serviciului de Informaii i Interne; e dezvoltate r, n
Securitate i Inspectoratului Serviciul de cu limitele
General al Poliiei al Informaii i formularea, alocaiilor
Ministerului Afacerilor Securitate; dup caz, a aprobate;
Interne a capacitilor unor resursele
pentru prevenirea i Procuratura propuneri de parteneril
combaterea criminalitii General modificare a or de
informatice i, dup caz, cadrului dezvoltare
formularea unor propuneri normativ . Costul
de modificare a cadrului estimativ
normativ i crearea unui 900 mii
laborator de testare i
expertiz

NESECRET
49 din 59
NESECRET

1 2 3 4 5 6 7

5. Consolidarea capacitilor de aprare cibernetic. Costul estimativ 2232 mii lei

5.1. Elaborarea Serviciul de Procuratura 2016 Compartime Bugetul


compartimentului de Informaii i General nt elaborat instituiilo
aprare cibernetic a Securitate; i prezentat r, n
Republicii Moldova, ca Ministerul pentru a fi limitele
parte component a Aprrii; inclus n alocaiilor
Strategiei securitii Ministerul Strategia aprobat;
informaionale a Republicii Afacerilor securitii resursele
Moldova Interne informaion parteneril
ale a or de
Republicii dezvoltare
Moldova . Costul
nu este
estimat

5.2. Stabilirea autoritilor Serviciul de Cancelaria de 2016-2017 Proiect de Bugetul


responsabile i cooperarea Informaii i Stat; Centrul de act legislativ instituiilo
reciproc pe timp de pace, Securitate; Telecomunicai aprobat i r, n
n situaii de criz, asediu i Ministerul i Speciale; prezentat limitele
rzboi n cadrul spaiului Aprrii; Ministerul Parlamentul alocaiilor
cibernetic Ministerul Educaiei; ui spre aprobate;
Afacerilor adoptare resursele
Interne Ministerul parteneril
Finanelor; or de
Ministerul dezvoltare
Economiei; . Costul
Ministerul estimativ
Tehnologiei 432 mii
Informaiei i
Comunicaiilor
;

Procuratura
General

5.3. Valorificarea oportunitilor Serviciul de Ministerul 2016-2018 Politici Bugetul


spaiului cibernetic pentru Informaii i Afacerilor elaborate i instituiilo
promovarea intereselor, Securitate; Interne; aprobate r, n
valorilor i obiectivelor Ministerul limitele
naionale n spaiul Tehnologiei Ministerul alocaiilor
cibernetic Informaiei i Aprrii; aprobate;
Comunicaiilo Procuratura resursele
r General, parteneril
or de
Centrul dezvoltare
Naional pentru . Costul
Protecia nu este
Datelor cu estimat
Caracter
Personal

5.4. Dezvoltarea capabilitilor Ministerul Serviciul de 2016-2017 Capabiliti Bugetul


militare de protecie a Aprrii Informaii i dezvoltate instituiilo
infrastructurii i serviciilor Securitate; r, n

NESECRET
50 din 59
NESECRET

1 2 3 4 5 6 7

critice destinate aprrii Ministerul limitele


naionale Afacerilor alocaiilor
Interne; aprobate;
Ministerul resursele
Tehnologiei parteneril
Informaiei i or de
Comunicaiilor dezvoltare
. Costul
estimativ
900 mii

5.5. Stabilirea programelor de Serviciul de Ministerul 2016-2017 Personal Bugetul


contientizare i educare a Informaii i Afacerilor instruit instituiilo
personalului destinat Securitate; Interne; r, n
securitii i aprrii limitele
naionale n domeniul Ministerul Ministerul alocaiilor
securitii cibernetice Aprrii Tehnologiei aprobate;
Informaiei i resursele
Comunicaiilor parteneril
; or de
Ministerul dezvoltare
Educaiei . Costul
estimativ
900 mii

5.6. Stabilirea relaiilor de Serviciul de Ministerul 2016-2018 Proceduri de Bugetul


cooperare cu instituiile Informaii i Afacerilor cooperare instituiilo
naionale i cele Securitate; Interne; stabilite r, n
internaionale din domeniu Ministerul Ministerul limitele
Aprrii Afacerilor alocaiilor
Externe i aprobate;
Integrrii resursele
Europene; parteneril
or de
Ministerul dezvoltare
Tehnologiei . Costul
Informaiei i nu este
Comunicaiilor estimat

6. Educarea i informarea continu n domeniul securitii cibernetice . Costul estimativ 10089 mii lei

6.1. Elaborarea conceptului Cancelaria de Ministerul 2016-2017 Concept al Bugetul


campaniilor de informare i Stat; Afacerilor campaniilor instituiilo
contientizare despre Interne; de r, n
riscurile spaiului cibernetic Ministerul informare limitele
Tehnologiei Procuratura aprobat alocaiilor
Informaiei i General; aprobate;
Comunicaiilo resursele
r Serviciul de
Informaii i parteneril
Securitate; or de
Centrul de dezvoltare
Telecomunicai . Costul
i Speciale; estimativ
900 mii

NESECRET
51 din 59
NESECRET

1 2 3 4 5 6 7

Centrul de
Guvernare
Electronic;
Centrul
Naional pentru
Protecia
Datelor cu
Caracter
Personal

6.2. Completarea curriculumului Ministerul Ministerul 2016-2018 Curriculum Bugetul


de nvmnt n domeniul Educaiei Tehnologiei aprobat instituiilo
securitii cibernetice Informaiei i r, n
Comunicaiilor limitele
; alocaiilor
aprobate;
Centrul de resursele
Guvernare parteneril
Electronic; or de
Universitatea dezvoltare
Tehnic a . Costul
Moldovei; estimativ
Universitatea 432 mii
de Stat din
Moldova;
Centrul
Naional pentru
Protecia
Datelor cu
Caracter
Personal

6.3. Crearea unui portal cu Cancelaria de Ministerul 2016-2018 Portal Bugetul


anunarea operativ a Stat; Centrul Tehnologiei funcional instituiilo
pericolelor din spaiul de Informaiei i creat r, n
cibernetic (digital) Telecomunica Comunicaiilor limitele
ii Speciale alocaiilor
aprobate;
resursele
parteneril
or de
dezvoltare
. Costul
estimativ
900 mii

6.4. Stabilirea cerinelor de Ministerul Serviciul de 2016-2018 Numr de Bugetul


competen n domeniul Tehnologiei Informaii i specialiti instituiilo
securitii cibernetice pentru Informaiei i Securitate; certificai r, n
personalul din sectorul Comunicaiilo Ministerul limitele
public i privat, precum i r Afacerilor alocaiilor
organizarea procesului de Interne; aprobate;
instruire, evaluare i Procuratura resursele
certificare a specialitilor General; parteneril
pentru acest domeniu Centrul de or de

NESECRET
52 din 59
NESECRET

1 2 3 4 5 6 7

Telecomunicai dezvoltare
i Speciale; . Costul
estimativ
Ministerul 432 mii
Aprrii

6.5. Organizarea i efectuarea Ministerul Serviciul de Permanent Numr de Bugetul


trainingurilor i Tehnologiei Informaii i traininguri instituiilo
workshopurilor n domeniul Informaiei i Securitate; i r, n
securitii cibernetice pentru Comunicaiilo Ministerul workshopuri limitele
personalul din sectorul r; Afacerilor efectuate alocaiilor
public i privat, deintorii Interne; aprobate;
de elemente de Centrul de Procuratura resursele
infrastructur critic Telecomunica General; parteneril
ii Speciale Ministerul or de
Aprrii; dezvoltare
. Costul
Centrul de nu este
Guvernare estimat
Electronic;
Universitatea
Tehnic a
Moldovei;
Universitatea
de Stat din
Moldova

6.6. Crearea unui laborator de Centrul de Ministerul 2016-2018 Laborator Bugetul


securitate cibernetic Telecomunica Tehnologiei creat instituiilo
ii Speciale; Informaiei i r, n
Universitatea Comunicaiilor limitele
Tehnic a ; alocaiilor
Moldovei aprobate;
Ministerul resursele
Aprrii parteneril
or de
dezvoltare
. Costul
estimativ
7425
mii

7. Cooperarea i interaciunea internaional n domeniul securitii cibernetice . Costul estimativ 648


mii lei

7.1. ncheierea acordurilor de Cancelaria de Serviciul de 2016-2018 Numr de Bugetul


cooperare cu alte echipe Stat; Informaii i acorduri instituiilo
naionale de rspuns la Ministerul Securitate; ncheiate r, n
incidentele legate de Tehnologiei Ministerul limitele
securitatea cibernetic Informaiei i Afacerilor alocaiilor
(CERT), precum i US Comunicaiilo Interne; aprobate;
CERT, europene i nord- r; Ministerul resursele
atlantice (NATO NCERT) Aprrii Procuratura parteneril
General or de
dezvoltare
. Costul

NESECRET
53 din 59
NESECRET

1 2 3 4 5 6 7

nu este
estimat

7.2. Elaborarea unei platforme Cancelaria de Serviciul de 2016-2018 Platform Bugetul


de coordonare i consultare Stat; Informaii i de instituiilo
n ceea ce privete evaluarea Securitate; coordonare r, n
ameninrilor cibernetice i Ministerul Ministerul i consultare limitele
identificarea soluiilor Tehnologiei Afacerilor elaborat i alocaiilor
Informaiei i Interne; aprobat aprobate;
Comunicaiilo resursele
r Ministerul parteneril
Aprrii; or de
Procuratura dezvoltare
General; . Costul
estimativ
Centrul de 648 mii
Telecomunicai
i Speciale

7.3. Dezvoltarea cooperrii cu Cancelaria de Ministerul 2016-2019 Numr de Bugetul


sectorul privat (identificarea Stat; Afacerilor aplicaii instituiilo
unor aplicaii necesare Ministerul Interne; identificate; r, n
implementrii msurilor de Tehnologiei numr de limitele
securitate; nfiinarea de Informaiei i Serviciul de puncte de alocaiilor
puncte de contact n vederea Comunicaiilo Informaii i contact; aprobate;
asigurrii solicitrii unor r Securitate; resursele
date i informaii conform Agenia sistem parteneril
prevederilor legale i Naional de modern de or de
stabilirea unui sistem Reglementare transmitere dezvoltare
modern de transmitere a n Comunicaii a . Costul
solicitrilor; realizarea de Electronice i solicitrilor; nu este
ntruniri periodice n cadrul Tehnologia estimat
Informaiei; numr de
unor forumuri de dezbateri ntruniri
pentru cunoaterea mai Procuratura realizate
bun a situaiei operative i General
pentru nelegerea nevoilor
fiecrei instituii)

7.4. Promovarea intereselor Ministerul Ministerul Permanent Interese Bugetul


naionale de securitate Tehnologiei Afacerilor naionale instituiilo
cibernetic n formatele Informaiei i Externe i promovate r, n
internaionale de cooperare Comunicaiilo Integrrii n formate limitele
la care particip Republica r; Ministerul Europene; internaional alocaiilor
Moldova Afacerilor e de aprobate;
Interne; Cancelaria de cooperare resursele
Stat; parteneril
Ministerul or de
Aprrii; Centrul de
Telecomunicai dezvoltare
Serviciul de i Speciale; . Costul
Informaii i Centrul de nu este
Securitate; Guvernare estimat
Procuratura Electronic
General

7.5. Promovarea cooperrii Ministerul Ministerul Permanent Numr de Bugetul

NESECRET
54 din 59
NESECRET

1 2 3 4 5 6 7

dintre universitile din Educaiei Tehnologiei ntruniri instituiilo


Moldova i liderii mondiali Informaiei i realizate r, n
n instruirea i certificarea Comunicaiilor limitele
n domeniul securitii ; alocaiilor
cibernetice, cum ar fi (ISC) aprobate;
2, ISACA, SANS universitile resursele
din Republica parteneril
Moldova or de
dezvoltare
. Costul
nu este
estimat

7.6. Stabilirea i dezvoltarea Ministerul Ministerul 2016-2019 Numr de Bugetul


relaiilor cu comunitatea Educaiei; Afacerilor relaii instituiilo
internaional de cercetare Externe i stabilite r, n
n domeniile specifice care Academia de Integrrii limitele
stau la baza securitii tiine a Europene; alocaiilor
cibernetice Moldovei aprobate,
Ministerul resursele
Tehnologiei parteneril
Informaiei i or de
Comunicaiilor dezvoltare
; . Costul
Institutul nu este
Dezvoltrii estimat
Societii
Informaionale

7.7. Stabilirea i dezvoltarea Ministerul Ministerul 2016-2018 Centru de Bugetul


relaiilor cu liderii mondiali Educaiei Tehnologiei excelen instituiilo
n domeniul securitii Informaiei i creat r, n
cibernetice pentru a crea un Comunicaiilor limitele
Centru de excelen pentru ; alocaiilor
cercetare i dezvoltare n aprobate;
Republica Moldova Academia de resursele
tiine a parteneril
Moldovei; or de
Institutul dezvoltare
Dezvoltrii . Costul
Societii nu este
Informaionale estimat

CERINELE MINIME OBLIGATORII DE SECURITATE CIBERNETIC I.


Dispoziii generale 1. Cerinele minime obligatorii de securitate cibernetic (n
continuare Cerine) se aplic: a) n cadrul Cancelariei de Stat, ministerelor, altor
autoriti administrative centrale subordonate Guvernului, inclusiv structurilor
organizaionale din sfera lor de competen (autoritile administrative din

NESECRET
55 din 59
NESECRET

subordine, serviciile publice desconcentrate i cele aflate n subordine, instituiile


publice n care Cancelaria de Stat, ministerul sau alt autoritate administrativ
central are calitatea de fondator), autoritilor administrative autonome i
unitilor cu autonomie financiar (n continuare - instituii); b) echipamentelor
(hardware) i produselor program (software) existente n cadrul fiecrei instituii:
c) sistemelor informatice, resurselor i sistemelor informaionale existente in
instituie (denumite n continuare - sisteme), precum i celor aflate la etapa de
elaborare, testare i implementare. 2. Cerinele minime obligatorii de securitate
cibernetic, dup domeniul de aplicare, snt de dou categorii: a) nivelul 1 - de
securitate cibernetic de baz (utilizare TIC n activitatea institu iei); b) nivelul 2 -
de securitate cibernetic avansat (utilizare TIC n activitatea instituiei i prestare
servicii bazate pe TIC). 2 1 Aceste cerine nu se aplic n cazul sistemelor
informaionale i reelelor de comunicaii speciale, atribuite la secretul de stat. 3. n
alte cazuri, prevzute de legislaia n vigoare, se aplic cerinele speciale de
securitate cibernetic. 4. n sensul prezentelor Cerine, urmtoarele noiuni
principale semnific: autentificarea multifactorial - autentificarea cu cel pu in doi
factori de autentificare independeni; cerinele minime obligatorii de securitate
cibernetic CMCS (sistemul de management al securitii cibernetice) - include
toate politicile, procedurile, planurile, procesele, practicile, rolurile,
responsabilitile, resursele si structurile care sunt folosite pentru a proteja i pstra
intact informaia; paravan de protecie (firewall) un dispozitiv sau o serie de
dispozitive configurate n aa fel nct s filtreze, s cripteze sau s intermedieze
traficul ntre diferite domenii de securitate pe baza unor reguli predefinite; 2
actualizare procedeu de modificare a unor fi iere i aplica ii ale calculatorului
sau crearea unor noi; protecie malware msur tehnic de securitate, efectuat
prin folosire de programe de antivirus , n scop de protec ie cibernetic;
antispyware msur tehnic de securitate, efectuat prin folosire de programe, n
scop de prevenire a intruziunii cibernetice; test de penetrare evaluarea securit ii
cibernetice a unui sistem mpotriva diferitelor tipuri de atacuri; Ali termeni sunt
utilizai n sensul definit de Legea nr. 467-XV din 21.11.2003 cu privire la
informatizare i la resursele informaionale de stat, Legea nr.1069-XIV din
22.06.2000 cu privire la informatic i Hotrrea Guvernului nr. 811 din
29.10.2015 cu privire la Programul naional de securitate cibernetic a Republicii
Moldova pentru anii 2016-2020. II. Organizarea sistemului intern de securitate
cibernetic 5. Conductorul autoritii poart rspundere pentru asigurarea
securitii cibernetice n instituie. 6. Conductorul autoritii desemneaz prin act
administrativ persoana (subdiviziunea) responsabil de punerea n aplicare a
sistemului de management al securitii cibernetice n instituie i prezint
Ministerului Tehnologiei Informaiei i Comunicaiilor informaia respectiv n

NESECRET
56 din 59
NESECRET

termen de cinci zile lucrtoare de la desemnarea acesteia. 7. Persoana responsabil


are urmtoarele atribuii: a) organizeaz sistemul de management al securit ii
cibernetice n instituie conform CMSC; b) Particip, cel puin o dat pe an, la
cursuri de formare, organizate de MTIC privind securitatea cibernetic i
organizeaz, respectiv cursuri pentru angajaii instituiei; c) asigur elaborarea,
implementarea i respectarea prevederilor urmtoarelor documente: planului de
aciuni pentru asigurarea securitii cibernetice al instituiei, politica de securitate
cibernetic a instituiei, planul de instruire i responsabilizare n securitatea
cibernetic a personalului, regulamentele interne de securitate cibernetic,
procedurile de recuperare. 8. Setul de documente se aprob de conductorul
instituiei i trebuie s fie revizuit cel puin o dat pe an, dac: a) modificarea
sistemului poate afecta securitatea acestuia; b) au fost descoperite noi ameninri la
securitatea sistemului; c) s-a constatat o cretere brusc a incidentelor de securitate
asupra sistemului sau s-a depistat cel puin un incident semnificativ de securitate a
sistemului; d) persoana/subdiviziunea organizatoric responsabil de sistemul de
securitatea cibernetic a fost restructurat; e) au fost modificate i/sau completate
legi i/sau acte normative care reglementeaz funcionarea sistemului. 9. Sistemul
de securitate cibernetic asigur : 3 a) disponibilitatea informaiei (accesul la
informaie pentru o anumit perioada de timp specificat, conform specifica iilor
tehnice); b) integritatea informaiei (pstrarea informaiei cu toate atributele sale
iniiale i modificare ei doar de persoanele autorizate); c) confidenialitatea
informaiei (acces la informaie doar persoanelor autorizate i doar la datele
prestabilite pentru acces); d) protecia echipamentelor i produselor program
(calculatoare, software, sisteme de stocare a datelor, echipamente de reea i alte
echipamente tehnice; e) identificarea i remedierea vulnerabilitilor; f) efectuarea
copiilor de rezerv i stabilirea procedurilor de recuperare. 10. Politica de
securitate cibernetic, n calitate de document instituional, include: a) Scopul i
obiectivele; b) principiile de organizare intern a managementului de securitate
cibernetic; c) analiza situaiei i vulnerabilitilor (disponibilitate, integritate i
confidenialitate a datelor, precum i analiza riscurilor i cilor de remediere; d)
declaraia managementului instituiei susinere a scopului i principiilor securitii
cibernetice n instituie. 11. Planul de instruire i responsabilizare n securitatea
cibernetic a personalului instituiei include: a) Instruire n igiena i etica
cibernetic (programe/cursuri de formare n domeniul securitii cibernetice); b)
Msurile de securitate intern privind activitatea personalului (autorizaie de acces,
stabilirea drepturilor, obligaiilor, restriciilor, responsabilizarea angajailor,
monitorizarea, proceduri de asisten ale utilizatorilor n cazuri de urgen ); c)
Msurile de securitate privind activitatea personalului/companiilor externe
cooptate (coordonarea responsabilitilor, acorduri de nedivulgare, autorizaie de

NESECRET
57 din 59
NESECRET

acces, monitorizare, planul de contingen (interven) pentru suspendarea


operaiunilor de externalizare). 12. Regulamentele interne de securitate cibernetic
prevd: a) dezvoltarea, actualizarea, modificarea, mentenana sistemelor
informaionale; b) gestionarea activelor i facilitilor de comunicaii electronice i
tehnologia informaiei; c) stocarea copiilor de rezerv a datelor, precum i
procedurile de control; d) pstrarea datelor de acces, de jurnalizare a activitilor;
e) monitorizarea securitii sistemului; f) reguli de gestionare a evenimentelor de
securitate; g) proceduri de utilizare a datelor n cazuri excepionale (de urgent) h)
proceduri de evaluare a securitii cibernetice. 13. Procedurile de recuperare
includ: a) stabilirea procedurilor privind copierea de rezerv i de recuperare n
cazul unui incident de securitate cibernetic; 4 b) descrierea aciunilor msurabile
de recuperare; c) atribuirea responsabilitilor pentru restabilirea funcionalitilor;
d) stabilirea procedurilor de notificare. III. Cerinele minime obligatorii de
securitate cibernetic de nivelul 1 (utilizare TIC n activitatea instituiei) 14.
Controlul accesului a) Drepturile, obligaiile, restriciile i responsabilit ile
utilizatorilor urmeaz a fi stabilite de ctre persoana responsabil de proces i
comunicat ntr-o form stabilit responsabilului/subdiviziunii de securitate
cibernetic; b) persoana, care desfoar activiti de administrare a sistemului,
utilizeaz conturi diferite pentru funcii de administrare i funcii de utilizator; c)
fiecare cont de utilizator este asociat cu o persoan anumit. n cazul n care
sistemul prevede neadmiterea utilizrii acestor conturi de ctre alte persoane,
atunci sistemul trebuie s includ mijloace tehnice speciale, care s nu admit
utilizarea acestor conturi de ctre persoane tere; d) n cazul n care sistemul nu
este utilizat pentru autentificarea multifactorial, adic nu este un atribut de o
natur static (de exemplu, simbolic, un mesaj de cod-text de unic folosin), dar
este un atribut de alt natur, utilizatorii sistemului trebuie s utilizeze o parol; e)
utilizatorul sistemului trebuie s foloseasc n calitate de parol combinaie din
numere (0-9), caractere latine (minuscule i majuscule) i simboluri speciale (!#%),
constituite din numrul minim de caractere, stabilit prin regulamentul intern de
securitate, dar nu mai puin de 7 caractere; f) se interzice stocarea electronic i
transportarea n form necriptat a parolelor utilizatorilor sistemului, inclusiv a
procesului de autentificare a utilizatorilor. Se admite transportarea acestora prin
reea public necriptat doar n cazul utilizrii unei parolei de o singur folosin,
cu o valabilitate de 48 de ore din momentul transmiterii acestora; g) sistemul
trebuie s dispun de mecanisme de gestiune a parolelor precum i s asigure
autentificarea i identificarea utilizatorului pentru o perioad limitat de timp; h)
nu se admite utilizarea n echipamentele i produsele program a parolelor implicite
(de la productor); i) datele despre activitile n sistem (jurnalizarea) se stocheaz
n timp real i se pstreaz pe perioada stabilit prin regulamentul intern de

NESECRET
58 din 59
NESECRET

securitate, dar nu mai puin de 6 luni; j) orice activitate n sistem trebuie s poat fi
identificat ntr-un anumit cont de utilizator sau adres IP; k) managementul
drepturilor de utilizator trebuie s asigure, ca fiecare utilizator s poat face uz
doar de drepturile sale. Verificarea activitilor n sistem se realizeaz periodic, la
etape de timp stabilite conform regulamentului intern de securitate, dar nu mai rar
de odat la 6 luni; 5 l) Managementul controlului accesului trebuie s fie setat ca s
permit acces autorizat din reea extern prin Internet, doar cu o parol de o
singur folosin, inclusiv prin semntura electronic din cadrul serviciului
electronic guvernamental de autentificare i control al accesului (MPass). 15.
Securitatea fizic a) Delimitarea clar a perimetrului rezervat diferitor grupuri de
echipamente IT, alctuirea planurilor camerelor de servere i a reelelor;
b)Asigurarea condiiilor de nclzire, ventilare i aer condiionat a ncperilor
specializate; c) Asigurarea accesului n spaiile specializate, strict conform
competenelor; d)Asigurarea securitii energetice, prin utilizarea unor dispozitive
conforme normativelor n vigoare i cu protecie la suprasarcin; e) Asigurarea
mentenanei adecvate, conform cerinelor tehnice; f) Evidena echipamentelor i
produselor program, utilizare n cadrul instituiei. 16. Securitatea opera ional a)
Echipamentele i produsele program trebuie s fie protejate ca s asigure
operaionalitatea sistemelor; b) Pe calculatoarele conectate la reeaua Internet,
trebuie s fie instalat, cel puin: - un sistem de operare cu actualizrile curente
aplicate; - program antivirus activat i actualizat; - paravan de protecie (firewall)
activat; - instalare caracteristici de blocare automat a sistemului n caz de
neutilizare a acestuia (screen saver, log-off). c) Controlul tehnic se efectueaz
periodic, conform regulamentului intern de securitate, i vizeaz: - Securitatea
reelelor, nodurilor i liniilor majore de interconectare cu reele externe; -
Evaluarea necesitilor de instalare i utilizare a echipamentelor fr fir, conform
regulamentului intern de securitate, securizarea conexiunilor fr fir (autorizarea
echipamentelor i criptarea datelor); - Securitatea serverelor web, DNS i DHCP; -
Securitatea serverelor cu baze de date (instalarea n zona Intranet, configurarea
reelei pentru a elimina acces direct din reeaua extern); - Securitatea
echipamentelor de reea (router, comutator, caracteristici de control al accesului); -
Starea caracteristicilor de securitate cibernetic; - Administrarea pachetelor de
actualizare a produselor program privind securitatea cibernetic; - Verificarea
vulnerabilitilor sistemelor i remedierea deficienelor; - Cerine privind
securitatea la utilizarea reelei Internet. d) Aplicarea cerinelor de securitatea
cibernetic la utilizarea reelelor: 6 - Caracteristici ale echipamentelor i produselor
program pentru gestionarea fluxului de la/ctre utilizatori, conform regulamentului
intern de securitate; - Serviciile de reea care nu sunt utilizate trebuie s fie
dezactivate; - Echipamentele active de reea trebuie configurate i testate astfel,

NESECRET
59 din 59
NESECRET

nct s asigure izolarea reelei private de reelele adiacente. e) Elaborarea planului


de continuitate, care va asigura restaurarea caracteristicilor sistemului i a datelor,
n caz de incident de securitate, care s includ: - Procedura de efectuare a copiilor
de rezerv (back-up) a datelor, aplicaiilor i sistemelor (automata/manual,
periodicitatea i durata disponibilitii); - Coninutul copiei de rezerv (date,
aplicaii, sisteme); - Amplasarea copiei/copiilor de rezerv; - Testarea periodic a
copiilor de rezerv; - Procedura de recuperare/restaurare a datelor, aplicaiilor i
sistemelor; - Procedura de constatare a necesitii efecturii altor copii de rezerv.
f) Stabilirea mecanismului de scoaterea din uz a echipamentelor, distrugerea
datelor ce le conin i reutilizarea lor; g)Stabilirea cerinelor de securitate i
restricii pentru echipamentele personale utilizate n cadrul instituiei. 17. Schimb
securizat de date i de comunicri a) Aplicarea ghidului de utilizare a serviciilor
sistemului de pot electronic, aprobat ca document tehnic pentru toate
autoritile sus menionate i obligarea personalului privind: - verificarea
chenarului cu adrese nainte de expediere a corespondenei i a destinatarului,
pentru a evita erorile; - precauie fa de coninutul mesajelor recepionate,
verificarea datelor expeditorului/companiei, n mod special de la expeditori
necunoscui, privind eventuala falsificare a identitii pentru a ascunde adevrata
sa origine; - verificarea i scanarea antivirus a anexelor la mesaje recepionate i a
extensiilor acestora. b) Interzicerea: - redirecionrii automate a mesajelor din
pota de serviciu spre alte conturi personale/private; - utilizrii potei electronice
de serviciu pentru a expedia sau redireciona mesaje considerate obscene,
amenintoare, ofensatoare, calomnioase defimtoare, rasiste, pornografice, de
hruire, mesaje de ur, remarci discriminatorii i alte mesaje anti-sociale; -
transmiterii/retransmiterii n lan a mesajelor cu divers coninut irelevant pentru
activitatea de serviciu; - utilizrii potei electronice de serviciu pentru obinerea
unui ctig material, n scopuri personale, politice sau de alt gen; - distribuirea
materialelor protejate de drepturi de autor; 7 - transmiterea informaiilor
confideniale prin mesaje electronice nesecurizate; - utilizarea potei electronice de
serviciu pentru rspndirea viruilor de calculator, de infiltrare n sisteme,
deteriorare sau distrugere a datelor, produse program i echipamente, sau ce duc la
degradarea sau perturbarea performanei reelei; - ascunderea i ncercarea de a
ascunde identitatea atunci cnd este trimis un mesaj prin pota electronic de
serviciu. c) Limitarea accesului personalului la coninut obscen i antisocial, a
descrcrii coninutului protejat de drepturi de autor, utilizarea neconform a
informaiilor de serviciu si distribuirea lor, descrcarea materialelor din surse
necunoscute, precum i alte activiti ce contravin obiectivelor instituiei. IV.
Cerinele minime obligatorii de securitate cibernetic de nivelul 2 (utilizare TIC in
activitatea instituiei i prestare servicii bazate pe TIC) Suplimentar cerinelor din

NESECRET
60 din 59
NESECRET

Capitolul III Cerine minime obligatorii de securitate cibernetic de nivelul 1, n


cazul instituiilor ce presteaz servicii bazate pe TIC, doar pentru infrastructura
respectiv, se aplic urmtoarele cerine avansate. 18. Controlul accesului a)
Parolele utilizatorilor de sistem trebuie s fie modificate nu mai trziu de 90 de zile
calendaristice, cu limitarea posibilitii de modificare manual a acesteia nu mai
des de dou ori n decursul a 24 de ore; b) parolele trebuie s fie stabilite astfel,
nct s nu coincid cu oricare dintre cele cinci parole, utilizate anterior; c) contul
utilizatorului trebuie s fie blocat imediat, dac utilizatorul a folosit parola incorect
de trei ori consecutiv, cu excepia contului administratorului de sistem. Pentru
aceste cazuri se stabilete procedura de reactivare a contului utilizatorului; d)
contul de acces al administratorului, n cazul accesrii de la distana a sistemului,
inclusiv a echipamentelor care nu se afl n posesia instituiei, este asigurat doar cu
autentificare multifactorial i utilizarea unui canal securizat de comunicaii; e)
accesul fizic la echipamentele care asigur funcionarea sistemului trebuie s fie
permis de ctre instituie doar persoanelor autorizate; f) instituia trebuie s asigure
pstrarea pe o perioad de cel puin 6 luni, a nregistrrilor accesului n sistem,
ncepnd cu prima accesare a utilizatorului. 19. Securitatea fizic a) Accesul n
spaiul rezervat pentru echipamentele IT se realizeaz conform atribuiilor stabilite
n fia postului, prin utilizarea unor mecanisme de securizare avansat. Accesrile
se monitorizeaz i se nregistreaz, inclusiv perioada de valabilitate a accesului i
suspendarea acestuia n cazul eliberrii din funcie. b)Securitatea energetic,
prevede implementarea msurilor de protecie i control a surselor de alimentare:
utilizarea unor dispozitive de protecie la 8 suprasarcin, surse de tensiune
nentrerupte, generatoare electrice de rezerv i cablare alternativ. Cablurile de
alimentare cu energie electric trebuie s fie protejate. Sursele de alimentare UPS
se vor instala obligatoriu la centrele de date, pentru a menine funcionarea pe
timpul deconectrilor de reea, pn la conectarea la surse alternative de energie. c)
Echipamentele utilizate n sistemul informatic trebuie amplasate i protejate astfel,
nct s fie redus riscul deteriorrii lor n cazul calamitilor naturale i altor
accidente; d)Prevenirea, detectarea i stingerea incendiilor; interzicerea fumatului
n aria rezervat echipamentelor IT, nlturarea materialelor inflamabile, utilizarea
detectoarelor de cldur i fum, dotarea cu stingtoare de incendii, utilizarea
dispozitivelor de alarm, instruirea personalului pentru cazuri de urgen ; e)
Protecia mpotriva inundaiilor i a excesului de umiditate care implic dotarea
perimetrului IT cu detectoare de umiditate, conectate la dispozitive de alarm; f)
Asigurarea condiiilor de nclzire, ventilare i aer condiionat; asigurarea unui
mediu ambiental controlat, conform cerinelor tehnice. 20. Securitatea operaional
a) Instalarea/operarea n nodurile ce interacioneaz cu reele externe a sistemului
de securitate cibernetic pentru prevenirea intruziunilor (IPS) i/sau a sistemului de

NESECRET
61 din 59
NESECRET

depistare a intruziunilor (IDS); b) Instalarea/utilizarea registrului evenimentelor cu


urmtoarele caracteristici: - pstrarea datelor cel puin pentru 12 luni; -
nregistrrile activitilor utilizatorilor n sistem sunt create cu indicarea corect a
timpului care trebuie s coincid efectiv cu timpul universal coordonat (UTC) al
organului competent; - sistemul nregistreaz coninutul monitorizrii planificate i
analiza, n scopul de a detecta incidentele. Datele minime nregistrate sunt: numele
utilizatorului, timpul i IP adresa; - sistemul va fi dotat cu un mecanism de filtrare/
gestionare a mesajelor de eroare generate c) Aplicarea regulilor de utilizare de
ctre instituie a dispozitivelor mobile aprobate ca document tehnic pentru toate
autoritile sus menionate, ce vor include: - cerine pentru protecia fizic i
responsabilizarea utilizatorilor; - aplicarea politicii de gestionare a componentelor
produselor de program, inclusiv a pachetelor de actualizri; - aplicarea politicii de
gestionare a resurselor informaionale pentru echipamentele de reea; - prevederi
privind controlul accesului; - tehnici criptografice; - protecia antivirus; -
dezactivarea accesului la dispozitivul mobil de la distan, n scopul prevenirii
tergerii informaiei sau blocrii acestuia; 9 - aplicarea politicilor de gestiune a
copiilor de rezerv. d)Implementarea mecanismelor de prevenire i depistare
prompt a instalrii i utilizrii neautorizate a punctelor de acces la re elele fr fir
n cadrul instituiei; e) Managementul evoluiilor IT prevede implementarea unor
proceduri care s ofere sigurana c sunt ndeplinite urmtoarele condiii: -
Descrierea procesului de modificri/aprobri a persoanelor autorizate, testrilor i
rapoartelor planificate; - Actualizrile se efectueaz la timp i sunt complete; -
Gestiunea fielor de schimbri/intervenii; - Actualizarea manualelor de
instalare/utilizare, n concordan cu ultima versiune de sistem; -
Gestiune/evidena versiunilor produselor program utilizate i documentaiei
tehnice. f) Managementul mijloacelor de stocare extern prevede: - Datele
confideniale sau importante, stocate pe suport amovibil sunt criptate; -
Multiplicarea copiilor se realizeaz la necesitate i pe dispozitive separate; -
Personalul ce utilizeaz mijloacele de stocare extern urmeaz a fi instruite
corespunztor; - La scoaterea din uz, a mijloacelor de stocare care conin informaii
cu grad de clasificare, datele de pe mijlocul de stocare se extrag, iar echipamentul
se distruge. g)Analiza riscurilor se efectueaz periodic, dar nu mai rar de o dat la
doi ani, i servete pentru ajustarea politicii de securitate cibernetic i a
regulamentelor interne; h)Efectuarea separrii sarcinilor pentru urmtoarele
categorii de activiti n domeniul TI: - proiectarea i programarea sistemelor; -
administrarea i ntreinerea sistemelor; - introducerea datelor; - securitatea
cibernetic; - administrarea bazelor de date; - managementul modificrilor i
dezvoltrii sistemului informatic. i) Efectuarea auditului intern de securitate,
efectuat anual pn la finele lunii ianuarie a anului urmtor de ctre subdiviziunile

NESECRET
62 din 59
NESECRET

responsabile de tehnologia informaiei, verific: - Eliminarea de pe calculatoarele


instituiei conectate la Internet, a datelor i programelor care nu snt necesare; -
Prezena paravanului de protecie. Dac necesitile cer conectarea direct la
Internet cu riscuri minime, se utilizeaz includerea n configuraie a unei protecii
de tip "firewall" pentru a facilita controlul traficului ntre reeaua entitii i
Internet, dar i pentru a stopa intruziunea pachetelor de date externe, neautorizate;
10 - Protecie mpotriva viruilor informatici prin implementarea unei proceduri
privind utilizarea unei soluii antivirus care s ofere: aplicarea acestea n toate
serverele i staiile de lucru; actualizarea fiierului de definiii antivirus; interdic ia
dezactivrii antivirusului de ctre utilizatori la staia proprie de lucru; antivirusul
scaneaz toate fiierele (pe server i pe staiile de lucru) automat, n mod periodic;
- Detectare i corectare a altor modificri neautorizate a configurrilor, realizate de
ctre utilizatori i ce sporesc riscurile de securitate cibernetic. j) Efectuarea
periodic a testului de penetrare a sistemelor informaionale automatizate de
importanta major se efectueaz n conformitate cu politica de securitate
cibernetic a instituiei. Rezultatele testului sunt prezentate MTIC, n termen de o
lun, mpreun cu planul de remediere a deficienelor depistate. V. Cerinele
minime obligatorii de asigurare a securitii cibernetice la achiziia sistemelor
informaionale noi sau actualizarea celor existente 21. La iniierea achizi iilor de
sisteme informaionale automatizate noi sau actualizarea celor existente, instituia
trebuie s asigure includerea n documentaia de achiziii, ca parte a cerin elor non-
funcionale, urmtoarele cerine: a) Suportul anumitor sisteme de securitate i de
mentenan (inclusiv nlturarea lacunelor de securitate ale sistemului, ntr-o
perioad prestabilit); b) Transmiterea ctre instituie a dreptului de autor asupra
codul surs a produselor program; c) Stabilirea perioadei de timp n care se
efectueaz actualizrile propriu zise; d) Sistemul de securitate cibernetic poate
prevedea caracteristici mai stricte dect cele prevzute n prezentele Cerin e, dar n
msura n care nu intr n conflict cu legislaia n vigoare; e) nainte de
achiziionarea unui nou sistem sau dezvoltarea celui existent, instituia elaboreaz
i aprob politica de securitate i se asigur c sistemele noi, pe parcursul
dezvoltrii lor, vor fi conforme prezentelor Cerine; f) nainte de a pune n
funciune un nou sistem, instituia trebuie s se asigure c caracteristicile de
securitate ale acestuia funcioneaz conform cerinelor prestabilite, prin efectuarea
de o ter parte a testelelor respective; g)Instituia asigur efectuarea periodic a
auditului de securitate a sistemului, n conformitate cu documentaia tehnic
aprobat; h)Dezvoltarea i testarea sistemului nu trebuie s fie sau s prezinte un
pericol pentru integritatea datelor stocate n sistem. VI. Cerine de securitate la
externalizarea administrrii/mentenanei sistemelor 22. n cazul n care instituia
externalizeaz serviciile de administrare i mentenan a sistemelor informaionale

NESECRET
63 din 59
NESECRET

i ncheie un contract cu furnizorul extern 11 de servicii, contractul trebuie s


includ i cerine de securitate. Contractul va stabili, cel puin: a) Prestatorul de
servicii, n realizarea prevederilor contractuale, trebuie s urmeze reglementrile
interne de securitate cibernetic ale instituiei; b) descrierea serviciilor
externalizate; c) cerine precise pentru volumul i calitatea serviciilor externalizate
documentate ca Service Level Agreement (SLA); d) drepturile i obliga iile
instituiei i prestatorului de servicii externalizate: - dreptul instituiei de a
monitoriza continuu calitatea serviciilor furnizate; - dreptul institu iei pentru a
nainta prestatorului extern de servicii un titlu executoriu cu privire la aspectele
legate de externalizarea de bun-credin, de nalt calitate, executarea la timp i
corect a legilor i a regulamentelor; - dreptul instituiei de a nainta prestatorului
extern de servicii o cerere scris motivat pentru ncetarea imediat a contractului
de externalizare, n cazul n care instituia a constatat c prestatorul extern de
servicii nu respect cerinele contractului de externalizare privind valoarea sau
calitatea serviciului; - obligaia prestatorului extern de servicii de a furniza
instituiei informaia privind monitorizarea continu a calitii serviciilor de
externalizare prestate; - dreptul de audit a prestatorului de serviciu, dac au fost
notificate nonconformiti critice. VII. Rspunsul la incidente, continuitatea
proceselor i recuperarea 23. Planul de rspuns la incidente a) Instituia trebuie s
elaboreze i s pun n aplicare planul de rspuns de incidente cibernetice; b) n
cazul unor nclcri ale securitii cibernetice, persoana responsabil/subdiviziunea
asigur imediata notificare, nregistrare i verificare a incidentelor de securitate
cibernetic i punerea n aplicare a msurilor de contracarare a acestora, conform
procedurilor stabilite. 24. Continuitatea activitii i procedurile de recuperare n
caz de dezastru trebuie s prevad: a) Implementarea procedurilor de efectuare a
copiilor de rezerv i celor de recuperare; b) Elaborarea i implementarea
obiectivelor de recuperare, conform obiectivelor momentului de recuperare (OMR)
i perioadei de recuperare (OPR). 25. Conformitatea cu cerin ele interne i externe
de securitate cibernetic: a) Instituia actualizeaz planul su de aciuni pentru
asigurarea securitii cibernetice, care precizeaz msurile puse n aplicare i cele
planificate. b) Instituia asigur conformitatea sa cu cerinele externe de securitate
cibernetic, prevzute de legislaie

NESECRET
64 din 59