Transcript Module 1

Luna Securităţii Cibernetice în Guvern.
Ministerul Tehnologiei Informaţiei şi Comunicaţiilor
Clinica juridică
(09.10.2013)
Strategia Naţională
„Moldova Digitală 2020”
www.cybersecuritymonth.eu
Un mediu digital securizat și protejat:
Obiective și programe
Obiective specifice:
Obiectiv general
Crearea condiţiilor
pentru sporirea
gradului de
securitate şi
încredere în spaţiul
digital
Sporirea nivelului de securitate cibernetică a
infrastructurilor critice naţionale (autorităţi/
instituţii publice, reţele de comunicaţii
electronice, apeducte, reţele energetice, reţele
de transport, etc.);
Sporirea competenţelor
cibernetică;
în
securitatea
Creşterea gradului de conştientizare a
riscurilor spaţiului digital şi a necesităţii
măsurilor de asigurare a securităţii cibernetice;
Promovarea şi dezvoltarea cooperării în plan
internaţional
în
domeniul
securităţii
cibernetice.
Componentele abordării sistemice
a securităţii cibernetice sau informaţionale
Abordarea sistemică a problemei securităţii cibernetice sau a
securităţii informaţionale include 4 componente de bază:
1. Cadrul legislativ, normativ-juridic şi ştiinţific;
2. Structura şi atribuţiile organelor (subdiviziunilor), care asigură
securitatea cibernetică sau informaţională;
3. Politica securităţii cibernetice sau informaţionale (măsuri şi
metode tehnico-organizatorice şi administrative de asigurare a
securităţii cibernetice sau informaţionale);
4. Procedee şi mijloace tehnice şi software de asigurare a securităţii
cibernetice şi informaţionale.
I. CADRUL LEGAL.
Aspectul terminologic în cadrul juridic
1. Nu există o sistematizare privind conţinutul termenilor de
"securitate informaţională" şi "protecţia informaţiilor" frecvent utilizaţi în
actele legislative, normative şi acordurile internaţionale (circa 270 de acte),
precum nu există nici o sistematizare privind interdependenţa termenilor
adiacenţi acestora. Majoritatea acestor termeni nu sunt definiţi.
2. Legea nr.20 din 03.02.2009 "Privind prevenirea şi combaterea
criminalităţii informatice" este prima Lege care include noţiuni corelate la
cuvîntul "informatic": "securitate informatică", "sistem informatic", "program
informatic", "date informatice", “trafic informatic”, "activităţi informatice",
"infracţiuni şi delicte informatice", "viruşi informatici ". Este prima Lege în care
este definită noţiunea "măsuri de securitate – folosirea unor proceduri,
dispozitive sau programe informatice specializate cu ajutorul cărora accesul
la un sistem informatic este restricţionat sau interzis pentru anumite
categorii de utilizatori", însă nu este definită noţiunea de "securitate
informatică".
I. CADRUL LEGAL.
Aspectul terminologic în cadrul juridic
Strategia
naţională
de
dezvoltare
a
societăţii
informaţionale "Moldova Digitală 2020".
În compartimentul "Un mediu digital securizat şi protejat"
este definită noţiunea de "securitate cibernetică" prin care se
înţelege starea de normalitate rezultată în urma aplicării unui
ansamblu de măsuri proactive şi reactive prin care se asigură
confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi
nonrepudierea informaţiilor în format electronic, a resurselor şi
serviciilor publice sau private, din spaţiul cibernetic.
II. STRUCTURA ŞI ATRIBUŢIILE.
Organele care asigură securitatea informaţională
1. Din sistemul organelor securităţii statului, potrivit Legii
nr.619 din 31.10.1995 "Privind organele securităţii statului", fac
parte Serviciul de Informaţii şi Securitate, Serviciul de Protecţie
şi Pază de Stat, Poliţia de Frontieră, Serviciul Vamal, Organele
serviciului militar de contrainformaţii, precum şi instituţiile de
învăţămînt şi alte instituţii şi organizaţii nemilitarizate ale
organelor securităţii statului (art.13, art.17).
2. Dar nici unul din aceste organe nu are direct careva sarcini,
funcţii, atribuţii sau obligaţiuni privind asigurarea "securităţii
informaţionale" a sistemelor şi resurselor informaţionale de
importanţă statală, cu excepţia asigurării secretului de stat ce-i
revine Serviciului de Informaţii şi Securitate şi autorităţilor
publice care deţin informaţii secrete.
II. STRUCTURA ŞI ATRIBUŢIILE.
Atribuţii şi obligaţiuni ale SIS privind securitatea
informaţională
1. Potrivit prevederilor art.7 (lit."b", "c") şi art.9 (lit."g", "h") din Legea
nr.753-XIV din 23.12.1999 "Privind Serviciul de Informaţii şi Securitate al Republicii
Moldova", SIS îi revin un şir de atribuţii şi obligaţiuni care practic îi permit SIS să
asigure securitatea informaţională a Republicii Moldova din punct de vedere a
siguranţei statului. Şi anume:
- atribuţiile: "protecţia secretului de stat, exercitarea controlului privind asigurarea
păstrării şi prevenirii scurgerii informaţiilor ce constituie secret de stat şi altor
informaţii importante pentru stat; crearea, asigurarea funcţionării şi securităţii
sistemelor guvernamentale de telecomunicaţii, elaborarea strategiei şi realizarea
politicii naţionale în domeniul creării, administrării şi asigurării funcţionării şi
securităţii sistemelor speciale de telecomunicaţii".
- obligaţiunile: "să asigure, în limita competenţei sale, siguranţa obiectivelor
complexului defensiv, sistemului financiar-bancar, energetic, de transport şi
telecomunicaţii şi a obiectivelor de importanţă vitală, a sistemelor informaţionale şi
de telecomunicaţii, a cercetărilor ştiinţifice; să exercite controlul privind asigurarea
păstrării informaţiilor ce constituie secret de stat; să participe la elaborarea şi
realizarea măsurilor de protejare a informaţiilor ce constituie secret de stat în
autorităţile publice, formaţiunile militare, la întreprinderi, instituţii şi organizaţii,
indiferent de tipul de proprietate; să întreprindă, în modul stabilit, măsuri legate de
accesul cetăţenilor la informaţiile ce constituie secret de stat".
II. STRUCTURA ŞI ATRIBUŢIILE.
Obligaţiunile Serviciului de Protecţie şi Pază de Stat privind
securitatea informaţională
Potrivit prevederilor art.11 (lit."e", "l") din Legea nr.134-XVI
din 13.06.2008 "Cu privire la Serviciul de Protecţie şi Pază de
Stat" permite Serviciului "să întreprindă, în limitele competenţei,
măsuri de asigurare a fiabilităţii, securităţii informaţionale şi
operativităţii sistemelor de telecomunicaţii; să organizeze,
potrivit legii, activitatea de apărare a secretului de stat şi a altor
informaţii oficiale cu accesibilitate limitată".
În sensul prevederilor acestei Legi, asigurarea "securităţii
informaţionale" se referă doar la obiectele fizice de importanţă
statală (edificii, căi ferate, poduri etc.) şi la persoanele oficiale
ale statului.
II. STRUCTURA ŞI ATRIBUŢIILE.
Atribuţiile şi obligaţiunile Ministerului Apărării, Poliţiei de
Frontieră şi Serviciului Vamal privind securitatea informaţională
1. Regulamentului privind organizarea şi funcţionarea Ministerului
Apărării, aprobat prin H.G. nr. 939 din 16.08.2007 nu include prevederi privind
securitatea informaţională, cu excepţia atribuţiei de asigurare a recepţionării,
prelucrării, verificării, sistematizării şi aprecierii informaţiei privind
ameninţările şi pericolele cu caracter militar, care au sau pot avea impact
asupra suveranităţii, independenţei şi integrităţii teritoriale a Republicii
Moldova (pct.6 lit."b" subpct.1))
2. Legea nr.283 din 28.12.2011 "Cu privire la Poliţia de Frontieră" nu
include nici o prevedere privind funcţiile, atribuţiile sau obligaţiunile Poliţiei
de Frontieră la subiectul asigurării securităţii informaţionale, cu excepţia
păstrării confidenţialităţii informaţiilor secrete ce ţin de frontiera de stat.
3. Regulamentul Serviciului Vamal, aprobat prin H.G. nr.4 din
02.01.2007, de asemenea, nu include nici o prevedere la subiectul asigurării
securităţii informaţionale, cu excepţia atribuţiilor ce-i revin din sfera
securităţii economice a ţării.
II. STRUCTURA ŞI ATRIBUŢIILE.
Autorităţile şi instituţiile publice competente în domeniul
prevenirii şi combaterii criminalităţii informatice
În contextul ratificării Convenţiei Consiliului Europei privind
criminalitatea informatică (adoptată la Budapesta în 2001), Parlamentul
Republicii Moldova a adoptat Legea nr.20 din 03.02.2009 "Privind prevenirea şi
combaterea criminalităţii informatice".
La art.4 din această Lege sînt indicate funcţiile autorităţilor şi
instituţiilor publice competente în domeniul prevenirii şi combaterii
criminalităţii informatice:
1. Procuratura Generală, art.4 alin.(4):
a) coordonează, conduce şi exercită urmărirea penală, în modul
prevăzut de lege;
b) dispune, în cadrul desfăşurării urmăririi penale, la solicitarea
organului de urmărire penală sau din oficiu, conservarea imediată a datelor
informatice ori a datelor referitoare la traficul informatic, faţă de care există
pericolul distrugerii ori alterării, în condiţiile legislaţiei de procedură penală;
c) reprezintă învinuirea, în numele statului, în instanţă de judecată în
modul prevăzut de lege.
II. STRUCTURA ŞI ATRIBUŢIILE.
Autorităţile şi instituţiile publice competente în domeniul
prevenirii şi combaterii criminalităţii informatice
2. Serviciul de Informaţii şi Securitate art.4 alin.(1) şi (3):
- formează şi actualizează în permanenţă bazele de date privind
criminalitatea informatică;
- desfăşoară activităţi de prevenire şi combatere a criminalităţii
informatice ce prezintă ameninţări la adresa securităţii naţionale,
activităţi operative de investigaţii, de depistare a legăturilor
organizaţiilor criminale internaţionale, alte activităţi în limita
competenţei sale.
3. Ministerul Afacerilor Interne, art.4 alin.(1) şi (2):
- formează şi actualizează în permanenţă bazele de date privind
criminalitatea informatică;
- desfăşoară activităţi operative de investigaţie, de urmărire
penală, de cooperare internaţională, de identificare a persoanelor care
comit infracţiuni informatice.
II. STRUCTURA ŞI ATRIBUŢIILE.
Autorităţile şi instituţiile publice competente în domeniul
prevenirii şi combaterii criminalităţii informatice
4. Centrul pentru Combaterea Crimelor Economice şi Corupţiei,
art.4 alin.(1):
- formează şi actualizează în permanenţă bazele de date privind
criminalitatea informatică.
5. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor, art.4
alin.(5):
- în comun cu Serviciul de Informaţii şi Securitate, prezintă
propuneri privind asigurarea protecţiei şi securităţii informatice.
6. Institutul Naţional al Justiţiei, art.4 alin.(6):
- realizează perfecţionarea profesională a personalului antrenat în
înfăptuirea justiţiei în domeniul combaterii criminalităţii informatice.
II. STRUCTURA ŞI ATRIBUŢIILE.
Alte acte care includ atribuţii privind asigurarea protecţiei şi
securităţii informaţiei
1. Potrivit prevederilor art.5 şi art.25 din Legea nr.216 din
29.05.2003 "Cu privire la Sistemul informaţional integral automatizat de
evidenţă a infracţiunilor, a cauzelor penale şi a persoanelor care au săvîrşit
infracţiuni":
- asigurarea protecţiei şi securităţii informaţiei cu caracter
criminal, inclusiv din băncile locale de date este o atribuţie a fiecărui
participant la Sistem;
- asigurarea protecţiei, securităţii şi integrităţii informaţiei
conţinute în banca centrală de date, precum şi a accesului nemijlocit la
această informaţie este o atribuţie a administratorului băncii centrale de
date.
II. STRUCTURA ŞI ATRIBUŢIILE.
Alte acte care includ atribuţii privind asigurarea protecţiei şi
securităţii informaţiei
2. Potrivit prevederilor art.10 alin.(1) din Legea nr.467 din
21.11.2003 "Cu privire la informatizare şi la resursele informaţionale de
stat":
- asigurarea securităţii sistemelor informaţionale şi protecţia
informaţiilor documentate este o atribuţie a autorităţilor administraţiei
publice, a persoanelor fizice şi persoanelor juridice, în limitele
competenţelor atribuite.
3. Potrivit prevederilor pct.4 subpct.8 din Regulamentul, aprobat
prin HG nr.770 din 26.11.2009:
- Comisia interdepartamentală pentru protecţia secretului de stat
are atribuţia să "efectueze în comun cu autorităţile administraţiei publice
şi cu organizaţiile ştiinţifice analiza dezvoltării mijloacelor tehnice în
domeniul protecţiei informaţiei„.
II. STRUCTURA ŞI ATRIBUŢIILE.
Alte acte care includ atribuţii privind asigurarea
protecţiei şi securităţii informaţiei
4. Potrivit pct.7 subpct. 47 şi pct.8 subpct. 6 din Regulamentul
privind organizarea şi funcţionarea Ministerului Tehnologiei Informaţiei şi
Comunicaţiilor, aprobat prin HG nr.389 din 17.05.2010:
- MTIC are atribuţia de a asigura securitatea sistemelor
informaţionale şi protecţia informaţiei documentate ce se află în
competenţa Ministerului;
- MTIC are dreptul să introducă reguli şi norme unice pentru
asigurarea protecţiei informaţionale, să aprobe măsuri pentru
preîntîmpinarea şi lichidarea consecinţelor avariilor în domeniul
tehnologiei informaţiei şi comunicaţiilor.
III. POLITICA SECURITĂŢII.
Cerinţe şi Reglementări tehnice.
1. Cerinţe faţă de asigurarea securităţii datelor cu caracter
personal la prelucrarea acestora în cadrul sistemelor informaţionale de
date cu caracter personal, aprobate prin H.G. nr.1123 din 14.12.2010;
2. Cerinţe tehnice. Asigurarea securităţii informaţionale la
prestarea serviciilor publice electronice, aprobate prin Ordinul MTIC nr. 94
din 17.09.2009;
3. Cerinţe tehnice. Asigurarea securităţii informaţiei bazelor de
date în procesul de prestare a serviciilor publice electronice, aprobate prin
Ordinul MTIC nr.106 din 20.12.2010;
4. Cerinţe tehnice. Asigurarea securităţii informaţiei infrastructurii
informaţionale pentru autorităţile administraţiei publice, aprobate prin
Ordinul MTIC nr.106 din 20.12.2010.
III. POLITICA SECURITĂŢII.
Standarde de securitate.
- SM EM ISO 9001:2002 "Sisteme de management al calităţii.
Cerinţe";
- SM ISO/CEI 17799:2004 "Tehnologia informaţiei. Cod de
practică pentru gestiunea securităţii informaţiei";
- SM GOST R ISO/CEI 27001:2008 "Tehnologia informaţiei.
Tehnici de securitate. Sisteme de management al securităţii
informaţiei";
- SMV ISO/CEI 27002:2009 "Tehnologia informaţiei. Tehnici
de securitate. Cod de practică pentru managementul securităţii
informaţiei".
Concluziile şi propunerile unificate
din cadrul mesei rotunde
1. De stabilit un criteriu obligatoriu privind definirea
termenilor în actele juridice, care să stabilească un standard structural
al acestora, să excludă definirea multiplă şi recursivă a unor şi aceiaşi
termeni în diferite acte juridice, cu utilizarea unei trimiteri la actul
juridic care deja definesc termenii utilizaţi.
2. De revizuit toate definiţiile din actele legislative şi normative
în vigoare pentru a exclude repetarea multiplă a definiţiilor echivalente
a unor şi aceiaşi termeni, inclusiv a denumirilor echivalente a
termenilor.
3. Definiţiile revizuite ale termenilor de inclus într-un act
legislativ de bază.
Concluziile şi propunerile unificate
din cadrul mesei rotunde
4. De armonizat cadrul legal în vigoare, astfel ca acesta cu claritate să
determine sistemul organelor de stat competente, cu funcţii şi atribuţii
distincte, evitîndu-se conflictul de competenţe şi interese pentru
domeniile securităţii informaţionale şi securităţii cibernetice
(informatice).
5. Potrivit prevederilor art.10 alin.(1) din legea nr.467 din 21.11.2003 "cu
privire la informatizare şi la resursele informaţionale de stat", se
recomandă autorităţilor administraţiei publice, persoanelor juridice şi
fizice să întreprindă măsuri eficiente de asigurare, în limitele
competenţelor atribuite, a securităţii sistemelor informaţionale şi
resurselor informaţionale, inclusiv protecţia informaţiilor. Stabilirea şi
aplicarea unor cerinţe minimale de securitate pentru infrastructurile
menţionate.
6. De instituit un grup de lucru înterdepartamental, care să se ocupe cu
armonizarea cadrului legal în domeniul securităţii informaţionale şi
cibernetice (informatice).
Vă mulţumesc pentru atenție!
www.mtic.gov.md
www.cybersecuritymonth.eu