Teza Master Scripnic Nadejda
-
Upload
scripnic-nadia -
Category
Documents
-
view
83 -
download
7
description
Transcript of Teza Master Scripnic Nadejda
1
GUVERNUL REPUBLICII MOLDOVA
ACADEMIA DE ADMINISTRARE PUBLICĂ
Departamentul Învățământ Superior
Catedra Tehnologii Informaţionale Aplicate
Management Informaţional în Administraţia Publică
(cifrul specializării - 44)
TEZA DE MASTER
UTILIZAREA INSTRUMENTELOR DE SECURIZAREA INFORMAŢIEI ÎN CADRUL CASEI NAȚIONALE DE
ASIGURĂRI SOCIALE (CNAS)
Autorul:_____________________ Nadejda SCRIPNIC
Semnătura
Conducătorul ştiinţific:_____________________ Igor COJOCARU,
Semnătura dr., lect.sup.univ
CHIŞINĂU, 2015
2
CUPRINS
ADNOTARE....................................................................................................................................3
ANNOTATION ...............................................................................................................................4
INTRODUCERE.............................................................................................................................5
I. INSTRUMENTE DE SECURIZARE A INFORMAŢIEI ...........................................................9
1.1. Sarcinile actuale ale securității informaționale ..............................................................11
1.2. Scannere de vulnerabilitate web .....................................................................................17
1.3. Elemente şi cerinţe privind securizarea informaţiei........................................................25
II. POLITICA DE SECURITATE ÎN CADRUL CNAS.............................................................32
2.1. Caracteristica Casei Naţionale de Asigurări Sociale.......................................................34
2.2. Formarea politicii de securitate a sistemelor informatice şi Sistemul de Management al
Securităţii Informaţiei ................................................................................................................38
2.3. Evaluarea riscurilor de securitate a informaţiei în cadrul CNAS ...................................49
III. COMPONENTELE DE SECURITATE ALE SISTEMELOR INFORMATICE DIN
CADRUL CNAS ...........................................................................................................................66
3.1. Securitatea fizică a sistemelor informatice .....................................................................70
3.2. Securitatea reţelelor şi gestionarea conturilor de utilizator.............................................76
3.3. Securitatea nivelelor de securitate în SO Windows, aplicaţiilor şi datelor .....................83
CONCLUZII ŞI RECOMANDĂRI ..............................................................................................94
BIBLIOGRAFIE ...........................................................................................................................97
ANEXE........................................................................................................................................103
3
ADNOTAREScripnic Nadejda, “Utilizarea instrumentelor de securizate a informaţiei în cadrul
CNAS”, teză de masterat, Academia de Administrare Publică, or. Chişinău, 2015.
Teza cuprinde introducere, trei compartimente, concluzii şi recomandări, bibliografia de
99 titluri şi 3 anexe şi este perfectată pe 125 pagini, din care 85 pagini partea de bază, inclusiv 2
figuri, şi 5 tabele.
Cuvintele cheie: Securitatea informaţiei, politica de securitate, Sistem de Management
al Securităţii Informaţiei (SMSI), vulnerabilitate web, riscuri de securitate, securitatea fizică,
securitatea reţelelor.
Domeniul de studiu: Utilizarea instrumentelor de securizare a informaţiei.
Scopul lucrării: Eficientizarea utilizării instrumentelor de securizare a informaţiei în
cadrul CNAS.
Obiectivele lucrării: Stabilirea, analiza şi verificarea vulnerabilităţii SI ale CNAS şi de
a evalua riscurile de securitate a informaţiei, precum şi de a elabora un plan de tratare a riscurilor
pentru eficientizarea securităţii informaţiei în cadrul CNAS.
Valoarea teoretică şi aplicativă a lucrării: Tehnologia sistemelor de calculatoare şi a
reţelelor se dezvoltă cu paşi rapizi. Corespunzător, la fel de rapid apar noi metode de protecţie a
informaţiei. Scopul final al creării culturii securităţii informaţiei în cadrul oricărei organizaţiei
este obţinerea participării, prin intermediul iniţiativelor, angajaţilor la procesul de dezvoltare a
Sistemelor Informaţionale (SI).
În Republica Moldova nu există o abordare unică şi consistentă în domeniul securităţii
informaţiei. Bune practici în domeniu sunt aplicate preponderent în sectorul privat, dar nu au un
caracter sistemic. Guvernul, prin intemediul Centrului de Guvernare Electronică, încearcă să
schimbe această situaţie în sectorul public, unde este necesar de început cu conştientizarea
acestor practici şi treptat de trecut la implementarea lor.
Evaluarea ameninţărilor şi a vulnerabilităţilor de securitate ale SI în cadrul CNAS va
permite ordonarea activităţilor de securizare în dependență de nivelul de risc. Rezultatele
obţinute pot servi drept bază pentru determinarea căilor eficiente de securizare a informaţiei în
cadrul CNAS, precum şi la stabilirea, dar şi la respectarea unor obiective de perfecţionare a
funcţionalităţii SI utilizat de către specialiştii CNAS.
4
ANNOTATIONScripnic Nadejda, “Use of information security tools within the National Office of
Social Insurance”, master’s thesis, Academy of Public Administration, Chişinău, 2015.
The thesis is composed by introduction, three compartments, conclusions and
recommendations, bibliography of 99 titles and 3 annexes and it’s written on 125 pages, of which
85 pages are the main part, including 2 figures and 5 tables.
Keywords: Information security, security policy, Information Security Management
System (ISMS), web vulnerability, security risks, physical security, network security.
The field of study: Use of information security tools.
The aim of the work: Improvement of information security tools usage within NOSI.
The objectives of the work: Determination, analysis and vulnerability check of
Information Systems within NOSI and risks evaluation on information security, also to develop a
plan for dealing with risks in order to improve information security within NOSI.
Theoretical and practical value of the work: Network and computer systems technology
are developing very fast. Therefore, new methods for information protection appear with the
same speed. The final purpose of creating an information security culture within any
organization is to involve the employees in the process of Information Systems (IS)
development.
In the Republic of Moldova there is no unique and consistent approach to information
security area. Good practices in this area are being applied, but very infrequent and mostly in the
private sector. The Government, through the Center for Electronic Governance is trying to
change this situation, in the public sector, where it’s necessary to start with the awareness of this
practices and progressively implement them. Security risk assessment and vulnerability of
Information Systems within NOSI, will allow to order the security activities according to
vulnerability and risk levels. The obtained results can serve as a basis for determining efficient
ways of information protection within NOSI, as well as for establishment and respecting of some
objectives for functionality improvement of the Information System used by NOSI specialists.
5
INTRODUCEREActualitatea temei. Securitatea informaţiilor este o problemă majoră cu care se
confruntă societatea electronică. Indiferent de dimensiunea organizaţiei, odată cu creşterea
explozivă a fluxului informaţional, o companie trebuie să găsească elementele care să asigure
protecţia potrivită la nivel de reţea şi nivel de aplicaţie în faţa atacurilor din ce în ce mai
sofisticate.
În Republica Moldova sunt mai multe instituţii implicate în procesul de asigurare a
securităţii informaţionale, fiecare cu atribuţiile şi responsabilităţile sale: Serviciul de Informaţii
şi Securitate, Ministerul Afacerilor Interne, Procuratura, Ministerul Tehnologiei Informaţiilor şi
Comunicaţiei, Centrul de Telecomunicaţii Speciale, Centrul Naţional de Protecţie a Datelor cu
Caracter Personal.
Orice reţea conectată la Internet are un potenţial ridicat de vulnerabilitate în faţa unor
atacuri sau acţiuni cu efecte distructive pentru resursele informaţionale din această reţea.
Spaţiul cibernetic ajunge să reprezinte o platformă confortabilă pentru pregătirea şi
efectuarea crimelor informatice, a actelor de terorism cibernetic şi a altor acţiuni maliţioase,
menite să afecteze, direct sau indirect, securitatea naţională. Astfel, penetrarea sistemelor
informaţionale sau de comunicaţii electronice ale autorităţilor administraţiei publice şi ale altor
instituţii şi întreprinderi de stat sau private, în cadrul cărora se gestionează informaţie sensibilă,
poate duce la compromiterea confidenţialităţii, integrităţii sau disponibilităţii acestei informaţii,
şi, prin urmare, la cauzarea prejudiciilor financiare sau de altă natură, inclusiv la afectarea
securităţii statului. De asemenea, penetrarea sistemelor informatice aferente infrastructurii critice
ale Republicii Moldova poate conduce spre obţinerea controlului neautorizat asupra acestor
sisteme, şi, în consecinţă, la afectarea proceselor economice, sociale, politice, informaţionale,
militare etc.
Totodată, natura globală a sistemelor informaţionale şi a reţelelor de comunicaţii
electronice, precum şi natura transnaţională a criminalităţii informatice necesită o coordonare
strânsă între toate instituţiile responsabile atât la nivelul naţional, cît şi la nivel global.[52]
Tehnologia informaţiei şi comunicaţiilor se dezvoltă cu paşi rapizi. Corespunzător, la fel
de rapid apar noi metode de protecţie a informaţiei. Scopul final a creării culturii securităţii
informaţiei în cadrul oricărei organizaţiei este obţinerea participării, prin intermediul
iniţiativelor, angajaţilor la procesul de dezvoltare a SI. De aceea tematica tezei de masterat
6
„Utilizarea instrumentelor de securizare a informaţiei în cadrul Casei Naţionale de
Asigurări Sociale (CNAS)” este destul de actuală.
Scopul şi obiectivele tezei. Scopul lucrării este de a eficientiza utilizarea instrumentelor
de securizare a informaţiei în cadrul CNAS. Pentru atingerea scopului enunţat este nevoie de a
soluţiona un şir de probleme:
- analiza ameninţărilor ce ţin de securitatea informaţiei în cadrul CNAS şi clasificarea
acestora;
- eficientizarea utilizării instrumentelor de securizare a informaţiei în cadrul CNAS;
- elucidarea posibilităţilor mijloacelor fizice, de aparat şi program de protecţie a
informaţiei în reţelele de calculatoare, determinarea avantajelor cît şi dezavantejelor lor;
- analiza metodelor, mijloacelor de protecţie a informaţiei în cadrul CNAS.
Obiectivele acestei lucrări sunt:
- stabilirea, analiza şi verificarea vulnerabilităţii securităţii informaţiei a CNAS;
- studierea legislaţiei RM privind securitatea informaţională în RM, şi a modului de
aplicare a legislatiei în cadrul CNAS;
- evaluarea riscurilor de securitate a informaţiei;
- elaborarea unui plan de tratare a riscurilor pentru eficientizarea securităţii informaţiei
în cadrul CNAS.
Pentu aceasta este necesar:
- analiza politicii de securitate şi a Sistemului de Management al Securităţii
Informaţiei a CNAS;
- analiza vulnerabilităţii Sistemelor Informaţionale ale CNAS;
- elaborarea unor recomandări pentru creştera nivelului de securitate a infromaţiei în
cadrul CNAS.
Gradul de studiere, baza metodologică, importanţa teoretică, dar şi aplicativă a
lucrării. La capitolul aplicarea bunelor practici în domeniul securităţii informaţiei avem restanţe.
În Republica Moldova nu există o abordare unică şi consistentă în acest sens. Practici bune în
domeniu sunt aplicate, dar răzleţ şi preponderent în sectorul privat. Guvernul, prin intemediul
Centrului de Guvernare Electronică, încearcă să schimbe această situaţie, în primul rând în
sectorul public, unde este necesar de început cu conştientizarea acestor practici, apoi treptat de
trecut la implementarea lor.
Evaluarea riscurilor de securitate, dar şi vulnerabilitatea SI în cadrul CNAS va permite
ordonarea activităţilor de securizare după gradul de vulnerabilitate şi risc. Rezultatele obţinute
pot servi drept bază pentru determinarea căilor eficiente de securizare a informaţiei în cadrul
7
CNAS, precum şi la stabilirea, dar şi la respectarea unor obiective de perfecţionare a
funcţionalităţii SI utilizat de către specialiştii CNAS.
La nivel internaţional sunt elaborate şi utilizate pe larg o serie de standarde şi practici în
domeniu. Printre cele mai răspândite sunt standardele familiei ISO/IEC 27000 care, de fapt,
definesc o serie de măsuri necesare pentru a fi implementate la diferite niveluri (organizaţional,
procedural, etc.) cu scopul de a asigura o securitate adecvată a informaţiei în cadrul unei
instituţii, organizaţii, inclusiv și la nivel de Guvern. Însă, pentru cetăţeanul simplu este important
să cunoască şi să aplice nişte reguli simple de protecţie a informaţiei referitoare la: selectarea şi
protejarea parolei, utilizarea Internet-ului, utilizarea poştei electornice, protejarea calculatorului
personal, etc.[53]
Odată cu apariţia civilizaţiei, informaţia era păstrată pe purtători materiali cum ar fi:
plăci de piatră, apoi pe foi de hîrtie. Pentru protecţia informaţiei se utilizau la fel obiecte
materiale cum ar fi: pereţi, şanţuri, safeuri.
Informaţia deseori se transmitea prin intemediul solilor însoţiţi de pază. Chiar şi aceste
măsuri erau destul de eficace la timpul respectiv, deoarece singura modalitate de a obţine
informaţia mult dorită era furtul acesteia. Din păcate, asigurarea securităţii prin utilizarea forţei
are şi neajunsuri destul de vădite. Odată furată, infractorii aveau acces la toată informaţia. Iulius
Cezar a aplicat o merodă originală de protectie a informaţiei în procesul de transmitere a
acesteia. El a inventat cifrul Cezar. Acest cifru permitea expedierea mesajelor, pe care nimeni nu
era în stare să le descifreze în cazul furtului lor.
Acest concept a fost dezvoltat şi utilizat destul de intens în timpul celui de-al doilea
război mondial. Germania utiliza maşina denumită Enigma pentru criptarea informaţiei care era
expediată forţelor armate.
Apariţia cît şi răspîndirea calculatoarelor a condus la faptul că majoritatea oamenilor şi
organizaţiilor au început să păstreze informaţia în format electronic. A apărut necesitatea de a
asigura securitatea informaţiei aflate pe suport electronic.[27]
La începutul anilor ‘70 a secolului XX David Bell şi Leonard La Padula au elaborat
modelul securităţii operaţiilor, realizate la calculator. Acest model se baza pe clasificarea datelor
(nesecretizată, confidenţială, secretă, strict secretă) cît şi a nivelurilor de acces. Acest concept se
află la baza standardului 5200.28 „Trusted Computing System Evaluation Criteria”-TCSEC,
elaborat în anul 1983 de către Ministerul Apărării al SUA. Datorită culorii coperţii cărţii acesta a
primit denumirea de „Cartea Orange”.
Pentru realizarea altor criterii au fost realizate diverse tentative de a diviza cerinţele
funcţionale şi cerinţele ce ţin de garanţie. Aceste elaborări au intrat în „Cartea Verde” a
8
Germaniei în anul 1989, în „Criteriile Canadei” în anul 1990, „Criteriile de determinare a
securităţii tehnologiilor informaţionale” (ITSEC) în anul 1991 şi „Criteriile Federale” (cunoscute
sub denumirea de Common Criteria-„Criterii de bază”) în anul 1992. Fiecare standard propunea
metoda lui de certificare a securităţii sistemelor informaţionale.
În „Cartea Orange” nu erau analizate problemele ce apăreau prin unificarea
calculatoarelor într-o reţea comună, de aceea în anul 1987 a apărut TNI (Trusted Network
Interpretation), sau „Cartea Roşie”. În „Cartea Roşie” sînt salvate toate cerinţele ce ţin de
securitate din „Cartea Orange”, este realizată tentativa de adresare a spaţiului de reţea şi crearea
conceptului de securitate a reţelei.
În zilele noastre problemele au devenit şi mai serioase. Înterprinderile au început să
utilizeze pe larg reţele fără fir, apariţia cărora „Cartea Roşie” nu putea să le anticipeze. Pentru
reţelele fără fir, certificarea „Cartea Roşie” este considerată învechită.[37]
Desigur metodele de asigurare a securităţii informaţiei în continuu se modifică,
evoluează, la fel cum se dezvoltă societatea şi tehnologiile.
Volumul şi structura tezei. Teza constă din introducere, adnotare, trei compartimente,
concluzii şi recomandări şi trei anexe (în total 125 pagini). În primul compartiment
“Instrumente de securizare a informaţiei” sunt prezentate în trei paragrafe aspectele teoretice
ale securităţii informaţiei, sarcinile actuale ale securităţii informaţionale. Sunt descrise
scannerele de vulnerabilitate web, care au un rol deosebit în evaluarea riscurilor de securitate a
SI şi sunt menţionate cerinţele, dar şi elementele care trebuie să le cuprindă un SI pentru a fi
securizat eficient.
Compartimentul doi “Politica de securitate în cadrul CNAS” cuprinde trei paragrafe.
Primul paragraf prezintă caracteristica Casei Naţionale de Asigurări Sociale. Paragraful doi defineşte
noţiunea de politică de securitate şi descrie politica de securitate aplicată în cadrul CNAS, precum şi
Sistemul de Management al Securităţii Informaţiei, iar paragraful trei este destinat elaborării
metodologiei de evaluare a riscurilor de securitate a informaţiei în cadrul CNAS.
Compartimentul trei “Componentele de securitate ale sistemelor informatice din cadrul
CNAS” cuprinde trei paragrafe. În cele trei paragrafe sunt prezentate: Securitatea fizica a SI,
securitatatea reţelelor şi gestionarea conturilor de utilizator, securitatea aplicaţiilor şi a datelor,
nivelurile de securitate în sistemele de operare Windows.
Anexele conţin informaţii auxiliare în completarea informaţiilor din compartimentele de
bază, inclusiv: organigrama CNAS, Politica de securitate a CNAS, Fişe de post a specialiştilor
din cadrul CNAS, responsabili de securitatea informaţiei.
9
I. INSTRUMENTE DE SECURIZARE A INFORMAŢIEISecuritatea informaţională este ca o necesitate zilnică. Pentru a fi sigur că datele noastre
personale sunt şi rămân confidenţiale, în primul rând, trebuie să avem grijă să nu le divulgăm
nimănui. Trebuie să avem grijă ca să nu lăsăm la vedere PIN-ul cardului bancar, informaţia de pe
calculatorul personal sau de la serviciu, inclusiv parola de acces la contul de e-mail, facebook,
twitter sau la alte reţele de socializare. Dacă oamenii se îngrijesc de securitatea lor
informaţională, atunci ţin neapărat să publice cât mai puţină informaţie despre viaţa lor personală
pe reţelele de socializate sau să nu divulge informaţie de serviciu în discuţiile private. Ei sunt, de
asemenea, precauţi atunci când descarcă informaţie din Internet. Acestea sunt nişte reguli simple
de respectat, dar absolut necesare pentru asigurarea securităţii datelor personale.[24]
Asigurarea securităţii informaţionale a procesului de prestare a serviciilor publice în
Republica Moldova este o parte componentă a politicii de stat în formarea societăţii
informaţionale, în ridicarea eficienţei autorităţilor administraţiei publice şi în asigurarea nivelului
înalt al calităţii pentru sistemul de prestare a serviciilor publice.
Securitatea înseamnă de obicei că utilizatorii nu vor executa decât activităţile pe care
sunt autorizaţi să le execute şi să obţină informaţiile pe care sunt autorizaţi să le aibă. Trebuie să
fie prevenită deteriorarea de către utilizatori a datelor, aplicaţiilor sau a sistemului de operare.
Cuvântul ”securitate” implică protecţia împotriva atacurilor rău-voitoare; de asemenea implică
controlul efectelor pe care le au erorile şi defecţiunile echipamentelor. Dacă un sistem de
securitate va fi protejat împotriva unui atac wireless, probabil se vor preveni, de asemenea, şi alte
tipuri de probleme.
Scopurile asigurării securităţii informaţionale în procesul prestării serviciilor constau în
asigurarea integrităţii şi confidenţialităţii informaţiei, protecţia şi garantarea disponibilităţii,
veridicităţii şi integrităţii informaţiei, evitarea scurgerii de informaţie, minimizarea prejudiciilor
cauzate de evenimentele care reprezintă un pericol pentru securitatea informaţională.
Pentru a asigura securitatea informaţională în procesul de prestare a serviciilor publice
este necesar de realizat următoarele obiective:
- asigurarea confidenţialităţii informaţiei în conformitate cu clasificarea realizată;
- asigurarea integrităţii informaţiei la toate etapele şi a proceselor aferente acesteia
(crearea, procesarea, păstrarea, transmiterea şi distrugerea) în procesul de prestare a serviciilor
publice;
10
- asigurarea oportună a disponibilităţii informaţiei în procesul de prestare a serviciilor
publice;
- asigurarea supravegherii, orientate spre înregistrarea oricărei activităţi a utilizatorilor
şi proceselor;
- asigurarea autenticităţii şi negării al tranzacţiilor şi acţiunilor întreprinse de
participanţii la procesul de prestare a serviciilor publice;
- evidenţa tuturor proceselor şi evenimentelor privind introducerea, procesarea,
păstrarea, furnizarea şi distrugerea informaţiei.[38]
Astfel pentru implementarea unu sistem integrat de securitate a unei reţele este necesar
de a se identifica mai întîi marea parte de ameninţări ce urmează să apară şi împotriva cărora se
cere o protecţie maximă.
Pentru a realiza obiectivele asigurării securităţii în procesul de prestare a serviciilor
publice este necesar de îndeplinit următoarele sarcini:
- identificarea resurselor şi sistemelor informaţionale şi clasificarea acestora în
funcţie de valoarea şi importanţa acestora în procesul de prestare a serviciilor publice
(componentele analizei trebuie să includă date, aplicaţii, tehnologii, mijloace de telecomunicaţii
şi hardware, încăperi, resurse umane, etc.);
- identificarea pericolelor (ameninţărilor) de securitate informaţională şi
determinarea surselor potenţiale de pericole pentru fiecare resursă şi sistem informaţional;
- identificarea punctelor vulnerabile care pot fi exploatate de fiecare pericol
identificat;
- evaluarea riscurilor pentru resursele şi sistemele informaţionale identificate;
- selectarea activităţilor de management a securităţii informaţionale în baza
analizei corelaţiei dintre costul realizării lor, pe de o parte, şi efectul diminuării riscurilor şi
prejudiciile potenţiale în caz de încălcare a securităţii, pe de altă parte;
- elaborarea şi implementarea mecanismelor şi a măsurilor de reacţionare
operativă la pericolele securităţii informaţionale şi la manifestarea tendinţelor negative în
funcţionarea resurselor şi sistemelor informaţionale de prestare a serviciilor publice;
- elaborarea şi implementarea sistemului de controale care să permită funcţionarea
eficientă a mecanismului şi a măsurilor de asigurare a securităţii;
- organizarea procesului de reprimare eficientă a atentatelor asupra resurselor si
sistemelor informaţionale;
- organizarea procesului de asigurare a continuităţii prestării serviciilor şi crearea
condiţiilor pentru compensarea maximal posibilă şi localizarea prejudiciului cauzat prin
11
intermediul acţiunilor nelegitime cauzate de personae fizice şi juridice, diminuarea impactului
negativ al efectelor încălcării securităţii informaţionale;
- organizarea procesului de asigurare a securităţii în caz de existenţă a furnizorilor
de servicii care au acces la resursele şi sistemele informaţionale în procesul de prestare a
serviciilor publice.[38]
1.1. Sarcinile actuale ale securității informaționaleProblema securităţii informaţionale este o problemă tratată de foarte mult timp.
Tentativele de soluţionare a acesteia de către oameni are loc încă din timpurile străvechi.
O provocare constantă în cadrul securităţii informaţiei - şi în domeniul IT în general -
este ritmul în care tehnologia, şi, în mod corespunzător, ameninţările şi atacurile informatice se
dezvoltă. Dacă privim retrospective, în urmă cu cîţiva ani, tehnologii care erau adecvate în
termeni de mecanisme de securitate, astăzi sunt depăşite, fiind compromise în cel mai bun caz în
cîteva minute. Instituţiile care ignoră securitatea şi se bazează pe informaţii neactuale despre
ameninţări şi vulnerabilităţi reprezintă o ţintă uşoară pentru atacatori. În egală măsură,
tehnologiile care previn sau limitează atacurile informatice au evoluat astfel încît să poată oferi
un grad de securitate şi protecţie ridicat. Dar cum putem să ne creştem gradul de securitate?
Răspunsul este simplu: prin investiţii în tehnologie, procese de securitate şi, nu în ultimul rînd,
oameni.
În contextul economic actual, multe instituţii sunt tentate să reducă bugetele de formare
şi să limiteze investiţiile în personal. Dimpotrivă, noi credem că situaţia actuală oferă instituţiilor
oportunitatea de a-şi consolida poziţia pe piaţă, avînd angajaţi cu un nivel ridicat de calificare.
Succesul unei companii IT este adesea corelat în mod direct cu competenţele şi expertiza
angajaţilor. Lipsa acestor capabilităţi esenţiale este adesea substituită prin alocarea de bugete
semnificative pentru serviciile de consultanţă în scopul realizării de sarcini operaţionale în cadrul
organizaţiei. Aceste sarcini pot include, de exemplu, scanarea periodică a reţelei sau dezvoltarea
de politici de securitate şi multe altele. A avea capacitatea de a furniza aceste tipuri de servicii cu
resurse interne din cadrul organizaţiei ar putea fi un mare beneficiu, datorită reducerii costurilor
şi, de asemenea, motivării angajaţilor.
Pentru a dispune de aceste resurse interne foarte specializate, organizaţia are nevoie să
îşi instruiască angajaţii în mod corespunzător, prin intermediul cursurilor de Securitate IT. Acest
tip de formare este foarte util, deoarece consolidează noţiunile specifice securităţii informaţiilor,
12
în structura acestuia regăsindu-se standardele în domeniul securităţii (ISO 27001),
managementul riscurilor, strategii de securitate şi managementul incidentelor.
Un aspect important din securitatea informaţiilor în cadrul unei organizaţii îl reprezintă
educarea angajaţilor cu responsabilităţi în domeniul IT, în scopul de a întelege semnificaţia
securităţii informaţiilor, gradul importanţei acesteia, precum şi responsabilităţile individuale
legate de securitatea informaţiilor. Dacă resursele interne nu au cunoştinte despre ceea ce
reprezintă un comportament sigur în materie de utilizare IT, chiar nu are importanţă cît de mulţi
bani cheltuieşte organizaţia pe soluţii tehnice sofisticate.
Aşa cum am menţionat anterior, tehnologia evoluează rapid şi este atît în interesul
insituţiilor cît şi al angajaţilor să fie la curent cu ultimele tendinţe (informaţii) din domeniu. Pe
de o parte, insituţiile îşi vor proteja eficient activele informaţionale (informaţii, sisteme, resurse
umane), iar angajaţii, pe de altă parte, vor beneficia de un set nou de competenţe.[87]
Sistemul de asigurare a securităţii informaţionale în procesul de prestare a serviciilor
publice trebuie să fie creat pe următoarele principii:
- principiul echirezistenţei – prevede asigurarea protecţiei echipamentului, software-
ului şi sistemelor de administrare împotriva tuturor tipurilor de pericole;
- principiul continuităţii – prevede asigurarea continuă a securităţii resurselor
informaţionale, SI pentru prestarea continuă a serviciilor publice;
- principiul suficienţei rezonabile – prevede aplicarea unor măsuri şi mijloace de
protecţie rezonabile, raţionale şi care implică cheltuieli ce nu depăşesc costul încălcărilor
securităţii informaţionale;
- principiul complexităţii - pentru asigurarea securităţii cu ajutorul întregii diversităţi
de elemente de structură, pericole şi canale de acces neautorizat trebuie aplicate toate tipurile şi
formele de protecţie în volum deplin (este inadmisibilă utilizarea unor forme sau mijloace
tehnice separate);
- principiul controlului complex - efectuarea cercetărilor şi controalelor speciale,
analizei inginereşti speciale a echipamentului, cercetărilor de verificare a software-ului, este
necesar de realizat monitorizarea continuă a mesajelor de avarie şi a parametrilor erorilor, este
necesar de efectuat testarea permanentă a hardware-ului şi software-ului precum şi controlul
integrităţii mijloacelor software atât în procesul încărcării mijloacelor software, cât şi în procesul
de funcţionare a acestora;
- principiul fiabilităţii - metodele, mijloacele şi formele de protective trebuie să
asigure blocarea sigură a tuturor căilor de pătrundere şi a canalelor eventuale de scurgere a
informaţiei, în acest scop, este permisă dublarea mijloacelor şi măsurilor de securitate;
13
- principiul universalităţii - măsurile de securitate trebuie să blocheze căile de pericol
indiferent de locul acţiunii lor posibile;
- principiul planificării - planificarea trebuie să se efectueze prin elaborarea detaliată
a planurilor de acţiuni cu privire la asigurarea protecţiei informaţionale a tuturor componentelor
sistemului de prestare a serviciilor publice;
- principiul managementului centralizat - în cadrul unei structuri determinate
trebuie asigurată autonomia organizatorico-funcţională a procesului de asigurare a securităţii în
procesul de prestare a serviciilor publice;
- principiul orientării spre realizarea scopului - este necesar de protejat ceea ce
trebuie să fie protejat în interesul unui scop anumit;
- principiul activităţii - măsurile de protecţie pentru asigurarea securităţii activităţii
procesului de prestare a serviciilor trebuie să fie realizate cu un grad de insistenţă suficientă;
- principiul calificării personalului de deservire - echipamentul trebuie să fie
deservit de colaboratori instruiţi nu numai în probleme de exploatare tehnică, dar şi în
problemele tehnice privind asigurarea securităţii informaţiei;
- principiul responsabilităţii - responsabilitatea pentru asigurarea securităţii
informaţionale trebuie stabilită într-un mod clar, transmisă personalului corespunzător şi
aprobată de toţi participanţii la procesul de asigurare a securităţi informaţionale. [38]
În Republica Moldova sunt mai multe instituţii implicate în procesul de asigurare a
securităţii informaţionale, fiecare cu atribuţiile şi responsabilităţile sale (Tabelul 1.)
Tabelul 1. Instituţiile RM implicate în procesul de asigurare a securităţii informaţionale
Instituţia Subordinea Misiune LinkServiciul deInformaţii şiSecuritate
Guvernul RM Protejarea eficientă a drepturilor şilibertăţilor fundamentale alecetăţeanului, societăţii şi statuluiîmpotriva riscurilor şi ameninţărilorla adresa securităţii de stat,promovarea valorilor democratice şiintereselor naţionale ale RepubliciiMoldova.
http://www.sis.md/ro/misiune-viziune-si-valori
Centrul deTelecomunicaţiiSpeciale
Cancelaria deStat
Asigurarea schimbului protejat deinformaţii între autorităţile publice,reprezentanţele Republicii Moldovadin străinătate, organizaţii, instituţiişi întreprinderi, autorităţile publiceale altor state; Protejarea informaţiilor importantepentru stat; Crearea, administrarea, deservireaşi dezvoltarea sistemelor de
http://cts.md/ro/content/directii-de-activitate
14
telecomunicaţii speciale; Elaborarea şi implementareatehnologiilor avansate în domeniulsecurităţii informaţionale, inclusivtehnologiile semnăturii digitale.
MinisterulAfacerilorInterne
Guvernul RM Instituţie democratică în slujbacetăţeanului, instituţie menită săapere valorile fundamentale alesocietăţii: drepturile şi libertăţilecetăţeneşti, proprietatea privată şipublică, ordinea şi liniştea publică
http://www.mai.gov.md/istoria
Secţia tehnologiiinformaţionale şiinvestigaţii aleinfracţiunilor îndomeniulinformaticii
ProcuraturaGenerală
Examinează sesizările persoanelorfizice şi juridice, organelor deconstatare, organului de urmărirepenală, care conţin date desprecomiterea infracţiunilor informatice şidin domeniul telecomunicaţiilor, altorcategorii de infracţiuni; Coordonează, conduce şi exercităurmărirea penală, se autosesizează, încazurile comiterii infracţiunilor şi/sauîncălcărilor legislaţiei în vigoare; Reprezintă acuzarea în numele statuluiîn instanţele de judecată, în cauzelepenale în care a condus sau, după caz, aexercitat urmărirea penală; Asigură, în cadrul desfăşurăriiurmăririi penale, la solicitarea organuluide urmărire penală sau din oficiu,conservarea imediată a datelorinformatice ori a datelor referitoare latraficul informatic, faţă de care existăpericolul distrugerii ori alterării, încondiţiile legislaţiei de procedurăpenală; etc.
http://www.procuratura.md/md/struct/#STIIIDI
MinisterulTehnologieiInformaţiilor şiComunicaţiei
Guvernul RM Elaborează, promovează şi aplicăpolitica guvernamentală în sferatehnologiei informaţiei, societăţiiinformaţionale şi comunicaţiilor.Misiunea constă în asigurarea uneicreşteri durabile a sectorului TICprin promovarea unor politiciorientate spre export şi o piaţăliberă. MTIC îşi propune să creezeoportunităţi pentru sfera de afaceri şisă încurajeze investiţiile prinpromovarea concurenţei echitabile şisporirea competitivităţiiinternaţionale.
http://www.mtic.gov.md/about_rom/
Centrul Naţionalde Protecţia aDatelor cu
Insituţieautonomă
Obiectivul Centrului este apărareadrepturilor şi libertăţilorfundamentale ale persoanelor fizice,
http://www.datepersonale.md/md/general/
15
CaracterPersonal
în special a dreptului la viaţă privatăîn legătură cu prelucrarea şitransmiterea transfrontalieră a datelorcu caracter personal.
Orice reţea conectată la internet are un potenţial ridicat de vulnerabilitate în faţa unor
atacuri sau acţiuni cu efecte distructive pentru resursele informaţionale din această reţea.
Una dintre misiunile primordiale este prevenirea şi combaterea agresiunilor din mediul
virtual, intern sau extern, îndreptate spre sistemele informatice şi de comunicaţii electronice de
importanţă statală. Această misiune este realizată, în conformitate cu legislaţia în vigoare, prin
intermediul următoarelor procese operaţionale:
- elaborarea propunerilor privind asigurarea securităţii informatice, elaborarea şi
promovarea politicii de stat şi exercitarea controlului în domeniul asigurării protecţiei informaţiei
atribuite la secretul de stat în spaţiul cibernetic;
- crearea, asigurarea funcţionării şi securităţii sistemelor guvernamentale de
comunicaţii electronice, elaborarea strategiei şi realizarea politicii naţionale în domeniul creării,
administrării şi asigurării funcţionării şi securităţii sistemelor speciale de comunicaţii
electronice;
- asigurarea conducerii ţării, a ministerelor, departamentelor şi a altor autorităţi
publice, inclusiv şi în străinătate, conform Nomenclatorului întocmit de Guvern, cu legătură
guvernamentală, cifrată, secretă şi cu alte tipuri de telecomunicaţii, organizarea şi asigurarea
siguranţei exploatării lor;
- depistarea emiterilor radio ale mijloacelor radioelectronice emiţătoare a căror
activitate periclitează securitatea de stat.
Studiile arată că în medie 90% din breşele de securitate identificate nu sunt datorate
problemelor tehnologice și instalării şi configurării necorespunzătoare sau datorită nerespectării
unor proceduri de utilizare şi administrare a sistemului. În multe cazuri, aceste proceduri nici nu
există. Trebuie să privim problema în ansamblu, adresând tehnologia, oamenii şi procedurile
interne ale companiei/organizaţiei.
Studierea materialelor şi practicii de pînă acum din domeniul securităţii informaţiei
arată că metodele tehnice şi programul de aplicare a principiilor securităţii informaţionale sunt
bine documentate şi este foarte greu de ales vre-un domeniu unde aceste metode nu sunt
subiectul unei cărţi sau articol.
Necesitatea pentru instruirea adecvată a angajaţilor în domeniul securităţii
informaţionale a fost recunoscută nu demult. În majoritatea organizaţiilor din Statele Unite ale
16
Americii această instruire a devenit obligatorie. În orice caz, în urma analizei informaţiei din
cadrul Întreprinderilor din Moldova şi unor organizaţii din străinătate, instruirea nu este privită
ca o prioritate de majoritatea din cei intervievaţi. Ca exemplu, Organizatia Ernst & Young în anul
2003 a intervievat 1400 de companii din 66 de ţări, dintre care numai 29% din organizaţii
ofereau instruire angajaţilor în domeniul securităţii informaţionale. Similar un alt studiu arăta că
13% din businessul din Anglia nu deţinea proceduri pentru educarea angajaţilor privitor la
responsabilităţile lor în acest domeniu. [64]
Cu toate acestea, majoritatea literaturii publicate este concentrată la descrierea
domeniilor tehnice a securităţii informaţionale şi foarte puţine materiale analizează acest
domeniu din punct de vedere al instruirii personalului în domeniul securităţii informaţionale şi
crearea culturii securităţii informaţionale în cadrul unei organizaţii. De exemplu, în cartea
"Information Security Management Handbook, Fifth edition" din 1000 de pagini dedicate
securităţii informaţionale, creării culturii securităţii informaţionale au fost dedicate în jur de 15
pagini. Plus la aceasta în orice publicaţie este indicată importanţa instruirii personalului şi
statisticile arată că majoritatea incidentelor legate de “furtul” de informaţii au fost depistate de
personalul companiilor ce nu sunt direct implicate în aplicarea securităţii informaţionale. [p. 989]
Problemele ce influenţează personalul să nu reacţioneze adecvat la instruirea în domeniul
securităţii informaţionale sunt următoarele:
- Angajaţii pot să întîlnească dificultăţi din cauza vitezei mari de dezvoltare a
companiei;
- Angajaţii pot avea dificultăţi din cauza complexităţii sistemelor din prezent;
- Iniţiativele în urma analizei eficienţei pot impune angajaţii să se concentreze la
obligaţiunile principale de serviciu, cele legate de SI rămîn pe ultimul plan;
- Cei ce au iniţiat reorganizarea companiei pot să subestimeze viteza de învăţare a
angajaţilor a noilor obligaţiuni şi responsabitităţi, cît şi a noilor tehnologii desigur;
- O parte de angajaţi deţin cunoştinţe minime în domeniul tehnologiilor informaţionale
(calculatoarelor).
Rezistenţa pe care o opun angajaţii este un fenomen cunoscut, dar în domeniul
securităţii informaţionale situaţia este şi mai gravă din cauza neînţelegerii de către utilizatori de
ce sunt necesare aceste modificări în domeniu. Adiţional, elementele de control pot fi cîteodată
"greoaie" şi impun un anumit lucru de rutină şi activităţi în plus. Dacă angajaţii nu sunt convinşi
de necesitatea acestor paşi, ei probabil vor ignora paşii şi iniţiativele managementului de vîrf.
17
1.2. Scannere de vulnerabilitate webO vulnerabilitate în securitatea IT reprezintă o sumă de condiţii care împreună pot duce
la un sistem deschis al accesului nedorit sau neautorizat din partea unui intrus, la neputinţa de a
folosi corespunzător sistemul, sau reprezintă o violare a politicilor de securitate ale sistemului. O
vulnerabilitate se poate referi la politica de securitate a sistemului, la modul cum a fost planificat,
implementat sau configurat. Astfel, o vulnerabilitate poate fi reprezentată de una din
următoarele:
- o eroare sau un defect neprevăzut în software sau în hardware care permite, ca
sistemului sa fie folosit într-un mod pentru care nu a fost conceput (spre exemplu depăşiri ale
buffer-ului care permit execuţia de cod arbitrar);
- un defect de planificare prin care se poate ocoli securitatea sistemului (spre exemplu
dacă există posibilitatea de a schimba o parolă fără a fi nevoie de a şti parola precedentă);
- o configurare greşită a software-ului sau a hardware-ului care permite sistemului să
fie folosit într-un mod pentru care nu a fost conceput (spre exemplu folosirea conturilor şi
parolelor implicite care permit accesul neautorizat). [46]
O aplicaţie care evaluează vulnerabilităţile (scanner de vulnerabilităţi) poate fi definită
ca un utilitar care poate fi folosit pentru a testa securitatea unui sistem sau a unei reţele şi
descoperă puncte de slăbiciune. Aceste aplicaţii nu oferă în mod direct protecţie sau securitate
pentru un sistem sau o reţea, dar în schimb adună şi raportează informaţii pe care alte
mecanisme, politici sau aplicaţii le pot pune în aplicare pentru a oferi protecţie împotriva
vulnerabilităţilor găsite.
Aplicaţiile de evaluare a vulnerabilităţilor pot fi, în general, de următoarele tipuri:
- Gazdă
- Serviciu
- Aplicaţie
- Active/pasive
18
Gazda. Aplicaţiile de evaluare a vulnerabilităţilor gazdă scanează şi raportează doar
calculatorul pe care se află; nu au nici un fel de interacţiune cu alte sisteme. Avantajul acestei
arhitecturi constă în faptul că scannerul are acces complet la toate resursele sistemului, cum ar fi
înregistrări sau fişiere de sistem. Principalul dezavantaj constă în posibilitatea scannerului de a
consuma prea mult din resursele calculatorului.
Serviciu. Aplicaţiile de reţea care evaluează vulnerabilităţile sunt aplicaţii care sunt
proiectate să scaneze o serie de calculatoare şi serviciile de reţea pe care acestea le oferă pentru a
identifica vulnerabilităţi. Aceste aplicaţii variază de la simple scannere de porturi, care identifică
ce porturi sunt deschise, pînă la scannere automate care vor detecta care calculatoare sunt în
funcţiune şi vor încerca să extragă de la ele date şi informaţii referitoare la vulnerabilităţi.
Aplicaţiile mai avansate permit utilizatorului să specifice care tip de vulnerabilităţi sunt
de interes şi de asemenea permit generarea unui raport la finalul scanării. Există de asemenea şi
scannere proiectate pentru un tip specific de serviciu, de exemplu scannere de vulnerabilităţi de
baze de date.
Aplicaţie. Cele mai întîlnite astfel de scannere sunt cele pentru aplicaţii web. Există o
multitudine de astfel de scannere specifice care pot varia de la simple utilitare care ajută la
localizarea paginilor web care nu ar trebui să fie accesibile pînă la scannere complexe care să
încerce manipularea aplicaţiei web de aşa natură, încît să obţină informaţii sau acces suplimentar.
Un exemplu de manipulare ar putea fi încercarea de injectare de interogări SQL pentru a putea
ocoli securitatea sau pentru a accesa informaţii stocate în aplicaţie.
Scannere active. Scannerele active încearcă să compromită (sau să evalueze
posibilitatea de a compromite) o reţea, un sistem sau serviciu specific folosind strategii de atac
care ar putea fi folosite într-un atac real. Multe dintre scannerele active identifică vulnerabilităţile
cauzate de configurări defectuoase sau de patch-uri de sistem lipsă. Motivul pentru care sunt
denumite "active" este pentru că efectuează teste care consumă efectiv resurse ale reţelei.
Un avantaj al scannerelor active este că administratorul are un control îmbunătăţit
asupra timpului şi a profunzimii scanării de vulnerabilităţi. Un alt avantaj constă în faptul că,
uneori, prezenţa unei vulnerabilităţi poate fi determinată de succesul unui test (de exemplu dacă
scannerul ghiceşte un nume de cont sau o parolă).
Marele dezavantaj al scannerelor active constă în posibilitatea lor de a întrerupe
funcţionarea sistemelor. Scannerele active nu ar trebui folosite asupra sistemelor critice
operaţionale fără o planificare atentă în prealabil. Scannerele active, prin definiţie, folosesc
resursele sistemului fapt ce ar putea conduce la încetinirea altor procese.
19
Scannere pasive. Scannerele pasive, spre deosebire de cele active, nu afectează în mod
semnificativ resursele sistemului deoarece doar monitorizează datele pe sistem şi execută orice
procesări ale datelor pe o maşină separată de analiză. Scannerele pasive se comportă similar cu
sistemele de detecţie a întruziunilor, în sensul că interceptează sau primesc date despre sistem şi
le evaluează folosind un set de reguli. Analiza oferă informaţii despre procesele care rulează pe
sistem.
Un avantaj al acestui tip de scanner este că scannerele pasive pot funcţiona "non-stop"
deoarece nu consumă din resursele sistemului. Un dezavantaj consta în faptul că scannerele
pasive vor raporta informaţii derivate doar din date disponibile cu uşurinţă, dintre care unele sunt
de multe ori deduse deci pot fi inexacte. [56]
În general, tipurile de teste folosite de un scanner pasiv sunt: determinarea versiunii
unui program pentru a verifica prezenţa vulnerabilităţilor (de exemplu dacă a fost aplicat un
patch sau nu) şi verificarea prezenţei unui program care nu a mai fost întîlnit în sistem. Un
exemplu de detecţie pasivă a semnăturii unei vulnerabilităţi îl reprezintă analiza unui banner
SMTP (Simple Mail Transfer Protocol) atunci cînd o conexiune către un server de e-mail este
făcută pentru a verifica dacă acel server rulează o versiune vulnerabilă de SMTP.
Vulnerabilităţile pot exista în software-ul serviciilor de reţea sau în software-ul care este
capabil să primească date din reţea. Viermii din internet şi compromiterea sistemelor de la
distanţă exploatează vulnerabilităţi ale serviciilor de reţea. Alte vulnerabilităţi sunt locale pentru
o aplicaţie particulară care rulează pe un calculator sau care are nevoie de acces nemijlocit la
sistemul de operare sau la sistemul de fişiere al calculatorului respectiv. Toate tipurile de
vulnerabilităţi de mai jos se aplică atît vulnerabilităţilor serviciilor de reţea cît şi
vulnerabilităţilor locale:
- Software fără patch-uri de securitate - majoritatea viruşilor, viermilor şi atacurilor
asupra sistemelor unui calculator exploatează vulnerabilităţi cunoscute ale software-ului
calculatorului. Pentru a vă putea proteja de aceste atacuri este importantă existenţa unei aplicaţii
automate de scanare de vulnerabilităţi care să identifice sistemele din reţea care nu au toate
patch-urile instalate.
- Configurări greşite - fiecare organizaţie adoptă configuraţii diferite pentru
echipamentele lor datorită cerinţelor diferite, dar este foarte important ca acea configuraţie aleasă
să fie sigură şi orice posibilă vulnerabilitate să fie descoperită (de exemplu, firewall-uri cu seturi
de reguli incomplete, parole ale conturilor de utilizatori slabe sau fişiere cu drepturi de acces
incorecte)
20
- Configurări implicite - un număr mare de produse, atît hardware cît şi software, au
configurări implicite nesecurizate care pot include conturi de utilizatori şi parole implicite bine
cunoscute sau rularea de servicii care nu sunt necesare.
- Aplicaţii fără suport de securitate - există două tipuri de aplicaţii fără suport:
software care este învechit şi astfel furnizorul nu mai oferă patch-uri pentru vulnerabilităţile din
software-ul respectiv şi software care nu este permis de organizaţia utilizatorului. Unele tipuri de
vulnerabilităţi sunt mult mai greu de detectat dacă nu au o semnătură cunoscută sau nu afectează
decît unele versiuni ale unui software.
- Erori de programare în validarea datelor de intrare - acest tip de vulnerabilitate
include printre altele depăşiri ale buffer-ului, cross-site scripting, SQL injection. Este de departe
cel mai utilizat tip de vulnerabilitate folosit în compromiterea sistemelor.
- Vulnerabilităţi ale kernel-ului - kernel-urile sistemelor de operare pot avea
vulnerabilităţi care pot fi exploatate. Scannerele de vulnerabilităţi actuale nu pot găsi aceste
vulnerabilităţi decît dacă este ştiut faptul că versiunea respectivă de kernel este vulnerabilă.
Singura metodă completă pentru a găsi aceste vulnerabilităţi este de a verifica codul sursă, dacă
acesta este disponibil, care poate fi făcută cu aplicaţii automate de analiză a codului. Altfel ar
putea fi necesară folosirea dezasambloarelor sau o analiză a funcţionării proceselor. Toate aceste
metode presupun un consum mare de resurse precum şi experienţa şi calificarea unui
specialist.[59]
Aplicaţiile de evaluare a vulnerabilităţilor sunt doar unelte de detecţie şi doar prin
înţelegerea, analiza şi acţiunea unui administrator de sistem pot deveni unelte de protecţie
împotriva vulnerabilităţilor. Toate aceste aplicaţii necesită un grad ridicat de expertiză tehnică şi
timp pentru a înţelege, alerta, a stabili că nu este un fals pozitiv şi a lua măsurile necesare.
Scannerele de vulnerabilităţi sunt folosite pentru a ajuta la protejarea sistemelor sau reţelei aşa că
asiguraţi-vă că aceste aplicaţii nu au efectul opus, deteriorarea sistemelor şi degradarea
performanţei lor. Este recomandat ca înainte de a folosi un nou scanner de vulnerabilităţi, sau de
a implementa noi teste pentru acest scanner să fie rulate în prealabil pe un sistem sau o reţea care
nu se află în exploatare. Este de asemenea recomandat ca testele care pot avea un efect distructiv
să fie înlăturate atunci cînd se efectuează scanări pe o reţea operaţională.[54]
Înainte de a folosi aceste aplicaţii este esenţială o bună înţelegere a modului lor de
funcţionare precum şi a datelor care pot fi culese în urma folosirii lor.
Trebuie luată în considerare locaţia sursă de unde se va face scanarea deoarece
mecanismele de securitate vor fi, cel mai probabil, diferite în funcţie de tipul accesului: din afara
reţelei sau din interiorul ei. Decizia despre unde să fie poziţionată sursa trebuie luată în funcţie
21
de datele care se doresc a fi obţinute. O scanare din exteriorul reţelei va simula un atacator extern
în timp ce o scanare din interiorul reţelei va arăta cu mai mare acurateţe vulnerabilităţile prezente
în sistem şi care pot fi exploatate de un atacator din interior sau care a compromis un sistem din
interiorul reţelei.
Atunci cînd se efectuează o scanare a unei reţele toate calculatoarele din reţea ar trebui
să colecteze înregistrări despre ce se întîmplă. Acestea reprezintă mecanisme de validare a unui
rezultat pentru a determina dacă o vulnerabilitate raportată a fost corectă sau a fost un fals
pozitiv.
Utilizatorii de scannere de vulnerabilităţi ar trebui să scaneze în mod regulat sistemele
lor, astfel avînd un istoric asupra vulnerabilităţilor existente. În plus, utilizatorii de scannere de
vulnerabilităţi ar trebui să urmărească apariţia unor noi vulnerabilităţi şi să aplice noile teste
pentru acestea cît mai curînd posibil.
Există o multitudine de aplicaţii de evaluare a vulnerabilităţilor atît comerciale cît şi
non-comerciale. Unele din scannerele de vulnerabilităţi care au licenţă open-source sau care sunt
disponibile fără costuri sunt:
- Nikto, scanner open-source pentru servere web -
http://www.cirt.net/code/nikto.shtml
Nikto Web Scanner este un scaner server Web care testeaza servere Web pentru fișierele
periculos / CGIs, software de tip server depășite și alte probleme. Se efectuează verificări
specifice tipului de generice și de server. De asemenea, surprinde și imprimă toate cookie-urile
primite.
Nikto este un Open Source (GPL) web scanner server care efectuează teste
cuprinzătoare împotriva serverelor web pentru mai multe elemente, inclusiv peste 6700 de fișiere
potențial periculoase / CGIs, controale pentru versiunile vechi de peste 1250 de servere, și
probleme specifice pe versiunea peste 270 de servere. Se verifică, de asemenea, pentru elemente
de configurare a serverului, cum ar fi prezența mai multor fișiere index, opțiuni de server HTTP,
și va încerca să identifice servere de web instalate și software. Obiecte de scanare și plugin-uri
sunt actualizate frecvent și pot fi actualizate automat.[68]
- WPScan scanner web, este o cutie neagră WordPress. Software-ul WPScan și datele
sale sunt dual-licențiate - drepturi de autor 2011-2014 WPScan Team - http://wpscan.org
Cazurile care includ comercializarea de WPScan necesită o licență non-comercială
liberă. În caz contrar, sistemul poate fi utilizat în conformitate cu termenii GNU General Public
License.
Cazurile de comercializare sunt:
22
- Folosind WPScan pentru a oferi / Software-as-a-Service servicii comerciale
administrate.
- Distribuirea WPScan ca un produs comercial sau ca parte a unei.
- Folosind WPScan ca o valoare adăugată serviciu / produs.
Cazurile care nu necesită o licență comercială, și, prin urmare, se încadrează în termenii
GNU General Public License, includ (dar nu sunt limitate la):
- Testele de penetrare (sau organizații de testare de penetrare), folosind WPScan, ca
parte din set de instrumente de evaluare a lor. Atâta timp cât nu intră în conflict cu clauza de
comercializare.
- Folosind WPScan pentru a testa propriile sisteme.
- Orice utilizare non-comerciale de WPScan.[69]
- Vega web scanner, este un instrument de testare de securitate automat care se târăște
un site web, analizând conținutul paginii pentru a găsi link-uri și parametrii de formă -
https://subgraph.com/vega/
Vega are două perspective: scanerul, proxy. Vega găsește puncte de injectare, denumite
noduri de stat în drum, și se execută ca module scrise în JavaScript pentru a le analiza. Vega se
execută, de asemenea, pe module JavaScript pe toate răspunsurile trimise înapoi de la server în
timpul scanării. Vega stochează informațiile scanate actuale și trecute într-un "spațiu de
lucru". Ștergerea spațiul de lucru va elimina toate datele de scanare, inclusiv alertele și cererile /
răspunsurile salvate.
Vega scanează site-uri recursiv, construind o reprezentare internă a site-ului într-o
structură de date de tip arbore format din entități cunoscute sub numele de "path state nodes
(noduri de stat în cale)". “Path state nodes” pot fi directoare, fișiere, sau fișiere cu POST sau
GET parametri. Site-uri complexe pot duce la scanări lungi și structuri mari de date de stat în
cale, așa Vega oferă parametri configurabile care limitează domeniul de aplicare de scanare în
preferințele de scanare. Există două seturi de preferințe asociate cu scanerul: preferințele scaner
și depanare Scanner.[70]
- Arachni web scanner, este un Open Source, cu funcții complete, modulare, de înaltă
performanță cadru Ruby menit pentru a ajuta testerii de penetrare și administratorii de evaluare a
securităţii aplicaţiilor web - http://arachni-scanner.com
Web scanerul Arachni, este un scanner de vulnerabilitate web inteligent, el se pregătește
pentru monitorizarea și învățarea comportamentulului aplicației web în timpul procesului de
scanare și este capabil de a efectua meta-analiza, folosind o serie de factori, în scopul de a evalua
corect gradul de încredere a rezultatelor.
23
Spre deosebire de alte scanere, se ia în considerare natura dinamică a aplicațiilor web,
poate detecta schimbări cauzate în timp ce călătoresc prin căile de complexitate ciclomatice a
aplicației web și este capabil să se adapteze în consecință. În acest fel, atacurile care altfel nu ar
fi detectabile pot fi manipulate cu ușurință.
Mai mult decât atât, datorită mediului său, browser-ul integrat, se poate, de asemenea,
de inspectat și de sprijinit aplicaţiile web extrem de complicate care folosesc intens tehnologiile
avansate, cum ar fi JavaScript, HTML5, DOM și AJAX.
În ciuda faptului că Arachni este în mare parte orientat spre securitatea aplicației web,
acesta poate fi utilizat cu ușurință pentru uz general de profilaxie cu adaos de componente
personalizate.[71]
- Microsoft Baseline Security Analyzer, scanner de vulnerabilităţi Microsoft destinat
calculatoarelor cu sisteme de operare Microsoft Windows - http://www.microsoft.com/
technet/security/tools/mbsahome.mspx
Freeware-ul Microsoft Baseline Security Analyzer (MBSA) oferă gestionare
îmbunătăţită a securităţii pentru companiile mici şi mijlocii.
Microsoft Baseline Security Analyzer (MBSA) oferă abilitatea de a aprecia
vulnerabilităţile administrative prezente pe unul sau mai multe computere. MBSA scanează
computerele specificate şi apoi generează un raport ce conţine detalii pentru fiecare computer
despre verificările de securitate pe care MBSA le-a efectuat, rezultate, şi recomandări pentru
fixarea problemelor. Adiţional verificării de configuraţii greşite care pot cauza probleme de
securitate în sistemul de operare, potem verifica pentru probleme de securitate în Microsoft SQL
Server şi Microsoft Internet Information Services (IIS).
Microsoft Baseline Security Analyzer (MBSA) - poate fi folosit pentru a analiza
sistemele existente şi a inventaria vulnerabilităţile descoperite pentru sistemele de operare
Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum şi a altor
produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange,
Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML,
BizTalk Server, Commerce Server, Content Management Server şi Host Integration Server.[72]
MBSA adaugă o interfaţă grafică la utilitarul linie de comandă HFNetCheck şi foloseşte
un fişier MSSECURE.XML ce poate fi downloadat de la Microsoft şi conţine informaţii despre
toate patch-urile disponibile în acel moment. Astfel se pot crea rapoarte pentru sistemele scanate
ce afişează patch-urile care nu au fost încă instalate pe sisteme. MBSA este capabil să identifice
de asemenea vulnerabilităţi cunoscute la servicii şi aplicaţii. MBSA poate scana o singură
maşină sau mai multe folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu
24
condiţia să aibă permisiuni administrative. MBSA poate face doar analiza sistemelor, nu şi
instalarea propriu-zisă a patch-urilor.[62]
- Winfingerprint, scanner de vulnerabilităţi open source pentru reţele cu
calculatoarele cu sisteme de operare Microsoft Windows - http://winfingerprint.con/index.php
WinFingerprint este un scaner administrativ resursă de rețea care permite scanarea
mașinilor de pe LAN și returnează diverse detalii despre fiecare gazdă. Aceasta include acțiuni
NetBIOS, informaţii disc, servicii, utilizatori, grupuri, etc. Se poate alege efectuarea unei scanări
pasive sau interactive. Scanarea poate fi rulată pe o singură gazdă sau întregul cartier de
rețea. WinFingerprint oferă posibilitatea, de asemenea, de intrare pe o listă de adrese IP sau
specifică un interval personalizat IP pentru a fi scanate. Funcțiile suplimentare includ NULL
IPC$ Sessions, de detectare a Service Pack și remedieri rapide, ICMP și rezoluția DNS, de
detectare a sistemului de operare și mult mai mult. Winfingerprint poate utiliza Active Directory
(ADSI) sau Windows Management Instrumentation (WMI) interfețe în plus față de standard de
SMB (NetBIOS peste TCP) interfață.[73]
- CIS Benchmarks/Security Tool, scanner de vulnerabilităţi pentru calculatoare Unix,
Microsoft Windows, Sun Solaris şi Oracle - http://www.cissecurity.com/ [74]
- OpenVAS, Open Vulnerabilty Assesment System - http://wald.intevation.org/
projects/openvas
Scanerul OpenVAS este un sistem complet de evaluare a vulnerabilității, care poate
detecta problemele de securitate în tot felul de servere și dispozitive de rețea. Software-ul
OpenVAS poate fi folosit pentru a testa cu ușurință infrastructura Internet.
Rezultatele vor fi livrate la adresa de email pentru analiză; permițând începerea
remedierii oricăror riscuri a sistemelor şi a face față amenințărilor externe.
Scanarea vulnerabilităţilor efectuate de servere găzduite extern oferă aceeași perspectivă
ca un atacator.
Motivul principal pentru a utiliza acest tip de scanare este acela de a efectua teste de
securitate cuprinzătoare a unei adrese IP. Se va efectua inițial o scanare de porturi de o adresă IP
pentru a găsi servicii deschise.
După ce s-au primit rezultatele testelor, va trebui verificată fiecare constatare pentru
relevanță. Orice vulnerabilități confirmate ar trebui să fie remediate pentru a asigura că sistemele
nu sunt supuse nici unui risc.
O utilizare secundară a acestui tip de scanare presupune testarea proceselor de răspuns
la incidente și sisteme de prevenire a intruziunilor de detectare. Fiind un tip de scanare agresiv și
25
zgomotos, de monitorizare a securităţii rețelei ar trebui să detecteze scanarea și să oferă alerte
pentru soluția de monitorizare a securităţii.[75]
- Paros, arhitectură pentru testare web - http://parosproxy.org/
Paros este un instrument de testare valoros pentru testarea de securitate și
vulnerabilitate.[76]
Aplicaţiile prezentate mai sus reprezintă doar o parte din multitudinea de aplicaţii
existente.
1.3. Elemente şi cerinţe privind securizarea informaţieiAsigurarea securităţii informaţionale este un proces continuu care constă în
fundamentarea şi realizarea celor mai raţionale forme, metode, procedee şi căi de formare,
perfecţionare şi dezvoltare a sistemelor de securitate, în administrarea neîntreruptă, controlul,
depistarea zonelor limitate şi vulnerabile, precum şi a pericolelor potenţiale.
Securitatea informaţională reprezintă starea de protecţie a informaţiei şi infrastructurii
de susţinere la toate etapele proceselor de creare, procesare, transmitere şi protecţie împotriva
unor acţiuni ocazionale sau intenţionate, cu caracter natural sau artificial, care pot cauza
prejudicii procesului de prestare a serviciilor publice.
Securitatea informaţională trebuie să fie asigurată prin intermediul utilizării complexe a
tuturor mijloacelor de protecţie pentru toate elementele de structură ale sistemului şi
componentele infrastructurii TI şi la toate etapele ciclului tehnologic ale activităţii acestuia.
Pentru a atinge nivelul optim al managementului securităţii informaţionale este necesar de
utilizat toate mijloacele, metodele şi activităţile în calitate de mecanism integru unic.
Securitatea informației se ocupă cu protejarea informației și sistemelor informatice de
accesul neautorizat, folosirea, dezvăluirea, întreruperea, modificarea ori distrugerea lor. Cele trei
componente ale securității informației sunt: confidențialitatea, integritatea și disponibilitatea.
Confidențialitatea este asigurată prin criptarea informației. Integritatea se obține prin mecanisme
și algoritmi de dispersie. Disponibilitatea e asigurată prin întărirea securității rețelei sau rețelelor
de sisteme informatice și asigurarea de copii de siguranță.[25]
Sistemele informaţionale sunt ameninţate atît din interior cît şi din exterior. Pot fi
persoane bine intenţionate care fac diferite erori de operare sau persoane rău intenţionate, care
sacrifică timp şi bani pentru penetrarea sistemelor informaţionale. Dintre factorii tehnici care
permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare
sau anumite defecte ale echipamentelor de calcul sau de comunicaţie. De asemenea, lipsa unei
26
pregătiri adecvate a administratorului, operatorilor şi utilizatorilor de sisteme amplifică
probabilitatea unor probleme de securitate. Folosirea abuzivă a unor sisteme (piraterie
informatică) reprezintă, de asemenea, unul din factorii de risc major privind securitatea
sistemelor informatice.[28]
Pe măsura extinderii razei manifestării economice umane tot mai pronunţat devine
caracterul social al informaţiei în cauză, iar procesele informaţionale necesită organizarea lor în
mod conştient. De aceea dacă la faza iniţială a activităţilor economice umane fluxurile
informaţionale spaţial se formau şi se realizau acolo unde şi celelalte materiale, apoi treptat, în
mod evolutiv ele tot mai esenţial şi-au majorat atît termenii cît şi scara de acţiune.
În aşa circumstanţe funcţionarea eficientă a sistemului informaţional economic este
bazată nu numai pe concordanţa spaţială şi în timp a proceselor informaţionale, dar în măsură
egală şi pe asigurarea securităţii unităţilor informaţionale funcţionale. Aceasta de pe urmă îşi
găseşte explicarea în faptul că odată cu integrarea activităţilor economice în parametrii
nominalizaţi automat se produce şi integrarea fluxurilor informaţionale, ce le însoţesc. În
consecinţă fenomenului produs e suficient ca un singur element informaţional să fie “alterat”, ori
“pierdut” şi sistemul informaţional în ansamblu poate să nu mai corespundă solicitărilor
sistemului de gestiune concret, deoarece elementul respectiv dispune de o mulţime de conexiuni
cu o mulţime de alte elemente şi “pierderea” (“alterarea”) lor fireşte negativ influenţează
sistemul informaţional integral.
De aceea conceptul de organizare a resurselor informaţionale sub formă de fişiere
separate nu în mod evident accentuează valoarea securităţii datelor, aşa cum neasigurarea ei se
referă la fiecare fişier în parte şi nu afectează tot sistemul informaţional în întregime, ori o bună
parte a lui. Totodată organizarea integrată a datelor pune probleme stringente privind securitatea
lor din cauza că realizarea ei este condiţionată de conexiunile informaţionale dintre problemele
soluţionate. În aşa condiţii “deteriorarea” unei unităţi de date poate să se răsfrîngă asupra calităţii
sistemului informaţional în ansamblu.
Integrarea datelor în procesele de organizare şi transformare obiectiv acutizează
necesitatea asigurării stricte a securităţii lor. Pornind de la această considerenţă, creşterea
însemnătăţii activităţilor de protecţie a datelor este condiţionata şi de următorii factori de bază:
- evoluarea conceptului de organizare a datelor odată cu trecerea de la fişiere separate
la baza informaţională unică şi integrată, ce deserveşte tot obiectul economic şi fiecare
subdiviziune, participant şi activitate a lui;
- coordonarea şi reglarea proceselor informaţionale economice în spaţiu şi timp;
- creşterea continuă a numărului şi volumelor unităţilor informaţionale;
27
- majorarea complexităţii structurale a acestor unităţi;
- majorarea varietăţii componistice a unităţilor în cauză;
- complicarea efectuării proceselor de organizare, transformare şi utilizare a unităţilor
informaţionale în cadrul sistemului de gestiune a unităţii economice.
La rîndul său, aceşti factori de contribuire la securitatea datelor au condus la necesitatea:
- evidenţierii, ordonării şi integrării funcţionale a unităţilor structurale informaţionale,
condiţionate de interconexiunea informaţională a problemelor soluţionate şi de utilizarea cît mai
economă al spaţiului memorial al sistemului informatic;
- evidenţierii, sistematizării şi integrării structurale a unităţilor informaţionale cu
scopul unificării structurii lor;
- evidenţierii, clasificării şi integrării procedurilor de organizare, prelucrare şi utilizare
a unităţilor de structuri de date pentru a exclude dublarea şi iteractivitatea lor nejustificată.
Securitatea datelor se efectuează divers în funcţie de mediul formării şi transformării
lor. Se evidenţiază două medii de aşa natură – sistemul informaţional şi sistemul informatic.
Primul include toată informaţia ce este organizată, prelucrată şi utilizată conform cerinţelor şi în
cadrul sistemului de conducere concret în ansamblu atît pe baza de metode manuale, cît şi
automate. În acelaşi timp, sistemul informatic este nu altceva decît sistemul informaţional
realizat prin intermediul mijloacelor tehnice.[55]
Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem sigur este
unul bine proiectat, implementat, utilizat şi administrat.
Sistemul securităţii informaţionale reprezintă un ansamblu organizat de măsuri,
mijloace, metode şi activităţi legislative, organizaţionale şi economice ce asigură securitatea
informaţională.
Scopul sistemului securităţii informaţionale în procesul de prestare a serviciilor publice
constă în prevenirea divulgării, pierderii, scurgerii, denaturării şi distrugerii informaţiei,
dereglării activităţii sistemului de prestare a serviciilor publice.
Subiectul protecţiei în procesul de prestare a serviciilor publice îl constituie resursele
informaţionale şi SI, inclusiv şi cele cu acces limitat, ce constituie secret de serviciu şi de stat,
amplasate pe bază magnetică şi/sau optică, masivele informaţionale şi bazele de date, software-
ul, câmpurile fizice informative de natură diferită.
Obiectul protecţiei prestării serviciilor publice sunt mijloacele şi sistemele de
informatizare (sistemele automatizate şi reţelele de calcul de diferite niveluri şi destinaţii, liniile
de telecomunicaţii, mijloacele tehnice de transmitere a informaţiei, mijloacele de multiplicare şi
28
reflectare a informaţiei, mijloacele şi sistemele tehnice auxiliare), mijloacele tehnice şi sistemele
de pază şi protecţie a resurselor şi sistemelor informaţionale (SI).
Securitatea resurselor informaţionale şi a SI caracterizează o stare a resurselor
informaţionale şi a SI care susţine infrastructura acestora, în cadrul căreia trebuie asigurată, cu
probabilitatea necesară, protecţia informaţiei în procesul de prestare a serviciilor împotriva
scurgerii, acţiunilor neautorizate şi nepremeditate.[33]
Asigurarea securităţii informaţionale reprezintă o abordare multidimensională pentru
instituţia ce prestează servicii publice. Asigurarea securităţi informaţionale trebuie să fie realizată
în cadrul a patru nivele:
- nivelul legislativ (legi, acte normative, standarde);
- nivelul administrativ (acţiuni cu caracter general întreprinse de conducere);
- nivelul procedural (măsuri concrete de securitate care implică nemijlocit populaţia);
- nivelul tehnic (măsuri tehnice concrete).
În procesul prestării serviciilor publice pentru asigurarea securităţii resurselor
informaţionale este necesar de asigurat cel puţin trei aspecte ale securităţii:
- confidenţialitate – asigurarea accesibilităţii informaţiei numai celor autorizaţi să aibă
acces;
- integritate – păstrarea acurateţei şi completitudinii informaţiilor, precum şi metodelor
de procesare;
- disponibilitate – asigurarea faptului că utilizatorii autorizaţi au acces la informaţie,
precum şi la resursele asociate, atunci când este necesar.
Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare:
uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată,
menţinerea la zi a sistemelor din punct de vedere al patch-urilor şi fix-urilor (pentru sistemele de
operare şi aplicaţiile instalate), aplicarea unor configurări standard de securitate pe toate
serverele şi staţiile de lucru, în funcţie de rolul funcţional al acestora precum şi realizarea unor
proceduri standard de utilizare şi administrare.
Soluţiile de afaceri prin Internet, cum sunt comerţul electronic, managementul lanţului
de distribuţie şi marketingul prin web, fac posibilă creşterea eficienţei în cadrul companiilor,
reduc costurile şi măresc veniturile.[59]
Asemenea aplicaţii necesită reţele de importanţă critică, care permit traficul de voce,
date şi video.
Aceste reţele trebuie să fie scalabile pentru a susţine tot mai mulţi utilizatori şi o nevoie
crescută de capacitate şi performanţă.
29
Cu toate acestea, pe măsură ce mai multe aplicaţii sunt posibile şi devin accesibile unui
număr mai mare de utilizatori, reţelele devin mai vulnerabile la o gamă largă de ameninţări de
securitate. Atacurile la adresa reţelelor compromit disponibilitatea aplicaţiilor de reţea. În plus,
confidenţialitatea datelor companiei poate fi compromisă prin accesul extern neautorizat. Sau
integritatea datelor poate fi afectată de, spre exemplu, hackeri care modifică conţinutul
documentelor sau al bazelor de date.[49]
Securitatea reţelelor are ca scop protejarea reţelelor şi a aplicaţiilor de reţea împotriva
unor asemenea atacuri. Pentru a realiza acest lucru, companiile abordează securitatea reţelelor
creând o politică de securitate şi, pe baza acestei politici, o arhitectură de securitate a reţelelor.
Această arhitectură trebuie să ia în considerare următoarele elemente de securitate a reţelei:
- în primul rând, trebuie să cunoaştem identitatea persoanelor prezente în reţea şi tipul
de acces care le este permis.
- în al doilea rând, accesul la aplicaţiile de reţea, la datele şi la serviciile critice trebuie
să fie controlat astfel încât numai utilizatorii şi informaţiile legitime să poată trece prin reţea.
Acest aspect este deseori denumit securitatea perimetrului.[66]
Confidenţialitatea datelor sau conectivitatea securizată a reţelei pot fi realizate prin
implementarea Reţelelor Private Virtuale sau VPN, care permit companiilor să îşi extindă
reţeaua securizată a companiei către birouri aflate la distanţă, lucrători mobili sau parteneri
extranet.
Tehnologiile de criptare asigură că datele care circulă printr-un VPN nu pot fi
interceptate sau citite de receptori neautorizaţi.
Instrumente de monitorizare a securităţii permit monitorizarea, recunoaşterea şi testarea
vulnerabilităţilor în infrastructura reţelei, astfel încât să poată fi rezolvate înainte ca intruşii să le
exploateze.
În final, pe măsură ce reţelele cresc în mărime şi complexitate, este necesară folosirea
unor instrumente de management al politicilor de securitate, care pot administra centralizat
elementele de securitate menţionate mai sus.
Cadrul folosit pentru a controla accesul la reţelele de calculatoare este cunoscut de
obicei ca AAA, numit şi Triplu A, care înseamnă Autentificare, Autorizare si Accounting
(Contabilizare).[54]
Autentificarea se referă la metoda de identificare a utilizatorilor prin paşi cum ar fi login
şi dialog cu parolă. În esenţă, autentificarea verifică “cine eşti”.
30
Autorizarea reprezintă verificarea a ceea ce îi este permis utilizatorului să opereze în
reţea. Această permisiune poate varia de la o autorizare unică la un nivel specific de autorizare
pentru fiecare serviciu de reţea.
Contabilizarea oferă posibilitatea de a urmări serviciile pe care le accesează utilizatorii,
la fel ca şi cantitatea de resurse din reţea pe care le consumă aceştia. Contabilizarea ajută la
monitorizarea securităţii şi verifică “ce ai făcut” în reţea.
Triplu A se bazează de obicei pe protocoale cum ar fi RADIUS, TACACS+ şi
Kerberos, pentru a administra funcţiile sale de securitate.
Numai utilizatorilor şi informaţiilor legitime le este permis accesul în reţea. Acesta este
realizat prin soluţii de securitate a perimetrului, cum ar fi: liste de control al accesului şi
firewalluri.
Înainte ca un utilizator să primească acces la o reţea, componentele reţelei, cum sunt
routerele sau serverele de acces, decid dacă traficul în reţea care vine de la computerul sau
reţeaua utilizatorului respectiv este transmis mai departe sau blocat. Această decizie se bazează
pe listele de control al accesului sau liste de acces.[40]
Un firewall este o soluţie specifică hardware sau software care restricţionează accesul la
anumite resurse ale reţelei şi permite numai trecerea traficului autorizat. Un firewall poate
proteja totodată reţeaua împotriva atacurilor denialofservice. Aceste atacuri nu oferă intruşilor
accesul la anumite date, dar blochează resursele informatice, trimiţându-le cantităţi mari de date
şi, prin urmare, împiedicând utilizatorii legitimi să acceseze aplicaţiile.[35]
Informaţiile unor insituţii pot fi protejate împotriva accesului neautorizat. Aşadar,
capacitatea de a oferi comunicare autentificată şi confidenţială la cerere este crucială.
Tehnologia VPN oferă asemenea conexiuni private, separând datele în “tuneluri”. În
acest mod, o reţea privată poate fi creată prin reţele publice cum ar fi Internetul, folosind
protocoale ca Generic Routing Incapsulation (GRE) sau Layer 2 Tunneling Protocol, pe scurt
L2TP.
Pentru a oferi protecţia datelor pe care le transportă, echipamentele hardware şi software
VPN susţin tehnologia de criptare. Tot traficul care circulă printr-un tunel între două puncte într-
un VPN este criptat.
Uneori, separarea datelor folosind tehnologii de tunneling oferă confidenţialitate
eficientă, de exemplu în cadrul reţelei locale. Deseori însă, cerinţele suplimentare de
confidenţialitate necesită protecţie mai mare, de exemplu prin folosirea unor tehnologii sau
protocoale de criptare digitale ca IPSec.[34]
31
IPSec, sau protocolul de securitate IP, este un cadru de standarde deschise pentru
asigurarea comunicaţiilor private securizate pe Internet. IPSec asigură confidenţialitatea,
integritatea şi autenticitatea comunicaţiilor de date printr-o reţea publică, fiind o componentă
tehnică cheie pentru o soluţie de securitate totală.
Acest protocol poate rezolva ameninţările de securitate din infrastructura de reţea, fără a
cere modificări costisitoare ale gazdei şi aplicaţiilor. IPSec oferă criptare şi autentificare la
nivelul de reţea IP. Deoarece pachetele criptate arată ca pachete IP obişnuite, ele pot fi
redirecţionate uşor către o reţea IP, ca Internetul, exact ca pachetele IP obişnuite. Singurele
dispozitive care cunosc criptarea sunt punctele finale.
IPSec utilizează diferite tehnologii existente, cum sunt criptarea DES şi certificatele
digitale.
Tehnologia de criptare asigură că mesajele nu sunt interceptate sau citite de altcineva
decât destinatarul autorizat.
Criptarea este folosită pentru a proteja date care sunt transportate printr-o reţea publică,
şi foloseşte algoritmi matematici avansaţi pentru a cifra mesajele şi documentele ataşate. Există
mai multe tipuri de algoritmi de criptare, dar unii sunt mai siguri decât alţii. În cei mai mulţi
algoritmi, datele originale sunt criptate folosind o anumită cheie de criptare, iar computerul
destinatar sau utilizatorul pot descifra mesajul folosind o cheie de decriptare specifică.[42]
Algoritmii de criptare ca DES, PGP sau SSL determină construirea şi schimbarea
acestor chei.
32
II. POLITICA DE SECURITATE ÎN CADRUL CNASPolitica de securitate constă dintr-un set de reguli şi practici care reglementează modul
în care o instituţie foloseşte, administrează, protejează şi distribuie propriile informaţii sensibile
ce trebuie protejate; reprezintă modul de gestiune prin care un Sistem de Management al
Securităţii Informaţionale (în continuare – SMSI) conferă un grad suficient de încredere.[66]
O politică de securitate, de regulă, are în vedere două laturi: a subiectului şi a obiectului
politicii. Subiectul este reprezentat de ceva activ în SMSI (utilizator, program, proces etc.), iar
obiectul este cel, asupra căruia acţionează un subiect (fişiere, dosare, diferite dispozitive şi
echipamente etc.). Se impune elaborarea unui set de reguli utilizate de SMSI, pentru ca acesta să
poată determina în ce caz un anume subiect este autorizat să aibă acces la un anume obiect.
Politica de securitate îşi propune următoarele obiective:
- asigurarea confidenţialităţii, integrităţii şi disponibilităţii datelor şi informaţiilor
vehiculate în cadrul organizaţiei;
- oferirea mijloacelor de ghidare şi susţinere a întregii activităţi referitoare la
securitatea informaţiei în cadrul organizaţiei;
- susţinerea eforturilor managementului în direcţia adoptării de soluţii de securitate
integrate, efort convergent defăşurării unei activităţi de afaceri profitabile;
- definirea clară a drepturilor, obligaţiilor şi responsabilităţilor utilizatorilor interni şi a
partenerilor externi, în ceea ce priveşte datele aflate în format electronic sau pe documente;
- armonizarea necesităţilor şi obiectivelor organizaţiei, cu un cadru de securitate
adecvat, absolut necesar;
- impunerea unui echilibru între securitatea resurselor şi productivitatea muncii
cadrelor;
- inţierea unor măsuri disciplinare în cazul încălcării cadrului normativ instituit şi/sau a
utilizării inadecvate a resurselor.[91]
Republica Moldova nu are o politică de stat în domeniul securităţii informaţionale,
aceasta în condiţiile în care ţările vecine, România şi Ucraina, sunt printre primele 10 state
împotriva cărora sunt îndreptate cele mai multe atacuri cibernetice. Consiliul Suprem de
Securitate, reunit la 7 octombrie 2014 în şedinţă, a decis să recomande Parlamentului să
examineze în mod prioritar proiectele de acte legislative ce ţin de domeniile securităţii
informaţionale, prevenirii şi combaterii infracţiunilor informatice şi de telecomunicaţii.
Urmează, de asemenea, să fie elaborată o concepţie informaţională pentru a diminua riscurile de
atac cibernetic.[81]
33
”Lipsește o abordare de sistem și o politică de stat în domeniul securității
informaționale. Este necesar de elaborat Concepția Securității Naționale. Sînt multe lacune în
legislația noastră” a evidenţiat Alexei Barbăneagră, secretar al Consiliului Suprem de Securitate.
Pavel Filip, ministrul tehnologiei informaţiei şi comunicaţiilor, a menţionat „Este bine
să prevenim, iar acţiunea de astăzi (7 octombrie 2014) are caracter preventiv. Nu există pericole
iminente, dar am vorbit despre ceea ce trebuie să facem. Trebuie să fim conştienţi, că devenim
mai vulnerabili odată cu răspândirea internetului”.[81]
Consiliul va recomanda Guvernului să asigure executarea Planului de acţiuni privind
implementarea Strategiei Naţionale de dezvoltare a societăţii informaţionale „Moldova Digitală
2020”. De asemenea, să asigure crearea Centrului de reacţie la incidentele de securitate, care,
suplimentar la funcţiile de bază, va defini un instrument comun în efectuarea campaniilor de
informare a statului, a companiilor şi a cetăţenilor cu privire la crimele informatice, ameninţările
şi căile de prevenire ale acestora. Guvernului i se mai recomandă să asigure elaborarea
Concepţiei securităţii informaţionale şi Strategiei de securitate informaţională şi să intensifice
acţiunile orientate spre reducerea impactului potenţialelor riscuri la adresa securităţii
informaţionale.[81]
Politica de securitate adoptată şi implementată în cadrul CNAS constituie ansamblul
normelor ce trebuie cunoscute şi respectate de către toate persoanele cărora le revin
responsabilităţi cu privire la utilizarea, administrarea şi gestiunea resurselor informaţionale şi
de comunicaţii ale unităţii.[22]
Totodată, politica de securitate are un rol consultativ în analiza şi implementarea
tehnicilor, instrumentelor şi mecanismelor de securitate, precum şi în susţinerea acţiunilor
personalului tehnic şi a deciziilor factorilor de conducere în domeniul securităţii informaţiei din
firmă.
Această politică a fost aprobată prin decizia Consiliului de Administraţie al CNAS şi
constituie cadrul procedural şi legal de aplicare a controalelor şi măsurilor ce vizează reducerea
riscurilor şi vulnerabilităţilor de securitate manifestate în cadrul unităţii. Securitatea informaţiilor
este un efort de echipă şi necesită participarea şi suportul tuturor angajaţilor care lucrează cu
sisteme informaţionale.
Totodată, managerii structurilor funcţionale din cadrul societăţii sunt responsabili de
implementarea acestei politici de securitate, precum şi de iniţierea măsurilor corective şi de
îmbunătăţire, în conformitate cu mutaţiile intervenite în cadrul funcţional existent.
34
2.1. Caracteristica Casei Naţionale de Asigurări Sociale
Casa Naţională de Asigurări Sociale este o instituţie publică autonomă de interes
naţional, cu personalitate juridică ce administrează şi gestionează sistemul public de asigurări
sociale. Instituţia sus-numită a fost înfiinţată în anul 2001 în baza Legii privind sistemul public
de asigurări sociale de stat nr. 489-XIV din 08.07.1999.
Casa Naţională este condusă de un preşedinte desemnat de Guvernul Republicii
Moldova. Activitatea Casei Naţionale este supravegheată de către Consiliul de Administraţie,
compus din 12 persoane: reprezentanţi ai Guvernului, Sindicatelor, Patronatului şi Consiliului
Republican al Veteranilor.
CNAS – este organul puterii executive, care realizează politica statului în domeniul
asigurărilor sociale.
Prin intermediul sistemului public de asigurări sociale, statul garantează cetăţenilor
dreptul la protecţia socială în cazurile de bătrîneţe, şomaj, boală, invaliditate, de pierdere a
întreţinătorului prin plăţi sociale – a pensiilor, indemnizaţiilor, compensaţiilor nominative şi alte
prestaţii de asigurări sociale.
În Casa Naţională activează în jur de 1400 de specialiști, din ei circa 1100 – funcţionari
publici, care deservesc mai mult de un milion de cetăţeni, beneficiari de plăţi sociale (situaţia la
30.06.14). Din ei numai beneficiari de pensii sunt 649 909 de cetăţeni, indemnizaţii
adresate familiilor cu copii – 73 508, alocaţii sociale de stat – 55 216, alocaţii lunare de stat - 36
584, alocaţii nominale de stat pentru merite deosebite faţă de stat – 19 623.
Din momentul creării Casei Naţionale, reforma sistemului public de asigurări sociale în
Republica Moldova a cunoscut mari schimbări, anual se asigură o creştere a pensiilor şi
indemnizaţiilor prin intermediul măririi şi indexării lor.
O parte componentă a reformei de asigurări sociale a fost elaborarea sistemului
informaţional al Registrului evidenţei individuale conform Hotărîrii Guvernului nr. 418 din
35
03.05.2000 cu privire la crearea Registrului de stat al evidenţei individuale
în sistemul public de asigurări sociale. Scopul implementării evidenţei individuale presupune
crearea unor condiţii egale de stabilire a pensiei după rezultatul muncii a persoanei asigurate,
asigurarea veridicităţii informaţiei privind stagiul de cotizare, care în rezultat determină mărimea
pensiei. Aceasta va spori considerabil interesul persoanelor asigurate în ceea ce priveşte plata
contribuţiilor de asigurări sociale, simplificarea ordinii şi accelerarea procedurii de stabilire a
pensiei.
Casa Naţională este membru al Asociaţiei Internaţionale de Asigurări Sociale şi al
Asociaţiei Internaţionale a Fondurilor Sociale şi Fondurilor de Pensii.
Casa Naţională desfăşoară o activitate de colaborare internaţională în cadrul acordurilor
şi convenţiilor bilaterale încheiate cu guvernele Romăniei, Rusiei, Ucrainei, Uzbechistanului,
Belarusi, Azerbaidjan şi cu organizaţii analogice a Ungariei, Letoniei, Poloniei şi Germaniei.[82]
Aparatul central al CNAS cuprinde 19 subdiviziuni prezentate în organigrama CNAS
(anexa 1), inclusiv 3 subdiviziuni axate pe Sistemele Informaţionale:
- Secţia securitatea informaţională
- Direcţia generală elaborarea şi dezvoltarea sistemului informational
- Direcţia generală implemetarea sistemului informational.
Funcţiile Secţiei securitatea informaţională:
- coordonarea şi organizarea elaborării, în comun cu alte subdiviziuni structurale, a
proiectelor actelor normative, precum şi alte acte de reglementare a Casei Naţionale de Asigurări
Sociale privind problemele ce ţin de Politica Securităţii Informaţionale Casei Naţionale de
Asigurări Sociale, inclusiv dezvoltarea (elaborarea punctelor noi) a Politicii Securităţii
Informaţionale;
- coordonarea şi organizarea monitorizării procesului de implementare şi
perfecţionare, precum şi analiza stării Politicii Securităţii Informaţionale a Casei Naţionale de
Asigurări Sociale;
- coordonarea şi organizarea acţiunilor subdiviziunilor structurale şi specialiştilor
Casei Naţionale de Asigurări Sociale, ce ţin de implementarea şi aplicarea Politicii Securităţii
Informaţionale a Casei Naţionale de Asigurări Sociale;
- informarea şi consultarea conducerii Casei Naţionale de Asigurări Sociale privind
problemele ce ţin de securitatea informaţională;
- coordonarea şi organizarea controlului procesului de administrare a sistemului de
securitate fizică a Casei Naţionale de Asigurări Sociale;
36
- coordonarea şi organizarea elaborării şi dezvoltării standardelor interne şi cerinţelor
către configuraţia echipamentelor, ce asigură securitatea informaţională în cadrul Casei Naţionale
de Asigurări Sociale;
- managementul sistemului de securitate fizică a Casei Naţionale de Asigurări Sociale,
administrează Sistemul de Control şi Managementul de Acces (SCMA);
- administrarea serviciului de parole, acordarea accesului subdiviziunilor Casei
Naţionale de Asigurări Sociale, Caselor Teritoriale de Asigurări Sociale în SI SPAS;
- asigurarea, administrarea activităţii Biroului de informaţii şi documentaţiei tehnice
Casei Naţionale de Asigurări Sociale;
- constituirea unui singur serviciu de parole a Casei Naţionale de Asigurări Sociale în
baza serviciului de parole şi documentaţie tehnică (conform posibilităţilor).
Funcţiile Direcţiei generale elaborarea şi dezvoltarea sistemului informaţional:
- elaborarea planurilor strategice de dezvoltare IT din cadrul CNAS în domeniul
sistemului public de asigurări sociale;
- elaborarea planurilor strategice de dezvoltare IT din cadrul CNAS în domeniul
sistemului public de asigurări sociale;
- elaborarea metodologiilor, cerinţelor şi soluţiilor de program pentru asigurarea
funcţionării continue a business-proceselor CNAS;
- elaborarea politicilor şi soluţiilor eficiente în domeniul tehnologiilor informaţionale
(IT) CNAS;
- coordonarea şi organizarea lucrului cu clienţii sistemelor informaţionale;
- elaborarea şi implementarea specificaţiilor şi metodologiilor de proiectare a
sistemelor informaţionale CNAS;
- monitorizarea modificărilor efectuate în sistemele informaţionale CNAS;
- elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaţionale;
- elaborarea sistemelor informaţionale;
- iniţierea de investiţii a proiectelor IT şi să gestioneze punerea lor în aplicare, precum
şi riscurile asociate interacţiunii;
- colaborarea cu furnizorii externi, dezvoltarea şi monitorizarea executării planurilor
comune de lucru;
- organizarea de acceptare a lucrărilor prestate;
- controlul executării bugetului de IT, proiectele de investiţii;
- asigurarea integrităţii unei politici tehnice unificat în domeniul IT.
37
Funcţiile Direcţiei generale implemetarea sistemului informaţional:
- asigurarea procesului de implementare SI SPAS, MIS, FMS şi altor programe
aplicative, utilizate în cadrul CNAS;
- asigurarea procesului de funcţionare a soft-ului bazelor de date (controlul
versiunilor, înnoirea soft-ului );
- instalarea, configurarea şi administrarea SGBD;
- monitorizarea productivităţii bazelor de date;
- efectuarea procesului de copiere de rezervă şi restabilire după incident;
- analiza funcţionării LAN şi WAN;
- asigurarea procesului de funcţionare LAN şi WAN, utilizate în cadrul CNAS;
- delimitarea accesului la reţeaua INTERNET;
- administrarea utilajului de reţea activ (suport şi dezvoltarea configurărilor utilajului
de reţea activ), asigurarea procesului de copiere de rezervă şi restabilire în cazul de necesitate;
- suportul procesului de funcţionare a serviciilor de reţea: DHCP, DNS, serviciul
timpului de reţea;
- asigurarea procesului de colaborare cu serviciile de deservire a furnizorilor de utilaj
şi soft în perioada de garanţie şi post-garanţie;
- asigurarea procesului de administrare a staţiilor de lucru;
- asigurarea protecţiei staţiilor de lucru şi serverelor cu mijloacele antivirus;
- reacţia operativă şi înlăturarea incidentelor depistate de către Serviciul Help Desk în
domeniul de competenţă;
- asigurarea procesului de funcţionare continuă a SI SPAS, MIS, FMS şi altor
programe aplicative, utilizate în cadrul CNAS;
- susţinerea sistemelor informaţionale SPAS, MIS, FMS;
- testarea sistemelor informaţionale SPAS, MIS, FMS;
- în comun cu grupele de lucru a utilizatorilor efectuarea monitorizării problemelor
nerezolvate privind funcţionarea SI, descrierea problemelor, controlul realizării problemelor
înaintate;
- necesită conlucrarea grupelor de lucru cu programatorii SI în procesul implementării;
- conlucrarea cu utilizatorii privind exploatarea business-proceselor;
- instalarea softului aplicativ SPAS, MIS, FMS (clasificatoare, interfeţele, formatele
datelor pentru schimbul informaţional cu sistemele informaţionale externe).[82]
Ca anexe la prezenta teză sunt şi fişele de post al specialiştilor din cadrul acestor
direcţii/secţii. (Anexa 2 – Fişe de post)
38
2.2. Formarea politicii de securitate a sistemelor informatice şi
Sistemul de Management al Securităţii InformaţieiActualmente este perceput faptul că asigurarea securităţii nu reprezintă doar o protecție
contra potenţialelor pagube materiale, ci şi asigurarea unui atu concurenţial, a unei reputaţii
sigure, precum şi cîştigarea încrederii partenerilor şi clienţilor. Pornind de la importanţa celor
menţionate marea majoritate a subiecţilor care tind la prosperarea şi realizarea unei activităţi
îndelungate şi prospere investesc temeinic în crearea unei politici actuale şi sigure de securitate
în propriul sistem informatic.
Sarcina de bază în etapa de exploatare a oricărui sistem informatic este asigurarea unui
nivel viabil de securitate. Această cerinţă este la fel de strictă ca şi cea faţă de funcţionalitatea
resurselor şi componentelor sistemului, precum şi a întregii activităţi a sistemului informatic în
general. Exploatarea sistemelor informatice, dotate cu sisteme de securitate contemporane, nu
este însă o sarcină uşoară, putem spune că reprezintă o sarcină destul de dificilă şi specifică.
Scopul politicii de securitate a informaţiei constă în asigurarea soluţionării problemelor
de securitate a informaţiei şi implicarea conducerii de vîrf în procesul respectiv.
Politica de securitate a informaţiei reprezintă cel mai important document în sistemul de
management al securităţii instituţiei şi este unul din mecanismele cheie ale securităţii, în baza
căruia urmează să fie edificat întregul sistem de măsuri şi mijloace de asigurare a securităţii în
procesul de prestare a serviciilor publice.
În procesul de elaborare şi menţinere a politicii de securitate a informaţiei este necesar
de respectat următoarele cerinţe:
- politica de securitate a informaţiei instituţiei trebuie să fie elaborată şi realizată de
conducerea de vârf prin determinarea unei poziţii clare în soluţionarea problemelor de securitate;
- politica de securitate a informaţiei trebuie să stabilească responsabilitatea conducerii,
precum şi să specifice metoda de abordare a managementului securităţii de către instituţie.
O politică de securitate a informaţiei eficientă trebuie să stabilească un set necesar şi
suficient de cerinţe ale securităţii, care să permită diminuarea riscurilor securităţii până la un
nivel acceptabil. Cerinţele respective trebuie să fie stabilite în funcţie de particularităţile
proceselor din cadrul instituţiei ce prestează servicii publice, trebuie să fie susţinute de
conducere, să fie asimilate pozitiv şi îndeplinite de colaboratorii instituţiei.[80]
În planul de asigurare a securităţii sunt stabilite toate acţiunile privind realizarea
scopurilor asigurării securităţii, implementarea complexului de hardware şi software şi sunt
39
determinate procedurile de perfecţionare a procesului de asigurare a securităţii, de desfăşurare a
instructajelor şi seminarelor de instruire şi ridicare a nivelului de informare a personalului.
Particularitatea de bază a unui sistem de securitate (spre deosebire de alte componente
TI) constă în faptul că sistemul informatic care este protejat astăzi sigur, mîine poate deveni
vulnerabil. În acelaşi timp, sistemul de securitate care nu este exploatat în corespundere cu
cerinţele contemporane sau nu se ia în consideraţie apariţia unor noi pericole, peste câteva luni
îşi va pierde actualitatea. În acest sens, producătorii permanent emit noi versiuni ale produselor,
care conţin îmbunătăţiri, modificări, care introduc noi aspecte funcţionale şi corecţii de program
ce lichidează erorile şi lacunele. Este necesar de a monitoriza aceste modificări şi de le instalat în
propriul sistem. Nu reprezintă un secret faptul că multe vulnerabilităţi, utilizate pentru
desfăşurarea atacurilor asupra sistemelor corporative, la momentul atacului erau deja depistate şi
cunoscute producătorilor mijloacelor de protecţie sau componentelor TI atacate. Aceste
vulnerabilităţi erau posibil a fi lichidate cu câteva săptămâni până la atac, pur şi simplu instalând
patch-ul informaţional corespunzător. Pentru a fi la curent cu toate modificările, e necesar de
urmărit evoluţia lor şi evenimentele legate de ele. Dacă această măsură este ignorată, sistemul de
securitate foarte rapid îşi va încetini îndeplinirea sarcinilor sale.[80]
Exploatarea sistemelor informatice protejate reprezintă o particularitate în sine, dat fiind
faptul că în structura lor sunt introduse permanent modificări. De regulă, după cum a demonstrat
practica, sistemul informatic care asigură activitatea unei organizaţii mari, practic, nu rămîne
static niciodată. Modificările şi completările cu noi componente reprezintă un proces firesc şi
continuu, dat fiind faptul că sistemul informatic activează în strînsă concordanţă cu procesele de
activitate ce se desfăşoară în instituţia respectivă: implementarea unor noi segmente de activitate
duce la crearea unor noi locuri de muncă şi la apariţia de noi servicii informaţionale, creşterea
volumului de informaţie implică introducerea noilor tehnologii informaţionale, precum şi a
necesităţii de a optimiza sistemul etc., ceea ce duce la micşorarea mecanismelor şi procedurilor
de protecţie. Deci, apare necesitatea îmbunătăţirii nivelului de securitate, coordonând permanent
cu structura sistemului informatic ce necesită protejare. De aceea, în sistemele informatice
perpetue este importantă nu numai introducerea mecanismelor corespunzătoare de protecţie, dar
şi asigurarea unui nivel adecvat de securitate în procesul de exploatare. Pentru aceasta este
necesară atât asigurarea viabilităţii mijloacelor de protecţie, cât şi efectuarea măsurilor
profilactice, materializate prin verificarea nivelului de protecţie a resurselor, ceea ce va permite
garantarea acestui nivel chiar şi în contextul introducerii modificărilor.
Astfel, asigurarea securităţii este posibilă prin exploatarea corectă a sistemului şi prin
susţinerea politicii de securitate. Aceasta presupune desfăşurarea unui şir de măsuri permanente
40
şi periodice de susţinere tehnică a mijloacelor de protecţie, monitorizarea şi analiza
evenimentelor de securitate ce se derulează în sistem, verificarea periodică a nivelului de
protecţie a resurselor protejate, aplanarea situaţiilor nefaste şi lichidarea consecinţelor. De
asemenea, administrarea sistemelor de securitate trebuie să fie înzestrată cu un anumit grad de
automatizare a funcţiilor de administrare şi a altor funcţii de exploatare. Acest punct presupune
asigurarea tehnică şi cu programe a administratorilor de securitate şi a şefilor de secţii şi servicii
(scanere, mijloace de monitorizare şi dirijare cu securitatea), corelarea evenimentelor, analiza
gradului de protecţie a componentelor TI, mijloace de obţinere a statisticii, de generare a
concluziilor etc.[39]
Noi mai suntem de părere că asigurarea şi verificarea gradului de protecţie a sistemului
informatic reprezintă o sarcină comună atât pentru serviciile de securitate, cât şi pentru serviciile
TI. În unele cazuri, funcţionarii serviciului de securitate trebuie să verifice activitatea serviciului
TI; în alte cazuri, există situaţii zilnice care necesită coordonarea serviciilor. Pentru ca procesul
de colaborare între diverse servicii să decurgă eficient şi fluent, e necesar să se respecte cîteva
condiţii: să fie strict delimitate sferele de responsabilitate şi obligaţiile tuturor participanţilor la
procesul de asigurare a activităţii informaţionale, periodic să fie anihilate şi preîntîmpinate
posibilele conflicte de interese între diferite servicii, verificate prin analiza dărilor de seamă ale
serviciului TI starea de securitate în scopul de a menţine la nivel atenţia serviciului respectiv faţă
de problema asigurării continue a nivelului competitiv de securitate informaţională.
De asemenea, am dori să menţionăm că elaborarea unui sistem solid, bine securizat, cu
proceduri de acces atît din exterior, cît şi din interior, bine puse la punct, conferă activităţii
sistemului informatic multiple avantaje. Astfel, oricît de mică este instituţia, existenţa unei
politici de securitate este necesară pentru desfăşurarea eficientă a activităţii propriu-zise.
Soluţionarea sarcinilor cu privire la elaborarea unei politici eficiente de securitate în
etapa actuală, pentru orişicare instituţie, organizaţie, întreprindere, companie, se reflectă în
alegerea criteriilor şi indicatorilor de asigurare a protecţiei, precum şi a gradului de eficienţă a
sistemului de protecţie a informaţiei. Astfel, pe lîngă diferite acte normative interne naţionale, e
necesar de implementat şi recomandările de ordin internaţional, în unele cazuri adaptând
metodele naţionale la standardele internaţionale gen: ISO/CEI 27002:2013 „Cod de bune practici
pentru controlul în domeniul securității informaţionale”, ISO 15408 „Tehnologia informaţională
– metode de protecţie – criteriile de analiză a securităţii informaţionale” etc.[80]
Pentru elaborarea politicii de securitate şi a planurilor de perfecţionare a acesteia este
necesar:
41
1. Argumentarea şi realizarea calculului investiţiilor financiare în asigurarea securităţii
în baza tehnologiilor de analiză a pericolelor, coraportarea cheltuielilor pentru asigurarea
securităţii cu dauna potenţială şi probabilitatea survenirii ei;
2. Descoperirea şi scoaterea la iveală, precum şi blocarea celor mai periculoase lacune
pînă la sesizarea şi atacarea lor de către agresor;
3. Determinarea relaţiilor funcţionale şi a zonelor de responsabilitate a subdiviziunilor
şi persoanelor cu privire la asigurarea securităţii informaţionale a instituţiei, crearea pachetului
necesar de documentaţie cu privire la organizarea şi dirijarea activităţii în domeniul respectiv;
4. Elaborarea şi coordonarea cu serviciile şi subdiviziunile instituţiei, serviciile de
supraveghere, proiectul de introducere a complexelor necesare de protecţie, care se vor elabora
în corespundere cu nivelul modern şi tendinţele de dezvoltare a tehnologiilor informaţionale;
5. Asigurarea susţinerii complexului introdus de securitate în conformitate cu condiţiile
dinamice de activitate a instituţiei, perfecţionarea dinamică a setului de documentaţie de
organizare şi dirijare cu procesul în cauză, modificarea procesului tehnologic şi a mijloacelor
tehnice de asigurare a protecţiei.
Conform cerinţelor ISO/IEC 27001:2013, p.5.2, Politica de securitate a informaţiei
trebuie să includă în mod obligatoriu următoarele:
1) determinarea securităţii, scopurilor şi sferei sale de acţiune, precum şi dezvăluirea
importanţei securităţii în calitate de instrument de asigurare a posibilităţii de utilizare în comun a
informaţiei;
2) specificarea scopurilor şi principiilor securităţii formulate de conducere;
3) specificarea succintă a politicilor de securitate a informaţiei, a principiilor, regulilor
şi cerinţelor celor mai importante pentru instituţie;
4) determinarea obligaţiilor generale şi concrete ale colaboratorilor în cadrul
managementului securităţii, inclusiv informarea privind incidentele de încălcare a securităţii;
5) referinţele la documentele ce completează politica de securitate a informaţiei, spre
exemplu, politicile şi procedurile mai detaliate ale securităţii pentru SI concrete, precum şi
regulile de securitate care trebuie respectate de către utilizatori.[91]
O politică de securitate a informaţiei eficientă trebuie să stabilească un set necesar şi
suficient de cerinţe ale securităţii, care să permită diminuarea riscurilor securităţii până la un
nivel acceptabil. Cerinţele respective trebuie să fie stabilite în funcţie de particularităţile
proceselor din cadrul instituţiei ce prestează servicii publice, trebuie să fie susţinute de
conducere, să fie assimilate pozitiv şi îndeplinite de colaboratorii instituţiei.
42
În planul de asigurare a securităţii sunt stabilite toate acţiunile privind realizarea
scopurilor asigurării securităţii, implementarea complexului de hardware şi software şi sunt
determinate procedurile de perfecţionare a procesului de asigurare a securităţii, de desfăşurare a
instructajelor şi seminarelor de instruire şi ridicare a nivelului de informare a personalului.
În prealabil, înainte de a implementa careva soluţii de protejare a informaţiei, e necesară
elaborarea politicii de securitate corespunzătoare scopurilor şi sarcinilor unei instituţii sau
companii moderne. Politica de securitate trebuie să conţină şi să prevadă în special: ordinea de
oferire şi folosire a drepturilor de acces de către utilizatori, de asemenea, darea de seamă a
utilizatorilor pentru acţiunile întreprinse în problemele ce ţin de sfera de securitate. Sistemul de
securitate informaţională va fi eficient, dacă va corespunde şi va susţine sigur regulile de
securitate ale politicii de securitate şi viceversa.[80]
Avînd în vedere că tendinţele economiei mondiale şi naţionale, sunt îndreptate spre
gestionarea informaţiei prin intermediul sistemelor informaţionale, informaţia devine cel mai
important activ, atît în cadrul instituţiilor publice, cît şi celor private. Din această perspectivă, o
atenţie deosebită trebuie să fie acordată problemelor de securitatea informaţiei.
Cerinţele privind planul de asigurare a securităţii în procesul de prestare a serviciilor
publice trebuie să includă următoarele:
- cerinţe privind planul de asigurare a securităţii:
1) este necesar de elaborat şi de realizat planul de asigurare a securităţii în procesul de
prestare a serviciilor;
2) planul de asigurare a securităţii trebuie să conţină o prezentare succintă a cerinţelor
de securitate la prestarea serviciilor şi o descriere a măsurilor şi mijloacelor de asigurare a
securităţii aplicate sau planificate pentru a fi implementate în vederea îndeplinirii cerinţelor
respective;
3) planul de asigurare a securităţii trebuie să fie examinat şi aprobat de persoanele cu
funcţii de răspundere corespunzătoare;
4) planul de asigurare a securităţii trebuie să fie revizuit şi corectat periodic, luându-se
în consideraţie modificările în sistemul de prestare a serviciilor publice sau problemele apărute în
procesul realizării acestuia, şi evaluarea eficienţei măsurilor şi mijloacelor de asigurare a
securităţii;
- cerinţe privind regulile de comportare a personalului care participă la procesul de
prestare a serviciilor publice:
1) este necesar de stabilit regulile de comportament al personalului cu privire la
asigurare securităţii;
43
2) regulile de comportament trebuie să caracterizeze obligaţiile personalului şi acţiunile
aşteptate din partea acestuia în privinţa asigurării securităţii;
3) trebuie primită, din partea fiecărui specialist, o confirmare în scris a faptului că
acesta a luat cunoştinţă şi este de acord să respecte regulile de comportament stabilite.
În condiţiile gestionării informaţiei ce necesită protecţie şi securitate sporită, modul de
gestionare şi control al externalizării serviciilor este un factor determinant în organizarea
activităţilor aferente TI.[43]
Din această perspectivă, lipsa unei abordări manageriale a problemelor de securitate
informaţională reprezintă un factor de risc pentru asigurarea confidenţialităţii informaţiei şi
securitatea componentelor Sistemului Informaţional al CNAS.
Compromiterea securităţii informaţiei poate afecta capacitatea CNAS de a oferi servicii,
poate conduce la fraude sau distrugerea datelor, divulgarea secretelor de stat sşi informaţiei
confidenţiale, afectarea credibilităţii CNAS etc.[22]
Politica de Securitate Informaţională a CNAS (Anexa 3), este parte componentă a
Strategiei de Dezvoltare a CNAS şi se focusează pe determinarea principiilor, cerinţelor şi
măsurilor necesare minimizării riscului aferent securităţii informaţionale în cadrul Casei
Naţionale de Asigurări Sociale a Republicii Moldova. Politica de securitate are ca scop, de
asemenea, stabilirea cadrului necesar pentru elaborarea regulamentelor şi procedurilor de
securitate, care vor fi obligatorii pentru toţi utilizatorii SI “Protecţie Socială” al CNAS.
Politica SI reprezintă documentul normativ de bază, care reglează procesul de
management al securităţii informaţionale al CNAS. Exigenţele prezentei Politici vizează toţi
colaboratorii CNAS fără excepţie, fiind aduse la cunoştinţa acestora şi sunt obligatorii pentru
execuţie. Cerinţele înaintate partenerilor CNAS, antreprenorilor şi altor terţe persoane, sunt
expuse în contractele şi acordurile respective. În conformitate cu prezenta Politică, toate
informaţiile CNAS, fără excepţie, independent de forma de prezentare - pe suporţi materiali,
în formă vizuală sau orală, trebuie protejate.[22]
Managementul securităţii informaţionale a CNAS este un proces continuu. Pentru
managementul SI în CNAS este implementat sistemul de management, care corespunde
standardului internaţional ISO/IEC 27001:2013. La baza procesului de management al SI este
pus ciclul PDCA, care asigură perfecţionarea continuă a procesului de asigurarea a securităţii
informaţionale.
Procesul ciclic al managementului SI este prezentat în fig. 1.
44
Fig. 1. Modelul abordării orientate pe procese
Planificarea SMSI presupune estimarea riscurilor informaţionale şi stabilirea măsurilor
de contracare a acestora. Măsurile de diminuare a riscurilor sunt introduse în aplicare în
conformitate cu planul de tratare a riscurilor. Monitorizarea SMSI permite depistarea riscurilor
noi, incidentelor de securitate, ca şi încălcările procedurilor de asigurare a SI. Rezultatele
executării procedurilor de monitorizare sunt utilizate la introducerea modificărilor în SMSI la
etapa de perfecţionare.
Administrarea SI CNAS este bazată pe estimarea riscurilor informaţionale, această
abordare asigurând adecvanţa alegerii măsurilor de garantare a securităţii informaţionale
referitor la daunele potenţiale, care rezultă din încălcarea exigenţelor SI. Pentru
estimarea eficientă a riscurilor, asociate încălcării cerinţelor securităţii informaţionale, are loc
categorisirea tuturor activelor informaţionale în conformitate cu nivelul de importanţă al
acestora. La estimarea riscurilor SI este luată în calcul starea curentă de protejare a fiecărui
activ. Metodologia de estimare a riscurilor este reglementată de documentele normative
respective.
Măsurile organizatorice au scopul asigurării administrative a protecţiei activelor
informaţionale ale CNAS. În cadrul măsurilor administrative sunt identificate documentele
normative ale CNAS în sfera securităţii informaţionale, ca şi obligaţiunile şi responsabilităţile
colaboratorilor CNAS în domeniul SI. Sunt documentate din punct de vedere administrativ şi
legal relaţiile cu colaboratorii, partenerii CNAS, antreprenorii şi alte terţe persoane.
Responsabilităţile subdiviziunilor CNAS privind SI sunt reglementate prin documentele
normative respective, iar activitatea lor este coordonată de către conducerea CNAS.[22]
45
Procedurile de angajare, concediere sau trecerea la un alt post în cadrul CNAS
sunt reglementate de documentele normative respective. Colaboratorii CNAS sunt implicaţi în
instruirea continuă în sfera securităţii informaţionale.
Politica de securitate cuprinde un set de reglementări care determină modul în care se
foloseşte, administrează, protejează şi se distribuie propriile informaţii sensibile/critice şi
implementarea cărora va contribui la crearea unui sistem de securitate corespunzător cerinţelor în
domeniu.
Gestiunea continuităţii businessului din punctul de vedere al securităţii informaţionale
presupune funcţionarea fără întrerupere a sistemului informaţional al CNAS.
Asigurarea funcţionării fără întrerupere a sistemului informaţional al CNAS implică
elaborarea unor planuri de susţinere a funcţionării neîntrerupte. Trebuie să fie elaborate
proceduri, care vor lua în consideraţie nivelul vulnerabilităţii accesului la sistemul
informaţional.
Activităţile pentru asigurarea funcţionării fără întrerupere a sistemului informaţional
includ:
a) Elaborarea planurilor de asigurare a funcţionării neîntrerupte a sistemului
informaţional,
b) Implementarea planurilor de asigurare a funcţionării neîntrerupte a sistemului
informaţional,
c) Testarea planurilor de asigurare a funcţionării neîntrerupte a sistemului
informaţional,
d) Actualizarea planurilor de asigurare a funcţionării neîntrerupte a sistemului
informational.
La elaborarea Politicii de securitate s-a ţinut cont de caracteristicile Casei Naţionale de
Asigurări Sociale, practici de securitate deja implementate, riscurile utilizării tehnologiilor
informaţionale şi recomandările existente în domeniu.
Prevederile Politicii se aplică nediscriminatoriu tuturor angajaţilor CNAS (cu contract
de muncă pe perioada determinată sau nedeterminată) cărora li s-au autorizat accesul la activele
informaţionale şi CNAS, precum şi altor persoane fizice şi juridice (declaranţi, beneficiari,
consultanţi, experţi, stagiari, practicieni etc.).
În scopul controlului la conformitate a SMSI cu legislaţia Republicii Moldova,
standardele internaţional şi alte cerinţe regulatorii, are loc auditul regulat al SMSI al CNAS.
Conceptul Sistemul de Management al Securităţii Informaţiei al CNAS este parte a
sistemului de management al organizaţiei care, bazându-se pe o abordare a riscurilor afacerii,
46
stabileşte, implementează, operează, monitorizează, revizuieşte, menţine şi îmbunătăţeşte
securitatea informaţiei
Familia standardelor ISO din domeniul securităţii informaţiei sunt următoarele:
- ISO/IEC 27001 Tehnologia Informaţiei. Tehnici de securitate. Cerinţe pentru un
system de management al securităţii informaţiei;
- ISO/IEC 27002 Tehnologia informaţiei. Tehnici de securitate. Cod de practice
pentru managementul securităţii informaţiei;
- ISO/IEC 27003 Tehnologia informaţiei. Tehnici de securitate. Ghid de
implementare;
- ISO/IEC 27004 Tehnologia informaţiei. Tehnici de securitate. Măsuri;
- ISO/IEC 27005 Tehnologia informaţiei. Tehnici de securitate. Managementul
riscurilor securităţii informaţiei;
- ISO/IEC 27006 Tehnologia informaţiei. Tehnici de securitate. Cerinţe pentru
organisme care efectuează auditul şi certificarea sistemelor de management a securităţii
informaţiei.
Certificarea organizaţiilor pe baza unui SMSI are loc în baza standardului ISO/IEC
27001. Standardul dat este aplicabil tuturor organizaţiilor ce doresc îmbunătăţirea şi respectarea
securităţii informaţiei atât din domeniul IT cât şi din alt domeniu.
Standardul ISO/IEC 27001 este un standard de management. El descrie cerinţele pentru
un SMSI, descrie ce trebuie de implementat în domeniul securităţii informaţiei.
Standardele ”ISO/IEC 27001:2013 (fost BS 7799-2) Sistemul de Management al
Securităţii Informaţiei” şi ”ISO/IEC 27002:2013/ Cor 1:2007 (fost BS 7799-1, ulterior, ISI/IEC
17799), Codul de practică pentru Managementul Securităţii Informaţiei” sunt cele mai
importante, până la ora actuală, în domeniul securităţii informaţiei. Ele stabilesc un limbaj
internaţional comun pentru securitatea informaţiei.
Un SMSI elaborat în conformitate cu cerinţele standardului ISO/IEC 27001:2013
reprezintă un sistem complex care include atât mecanismele de gestionare, cât şi mecanismele de
protecţie a informaţiei. Modelul procesului de realizare a SMSI presupune un ciclu perpetuu de
măsuri, şi anume: planificarea, realizarea, verificarea şi menţinerea.[30]
ISO/IEC 27001:2013 ” Tehnologia informaţiei – tehnici de securitate – sisteme de
management al securității informației – Cerințe”: Obiectivul standardului este de a ajuta
organizațiile la implementarea, certificarea și menținerea unui sistem de securitate a informației
în baza evaluării riscurilor de securitate şi stabilirea măsurilor de asigurare a confidentialitătii,
integrităţii și a disponibilității informației. În baza standardului ISO/IEC 27001:2013 se face
47
auditul şi certificarea SMSI.
ISO/IEC 27000:2014 ” Tehnologia informaţiei – Tehnici de securitate – Sisteme de
management al securității informației – Descriere generală și vocabular”:
Prezintă o descriere generală a sistemelor de management al securității informației, precum și
termenii și definițiile utilizate în familia de standarde ISO/IEC 2700X.
ISO/IEC 27002:2013 ” Tehnologia informaţiei – Tehnici de securitate – Cod de practici
pentru controalele de securitate”: Standardul oferă recomandări pentru realizarea obiectivelor de
securitate prezentate în anexa A (normativă) a standardului ISO/IEC 27001.
ISO/IEC 27003:2010 ” Tehnologia informaţiei – Tehnici de securitate – Ghid pentru
implementarea SMSI”: Obiectivul standardului este de a oferi îndrumări pentru implementarea
eficace a SMSI. Este focalizat pe aplicarea metodei PDCA pentru stabilirea, implementarea,
verificarea eficacității și îmbunătățirea SMSI.
ISO/IEC 27004:2009 ”Tehnologia informaţiei – Tehnici de securitate –Sisteme de
management al securității informației – Măsurări”: Este un ghid pentru aplicarea măsurărilor cu
utilizarea metricilor de securitate în vederea evaluării eficacității implementării SMSI conform
ISO 27001.
ISO/IEC 27005:2011 ” Tehnologia informaţiei – Tehnici de securitate – Managementul
riscurilor de securitate a informației”: Standardul prezintă un ghid pentru identificarea și
evaluarea riscurilor de securitate a informației și susține concepția generală specificată în
ISO/IEC 27001 privind implementarea eficace a sistemului de securitate a informației în baza
abordării de management al riscurilor.
ISO/IEC 27006:2011 ”Tehnologia informaţiei – Tehnici de securitate – Cerințe pentru
organismele care efectueasă auditul și certificarea SMSI”: În baza acestui standard se face
acreditarea organismelor de certificare a sistemelor de management al securității informației.
ISO/IEC 27007:2011 ” Tehnologia Informației – Tehnici de securitate – Ghid pentru
auditarea SMSI”: Prezintă îndrumări pentru organismele de certificare acreditate, auditorii
interni și externi privind auditarea SMSI bazat pe cerințele standardului ISO/IEC 27001
(evaluarea conformității cu prevederile standardului).[30]
Un element important al SMSI este procesul de gestiune al conformităţii cu cerinţele
legislative, obligaţiunilor contractuale, standardelor naţionale şi internaţionale.
În procesul analizei riscurilor securităţii informaţionale şi la alegerea măsurilor de
protecţie a informaţiei trebuie să fie luate în consideraţie cerinţele privind sistemul de
management al securităţii informaţionale.
48
O componentă inalienabilă a sistemului de management al securităţii informaţionale este
estimarea eficienţei SMSI. Trebuie să fie elaborate şi implementate proceduri de audit şi de
estimare a eficienţei măsurilor de diminuare a riscului SI, de analiză a conformităţii SMSI
cerinţelor existente.[83]
Procesul de audit al SMSI include:
a) Auditul privind conformitatea cu cerinţele,
b) Auditul privind conformitatea procedurilor, executate în realitate, cerinţelor
documentelor normative ale SMSI.
SMSI al CNAS se stabileşte, implementează, operează, monitorizează, revizuieşte,
menţine şi îmbunătăţeşte în cadrul unui proces continuu de tipul Planifică-Implementează-
Verifică-Îmbunătăţeşte (Plan-Do-Check-Act).
Consiliul de administraţie al CNAS asigură suportul necesar aferent implementării şi
menţinerii unui SMSI eficient.
Deasemenea, consiliul numeşte şi desemnează responsabilitatea pentru coordonarea
procesului de management al securităţii informaţiei la nivel de bancă (ofiţer pe securitatea
informaţiei).
Organizarea SMSI se efectuează cu implicarea tuturor subdiviziunilor CNAS, în scopul
asigurării unei abordări complexe şi multidisciplinare a cerinţelor de securitate.
Toate rolurile şi responsabilităţile pentru securitatea informaţiei se definesc în mod
adecvat şi clar, se comunică şi sunt asumate în cadrul CNAS.
În scopul consolidării culturii organizatorice cu privire la securitatea informaţiei, CNAS
încurajează şi asigură condiţiile necesare pentru menţinerea de contacte corespunzătoare cu
grupurile specializate de interes şi cu asociaţiile profesionale în domeniul securităţii informaţiei.
SMSI al CNAS se supune unei revizuiri independente cel puţin o dată în an, în scopul
asigurării funcţionării lui corespunzătoare.
La implemetarea unui SMSI este necesar de creat o structură organizatorică dependentă
de managementul securităţii informaţiei. Managerii responsabili de securitatea informaţiei în
organizaţie emit o politică de securitate a informaţiei, care continuu este îmbunătăţită.[83]
În fişa postului a fiecărui angajat al CNAS din direcţiile responsabile (anexa 2) sunt
descrise obligaţiile şi responsabilităţile referitoare politicii de securitate.
Personalul trebuie instruit în privinţa politicii de securitate şi are loc verificarea
continuă a respectării politicii de securitate. În cazul nerespectării politicii de securitate trebuie
stabilite acţiuni disciplinare adecvate.
49
Este necesar de identificat sectoarele şi priorităţile la nivel de securitate a informaţiei
atât la nivel fizic cât şi la nivel de echipament. Trebuie elaborate instrucţiuni de securitate a
informaţiei cu descrieri detaliate şi clare pentru angajaţi.
Identificarea şi clasificarea riscurilor informaţionale este necesar pentru a minimiza sau
chiar a evita apariţia acestor riscuri. La calcularea riscurilor trebuie de ţinut seama de
infrastructura organizaţiei şi la necesitate de propus o infrastructură nouă pentru minimizarea
riscurilor informaţionale. În baza analizei riscurilor este necesar de elaborat şi implementat
planuri pentru situaţii de urgenţă.
Planurile de urgenţă trebuie actualizate şi petrecute instruiri periodice a angajaţilor.
Pentru controlul alocării dreptului de acces este nevoie de elaborat o procedură şi
accesul la procesele şi informaţia organizaţiei să fie controlat în baza politicii de securitate şi
autorizării accesului. Accesul la resursele organizaţiei să fie limitat prin dispositive de securitate
la nivel de sistem de operare. Dacă în cadrul organizaţiei se utilizează calculatoare portabile şi
lucrul la distanţă este necesar de elaborate prevederi de securitate a informaţiei.
Cerinţele, politicile, prevederile legate de securitate informaţiei sunt definite,
documentate şi aprobate de la bun început la implementarea unui SMSI.[83]
Auditurile interne periodice ne ajută la monitorizarea securităţii informaţiei. Auditurile
au loc în baza politicilor referitoare de securitate din cadrul organizaţiei şi sunt verificate
sistemele informaţionale şi platformele tehnice.
Auditurile sunt planificate, efectuate şi urmărite de persoane instruite în domeniul
securităţii informaţiei care au o pregătire specială în domeniul dat.
La aplicarea SMSI este necesar ca sistemele de operare, soft-ul şi aplicaţiile utilizate în
organizaţie să fie licenţiate.
2.3. Evaluarea riscurilor de securitate a informaţiei în cadrul CNASTehnologiile informaţionale rămîn a fi una dintre cele mai dezvoltate ramuri ale
activităţii societăţii. Implementarea noilor tehnologii informaţionale permite perfecţionarea
business-proceselor, acumularea datelor operative în direcţiile de bază ale activităţii, schimbul
operativ de informaţii cu partenerii externi şi deservirea calitativă a clienţilor CNAS.
Gestionarea complexă şi multilaterală a sistemului de asigurări sociale de stat este
indispensabilă fără sistemul informaţional integrat.
50
Sistemul informaţional creat pe parcursul anilor cuprinde într-o singură bază de date
informaţiile, care anterior se prelucrau în circa 20 de module separate, constituind o reţea
separată, care oferă posibilitatea activităţii concomitente a peste 1300 de specialişti, în toate
raioanele republicii.
În cadrul CNAS a demarat realizarea unei dintre cele mai importante sarcini al planului
strategic – instituirea Centrului de rezervă de prelucrare a datelor. În acest sens au fost
întreprinse următoarele acţiuni: elaborată concepţia privind crearea şi funcţionarea Centrului de
rezervă, create condiţii de funcţionare şi dotată cu utilijalul necesar o încăpere specială.
Pe parcursul anului 2014, a fost implementat subsistemul privind accesul on-line la
conturile personale de asigurări sociale ale persoanelor asigurate. Acest sistem informaţional a
fost elaborat cu aplicarea tehnologiilor informaţionale performante, platforme tehnice şi
software, care stau la baza sistemului SPIS. Utilizarea sporită de către clienţi a capacităţilor
acestui sistem, care este integrat în sistemul SPIS, se va efectua în anul curent. Aceasta va
permite clienţilor CNAS (agenţilor economici şi persoanelor asigurate) posibilitatea de a avea un
acces rapid şi transparent la datele privind stagiul de cotizare şi mărimea retribuirii muncii
declarate de angajator.
Ca un obiectiv în acest domeniu a fost implementarea continuă a componentelor
sistemului informaţional: registrele persoanelor asigurate şi a agenţilor economici, declaraţiile
trimestriale şi anuale, conturile personale ale agenţilor economici şi persoanelor asigurate,
interfaţa de schimb cu Inspectoratul Fiscal Principal de Stat, procesele de plată a pensiilor şi
prestaţiilor sociale. Punerea în exploatare a fiecărui subsistem are specificul său tehnologic la
diferite etape şi sarcini, precum şi durate diferite a procesului de implementare.
Pentru perfecţionarea deservirii operaţionale şi tehnice a infrastructurii tehnologice au
fost efectuate lucrări de testare şi control antivirus a computerelor, instalarea, restabilirea
sistemelor operaţionale, testarea computerelor, revizia tehnică şi depănarea imprimantelor,
reîncărcarea cartuşelor pentru imprimante, asigurarea asistenţei pentru utilizatori.
În cadrul grupurilor de lucru (specialiştii TI şi utilizatorii) la etapa de implementare a
fost analizată funcţionalitatea sistemelor aplicative. Lucrările au fost efectuate în baza
regulamentelor şi procedurilor elaborate în acest sens cu suportul elaboratorului sistemului.
Crearea serviciului special a permis soluţionarea problemelor apărute, reglementarea evidenţei şi
documentarea procesului de lucru cu furnizorii serviciilor în susţinerea şi dezvoltarea sistemului.
Autorul a elaborat metodologiei de evaluare a riscurilor de securitate infomațională,
care permite cuantificarea riscurilor în dependență de clasa de securitate a resursei
51
informaționale, vulnerabilitățile resursei si amenințările care pot exploata aceste vulnerabilități,
frecvența manifestării amenințărilor la securitatea informației, după cum urmează:
Evaluarea riscurilor de securitate a informaţiei în cadrul CNAS
Scopul. Procedura stabileşte metodologia evaluării riscurilor de securitate
informaţională care include metodele de identificare, analiză, evaluare, acceptare, comunicare,
monitorizare şi actualizare a informaţiei despre riscurile de securitate informaţională şi căile de
tratare a riscurilor.
Procedura Evaluarea riscurilor de securitate a informaţiei în cadrul CNAS, corespunde
clauzei 4.2.1 din standardul ISO/CEI 27001:2013, 4.3.1 din standardele 14001:2005 si OHSAS
18001:2007 alese ca model de referinţă pentru implementarea sistemului de management de
mediu.
Domeniul de aplicare. Procedura se aplică în cadrul CNAS tuturor activităţilor şi
serviciilor cu impact asupra securităţii informaţiei.
Datele privind riscurile de securitate a informaţiei sunt înregistrate în formularul
”Evaluarea riscurilor de securitate a informaţiei” şi ”Planul de tratare a riscurilor de securitate a
informaţiei” elaborate de către autorul tezei de masterat.
Este necesar de a efectua monitorizarea continuă a riscurilor pentru a lua la evidenţă:
- noile resurse care au fost incluse în domeniul de aplicare a managementului riscurilor
sau modificările în clasificarea resurselor identificate anterior;
- noile ameninţări sau modificarea ameninţărilor identificate anterior;
- noile vulnerabilităţi sau modificarea vulnerabilităţilor identificate anterior;
- noile consecinţe posibile ale incidentelor de securitate a informaţiei.
Evaluarea riscurilor de securitate a informaţiei trebuie actualizată în mod sistematic.
Actualizarea trebuie să se bazeze pe datele, obţinute în rezultatul monitorizării riscurilor.
Metodica evaluării riscului
Condiţiile necesare pentru evaluarea riscurilor sunt:
- identificarea si clasificarea resurselor pentru care urmează să se efectueze analiza
riscurilor;
- prezenţa vulnerabilităţii;
- prezenţa ameninţării care poate să exploateze vulnerabilitatea.
Identificarea ameninţărilor şi a surselor lor
Ameninţarea urmează să fie analizată si să fie stabilită probabilitatea apariţiei, care
poate fi clasificată în felul următor:
- probabilitatea redusă (R);
52
- probabilitatea medie (M);
- probabilitate înaltă (Î).
Identificarea vulnerabilităţilor care pot fi exploatate de ameninţări
Vulnerabilităţile pot fi depistate în următoarele domenii:
- organizarea lucrărilor;
- normele de management stabilite la întreprindere;
- personal;
- mediul fizic;
- configuraţia sistemului informaţional;
- hardware, software, mijloacele de comunicaţie;
- părţile externe, etc.
Trebuie identificate vulnerabilităţile care pot fi exploatate de ameninţări provocând
riscul de securitate informaţiei. Gradul de simplitate a exploatării vulnerabilităţii se clasifică în
trei categorii (abordarea calitativă):
- redus (R);
- mediu (M);
- înalt (Î).
Determinarea măsurii de risc
Se determină măsura de risc conform Tabelului 2:
Tabelul 2. Stabilirea măsurii de risc
Probabilitatea ameninţării Redusă (R) Medie (M) Înaltă (Î)Gradul de vulnerabilitate (R) (M) (Î) (R) (M) (Î) (R) (M) (Î)
Clasificarearesursei
S0 Informațiipublice 0 1 2 1 2 3 2 3 4
S1 Informaţiidisponibile 1 2 3 2 3 4 3 4 5
S2 Informaţii cuacces limitat 2 3 4 3 4 5 4 5 6
S3 Informaţiiconfidenţiale 3 4 5 4 5 6 5 6 7
S4 Informaţii strictconfidenţiale 4 5 6 5 6 7 6 7 8
NOTĂ - Resursele informaţionale sunt clasificate în conformitate cu procedura”Managementul resurselor”.
53
Evaluarea impactului posibilelor incidente de securitate asupra resurselor
informaţionale.
Impactul incidentelor de securitate se determină reieşind din următoarele considerente,
nelimitându-se, însă, la ele:
- timpul de investigaţii şi recuperare a resursei;
- pierderi de timp;
- securitate şi sănătate în muncă;
- costuri financiare;
- pierderea reputaţiei, etc.
Se determină gradul de gravitate a consecinţelor conform următoarei clasificări:
- Nivel neglijabil - «1»;
- Nivel redus - «2»;
- Nivel mediu - «3»;
- Nivel înalt - «4»;
- Nivel critic - «5».
Stabilirea nivelului de risc.
Nivelul de risc se determină conform formulei (1):
Nivelul de risc = Măsura riscului Impactul consecinţelor (1)
Se identifică măsurile de securitate deja aplicate si cele planificate pentru a evita
eforturi inutile şi dublarea măsurilor de securitate.
Adoptarea deciziilor de tratare a riscurilor
Deciziile privind tratarea riscurilor se iau de către Comitetul pentru securitatea
informaţiei.
Dacă aplicarea măsurilor de securitate, necesare pentru reducerea riscurilor până la un
nivel acceptabil, necesită eforturi financiare sau Comitetul pentru securitate informaţiei nu
dispune de autoritatea necesară, decizia urmează să fie luată de către Preşedintele Casei
Naţionale de Asigurări Sociale (CNAS).
Deciziile referitoare la riscuri se adoptă reieşind din clasificarea nivelurilor de risc,
conform tabelului 3.
54
Tabelul 3. Zonele de risc al securitătii informaţiei
Impactul asupra securităţii informaţiei1 2 3 4 5
Măs
ura
de r
isc
8 8 16 24 32 407 7 14 21 28 356 6 12 18 24 305 5 10 15 20 254 4 8 12 16 203 3 6 9 12 152 2 4 6 8 101 1 2 3 4 5
În dependenţă de nivelul de risc urmează să fie luate următoarele decizii:
- în cazul în care nivelul de risc se află între valorile de 30 si 40, sunt necesare măsuri
urgente de reducere a riscului;
- în cazul în care nivelul de risc se află între valorile de 13 si 30, este necesar de elaborat
un plan de tratare a riscului pentru a-l reduce până la un nivel acceptabil;
- în cazul în care nivelul riscului este sub valoarea 12, el poate fi acceptat fără a
întreprinde careva măsuri de tratare.
NOTĂ 1 - În cazul în care nivelul de risc rămâne peste valoarea de prag stabilită
chiar şi după aplicarea măsurilor de securitate conform Anexei A a standardului ISO/CEI
27001:2005 sau din lipsa resurselor necesare pentru tratarea lor, aceste riscuri se asumă de
către conducerea instituţiei.
Pot fi aplicate următoarele variante de tratare a riscurilor:
- reducerea riscului – nivelul de risc este redus prin aplicarea unor măsuri de securitate
astfel, ca riscul rezidual să fie la nivelul acceptabil;
- evitarea riscului – renunţare la activităţile sau condiţiile care pot genera un risc
specific;
- transferarea riscului – riscul este transferat unei terţe părţi, care îşi ia răspunderea
pentru managementul acestui risc.
- acceptarea riscului – ( a se vedea Nota 1)
La adoptarea deciziilor referitoare la tratarea riscurilor de securitate urmează să se ţină
cont de următoarele limitări:
- de timp;
- financiare;
- tehnice;
55
- culturale;
- etice;
- ecologice;
- juridice;
- posibilităti de control;
- personal;
- integrarea măsurilor de securitate noi cu cele deja aplicate.
După efectuarea evaluării riscului urmează să fie elaborat Planul de tratare a riscului
care constă în documentarea măsurilor adecvate pentru tratarea riscurilor, termene de timp
privind implementarea măsurilor şi resursele necesare. La elaborarea planului de tratare a
riscurilor trebuie să fie selectate obiectivele de control şi măsurile de securitate conform SR
ISO/CEI 27001 (anexa A) pentru a acoperi cerinţele de securitate informaţiei, inclusiv cele
legale, de reglementare şi contractuale.
După tratarea riscului urmează să fie adoptate următoarele decizii:
- acceptarea riscului rezidual dacă nivelul său este acceptabil sau dacă este prezentă
situatia descrisă în Nota 1;
- tratarea suplimentară a riscului.
Decizia de acceptare a riscului trebuie să fie înregistrată.
Autorul lucrării a evaluat riscurile de securitate a informaţiei în cadrul CNAS şi
respectiv a elaborat planul de tratare a riscurilor de securitate a informaţiei în cadrul CNAS şi a
completat în modul corespunzător tabelul 4 – Evaluarea riscurilor de securitate a informaţiei în
cadrul CNAS şi tabelul 5 – Planul de tratare a riscurilor de securitate a informaţiei, după cum
urmează:
56
Tabelul 4. Evaluarea riscurilor de securitate a informaţiei în cadrul CNAS№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 12Resursele informaţionale
1. SI “Protecţia Socială”,Site web
www.cnas.mdşi www.raportare.md
S2 Accesneautorizat
R Parola nesigură.Transmitere
parolăpersoanelor terţe
Î 4 Deteriorareinformaţie,
vizualizarea şiutilizarea datelor cu
caracter personal
5 20 Controlulaccesului
Defecţiuneechipamentde suport
M Lipsamentenanţă
M 4 Întrerupere procesede lucru
4 16 Mentenanţăplanificată
Pana curentelectric
R Prezenţageneratorului de
curent
M 3 Întrerupere procesede lucru
3 9 UPS
Atac extern R Setarea eronată/ineficientă asecurităţii
R 2 Ştergere site,vizualizarea şi
utilizarea datelor cucaracter personal
5 10 Controlulaccesului.
Actualizareasistemului de
securitate,inclusiv site
57
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 12Tehnică de calcul
2. Servere și echipamentde rețea
S4 Incendiu R Personalneinstruit.
LipsaInstrucţiunii de
intervenţie
M 5 Distrugereechipament
5 25 Sistemanciincendiar
carereacţionează
la fumInundare R Defecte ale
acoperişuluiR 4 Deterioare
echipament5 20 Respectarea
regulilor deevitare a
inundaţiilorVerificareperiodică aacoperişului
Cutremur R Personalneinstruit
R 4 Distrugereechipament
5 20 Construcţieautorizată
Pana decurentelectric
M Lipsă sursăalternativă
permanentă decurent electric
M 6 Oprirea proceselorde lucru
2 12 ProcurareUPS-uri
adiţionale
58
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 12Acces
neautorizatR Lipsa sistem de
semnalizareR 4 Deteriorare
intenționată, Furtresurse
4 16 Supravegherevideo
Defecțiuneechipament
R Lipsăredundanţăechipament
Lipsămentenanţă,
Lipsa procedurii
M 5 Întrerupereaproceselor de lucru
5 25 Procurareechipamentadițional.
Mentenanţăpreventivă
3. Calculatoare/staţii de lucru
S3 Accesneautorizat
R Posibilitateaaccesului
persoanelorstrăine
R 3 Pierdere confidenţialitate
3 9 Controlulaccesului.
Respectareaprincipiului”ecranuluicurat şi albirouluicurat”
Defecţiuneechipament
R Lipsamentenanţă
M 4 Întrerupereaproceselor de lucru
3 12 Mentenanţăaccidentară
59
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 124. Poşta electronică S3 Acces
neautorizatR Personal
neinstruitR 4 Furt informaţie.
Transmitereneautorizată de
informaţie
3 12 Controlulasupra
corespondenţei electroniceefectuat de
Administrator. Audituri
periodice alesistemului
informaţionalPana decurentelectric
M Lipsa sursealimentarealternative
M 5 Oprirea proceselorde lucru
2 10 Utilizareametodelor
alternative deschimb deinformaţii
5. Copiatoare/printere
S1 Documenteimprimate
negestionate
M Personalneinstruit
M 3 Scurgereinformaţie
3 9 Principiul”Ecranul
curat şi biroulcurat”
6. Sistem de cabluri S4 Incendiu R Personal M 5 Distrugere 5 25 Sistem
60
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 12neinstruit.
LipsaInstrucţiunii de
interventie
echipament,documentaţie
internă şi a blocului
anciincendiarcare
reacţioneazăla fum
Inundare R Defecte aleacoperisului
R 4 Deterioareechipament
5 20 Respectarearegulilor de
evitare ainundaţiilorVerificareperiodică aacoperişului
Cutremur R Personalneinstruit
R 4 Distrugereechipament şi a
clădirii
5 20 Construcţieautorizată
Pana decurent
electric (scurtcircuit)
M Cabluneconform.Conexiunenecalitativă
M 6 Oprirea proceselorde lucru
2 12 Evaluareafurnizorilorde produs.Verificareprodus laintrare.
61
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 12Evaluarea
furnizorilorservicii demontare.
MentenanţăAcces
neautorizatR Lipsa registru
vizitatoriR 4 Furt de informaţii.
Fraudeintenţionate.
4 16 Pază cutrecere în
bazapermisului şi
prezenţaagenţilor dela ÎS Paza de
StatDate cu caracter personal
7. CNAS S4 Accesneautorizat.
FurtDivulgare
M Păstrareneadecvată
R 4 Procese judiciarecu angajaţii
3 12 Controlulaccesului
62
№
Iden
tifi-c
ator
ul şi
denu
mir
ea r
esur
sei
Cla
sific
area
resu
rsei
Des
crie
rea
amen
inţă
rii
Prob
abili
tate
a ap
ariţi
eiam
enin
ţări
i
Des
crie
rea
vuln
erab
ilită
ţii
Sim
plita
te a
exp
loat
ării
vuln
erab
ilită
ţii
Măs
ura
risc
ului
Des
crie
rea
efec
telo
r
Niv
elul
de
sem
nific
aţie
aef
ecte
lor
Niv
elul
de
risc
Măs
uri d
e se
curi
tate
actu
ale
1 2 3 4 5 6 7 8 9 10 11 128. Alte organizaţii S4 Acces
neautorizat.Furt
Divulgare
M Păstrareneadecvată
R 4 Pierderea imaginiiautorităţii publice.Procese judiciare
cu terţii
3 12 Controlulaccesului
Tabelul 5. Planul de tratare a riscurilor de securitate a informaţiei în cadrul CNAS
Descriereariscului (resursă,
ameninţare,vulnerabilitate)
Descriereaefectelor
Nivelulde risccurent
Măsuri desecuritate actuale
(conform ISO/CEI27001,
anexa A)
Măsuri desecuritatepropuse
(conformISO/CEI 27001,
anexa A)
Termen deexecutare/
Responsabil/Resurse
Gradul derisc
rezidualplanificat
Decizia deacceptare a
riscului
1 2 3 4 5 6 7 8SI “Protecţia Socială”, Site web www.cnas.md şi www.raportare.md
Acces neautorizat Deteriorareinformaţie,vizualizareaşi utilizareadatelor cu
20 Controlul accesului Limitareaaccesului la
modificarea site-ului şi verificareacces utilizatori
Secţia securitateinformaţională/
Permanent
12 Acceptat
63
Descriereariscului (resursă,
ameninţare,vulnerabilitate)
Descriereaefectelor
Nivelulde risccurent
Măsuri desecuritate actuale
(conform ISO/CEI27001,
anexa A)
Măsuri desecuritatepropuse
(conformISO/CEI 27001,
anexa A)
Termen deexecutare/
Responsabil/Resurse
Gradul derisc
rezidualplanificat
Decizia deacceptare a
riscului
1 2 3 4 5 6 7 8caracterpersonal
SI „ProtecţiaSocială”
Defectiuneechipament de
suport
Întrerupereaproceselor de
lucru
16 Mentenanţăplanificată
Respectareaplanurilor dementenanţă
Secţia securitateinformaţională/
Direcţia generalăimplemetarea
sistemuluiinformaţional/
Conform planului
12 Acceptat
Servere și echipament de rețeaIncendiu Distrugere
echipament25 Sistem antiincendiar
care reacţionează lafum
Elaborare plande interventie încaz de incendiu.
Exerciţii detestare aplanului
Personalulresponsabil de
sănătatea şisecuritatea în
muncă/Iulie 2015
20 Acceptat subraspundereaPreşedintelui
CNAS
Inundare Deterioareechipament
20 Respectarea regulilor de evitare ainundaţiilor
Toţi angajaţii/Permanent.
20 Acceptat subraspundereaPreşedintelui
CNASVerificare periodică a acoperişului Responsabil de
infrastructură/Conform planului de
mentenanţă.Cutremur Distrugere
echipament20 Construcţie
autorizatăElaborare plan
de intervenţie înPersonalul
responsabil de20 Acceptat sub
raspunderea
64
Descriereariscului (resursă,
ameninţare,vulnerabilitate)
Descriereaefectelor
Nivelulde risccurent
Măsuri desecuritate actuale
(conform ISO/CEI27001,
anexa A)
Măsuri desecuritatepropuse
(conformISO/CEI 27001,
anexa A)
Termen deexecutare/
Responsabil/Resurse
Gradul derisc
rezidualplanificat
Decizia deacceptare a
riscului
1 2 3 4 5 6 7 8caz de incendiu.
Exerciţii detestare aplanului
sănătatea şisecuritatea în
muncă/Iulie 2015
PreşedinteluiCNAS
Acces neautorizat Deteriorareintenționată,Furt resurse
16 Supraveghere video Instalare sistemde semnalizare
Secţia securitateinformaţională/
Direcţia generalăimplemetarea
sistemuluiinformational/ Şef
subdiviziuneteritorială/
August 2015
12 Acceptat
Defecţiuneechipament
Întrerupereaproceselor de
lucru
25 Procurareechipamentadițional.
Mentenanţăpreventivă
Respectareaplanurilor dementenanţă
Secţia securitateinformaţională/
Direcţia generalăimplemetarea
sistemuluiinformaţional/
Conform planului
16 Acceptat subraspundereaPreşedintelui
CNAS
Sistem de cabluriIncendiu Distrugere
echipament,documentaţieinternă şi a
25 Sistem antiincendiarcare reactionează la
fum
Elaborare plande interventie încaz de incendiu.
Exerciţtii de
Personalulresponsabil de
sănătatea şisecuritatea în
20 Acceptat subraspundereaPreşedintelui
CNAS
65
Descriereariscului (resursă,
ameninţare,vulnerabilitate)
Descriereaefectelor
Nivelulde risccurent
Măsuri desecuritate actuale
(conform ISO/CEI27001,
anexa A)
Măsuri desecuritatepropuse
(conformISO/CEI 27001,
anexa A)
Termen deexecutare/
Responsabil/Resurse
Gradul derisc
rezidualplanificat
Decizia deacceptare a
riscului
1 2 3 4 5 6 7 8blocului testare a
planuluimuncă/
Iulie 2015
Inundaţi Deteriorareechipament
20 Respectarea regulilor de evitare ainundaţiilor
Toţi angajaţii.Permanent.
20 Acceptat subraspundereaPreşedintelui
CNASVerificare periodică a acoperişului Responsabil de
infrastructură/Conform planului de
mentenanţă.Cutremur Distrugere
echipament şia clădirii
20 Construcţieautorizată
Elaborare plande intervenţie încaz de incendiu.
Exerciţii detestare aplanului
Personalulresponsabil de
sănătatea şisecuritatea în
muncă/Iulie 2015
20 Acceptat subraspundereaPreşedintelui
CNAS
Acces neautorizat Furtinformaţii.
Fraudeintenţionate
16 Pază cu trecere înbaza permisului şi
prezenţa agenţilor dela ÎS Paza de Stat
Instalare sistemde semnalizare
Secţia securitateinformaţională/
Direcţia generalăimplemetarea
sistemuluiinformational/
Şef subdiviziuneteritorială/
August 2015
12 Acceptat
66
III.COMPONENTELE DE SECURITATE ALE SISTEMELORINFORMATICE DIN CADRUL CNAS
Etapa actuală de dezvoltare a Republicii Moldova se caracterizează prin dezvoltarea şi
răspîndirea rapidă a tehnologiilor informaţionale, prin rolul avansat al domeniului informaţional, ce
include totalitatea informaţiei, infrastructurii tehnologiei informației şi comunicaţiilor (TIC),
instituţiilor care prelucrează informaţia şi a sistemului ce reglementează relaţiile sociale apărute în
acest context.
Fiind o parte importantă şi indispensabilă a vieţii societăţii moderne, domeniul
informaţional influenţează activ asupra stării componentelor de stat, sociale, militare, economice
şi a altor componente ale securităţii naţionale. Totodată, securitatea naţională depinde
considerabil de asigurarea securităţii informaţionale a persoanei, societăţii şi statului.[77]
Pe parcursul ultimilor ani a crescut semnificativ necesitatea unei abordări complexe şi
eficiente a procesului de asigurare a securităţii spaţiului informaţional naţional, inclusiv al
infrastructurii critice naţionale, de asigurare şi protecţie a informaţiei atribuite la secret de stat,
de prevenire şi combatere a crimelor informaţionale, extremismului şi terorismului în spaţiul
informaţional.
Importanța problemei a fost conturată în Concepţia securităţii naţionale şi Strategia
securității naționale a Republicii Moldova, care, stabilind obiectivele sistemului de securitate
naţională, au reflectat atît ameninţările din domeniul tehnologiilor informaționale, cît şi
asigurarea securităţii informaţionale.
Adoptarea Concepţiei este determinată de necesitatea protecţiei intereselor persoanelor,
societăţii, statului în domeniul informaţional, importanţa pericolelor securităţii informaţionale în
societatea modernă, de necesitatea menţinerii unui echilibru între interesele persoanelor,
societăţii, statului pentru asigurarea securităţii informaţionale.[78]
Perfecţionarea bazei normative în domeniul dat este determinată de elaborarea şi
consolidarea normativă a anumitor drepturi şi obligaţiuni ale statului, instituţiilor administraţiei
publice, persoanelor cu funcţii de răspundere, organizaţiilor care asigură securitatea informaţională,
mecanismelor de realizare a drepturilor şi obligaţiunilor date. Consolidarea acestora va permite
sistematizarea relaţiilor sociale privind asigurarea securităţii informaţionale, înlăturarea
incertitudinilor şi limitelor discreţionare în domeniul dat.
Echipele de răspuns la incidente de securitate există în toată lumea pentru a ajuta
utilizatorii să reacţioneze la atacurile îndreptate asupra echipamentelor IT, indiferent de
tehnologia utilizată sau din ce organizaţie face parte utilizatorul respectiv. Multe organizaţii au
67
echipe interne de răspuns la incidente al căror scop este tratarea incidentelor din punctul de
vedere al instituţiei respective pentru a proteja utilizatorii și / sau clienţii săi. Guvernele naţionale
organizează echipe de răspuns la incidente de securitate la nivel de ţară, pentru a contracara
atacuri masive și specializate asupra cetăţenilor, a companiilor și a infrastructurilor de importanţă
naţională - unele dintre acestea critice pentru o bună existenţă și funcţionare a societăţii. Două
exemple de astfel de atacuri sunt atacurile de tip distribuit asupra serviciilor (Distributed Denial
of Service - DDoS) și atacurile de tip "phishing".[86]
Serviciul Trusted-Introducer a fost înfiinţat în Europa în anul 2000 pentru a facilita
colaborarea între astfel de echipe de răspuns și, prin urmare, pentru a crește nivelul de securitate
prin răspunsul mai rapid la atacurile în desfășurare și a ameninţărilor de tip nou. TI asigură o
bază de încredere, cu servicii adiţionale specializate pentru toate echipele de răspuns la incidente
de securitate. De asemenea, TI administrează o bază de date cu informaţii despre astfel de echipe
existente și oferă o imagine de ansamblu actualizată asupra nivelului lor demonstrat de
maturitate și abilitate. Pentru garantarea acestor informaţii a fost conceput un mecanism de
acreditare și certificare bazat pe cele mai bune practici dezvoltate și testate de-a lungul timpului
în cadrul aceleași comunităţi TI. [86]
Pentru îndeplinirea obiectivelor sale, acest serviciu, asigură tuturor utilizatorilor săi
accesul gratuit la o bază de date cu echipele de răspuns. Această bază de date conţine informaţii
despre toate echipele de răspuns cunoscute și înregistrate care sunt acceptate de comunitatea
Trusted-Introducer. Putem căuta în această bază de date echipa sau echipele adecvate în funcţie
de tipul echipei, ţara unde activează și statutul în cadrul TI.
În Republica Moldova, există două astfel de echipe de răspuns la incidente de
securitate: www.cert.gov.md şi www.cert.acad.md (www.cert.md). Denumirea CERT vine de la
Echipă de răspuns la incidentele legate de securitatea calculatoarelor (Computer Emergency
Response Team) ce reprezintă o echipă de experţi în securitatea informațională, a cărei sarcină
este să răspundă la incidente ce ţin de securitatea sistemelor informaţionale. Acesta asigură
serviciile necesare pentru gestionarea incidentelor şi sprijinirea beneficiarilor lor în recuperarea
de pe urma a încălcărilor de securitate.
În vederea executării prevederilor Hotărîrii Guvernului Nr. 746 din 18.08.2010 "Cu
privire la aprobarea Planului Individual de Acţiuni al Parteneriatului Republica Moldova –
NATO actualizat", în cadrul Întreprinderii de Stat "Centrul de telecomunicaţii speciale" a fost
creat Centrul pentru Securitatea Cibernetică - CERT-GOV-MD.[78]
Misiunea Centrului pentru Securitatea Cibernetică este de a susţine societatea
moldovenească în protejarea împotriva incidentelor IT. CERT-GOV-MD va fi punctul central de
68
raportare şi coordonare privind incidentele de securitate în sistemele de comunicaţii şi
informatice aflate în administrarea Întreprinderii de Stat "Centrul de telecomunicaţii speciale".
CERT-GOV-MD va facilita schimbul de informaţii privind incidentele IT între organizaţiile din
societate şi va disemina informaţiile legate de noi probleme, care ar putea împiedica funcţionarea
sistemelor IT guvernamentale. Totodată, CERT-GOV-MD asigură informaţii şi consultanţă
privind măsuri pro-active, precum compilarea şi completarea statisticilor.
CERT-GOV-MD a fost creat pentru a asista beneficiarii în utilizarea sistemelor
informaţionale şi de telecomunicaţii al autorităţilor administraţiei publice în implementarea
măsurilor proactive şi reactive în vederea reducerii riscurilor de incidente a securităţii IT şi
acordarea asistenţei în reacţionarea la incidente. Centrul, de asemenea, examinează incidentele
apărute în reţele Moldoveneşti şi care sunt raportate de către cetăţeni şi instituţii din Republica
Moldova, precum şi celor din străinătate.[78]
Centrul de expertiză şi securitate pe internet MD-CERT - este un centru de expertiză a
securităţii pe internet, situat la RENAM, (Asociaţia Naţională Educaţie şi Cercetare din Republica
Moldova). Centrul dat studiază vulnerabilități web, cercetează schimbările pe termen lung în
sistemele de rețea și contribuie la dezvoltarea, informarea și instruirea cu scopul îmbunătățirii
securităţii.
MD-CERT este un proiect necomercial şi este înregistrată oficial la CSIRT (Computer
Security Incident Response Team) și este angajată în colectarea și analizarea faptelor de incidente
informatice, în ceea ce privește resursele de rețea situate pe teritoriul MD. MD-CERT garantează
confidențialitatea tuturor informațiilor trimise cu privire la incidentele.[79]
Sistemele informatice şi reţelele de calculatoare din cadrul organizaţiilor tot mai des
sunt atacate şi securitatea este minima, ceea ce duce la mari probleme atât organizaţiilor cât şi
clienţilor acestor organizaţii. În urma acestor atacuri informaţionale datele confidenţiale sunt
deteriorate, modificate sau chiar şterse.
Din această cauză mediul de afaceri are nevoie pentru a proteja resursele sale. Dar din
păcate cele mai dese incidente de securitate a informaţiei au loc în interiorul organizaţiei, din
cauza nerespectării măsurilor de securitate.
Măsurile organizatorice au destinaţia să asigure în mod administrativ protecţia
resurselor (activelor) informaţionale ale Casei naţionale de asigurări sociale (CNAS). În
cadrul măsurilor organizatorice vor fi elaborate documentele normative ale CNAS privind
securitatea informaţională (SI), obligaţiunile şi responsabilităţile colaboratorilor CNAS în sfera
SI. Trebuie să fie documentate din punct de vedere administrativ şi legal relaţiile cu
colaboratorii, partenerii CNAS, terţele persoane. Responsabilităţile subdiviziunilor CNAS
69
privind SI trebuie reglementate prin documentele normative respective, iar activitatea lor trebuie
să fie coordonată de către conducerea CNAS.[82]
Asigurarea organizatorică a securităţii informaţionale include:
a. delegarea responsabilităţii pentru asigurarea SI,
b. Organizarea activităţii subdiviziunilor CNAS în sfera SI,
c. Sporirea continuă a nivelului de calificare a colaboratorilor, responsabili de SI.
Gestiunea resurselor informaţionale ale CNAS reprezintă baza asigurării securităţii lor.
Protecţia resurselor informaţionale trebuie să fie realizată în conformitate cu importanţa lor
pentru procesele business ale CNAS. Gradul de importanţă a unei resurse trebuie să fie
determinat conform cadrului metodic, elaborat în acest scop. Pentru fiecare resursă va fi numit
un colaborator, care va purta responsabilitate personală privind asigurarea securităţii
informaţionale a resursei respective.
Gestiunea activelor include:
a) Evidenţa strictă a activelor informaţionale ale CNAS existente,
b) Clasificarea activelor informaţionale ale CNAS.
Pentru realizarea clasificării trebuie să fie utilizată o metodică, care va respecta
următoarele cerinţe:
- Clasificarea trebuie să fie realizată în conformitate cu următoarele trei caracteristici
ale resursei: confidenţialitate, integritate şi accesibilitate,
- Nivelul de importanţă a unui activ informaţional trebuie să corespundă
nivelului daunelor potenţiale pentru CNAS în caz de încălcare a confidenţialităţii, integrităţii sau
accesibilităţii.
Accesul colaboratorilor la o resursă informaţională a CNAS este considerat
vulnerabilitate a resursei şi reprezintă un factor de risc privind confidenţialitatea, integritatea şi
accesibilitatea a acesteia. Reieşind din această premisă, lucrul cu personalul, în particular
angajarea, verificarea şi instruirea, sunt componente importante ale asigurării SI a CNAS.
Procedurile de procesare a informaţiei de către utilizatorii sistemului informaţional trebuie
perfectate sub formă de instrucţiuni şi regulamente conform rolului fiecărui utilizator.
Procedurile, legate de selectare, concediere sau trecerea unui colaborator la un alt post
în cadrul CNAS trebuie să fie elaborate în conformitate cu exigenţele SI. Colaboratorii CNAS
trebuie să fie instruiţi în mod continuu în domeniul SI.
Lucrul cu personalul va include:
a) asigurarea metodică a procesului de selectare a personalului,
b) instruirea personalului în problemele de securitate,
70
c) penalizarea prin măsuri disciplinare stricte a celor care încalcă cerinţele SI.
Toţi colaboratorii CNAS vor fi obligaţi să execute cerinţele documentelor normative ale
CNAS în sfera asigurării SI. Fiecare colaborator trebuie să aibă rolul său în cadrul sistemului
de management al securităţii informaţionale (SMSI). Pentru utilizatorii infrastructurii
informaţionale a CNAS trebuie să fie elaborată instrucţia privind asigurarea SI.[22]
3.1. Securitatea fizică a sistemelor informaticeModelul de securitate pentru un sistem informatic poate fi văzut ca avînd mai multe
straturi ce reprezintă nivelurile de securitate ce înconjoară subiectul ce trebuie protejat. Fiecare
nivel izolează subiectul şi îl face mai dificil de accesat în alt mod decît cel în care a fost
prevăzut.
Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi constă, în
general, în închiderea echipamentelor informatice într-o altă incintă precum şi asigurarea pazei şi
a controlului accesului. O problemă o constituie salvările sub formăa de copii de rezervă ale
datelor şi programelor, precum şi siguranţa păstrării suporţilor de salvare (backup). Reţelele
locale sunt, în acest caz, de mare ajutor, copiile de rezervă putîndu-se face prin reţea pe o singură
maşină ce poate fi mai uşor securizată.
Securitatea fizică trebuie abordată foarte serios deoarece toate măsurile de securitate
logice, cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative în cazul
accesului neautorizat la echipamente. O altă problemă importantă în securitatea fizică unui
sistem informatic o constituie pur şi simplu sustragerile de echipamente sau a suporţilor de
backup.[25]
Securitatea logică constă din acele metode logice (software) care asigură controlul
accesului la resursele şi serviciile sistemului. Ea are, la rîndul ei, mai multe niveluri împărţite în
două grupe mari: niveluri de securitate a accesului şi niveluri de securitate a serviciilor.
Securitatea accesului cuprinde:
- accesul la sistem, care este răspunzător de a determina în ce condiţii şi în ce moment
este sistemul accesibil utilizatorilor. El poate fi raspunzator de asemenea si de gestionarea
evidentei accesului. Accesul la sistem poate efectua si deconectarea fortata in anumite cazuri (ex.
expirarea contului, ora de varf, …);
- accesul la cont care verifica daca utilizatorul ce incearca sa se conecteze are un nume
si o parola valida;
71
- drepturile de acces (la fisiere, resurse, servicii etc.) care determina de ce privilegii
dispune un utilizator (sau un grup de utilizatori) dat.
- Securitatea serviciilor controleaza accesul la serviciile unui sistem (calculator, retea).
Din acest nivel fac parte:
- controlul serviciilor care este responsabil cu functiile de avertizare si de raportare a
starii serviciilor, precum si de activarea si dezactivarea diverselor servicii oferite de catre
sistemul respectiv;
- drepturile la servicii care determina exact cum foloseste un anumit cont un serviciu
dat (acces la fisiere, resurse, prioritate, …)
Fig. 2. Modelul de securitate pentru un sistem informatic
Odată stabilită conexiunea logică, subsistemul de securitate a accesului valideaza contul
de acces. Subsistemul de securitate a serviciilor monitorizează activitatea utilizatorului şi ia
măsuri în cazurile în care cererile acestuia depăşesc drepturile specificate în profilul
utilizatorului (sau grupului de utilizatori) respectiv. Accesul într-un sistem sigur perfect ar trebui
să se facă prin aceste niveluri de securitate descrise mai sus, de “sus” in “jos” fără să permită
ocolirea vreunuia din ele.[57]
Securitatea la nivel de gazdă urmează principiile enunţate mai sus. În cazul unui sistem
conectat la Internet distingem:
72
- entităţile ce au acces local la acea maşina (utilizatori, programe server, agenţi locali)
precum şi drepturile acestora (ce are voie să facă un anumit utilizator, cu ce privilegii rulează un
anume proces, ce prioritate are un proces, ce drepturi are asupra fişierelor respective, asupra
spaţiului de stocare, ce resurse şi între ce limite are voie să acceseze);
- serviciile oferite către exterior (publice sau pentru anumiţi utilizatori; autentificare,
monitorizare);
- sistemul de operare (tipul, distribuţia, servicii implicite oferite – filtrarea sau
dezactivarea celor de care nu e nevoie, bug-uri cunoscute, revizii etc.).
Scopul asigurării securităţii fizice a obiectelor CNAS constă în excluderea accesului
persoanelor neautorizate şi minimizarea riscului unor potenţiale daune în cazul unui acces
neautorizat. Suplimentar, documentele normative, care reglează asigurarea securităţii fizice,
trebuie să includă cerinţe privind protecţia echipamentelor şi reţelei fizice de mediul ambiant, în
particular, măsuri privind mentenanţa sistemelor de asigurare a viabilităţii.
Trebuie să fie elaborate cerinţe privind procedurile de control al accesului fizic,
repartizarea şi protecţia zonelor de securitate, ca şi ordinea de admitere a colaboratorilor CNAS
şi vizitatorilor în interiorul perimetrului şi zonelor de securitate. Procedurile de control al
accesului trebuie să reglementeze regulile de lucru cu sistemul de control al accesului fizic,
inclusiv administrarea cheilor sistemului de control al accesului fizic.
Asigurarea securităţii fizice va include:
a) Determinarea şi protecţia zonelor de securitate,
b) Controlul accesului fizic,
c) Protecţia componentelor sistemului informaţional contra acţiunilor mediului
ambiant şi mentenanţa sistemului de asigurare a viabilităţii.
Securitatea de perimetru (bariere, pereţi, uşi de intrare în bază de autentificare, sisteme de
securitate etc.) este organizată pentru a forma zone de securitate şi a proteja resursele informaţionale
critice. Securitatea de perimetru este asigurată adecvat pentru toate încăperile CNAS.
CNAS asigură că sunt clar stabilite zonele de securitate, iar mijloacele de control şi nivelul
de securitate aferent fiecărei zone corespunde tipului zonei de securitate, sunt determinate în funcţie de
cerinţele de securitate ale resurselor amplasate în zona respectivă şi în baza unei analize a riscurilor.
CNAS asigură că zonele cu acces public, precum cele aferente deservirii clienţilor, primirii
vizitatorilor, livrărilor şi încărcărilor, sunt controlate şi delimitate de restul zonelor de securitate ale
CNAS.
73
Casa Naţională de Asigurări Sociale asigură că zonele de securitate sunt dotate cu mijloace
adecvate de control al accesului pentru a asigura că doar persoanele autorizate vor avea acces (ex.
lacăte, cartele de acces, supraveghere video, detectori efracţie, etc.)
CNAS asigură că regulile şi normele de lucru şi acces în zonele de securitate sunt definite şi
aplicate, iar drepturile de acces la zonele de securitate revizuite şi reînnoite în mod regulat.
CNAS asigură că regulile de gestiune a rechizitelor de acces (chei, card-uri, coduri, etc.) sunt
stabilite, comunicate şi aplicate.
CNAS asigură că vizitatorii zonelor de securitate critice sunt supravegheaţi sau autorizaţi, iar
data şi ora intrării şi ieşirii acestora este înregistrată.
CNAS aplică măsuri pentru protecţia fizică împotriva incendiilor, inundaţiilor, cutremurelor,
exploziilor, revoltelor publice şi a oricăror forme de dezastre naturale sau produse de oameni.
CNAS asigură că echipamentul ce asigură securitatea încăperii / localului este instalat şi
funcţionabil (ex.: sistem de alarmă incendiară, echipament de stingere a focului, detectoare de fum şi
temperatură etc.).
Procesele de tratare, păstrare şi transmitere a informaţiei ocupă locul central în cadrul
sistemului informaţional al CNAS şi reprezintă mijlocul tehnologic principal de susţinere a
activităţii. Din această cauză acestor procese se va acorda cea mai mare atenţie din punctul de
vedere al asigurării securităţii informaţionale.
Pentru fiecare rol de utilizator trebuie să fie determinate şi perfectate, în conformitate cu
responsabilităţile şi drepturile colaboratorului, proceduri şi instrucţiuni. Configurarea
componentelor sistemului informaţional trebuie să fie documentată, iar toate modificările
sistemului informaţional trebuie să fie planificate şi înregistrate.[17]
Trebuie să fie bine pus la punct sistemul copierii de securitate a activelor informaţionale
ale CNAS, care va lua în consideraţie nivelul de risc privind accesul neautorizat la o resursă
informaţională. Procedura copierii de securitate trebuie să presupună diferite variante de păstrare
a suporţilor copiilor de securitate, inclusiv păstrarea acestora la terţe persoane.
Procedura protecţiei antivirus trebuie să solicite instalarea programelor antivirus pe toate
calculatoarele CNAS şi actualizarea periodică a bazelor antivirus.[21]
Procedurile de asigurare a securităţii în reţea trebuie să reglementeze configurarea şi
administrarea echipamentelor de reţea, utilizarea protocoalelor speciale de transmitere a datelor
şi segmentarea reţelei. Utilizarea poştei electronice, instrumentelor de transmitere momentană a
mesajelor şi a resurselor reţelei Internet trebuie controlate şi reglementate prin proceduri
respective.
74
La elaborarea documentelor normative privind asigurarea SI, o atenţie specială
trebuie să fie acordată utilizării mijloacelor criptografice de protecţie a informaţiei şi
administrării cheilor de criptare. Mijloacele de protecţie criptografică a informaţiei trebuie să
fie utilizate pentru protejarea activelor informaţionale cu risc înalt de vulnerabilitate al
confidenţialităţii şi integrităţii.[47]
Utilizarea dispozitivelor mobile în cadrul CNAS trebuie să fie strict reglementată prin
procedurile respective.
Asigurarea Securităţii informaţionale în timpul procesării, păstrării şi transmiterii
informaţiei include:
a) Documentarea procedurilor operaţionale şi separarea responsabilităţii în procesele
de tratare a informaţiei,
b) Planificarea infrastructurii şi monitorizarea modificărilor,
c) Protecţia antivirus,
d) Copierea de securitate,
e) Administrarea echipamentelor de reţea,
f) Asigurarea securităţii suporţilor de informaţii şi a echipamentelor mobile,
g) Asigurarea securităţii informaţiei în timpul transmiterii.
Procedurile de control a accesului reprezintă modalitatea principală de asigurare a
securităţii activelor informaţionale. Procedura de administrare a accesului trebuie să folosească
reguli aprobate privind separarea accesului utilizatorilor în conformitate cu rolul fiecăruia în
procesul de tratare a informaţiei. Accesul la activele informaţionale ale CNAS trebuie să fie
asigurat în volumul strict necesar şi suficient pentru îndeplinirea obligaţiunilor de serviciu.[19]
Administrarea accesului şa distanţă trebuie să fie strict reglementat prin procedurile
respective, deoarece accesul la distanţă la activele informaţionale ale CNAS reprezintă un factor
suplimentar de risc şi trebuie să fie acceptat doar în cazuri speciale. Accesul la distanţă va fi
permis cu condiţia că vor fi implementate măsuri suplimentare pentru diminuarea riscului SI.
Accesul utilizatorilor la activele informaţionale ale CNAS trebuie să fie supus unei
monitorizări continue.
Controlul accesului utilizatorilor la activele informaţionale include:
a) Administrarea accesului utilizatorilor la activele informaţionale,
b) Administrarea accesului la distanţă,
c) Controlul accesului la nivelul sistemului de operare,
d) Controlul accesului la nivelul sistemelor aplicative,
e) Monitorizarea accesului şi utilizării sistemelor.
75
Resursele program reprezintă mijloacele de procesare a informaţiei în componentele
sistemului informaţional al CNAS. Sistemele de operare şi programele aplicative formează setul de
resurse program, utilizate pentru efectuarea proceselor business ale CNAS. Suplimentar,
procesele de asigurare a securităţii informaţionale cum ar fi administrarea accesului utilizatorilor
la activele informaţionale, administrarea componentelor sistemului informaţional, protecţia
antivirus, copiere de securitate, sunt realizate la nivelul resurselor program. Reieşind din
aceasta este evident, că procesul de gestiune a ciclului de viaţă a resurselor program, pornind de
la formularea cerinţelor şi terminând cu retragerea din exploatare, reprezintă o parte
importantă a sistemului de management a securităţii informaţionale a CNAS.
În cadrul sistemului informaţional al CNAS sunt utilizate produse program licenţiate,
freeware, open sourse şi producţie proprie.
Lansarea în exploatare a unui produs program trebuie să fie permisă doar dacă
există documentele de utilizare a acestuia.
O atenţie deosebită la elaborarea procedurilor de gestiune a ciclului de viaţă a
produselor program trebuie să fie acordată procesului de instalare a actualizărilor, realizate de
dezvoltatorul produsului program.
Procesul de gestiune a ciclului de viaţă a produselor program include:
a) Formularea cerinţelor de securitate privind produsul program,
b) Procesul de achiziţie (dezvoltare) a produsului program,
c) Lansarea produsului program în exploatare,
d) Mentenanţa produsului program,
e) Retragerea din exploatare a produsului program.
Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau
afectarea facilităţilor oferite de sistemul informaţional.
Aceasta secţiune vizează mecanismele prin care se asigură securitatea fizică a
imobilului în care organizaţia îşi desfăşoară activitatea.
Alt aspect important al securităţii fizice este cel legat de protecţia echipamentelor, prin
prevenirea pierderii, distrugerii sau compromiterii funcţionării echipamentelor care pot afecta
funcţionarea organizaţiei.
Echipamentele de calcul trebuie să fie protejate fizic împotriva ameninţărilor voite sau
accidentale. În acest sens trebuie dezvoltate standarde şi proceduri pentru securizarea atât a
serverelor, cât şi a staţiilor de lucru ale utilizatorilor.[45]
Măsurile de control al accesului, implementate la nivelul aplicaţiei, bazelor de date sau
reţelei pot deveni inutile dacă există şi o protecţie fizică corespunzătoare.
76
Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi constă, în
general, în protecţia sub cheie a echipamentelor informatice într-un birou sau într-o altă incintă
precum şi asigurarea pazei şi a controlului accesului. Această securitate fizică merită o
consideraţie specială. Tot o problemă de securitate fizică o constituie siguranţa păstrării
suportilor de salvare (backup) a datelor şi programelor. Reţelele locale sunt, în acest caz, de mare
ajutor, copiile de rezervă putându-se face prin reţea pe o singură maşină ce poate fi mai uşor
securizată. O altă problemă importantă în securitatea fizică a unui sistem informatic o constituie
pur şi simplu sustragerile de echipamente. În plus, celelalte măsuri de securitate logică (parole
etc.) devin nesemnificative în cazul accesului fizic neautorizat la echipamente.
Într-un sistem în care prelucrarea este distribuită, prima măsură de securitate fizică care
trebuie avută în vedere este prevenirea accesului la echipamente.
3.2. Securitatea reţelelor şi gestionarea conturilor de utilizatorSecuritatea rețelelor de calculatoare este în acest moment parte integrantă a
domeniului rețelelor de calculatoare și ea implică protocoale, tehnologii, sisteme, instrumente și
tehnici pentru a securiza și opri atacurile rău intenționate. Atacurile cibernetice au crescut
considerabil în ultimii ani, iar conform unor rapoarte Europol, infracțiunile comise în spațiul
cibernetic provoacă pagube anual de peste 1 trilion de dolari.[66]
Conform anexei A din standardul ISO/IEC 27001:2013 există în prezent 114 de măsuri
de control și obiective de securitate în 14 grupe; standardul vechi a avut 133 de măsuri de control
și obiective de securitate în 11 grupuri.
A.5: politici de securitate de informații (2 măsuri de control și obiective de securitate).
A.6: Organizarea securității informației (7 măsuri de control și obiective de securitate).
A.7: Securitatea resurselor umane - 6 măsuri de control și obiective de securitate care
sunt aplicabile înainte, în timpul, sau după angajare.
A.8: Managementul resurselor (10 măsuri de control și obiective de securitate).
A.9: Controlul accesului (14 măsuri de control și obiective de securitate).
A.10: Criptografie (2 măsuri de control și obiective de securitate).
A.11: Securitatea fizică și a mediului (15 măsuri de control și obiective de securitate).
A.12: Operațiuni de securitate (14 măsuri de control și obiective de securitate).
A.13: Securitate comunicațiilor (7 măsuri de control și obiective de securitate).
77
A.14: Achiziții de sistem, dezvoltare și întreținere (13 măsuri de control și obiective de
securitate).
A.15: Relațiile cu furnizorii (5 măsuri de control și obiective de securitate).
A.16: Managementul incidentelor de securitate a informației (7 măsuri de control și
obiective de securitate).
A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4
măsuri de control și obiective de securitate).
A.18: Conformitatea cu cerințele interne, cum ar fi politicile, și cu cerințele externe,
cum ar fi legile (8 măsuri de control și obiective de securitate).[91]
Fiind un domeniu complex, au fost create domenii de diviziune pentru a putea face
administrarea mai facilă. Acesta împărțire permite profesionistilor o abordare mai precisă în
privința instruirii, cercetării și diviziuni muncii în acest domeniu. Sunt 12 domenii ale securității
rețelelor specificate de International Organization for Standardization (ISO) / International
Electrotechnical Commission (IEC):
1. Evaluarea Riscului e primul pas în administrarea riscului și determină valoarea
cantitativă și calitativă a riscului legat de o situație specifică sau o amnințare cunoscută;
2. Politica de Securitate este un document care tratează măsurile coercitive și
comportamentul membrilor unei organizații și specifică cum vor fi accesate datele, ce date sunt
accesibile și cui;
3. Organizarea Securității Informației e un model de guvernare elaborat de o
organizatie pentru securitatea informației
4. Administrarea Bunurilor reprezintă un inventar potrivit unei scheme clasificate
pentru bunurile informaționale
5. Securitatea Resurselor Umane defineste procedurile de securitate privind
angajarea, detașarea și părăsirea de către un angajat a organizației din care va face, face sau a
făcut parte
6. Securitatea Fizica și a Mediului descrie măsurile de protectie pentru centrele de
date din cadrul unei organizații
7. Administrarea Comunicațiilor și Operațiunilor descrie controalele de securitate
pentru rețele și sisteme
8. Controlul Accesului priveste restricțiile aplicate accesului direct la rețea, sisteme,
aplicații și date
9. Achiziția, Dezvoltarea și Păstrarea Sistemelor Informatice definește aplicarea
măsurilor de securitate în aplicații
78
10. Administrarea Incidentelor de Securitate a Informației tratează cum
anticipează și răspunde sistemul la breșele de securitate
11. Administrarea Continuității Afacerii descrie mîsurile de protecție, întreținere și
recuperare a proceselor critice pentru afacere și sisteme
12. Conformitatea descrie procesul de asigurare a conformității cu politicile de
securitate a informației, standarde și reguli
Aceste 12 domenii au fost create pentru a servi ca bază comună pentru dezvoltarea de
standarde și practici de securitate eficiente și pentru a da încredere activităților desfășurate între
organizații.
Tot pe criterii de eficiență în abordare și usurință în învațare, atacurile de securitate la
adresa rețelelor sunt împartite cu carater general în: recunoaștere, acces și de imposibilitate
onorări cererii(DoS).[34]
Atacuri interne
Multe atacuri privind securitatea rețelei provin din interiorul ei. La atacurile interne se
referă furt de parole (care pot fi utlizate sau vândute), spionaj industrial, angajați nemulțumiți
care tind de a cauza daune angajatorului, sau simpla utilizare necorespunzătoare. Majoritatea
acestor încălcări pot fi soluționate cu ajutorul ofițerului de securitate a companiei, care
monitorizează activitatea utilizatorilor rețelei.[66]
Puncte de acces nesecurizate
Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva atacurilor din
exterior. Ele des sunt prezentate pe comunitățile locale ale hakerilor. Punctul slab este că orice
persoană poate conecta un ruter fără fir ceea ce ar putea da acces neautorizat la o rețea
protejată.[66]
Back Doors
Comenzi rapide administrative, erori de configurare, parole ușor descifrabile pot fi
utilizate de către hackeri pentru a avea acces. Cu ajutorul căutătorilor computerizați (bots),
hackerii pot găsi punctul slab al rețelei.[66]
Denial of Service (DoS și DDoS)
Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial of
service) este o încercare de a face ca resursele unui calculator să devină indisponibile
utilizatorilor. Deși mijloacele și obiectivele de a efectua acest atac sunt variabile, în general el
constă în eforturile concentrate ale unei, sau ale mai multor persoane de a împiedica un sit sau
serviciu Internet să funcționeze eficient, temporar sau nelimitat. Inițiatorii acestor atacuri țintesc
79
de obicei la situri sau servicii găzduite pe servere de nivel înalt, cum ar fi băncile, gateway-uri
pentru plăți prin carduri de credite, și chiar servere întregi.[66]
Hackers, Crackers, Script Kiddies
Hackerii Cuvântul hacker în sine are o mulțime de interpretări. Pentru mulți, ei
reprezintă programatori și utilizatori cu cunoștinte avansate de calculator care încearcă prin
diferite mijloace să obțină controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se
referă de asemeni la persoanele care ruleaza diferite programe pentru a bloca sau încetini accesul
unui mare număr de utilizatori, distrug sau șterg datele de pe servere. Hacker are și o interpretare
pozitivă, descriind profesionistul in rețele de calculatoare care-și utilizează aptitudinile în
programarea calculatoarelor pentru a descoperi rețele vulnerabile la atacuri de securitate.
Actiunea in sine, aceea de hacking e privită ca cea care impulsionează cercetarea în acest
domeniu.[66]
Crackerii sunt niște persoane care au un hobby de a sparge parole și de a dezvolta
programe și virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc
programele pentru uz propriu sau pentru a le relizeaza pentru profit.[66]
Script kiddies sunt persoane care nu au cunoștințe sau aptitudini despre penetrarea unui
sistem ei doar descarcă programe de tip Warez pe care apoi le lansează cu scopul de a produce
pagube imense. Aceste persoane sunt angajați nemulțumiți, teroriști, cooperativele politice.[66]
Viruși și viermi
Virușii și viermii reprezintă programe care au proprietatea de a se automultiplica sau
fragmente de cod care se atașează de alte programe (viruși) sau calculatoare (viermii). Virușii de
obicei stau în calculatoarele gazdă, pe când viermii tind să se multiplice și să se extindă prin
intermediul rețelei.[66]
Trojan Horse
Acest virus este principala cauză a tuturor atacuri a sistemelor informaționale. Calul
Troian se atașează de alte programe. Când se descarcă un fișier care este infectat cu acest virus el
la urma sa infectează sistemul, unde oferă hakerilor acces de la distanță unde ei pot manipula cu
sistemul.[66]
Botnets
Îndată ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un
Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum
ar fi DDoS (Distribuited Denial of Service).
80
Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvântul
botnet provine de la robot, aceasta însemnând că calculatoarele îndeplinesc comenzile
proprietarului lor și rețea însemnând mai multe calculatoare coordonate.[66]
Sniffing/Spoofing
Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission Control
Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui packet de așteptare ACK.[66]
Administrarea performanţei reţelei permite colectarea, salvarea şi interpretarea
statisticilor, optimizarea reţelei cu resurse disponibile, detectarea modificărilor de performanţă,
asigurarea călitaţii serviciilor.
Detectează schimbările în performanţa reţelei cu ajutorul datelor statistice (cronometre
şi contoare) oferind astfel siguranţă şi calitate în funcţionarea reţelei.
Performanţa poate fi utilă şi pentru managementul faulturilor (pentru a detecta erorile),
pentru administrarea conturilor (pentru a adapta costurile) şi pentru administrarea configuraţiei
(ce modificare este necesară pentru o configuraţie optimă).
O reţea de calculatoare este o structură deschisă la care se pot conecta noi tipuri de
echipamente (terminate, calculatoare, modem-uri etc.), lucru care conduce la o lărgire nu
întotdeauna controlată a cercului utilizatorilor cu acces nemijiocit la resursele reţelei (programe,
fişiere, baze de date, trafic etc.).[42]
Administrarea securităţii permite administratorului să iniţializeze şi să modifice
funcţiile care protejează reţeaua de accese neautorizate. Părţile importante ale administrării
securităţii sunt:
- protecţia împotriva tuturor ameninţărilor asupra resurselor, serviciilor şi datelor din
reţea;
- asigurarea autorizării, autentificării, confidenţialităţii şi controlului drepturilor de
acces ale utilizatorilor;
- administrarea cheilor de criptare;
- întreţinerea zidurilor de protecţie;
- crearea conectării securizate.
Vulnerabilitatea reţelelor se manifestă pe două planuri: atacul la integritatea ei fizică
(distingeri ale suportuiui informaţiei) şi pe de altă parte folosirea sau modificarea neautorizată a
informaţiilor şi a resurselor reţelei (scurgerea de informaţii din cercul limitat de utilizatori
stabilit, respectiv utilizarea abuzivă a resurselor reţelei de către persoane neautorizate).
Dintre factorii tehnici care permit fisuri de securitate pot fi anumite defecte ale
echipamentelor de calcul sau de comunicaţie sau anumite erori ale software-ului de prelucrare
81
sau de comunicare. De asemenea, lipsa unei pregătiri adecvate a administratorilor, operatorilor şi
utilizatorilor de sisteme amplifică probabilitatea unor breşe de securitate.[46]
Folosirea abuzivă a unor sisteme (piraterie informatică) reprezintă, de asemenea, unul
din factorii de risc major privind securitatea sistemelor informatice.
În lucrarea de faţă administrarea securităţii este împărţită în securitatea echipamentelor
fizice, numită şi securitate fizică, securitatea aplicaţiilor, numită şi securitate logică şi securitatea
informaţiei.
Abordarea problemei securităţii datelor într-o reţea presupune în primul rând
identificarea cerinţelor de funcţionare pentru acea reţea, apoi identificarea tuturor ameninţărilor
posibile împotriva cărora este necesară protecţia. Această analiză constă în principal în 3 sub-
etape:
- analiza vulnerabilităţilor: identificarea elementelor potenţial slabe ale reţelei;
- evaluarea ameninţărilor: determinarea problemelor care pot apărea datorită
elementelor slabe ale reţelei şi modurile în care aceste probleme interferă cu cerinţele de
funcţionare;
- analiza riscurilor: posibilele consecinţe pe care problemele le pot crea.
Următoarea etapă constă în definirea politicii de securitate, ceea ce înseamnă să se
decidă:
- care ameninţări trebuie eliminate şi care se pot tolera;
- care resurse trebuie protejate şi la ce nivel;
- cu ce mijloace poate fi implementată securitatea
- care este preţul (financiar, uman, social etc.) măsurilor de securitate care poate fi
acceptat.
Odată stabilite obiectivele politicii de securitate, următoarea etapă constă în selecţia
serviciilor de securitate, adică funcţiile individuale care sporesc securitatea reţelei. Fiecare
serviciu poate fi implementat prin metode (mecanisme de securitate) variate pentru
implementarea cărora este nevoie de aşa-numitele funcţii de gestiune a securităţii. Gestiunea
securităţii într-o reţea constă în controlul şi distribuţia informaţiilor către toate sistemele deschise
ce compun acea reţea în scopul utilizării serviciilor şi mecanismelor de securitate şi al raportării
evenimentelor de securitate ce pot apărea către administratorii de reţea.
Modelul de securitate pentru un sistem (un calculator sau o reţea de calculatoare) poate
fi văzut ca avînd mai multe straturi ce reprezintă nivelurile de securitate ce înconjoară subiectul
ce trebuie protejat. Fiecare nivel izolează subiectul şi îl face mai dificil de accesat în alt mod
decît cel în care a fost prevăzut.
82
Securitatea logică constă din acele metode logice (software) care asigură controlul
accesului la resursele şi serviciile sistemului. Ea are, la rândul ei, mai multe niveluri impartite în
două grupe mari: niveluri de securitate a accesului (SA) si niveluri de securitate a serviciilor
(SS).[33]
Securitatea accesului (SA) cuprinde:
- accesul la sistem (AS), care este răspunzător de a determina dacă şi când reţeaua este
accesibilă utilizatorilor şi în ce conditii.
- accesul la cont (AC) cu nume şi parolă validă;
- drepturile de acces (DA) la fişiere, servicii, resurse ale utilizatorului sau grupului.
Securitatea serviciilor (SS), care se află sub SA, controlează accesul la serviciile
sistem, cum ar fi fire de aşteptare, I/O la disc şi gestiunea serverului. Din acest nivel fac parte:
- controlul serviciilor (CS) avertizează şi raportează starea serviciilor, activează sau
dezactivează serviciile oferite de sitem;
- drepturile la servicii (DS) cum se foloseşte un seviciu dat.
Accesul într-un sistem de securitate perfect trebuie să se facă prin aceste niveluri de
securitate, de sus în jos.
Problemele cu care se confruntă administratorii, într-o reţea mare, variază de la
întreţinerea numeroaselor servere pînă la rezolvarea problemelor de orice tip ale calculatoarelor
clienţilor. Multe firme au un serviciu de asistenţă dedicat exclusiv rezolvării problemelor
utilizatorilor. Indiferent de natura problemei, rezolvarea fiecăreia implică un anumit timp de
lucru, ceea ce poate conduce la creşterea costurilor generale de utilizare (TCO – Total Cost of
Ownership).
Microsoft a sesizat această problemă şi a încercat să o rezolve în decursul anilor.
Soluţiile au fost reprezentate fie de unele programe dedicate (cum ar fi serviciile SMS – System
Management Server), fie prin funcţii incluse în Windows NT (de exemplu politicile de
utilizator).[67]
CNAS stabileşte politica de control a accesului la resursele şi sistemele sale, având la
bază principiul accesului minim conform necesităţilor de afacere, în scopul realizării atribuţiilor
de serviciu sau a celor contractuale.
CNAS asigură că este stabilită o procedură de acordare, modificare, revizuire şi
retragere a drepturilor de acces la toate sistemele şi resursele sale. Procedura trebuie să vizeze
atât angajaţii băncii, cât şi utilizatorii terţelor părţi. Accesul la toate resursele informaţionale ale
CNAS se acordă în strictă conformitate cu necesităţile de serviciu. Toate cazurile de utilizare a
resurselor informaţionale necesită a fi autorizate.
83
La stabilirea drepturilor de acces se va aplica principiul „este interzis tot ce nu este
permis”.
CNAS asigură că toţi utilizatorii săi deţin identificatori unici în cadrul sistemelor
accesate, iar rechizitele de acces (parola, token, cheie, etc) sunt deţinute sau cunoscute doar de
aceştia şi stabileşte politici adecvate de utilizare a parolelor pentru toate sistemele sale.
Deasemenea, stabileşte o procedură specială pentru gestiunea conturilor cu drepturi
privilegiate la resursele informaţionale ale CNAS (administratori, super utilizatori, etc).
Procedura va asigura păstrarea în condiţii de confidenţialitate a parolelor pentru conturile
respective şi disponibilitatea acestora în situaţii de incident.
CNAS asigură că toate parolele implicite pentru echipamentele şi sistemele
informaţionale se schimbă înainte de lansarea în exploatare şi se modifica cel puţin o data pe
lună.
Toate drepturile de acces ale utilizatorilor se revizuiesc la intervale regulate, însă numai
rar de o dată în an.
3.3. Securitatea nivelelor de securitate în SO Windows, aplicaţiilor şi
datelorWindows XP și Windows 7 sunt cunoscute pentru stabilitatea şi eficienţa sa, în contrast
cu versiunile 9x de Microsoft Windows. Prezintă o interfaţă semnificant modificată, mai
prietenoasă pentru utilizator decât în celelalte versiuni de Windows. Capacităţile de management
noi al software-ului au fost introduse pentru a evita "iadul DLL-urilor" care a marcat celelalte
versiuni de Windows. Este prima versiune de Windows care necesită activare pentru a combate
pirateria informatică, o facilitate care nu a fost primită cu plăcere de toţi utilizatorii. Windows
XP a fost criticat pentru vulnerabilităţile legate de securitate, pentru integrarea aplicaţiilor ca
Internet Explorer sau Windows Media Player şi pentru aspecte legate de interfaţa implicită a
spaţiului de lucru.
Pentru Windows deosebim câteva aspecte foarte importante în vederea asigurării unui
nivel de securitate minim:
- discurile să fie formatate în sistem NTFS – prin acest sistem oferindu-se posibilităţi
de administrare foarte importante;
- activarea Windows Firewall (sau instalarea unui program de la terţi);
84
- realizarea de politici clare pentru parole şi obligativitatea introduceri secvenţei
CTRL+Alt+Delete pentru logare (anumite programe pot simula această secvenţă pentru
realizarea unei conexiuni ascunse);
- Realizarea unor politici la fel de clare privind realizarea de backup–uri la intervale
regulate şi nu numai – pentru protejarea datelor în cazuri nedorite;
- Activarea serviciului de Restore Point – procedura ce oferă posibilitatea salvării unor
stări de moment ale sistemului;
- Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru site-
urile din cadrul organizaţiei sau care se află în spatele firewall-ului utilizatorului, Zona Trusted
Sites, pentru site-uri care nu se află în spatele firewall-ului utilizatorului, dar pentru care
utilizatorul are încredere totală, Zona Restricted Sites, pentru site-uri cunoscute de utilizator că
fiind maliţioase, Zona Internet Zone, pentru restul de site-uri, Zona My Computer, care însă de
obicei nu e configurabilă, deoarece controalele ActiveX pe care chiar sistemul de operare le
instalează rulează pe setările de securitate din această zonă)
- Nu în ultimul rând este necesară acordarea de atenţie mărită datelor critice cu
caracter personal (conturi, parole, documente private) folosindu-se de criptări EFS.
Windows Xp nu vine instalat cu un program antivirus şi de aceea este necesar să se
instaleze şi o astfel de aplicaţie (de preferat o soluţie Internet Suite – care conţine şi alte aplicaţii
gen anti-spyware, firewall, back-up, etc.).
Windows 7 are sute de facilităţi noi, cum ar fi o interfaţă grafică modernă şi un stil
vizual nou, Windows Aero, tehnologia de căutare îmbunătăţită, noi unelte multimedia, precum şi
sub-sistemele complet remodelate de reţea, audio, imprimare şi afişare (display). Vista va
îmbunătăţi comunicarea dintre maşini pe o reţea casnică folosind tehnologia peer-to-peer, şi va
facilita folosirea în comun a fişierelor, parolelor, şi mediilor digitale între diverse computere şi
dispozitive. Pentru proiectanţii de software, Vista pune de asemenea la dispoziţie versiunea 4.0 a
sistemului de proiectare numit .NET Framework.
De o securitate îmbunătăţită putem beneficia folosind şi ultima versiune a aplicaţiei
"Windows Firewall" inclusă în sistemul de operare Windows 7. Dar securitate înseamnă mult
mai mult decât updatarea sistemului de operare, o aplicaţie antispyware/antivirus sau o aplicaţie
firewall. Un sistem de operare trebuie să ofere încredere utilizatorilor şi să protejeze datele (mai
mult sau mai puţin confidenţiale) stocate pe aceste sisteme. În acest domeniu al securităţii
(protecţia datelor, identitate şi control acces) intră şi tehnologiile "User Account Control" sau
"Internet Explorer 7 – Protected Mode".
85
"User Account Control" - tehnologie care nu există în Windows XP, apărând prima dată
în Windows Vista şi în Windows Server 2008 - reduce posibilitatea că o aplicaţie cu privilegii
minime (low) să dobândească în mod automat şi necontrolat privilegii sporite şi să aibă acces
la fişierele utilizatorului fără consimţământul acestuia.
Această posibilitate există în Windows 2000/XP unde un utilizator (cu drepturi de
administrator) putea fi indus în eroare mai uşor să execute un anumit cod (aplicaţie ostilă acelui
sistem) şi care putea duce la compromiterea acestuia.[26]
Internet Explorer rulează în mod normal la un nivel "Low" de integritate. Orice aplicaţie
care se descarcă din Internet va dobândi un nivel de integritate "Low" (egal cu al procesului
Internet Explorer) şi nu va putea să se execute şi să-şi eleveze privilegiile compromiţând
sistemul respectiv. Acesta este modul protejat (Protected mode) în care rulează IE7 pe Windows
Vista. Modul protejat oferit de IE8 este o facilitate prezentă numai pe sistemul de operare
Windows 7.[29]
Un utilizator poate accesa şi modifica un obiect în Windows Vista numai dacă nivelul
sau de integritate este mai mare decât cel al obiectului.
În acest scop în Windows 7 sunt definite 3 politici obligatorii de acces:
- No WRITE UP – o entitate nu poate modifica un obiect dacă posedă un nivel de
integritate mai mic decât al obiectului respective
- No READ UP – o entitate nu poate citi un obiect dacă poseda un nivel de integritate
mai mic decât al obiectului respective
- No EXECUTE UP – o entitate nu poate executa un obiect dacă posedă un nivel de
integritate mai mic decât al obiectului respectiv
Putem privi aceste tehnologii şi prin prisma altui principiu de securitate – "principle of
least privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" în care
utilizatorul trebuie să aibă privilegii minime pentru accesarea unui sistem informatic conform
fişei postului şi sarcinilor pe care trebuie să le îndeplinească.
În acest fel, în Windows 7 toţi utilizatorii au acelaşi nivel de integritate (încredere) pe un
sistem iar privilegiile administrative se folosesc doar în cazul în care este necesar.
Windows Server 2003, 2008, 2012 sunt construite pe structura sistemului Windows
2000 şi include toate facilităţile pe care un client le aşteaptă de la un sistem de operare Windows
Server: siguranţă, securitate şi scalabilitate. Familia cuprinde patru produse:
- Windows Web Server reprezintă o bună platformă pentru dezvoltarea rapidă a
aplicaţiilor şi desfăşurarea serviciilor pe Web. Este uşor de administrat şi se poate gestiona, de la
o staţie de lucru aflată la distanţă, cu o interfaţă de tip browser.
86
- Windows Standard Server este un sistem de operare în reţea care oferă soluţii pentru
firmele de toate mărimile. Acceptă partajarea fişierelor şi imprimantelor, oferă conectivitate
sigură la Internet, permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru, oferă
colaborare între angajaţi, parteneri şi clienţi, acceptă multiprocesarea simetrică cu două căi şi
până la 4 GO de memorie.
- Windows Enterprise Server este destinat firmelor medii şi mari. Este un sistem de
operare cu funcţionare completă care acceptă până la 8 procesoare de tip Intel Itanium.
- Windows Data Center Server este o platformă pentru firmele cu un volum mare de
tranzacţii şi cu baze de date scalabile. Este cel mai puternic şi mai funcţional sistem de operare
pentru servere oferit de Microsoft.[66]
Sistemul API cuprinde trei componente: nucleul Windows – Kernel, interfaţa grafică cu
echipamentele periferice GDI (Graphic Devices Interface) şi componenta USER. Aceste
componente sunt biblioteci de programe adresate programatorului de aplicaţii şi mai puţin
utilizatorului obişnuit.
Sistemul „maşini virtuale” asigură interfaţa cu utilizatorul şi aplicaţiile sale, modulele
din această clasă fiind apelate de sistemul API. Această componentă asigură încărcarea şi
folosirea corectă a spaţiului de adresare. Din această clasă face parte şi programul Explorer.[26]
Atunci când se ia în calcul politica de securitate pentru platformele Windows Server
2003 şi 2008 trebuie evaluate obligatoriu următoarele:
- Domain Level Acount Polices – reguli ce se pot seta la nivel de Group Policies,
setări care sunt aplicate la întreg domeniul: politici cu privire la parole, blocarea conturilor,
autentificarea folosind protocolul Kerberos – tot ceea ce uzual se înţelege prin „acount polices” –
politici de cont;
- Audit Policy – posibilităţile de utilizare a politicilor de audit pentru a monitoriza şi
forţa setările de securitate instalate. Este obligatoriu să se explice diferitele setări, folosindu-se de
exemple, pentru a se înţelege ce informaţii se modifică când acele setări sunt modificate;
- User Rights – tratează diferitele posibilităţi de logon – drepturi şi privilegii ce sunt
puse la dispoziţie de sistemul de operare şi oferirea de îndrumare privind care conturi ar trebui să
primească drepturi distincte – şi natura acestor drepturi;
- Security Options – tratarea setărilor de securitate cu privire la date criptate cu
semnături digitale(digital data signature), statutul conturilor „Administrator” şi „Guest”, accesul
la unităţile de dischetă şi CD-ROM(sau echivalent), instalarea driver-elor şi posibilităţile de
logare(logon prompts);
87
- Event Log – configurarea setărilor pentru diferitele jurnale care există sum Windows
Server 2003(respectiv 2008);
- System services – utilizarea serviciilor care sunt absolut necesare şi documentarea
lor – dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe cât posibil a
acestor servicii – pentru eliminarea setărilor „by default”;
- Software restriction polices – descrierea pe scurt a software-ului instalat şi
mecanismele folosite pentru restricţia rulării acestora;
- Additional System Countermeasures – descrierea unor măsuri suplimentare de
securitate care sunt necesare, setări care rezultă din discuţia privind rolul acelui server,
posibilităţile de implementare, disponibilitatea utilizatorilor şi existenţă personalului calificat –
setări cum ar fi:setări care nu pot fi introduse îîntr-o maniera compactă în cadrul Group Policies,
setări la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setări Terminal
Services, setări IPsec, Dr. Watson, nu în ultimul rând setările cu privire la Windows Firewall.
- Additional Registry Entries – documentarea modificărilor necesare la nivel de
registry.
Este de reţinut faptul că în Windows 2008 s-a pus un accent mai mare pe securitate , ca
un exemplu dacă în Windows 2003 server cu SP1 erau în jur de 1700 de setări în Group Polices
în Windows 2008 Server a crescut la aproximativ 2400.
În general, sistemele Windows se compun din trei clase de programe: programele
sistemului de bază; programele API (Application Programming Interface) şi programele „maşini
virtuale”.
Programele sistemului de bază asigură controlul fişierelor, servicii de comunicare şi
control în reţea, controlul maşinii virtuale, controlul memoriei, controlul implementării
standardului de interconectare „plag&play”.[29]
Securitatea aplicațiilor cuprinde măsurile luate de-a lungul ciclului de viață a
aplicaţiilor, ceea ce ţine de prevenirea lacunelor în politica de securitate a unei cereri sau politica
de bază a sistemului (vulnerabilități) prin defecte în proiectarea, dezvoltarea,
implementarea, upgrade-, sau de întreținere a cererii.
Aplicațiile pot controla doar un fel de resurse acordate acestora, și nu ce resurse sunt
acordate acestora. Acestea, la rândul lor, determină utilizarea acestor resurse de către utilizatorii
aplicației prin securitatea aplicației.
Open Web Project (OWASP ) și Web Application Security Consortium (WASC) au
actualizările pentru cele mai recente amenințări care afectează aplicaţiile web. Acest lucru ajută
dezvoltatorii, testeri și arhitecții de securitate să se concentreze pe o mai bună proiectare și
88
strategie de atenuare. OWASP Top 10 a devenit o normă industrială în evaluarea aplicaţiilor
web.[66]
Accesul liber la date guvernamentale cu caracter public reprezintă o iniţiativă
inovatoare în cadrul guvernelor, societăţii civile şi comunităţilor de tehnologii informaţionale şi
de comunicaţii (TIC) din întreaga lume. Inițiativa ”Acces liber la datele guvernamentale cu
caracter public” stipulează, printre altele, plasarea datelor guvernamentale în format standard
online. Scopul programului este de a crește transparența instituțiilor și a permite cetățenilor să ia
decizii informate. Această acţiune a fost lansată în mai multe ţări ale lumii, de la cele dezvoltate,
precum SUA şi Marea Britanie, până la ţările în curs de dezvoltare.
Pentru a se alinia tendinței internaționale, Centrul de Guvernare Electronică a lansat
platformele datelor deschise date.gov.md şi servicii.gov.md. Prin intermediul noilor platforme,
Guvernul Republicii Moldova oferă cetăţenilor şi companiilor acces la seturile de date cu
caracter public. Platformele - un ghişeu unic al datelor deschise - conțin informații produse de
instituții guvernamentale. Pe baza lor, companiile, organizațiile sau persoanele fizice pot
dezvolta aplicații și analize proprii, menite să contribuie la îmbunătățirea calității vieții
cetățenilor și dezvoltarea mediului de afaceri.
În cadrul portalului, datele cu caracter public sunt structurate în funcție de ministere:
Casa Naţională de Asigurări Sociale, Serviciul Fiscal de Stat, Ministerul Economiei, Ministerul
Finanțelor, Compania Națională de Asigurări în Medicină, Centrul de Guvernare Electronică,
Agenția Turismului etc. Cetățenii pot să consulte cu ușurință seturile de date, să solicite anumite
informații pe care le consideră utile, să-și exprime opinia și să propună direcții de îmbunătățire a
platformei. Vocea cetățenilor poate fi lesne auzită de către ministere, iar dialogul dintre autorități
și cetățeni este deosebit de important pentru deschiderea datelor utile opiniei publice.[53]
În cadrul noii platforme poate fi accesată și o aplicație inedită care permite vizualizarea
modului în care sunt cheltuiți banii publici, versiunea web a Bazei de date privind cheltuielile
publice (BOOST), realizată de Banca Mondială. Aplicația oferă o vizualizare mai ușoară a
datelor structurate pe ani, sectoare, tip de achiziții, categorii economice și regiuni.
În data de 15.01.2015, pe portalul date.gov.md sunt 785 de date deschise către acces,
din 41 de instituţii, utilizînd 3397 resurse[84] şi pe portalul servicii.gov.md - 423 de
servicii disponibile, inclusiv 98 e-Servicii, pentru 50 de instituţii.[85]
Tehnologiile informaţionale sînt parte indispensabilă a vieţii contemporane.
Posibilităţile şi avantajele pe care le oferă sînt principalele premise care fac ca ele să-şi găsească
o aplicare largă în cadrul sectorului guvernamental. În limita resurselor disponibile, autorităţile
89
publice implementează diferite soluţii ale tehnologiilor informaţionale pentru a-şi eficientiza
procesele de lucru.
În acest context, Curtea de Conturi, ca instituţie supremă de audit a ţării, este obligată
să-şi creeze şi să-şi menţină capacităţile corespunzătoare în domeniul auditului sistemelor
informaţionale. Auditul sistemelor informaţionale reprezintă o provocare la care aceasta trebuie
să facă faţă.
Cu suportul partenerilor străini, al Băncii Mondiale şi altor donatori, Curtea de Conturi
face primii paşi în acest domeniu.
Auditul tehnologiilor informaţionale sau auditul sistemelor informaţionale este o
examinare a controalelor în cadrul unei infrastructuri a tehnologiilor informaţionale. Auditul
tehnologiilor informaţionale este procesul de colectare şi de evaluare a probelor de sisteme
informaţionale ale organizaţiei, a practicilor şi operaţiilor. Evaluarea probelor obţinute determină
dacă sistemele informaţionale reprezintă active sigure, menţin integritatea datelor şi funcţionează
adecvat în vederea realizării scopurilor şi obiectivelor organizaţiei.
Principalele funcţii ale auditului tehnologiilor informaţionale sînt: 1) de a evalua
eficienţa sistemului, în special capacităţile organizaţiei de a-şi proteja activele informaţionale,
precum şi 2) de a furniza informaţia părţilor autorizate în modul corespunzător.
După iniţierea de către Curtea de Conturi a auditului-pilot TI la CNAS, pe data de 27
noiembrie 2009, echipa de audit împreună cu consultanţii externi a efectuat o vizită iniţială la
CNAS pentru a stabili care componentă a sistemului informaţional ar putea fi subiectul misiunii
de audit TI. În timpul acestei vizite, echipa de audit a fost informată că în anul 2005, în cadrul
Proiectului „Managementul în domeniul Protecţiei Sociale”, finanţat de Banca Mondială, a fost
stabilit învingătorul concursului („Intracom” S.A.) pentru designul, dezvoltarea şi implementarea
Sistemului Informaţional „Protecţia Socială” (SPIS).
La CNAS controalele generale TI şi cele ale aplicaţiei din cadrul Sistemului
Informaţional „Protecţia Socială” sînt bine concepute şi oferă garanţii suficiente pentru
introducerea şi prelucrarea datelor.
Au fost identificate unele neajunsuri în controalele generale şi cele ale aplicaţiei, dar nu
în măsura în care ar putea fi afectată integritatea, disponibilitatea şi confidenţialitatea datelor.
Aplicarea corectă a controalelor, elaborarea şi implementarea documentelor strategice aferente
vor asigura minimalizarea riscurilor privind posibilele situaţii critice şi funcţionarea neîntreruptă
şi corectă a sistemului.
A fost discutată şi situaţia la zi privind implementarea SPIS. La finalul întîlnirii, echipa
de audit împreună cu consultanţii externi şi factorii de decizie ai CNAS au determinat domeniul
90
de aplicare a auditului. S-a concluzionat că modulul „Colectarea contribuţiilor” din SPIS poate fi
selectat drept subiectul auditului nostru, din motiv că acesta este implementat pe deplin şi este
utilizat numai în sistemul nou.
CNAS, din punct de vedere al infrastructurii informaţional–tehnologice, reprezintă un
număr mare de obiecte, divizate teritorial. Reţele locale există la 42 de obiecte (Oficiul central al
CNAS şi 41 de Case teritoriale ale acesteia). Interacţiunea Caselor teritoriale cu Oficiul central
este realizată prin conexiune VPN. Casele introduc în regim on-line în baza de date SPIS date
din rapoartele colectate de la agenţi economici şi persoane asigurate.
CNAS utilizează atît Sistemul Informaţional „Protecţia Socială” (SPIS) nou, cît şi altele,
elaborate anterior întru realizarea business-proceselor sale.
SPIS constituie elementul central al sistemului de asigurări sociale.
Obiectivul principal al SPIS este de a stabili şi de a menţine sistemul de contribuţii, de
atribuire şi plată a pensiilor, compensaţiilor şi altor plăţi pentru persoanele asigurate, de a asigura
respectarea legislaţiei privind asigurările sociale şi de a îmbunătăţi sistemul de asigurări sociale.
Suplimentar, acesta are ca funcţie prezentarea propunerilor privind bugetul asigurărilor
sociale de stat şi formarea rapoartelor cu privire la executarea bugetului.
SPIS a fost dezvoltat pentru a integra toate bazele de date gestionate de către CNAS
într-un sistem, asigurînd excluderea dublării datelor şi implementarea business-proceselor
optimizate, pentru o gestionare eficientă şi raportare rapidă.
SPIS are următoarele subsisteme:
1. Sistemul de Aplicaţii al Protecţiei Sociale (SPAS);
2. Sistemul Informaţional de Management (MIS);
3. Sistemul de Management Financiar (FMS).
Sistemul de Aplicaţii al Protecţiei Sociale (SPAS) este conceput pentru a oferi sprijin
business-proceselor CNAS, şi anume: colectarea contribuţiilor; evaluarea şi achitarea pensiilor,
beneficiilor şi plăţilor compensatorii şi înregistrarea cheltuielilor legate de plăţile pensiilor;
raportarea la CNAS; raportarea la IFPS; bilete de tratament.
Sistemul Informaţional de Management (MIS) este conceput pentru a sprijini
managementul sistemului de asigurări sociale în Republica Moldova în cadrul procesului
bugetar, inclusiv elaborarea sistemelor de gestiune a eficienţei generale a activităţii organizaţiei
şi dirijarea utilizării lor; elaborarea planului strategic şi controlul îndeplinirii şi corectării
planurilor. Sistemul respectiv a fost proiectat şi este implementat la CNAS începînd cu anul 2005
pînă în prezent, pe cînd, conform prevederilor contractuale, acesta urma să fie implementat în
91
termen de 18 luni de la semnarea contractului iniţial, iar cu amendamentele ulterioare – pînă la
31.03.2007.
Sistemul de Management Financiar (FMS) este o aplicaţie care automatizează
următoarele operaţiuni: gestiunea cheltuielilor; prelucrarea conturilor pentru plată; prelucrarea
conturilor pentru primire; gestiunea mijloacelor băneşti; evidenţa fondurilor fixe şi gestiunea lor;
prelucrarea salariului; prelucrarea restituirii cheltuielilor colaboratorilor; prelucrarea impozitelor;
planificarea, întocmirea bugetului şi prognozarea; întocmirea dărilor de seamă financiare;
închiderea cărţilor contabile.
La momentul actual, CNAS utilizează în activitatea sa zilnică şi aplicaţiile vechi, din
motiv că nu au fost implementate toate modulele SPIS.
În pofida acestor neajunsuri, principala îngrijorare o constituie suportul continuu al
sistemului într-o perspectivă mai mare. Sistemul este creat pe o platformă de baze de date
complexe şi pe o interfaţă dezvoltată şi proiectată individual, ceea ce necesită personal de înaltă
calificare pentru a asigura suportul sistemului.
Activităţile CNAS în domeniul TI sînt asigurate de către 4 Direcţii, şi anume:
- Direcţia generală proiectare şi programare a sistemelor informaţionale;
- Direcţia generală exploatare a sistemelor informaţionale;
- Direcţia susţinere a sistemelor informaţionale în CTAS (Help Desk);
- Direcţia suport operaţional şi tehnic.
Pentru necesităţile funcţionale ale SPIS, CNAS preia informaţii de la Ministerul
Tehnologiilor Informaţionale şi Comunicaţiilor (Î.S. „Registru”, Î.S. „Poşta Moldovei”) şi
Ministerul Finanţelor (Trezoreria de Stat), în acest scop fiind încheiate acorduri privind
furnizarea informaţiei.
Pentru necesităţile funcţionale ale sistemului de asigurări sociale, CNAS asigură cu
informaţii Inspectoratul Fiscal Principal de Stat, Compania Naţională de Asigurări în Medicină,
Fondul municipal de susţinere socială a populaţiei al Consiliului municipal Bălţi etc. Pentru
organizarea achitării pensiilor, indemnizaţiilor, alocaţiilor sociale etc., CNAS are încheiate
contracte cu Î.S. „Poşta Moldovei” şi cu B.C. „Banca de Economii” S.A.
Echipa de audit este satisfăcută de nivelul controalelor, atît al celor generale, cît şi al
controalelor aplicaţiei şi, în pofida unor probleme, principala îngrijorare o constituie suportul
continuu al SPIS într-o perspectivă mai mare. SPIS este creat pe o platformă de baze de date
Oracle şi pe o interfaţă dezvoltată şi proiectată individual, ceea ce necesită personal de înaltă
calificare pentru a asigura suportul sistemului.
92
În cadrul CNAS a fost lansat un nou seriviciu - Serviciul de raportare electronică este
implementat la Casa Naţională de Asigurări Sociale (CNAS) cu începere de la 1 ianuarie 2012.
Agenţii economici pot prezenta dările de seamă prin intermediul portalului www.raportare.md.
De menţionat că, pe parcursul unui an la CNAS sunt prezentate circa 1 mln. de declaraţii.
Avantajele noii modalităţi de raportare sunt evidente şi anume: operativitatea procesării
informaţiei, excluderea erorilor şi funcţionarea on-line a programului. Serviciul electronic
simplifică considerabil lucrul agenţilor economici şi îi scuteşte de pierderea timpului.
Prin intermediul sistemului e-CNAS, angajatorii din RM pot prezenta în format
electronic declaraţiile Rev 5 pentru angajaţii săi concomitent cu declaraţiile privind calcularea și
utilizarea contribuţiilor de asigurări sociale de stat obligatorii, forma 4-BASS. Avantajele e-
CNAS sun următoarele: eliminarea deplasărilor la Casele Teritoriale de Asigurări Sociale și
economisirea timpului de aşteptare la ghişee, depistarea automată a divergenţelor dintre datele
din declaraţiile Rev 5 și Forma 4-BASS, greşelilor din datele personale ale angajaţilor și
excluderea necesității de tipărire a documentelor pe suport de hârtie.
Raportarea electronică la CNAS poate fi efectuată atît prin intermediul mijloacelor de
protecție criptografică a informației, eliberate de Î.S. „Centrul de telecomunicaţii
speciale”(CTS), cît și prin intermediul serviciului „Semnatura Mobilă”.
Pentru obţinerea dreptului de semnătură digitală prin intermediul telefonului mobil sunt
folosite certificate eliberate de Î.S. „Centrul de telecomunicaţii speciale”, iar dreptul de
înregistrare a utilizatorilor apartine operatorilor de telefonie mobilă (Orange, Moldcell).
Asigurarea securităţii datelor în cadrul CNAS este strîns legată de posibilităţile
financiare în a investi în asigurarea securităţii.
Analiza vulnerabilităţilor trebuie realizată utilizînd produse specializate, actualizate “la
zi” pentru a oferi o imagine de ansamblu asupra breşelor de securitate din reţeaua analizată
precum şi metodele de înlăturare sau acoperire a acestora. Pentru a oferi o protecţie actuală şi
eficienţă împotriva ameninţărilor informatice ce exploatează vulnerabilităţile existente în reţea,
procesul de analiză a vulnerabilităţilor poate fi programat la intervale de timp prestabilite, de
exemplu: 1, 3, 6 luni.
Un raport de analiză a vulnerabilităţilor trebuie să conţină informaţii detaliate despre
numărul de staţii vulnerabile, tipul vulnerabilităţilor descoperite precum şi principalele acţiuni de
înlăturare a vulnerabilităţilor.
CNAS investeşte în securitate, pentru a păstră integritatea datelor şi informaţiilor, dar
totuşi instrumentele utilizate de securizare a informaţiei nu sunt destul de eficiente şi sigure.
93
Consiliul de administrare al CNAS conştientizează necesitatea şi importanţa securităţii
datelor, astfel acordînd importanţă maximă problemelor de securitate a datelor şi are ca bază
normativ juridical Legea nr. 133 din 08.07.2011 privind protecţia datelor cu caracter personal.
Asigurarea securităţii datelor depinde în mare măsură de cît de conştientă este
conducerea de faptul că trebuie asigurată o securitate maxima, dar şi cît de conştient este fiecare
angajat despre necesitatea securităţii informaţiei.
94
CONCLUZII ŞI RECOMANDĂRISecuritatea informatică a devenit una din compenentele majore ale internetului.
Analiştii acestui concept au sesizat o contradicţie între nevoia de comunicaţii şi conectivitate, pe
de o parte, şi necesitatea asigurării confidenţialităţii, integrităţii şi autenticităţii informaţiilor, pe
de altă parte. Domeniul relativ nou al securităţii informatice caută soluţii tehnice pentru
rezolvarea acestei contradicţii aparente. Viteza şi eficienţa comunicaţiilor “instantanee” de
documente şi mesaje conferă numeroase atuuri actului decizional într-o societate modernă,
bazată pe economie concurentiaţă. Însă utilizarea serviciilor de poştă electronică, web, transfer
de fonduri etc. se bazează pe un sentiment, adeseori fals, de securitate a comunicaţiilor, care
poate transforma potenţialele cîştiguri generate de accesul rapid la informaţii, în pierderi majore,
cauzate de furtul de date sau de înserarea de date false ori denaturate.
În loc de a ne focaliza numai pe un anumit tip de securitate, este important să înţelegem
că o soluţie completă de securitate a informaţiilor este necesară instituţiei pentru aşi proteja
datele şi resursele informatice. Această soluţie trebuie să includă autentificare şi autorizare,
confidenţialitatea datelor şi securitatea perimetrului.
Studierea materialelor şi practicii de pînă acum din domeniul securităţii informaţiei
arată că metodele tehnice şi programul de aplicare a principiilor securităţii informaţionale sunt
bine documentate şi este foarte greu de ales vre-un domeniu unde aceste metode nu sunt
subiectul unei cărţi sau articol.
Necesitatea pentru instruirea adecvată a angajaţilor în domeniul securităţii
informaţionale a fost recunoscută nu cu mult timp în urmă. În majoritatea organizaţiilor din
Statele Unite ale Americii această instruire a devenit obligatorie. În orice caz în urma analizei
informaţiei din cadrul Întreprinderilor din Moldova şi unor organizaţii din străinătate instruirea
nu este privită ca o prioritate de majoritatea angajatorilor, dar şi angajaţilor.
Cu toate acestea, majoritatea literaturii publicate este concentrată la descrierea
domeniilor tehnice a securităţii informaţionale şi foarte puţine materiale analizează acest
domeniu din punct de vedere al instruirii personalului în domeniul securităţii informaţionale şi
crearea culturii securităţii informaţionale în cadrul unei organizaţii.
Problemele ce influenţează personalul CNAS să nu reacţioneze adecvat la instruirea în
domeniul securităţii informaţionale:
- Angajaţii întîlnesc dificultăţi din cauza digitizării rapide a instituţiei;
- Angajaţii au dificultăţi din cauza complexităţii sistemelor din prezent;
95
- Iniţiativele în urma analizei eficienţei impun angajaţii să se concentreze la
obligaţiunile principale de serviciu, cele legate de SI rămîn pe ultimul plan;
- Cei ce au organizat digitizarea instituţiei subestimează viteza de învăţare a
angajaţilor a noilor obligaţiuni şi responsabitităţi, cît şi a noilor tehnologii desigur;
- O parte de angajaţi deţin cunoştinţe minime în domeniul tehnologiilor informaţionale
(calculatoarelor).
Rezistenţa pe care o opun angajaţii este un fenomen cunoscut, dar în domeniul
securităţii informaţionale situaţia este şi mai gravă din cauza neînţelegerii de către utilizatori de
ce sunt necesare aceste modificări în domeniu. Adiţional, elementele de control pot fi cîteodată
"greoaie" şi impun un anumit lucru de rutină şi activităţi în plus. Dacă angajaţii nu sunt convinşi
de necesitatea acestor paşi, ei vor ignora paşii şi iniţiativele managementului de vîrf.
Securitatea informaţiei nu trebuie tratată doar din punct de vedere tehnic, ea trebuie
inclusă în managementul CNAS. Securitatea informaţiei poate fi pusă la încercare de viruşi,
acces neautorizat, procesarea neadecvată de către angajaţii CNAS (aşa-numitele erori umane),
defecţiuni sau dezastre naturale ce au ca rezultat oprirea sau defectarea echipamentelor IT.
Păstrarea datelor a devenit o problemă tot mai importantă atât datorită faptului că se manipulează
un volum tot mai mare de date, dar şi modului de accesare al acestor informaţii care trebuie să fie
rapid, eficient, optim din punct de vedere al raportului timp accesare/valoare informaţie. Nu în
ultimul rând, datele stocate trebuie să fie protejate astfel încât să se asigure o securitate adecvată
în ceea ce priveşte persoanele care au acces la ele, dar şi din punct de vedere al concordanţei cu
legislaţia privind securitatea şi protecţia informaţiilor şi datelor cu caracter personal.
În urma evaluării riscurilor de securitate a informaţiei în cadrul CNAS şi studierii
politicii de securitate putem recomanda următoarele acţiuni:
1. Instruirea regulată a angajaţilor tuturor subdiviziunilor structurale ale CNAS privind
securitatea informaţională întru crearea culturii securităţii informaţionale. Fiecare trebuie să știe
să recunoască un mesaj de tip phishing, să știe cum să trateze atașamentele care vin în e-mail-uri,
să le scaneze și, foarte important, să raporteze departamentului de IT orice incident sau situație
care li s-a părut suspectă. Folosirea de parole diferite pentru conturi diferite. Evitarea conectării
la conturi personale folosind resursele CNAS. Evitarea publicării pe conturile personale din
diferite rețele de socializare a informațiilor ce privesc compania angajatoare;
2. Înregistrarea CNAS şi a Sistemelor Informaţionale, care operează cu date cu caracter
personal, utilizate de Casa Naţională de Asigurări Sociale la Centrul de Protecţie a Datelor cu
Caracter Personal;
96
3. Securitatea la etapa de proiectare (security by design) - Proiectarea iniţială a
Sistemelor Informatice ţinînd cont de aspectele de securitate;
4. Evaluarea datelor deţinute. Este important să știm exact și din timp ce anume putem
pierde în cazul unei breșe de securitate. Ce fel de informații deținem, dacă sunt sau nu
confidențiale, cît sunt de importante pentru instituţie, clienți sau angajați și care sunt riscurile de
a pierde controlul acestor date. Odată ce știm ce protejăm, vom ști și cum să protejăm;
5. Configurarea arhitecturii rețelei trebuie făcută în așa fel încât să se poată interveni
rapid pentru a se izola o infecție, să spunem, la nivelul unei singure subrețele, prevenind astfel
răspândirea infecției în toată rețeaua. Acest lucru minimizează impactul pe care l-ar putea avea
un atac care a reușit să penetreze prima linie defensivă. Un firewall bine configurat poate
contribui substanțial la minimizarea riscurilor;
6. Este importantă evidența dispozitivelor precum și a pachetelor software folosite în
cadrul sistemului informatic al organizației;
7. E necesară evaluarea periodică a nivelului de securitate al sistemului informatic prin
teste de penetrare, audituri de securitate sau simple scanări pentru identificarea vulnerabilităților.
8. Aplicarea măsurilor de securitate pentru limitarea accesului neautorizat la sistemul
informatic: protecție fizică, blocare porturi, separare logică prin rețele virtuale (VLAN), acces pe
bază de smartcard-uri, conturi de utilizatori individuale protejate prin parolă etc.;
9. Verificarea şi controlul permanent al modului de folosire al conturilor de acces
privilegiate (conturi de administrator). Acestea trebuie folosite doar în caz de necesitate și nu
permanent de către persoanele responsabile de administrarea sistemului informatic;
10. Folosirea tehnologiilor avansate de protecție a sistemului informatic: IDS/IPS,
soluții antimalware de tip enterprise, criptare fișiere și conexiuni, acces la distanță prin VPN etc.;
11. Folosirea procedurilor de răspuns la incidente de securitate cibernetică și stabilirea
responsabililor pentru astfel de activități.
12. Documentarea arhitecturii sistemului informatic al CNAS și luarea la evidență a
tuturor modificărilor.
Toate aceste măsuri de securitate trebuie să facă față unor obiceiuri mai puțin sigure ale
utilizatorilor Sistemelor Informaţionale, dar şi a informaţiilor în general. Pierderea sau
distrugerea în totalitate sau parțială a datelor poate avea efecte dezastruoase asupra securitații și
integrității instituţiei, astfel trebuie de respectat regulile de securizare a informaţiei şi respective
de urmărit şi de aplicat cele mai sigure instrumente de securizare şi protecţie a informaţiei.
97
BIBLIOGRAFIE
Legi şi acte normative ale Republicii Moldova
1. Legea privind protecţia datelor cu caracter personal nr. 133 din 08.07.2011 // Monitorul
Oficial nr. 170-175 din 14.10.2011;
2. Legea privind accesul la informaţie nr. 982-XIV din 11.05.2000 // Monitorul Oficial nr. 88-
90 din 28.07.2000 cu modificările ulterioare;
3. Legea cu privire la informatizare şi la resursele informaţionale de stat nr. 467-XV din
21.11.2003 // Monitorul Oficial nr. 006 din 01.01.2004 cu modificările ulterioare;
4. Legea privind prevenirea şi combaterea criminalităţii informatice nr. 20 din 03.02.2009 //
Monitorul Oficial nr. 11-12 din 26.01.2010 cu modificările ulterioare;
5. Legea pentru aprobarea Concepţiei securităţii naţionale a Republicii Moldova nr. 112 din
22.05.2008 // Monitorul Oficial nr. 97-98 din 03.06.2008;
6. Legea privind organele securităţii statului nr. 619 din 31.10.1995 // Monitorul Oficial nr. 10-
11 din 13.02.1997 cu modificările ulterioare;
7. Legea cu privire la informatică nr. 1069 din 22.06.2000 // Monitorul Oficial nr. 073 din
05.07.2001 cu modificările ulterioare;
8. Hotărârea Parlamentului pentru aprobarea Strategiei securităţii naţionale a Republicii
Moldova nr. 153 din 15.07.2011 // Monitorul Oficial nr. 170-175 din 14.10.2011;
9. Hotărârea Guvernului cu privire la crearea Registrului de stat al evidenţei individuale în
sistemul public de asigurări sociale nr. 418 din 03.05.2000 // Monitorul Oficial nr. 054 din
12.05.2000 cu modificările ulterioare;
10. Hotărârea Guvernului cu privire la aprobarea Concepţiei sistemului informaţional
automatizat "Registrul resurselor şi sistemelor informaţionale de stat" nr.
1032 din 06.09.2006 // Monitorul Oficial nr. 150-152 din 22.09.2006 cu modificările
ulterioare;
11. Hotărârea Guvernului privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu
caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu
caracter personal nr. 1123 din 14.12.2010 // Monitorul Oficial nr. 254-256 din 24.12.2010;
12. Hotărârea Guvernului privind aprobarea Regulamentului Registrului de evidenţă a
operatorilor de date cu caracter personal nr. 296 din 15.05.2012 // Monitorul Oficial nr. 99-
102 din 25.05.2012;
98
13. Hotărârea Guvernului cu privire la aprobarea Programului privind Cadrul de
Interoperabilitate nr. 656 din 05.09.2012 // Monitorul Oficial nr. 186-189 din 07.09.2012;
14. Hotărârea Guvernului privind Registrul resurselor şi sistemelor informaţionale de stat nr.
1008 din 28.12.2012 // Monitorul Oficial nr. 1-5 din 04.01.2013;
15. Hotărîrea Guvernului cu privire la Strategia Naţională de dezvoltare a societății
informaționale „Moldova Digitală 2020” nr. 857 din 31.10.2013 // Monitorul Oficial nr.
252-257 din 08.11.2013;
Cadrul juridic CNAS
16. Regulament privind modul de prezentare a declarațiilor în formă electronică către CNAS,
aprobat prin Ordinul CNAS nr. 263-A din 07 noiembrie 2013;
17. Regulament cu privire la înregistrarea utilizatorilor în sistemul informaţional ACCES CPAS,
aprobat prin Ordinul CNAS nr.279-A din 10.12.2012;
18. Regulament privind accesul utilizatorilor la resursele informaţionale a CNAS, aprobat prin
ordinul Preşedintelui CNAS Nr. 123A din 28.03.2008;
19. Instrucţiune privind conectarea şi exploatarea reţelei interne de acces comun în CTAS,
aprobată prin Ordinul Preşedintelui CNAS Nr. 287-А din 12.07. 2010;
20. Instrucţiune privind organizarea protecţiei cu parolă a sistemului informaţional CNAS,
aprobată prin ordinul Preşedintelui CNAS Nr.16-A de la 20.01.2010;
21. Instrucţiunea utilizatorului privind asigurarea protecţiei antivirale, aprobată prin ordinul
Preşedintelui CNAS № 459-А din 21.12.2009;
22. Politica Securităţii Informaţionale CNAS, aprobată prin decizia Consiliului de Administraţie
CNAS nr.6/8 din 21.11.2008;
23. Dispoziţia Preşedintelui CNAS cu privire la protecţia datelor cu caracter personal nr. 14 din
05.09.2012;
Manuale, monografii, cărţi, broşuri şi articole
24. Andress M., Surviving Security, SAMS, 2001;
25. Auerbach Publications, Information Security Management Handbook, Fifth edition, 2005, p
989;
26. Bragg R., Windows 2000 Security, New Riders, 2001;
27. Buraga C., Reţele de calculatoare - Introducere în securitate, Universitatea A. I. Cuza Iasi,
2007;
99
28. Ciampa M.D., Security +Guida To Networking Security Fundamentals, Editura Cengage
Learning, 2004, 600 p.;
29. Georgescu I., Sisteme de operare, Editura Arves, Craiova, 2006;
30. Guzun M., Cojocaru I., Ionescu R. Sistemul de management al securității inormaționale
ISO/IEC 27001:2013. Algoritmul de implementare. VIII International Conference on
Microelectronics and Computer Science, Chişinău, October 22-25, 2014. Chişinău, 2014, p. 362
– 365;
31. Habracken J., Reţele de calculatoare pentru începători, Editura ALL;
32. Hallberg B., Reţele de calculatoare. Ghidul începătorului, Rosetti Educaţional, Bucureşti,
2006, 456 p.;
33. Held, G., ş.a., Arhitecturi de securitate, Editura Teora, 2003;
34. Hontanon R.J., Securitatea reţelelor, Editura Teora, 2003;
35. Hsiao S.B., Stemp R., Advanced Computer Security, CS 4602, Monterey, California, 2006;
36. Ionescu D., Retele de calculatoare, Editura All, Alba Iulia. 2007;
37. Mihai I.C., Securitatea informațiilor, Editura Sitech, 2012, 317 p.;
38. Mihai I.C., Securitatea sistemului informatic, Editura Dunărea de Jos, 2007;
39. Mihai I.C., Managementul riscului de securitate în sistemele informatice, Revista de
investigare a criminalităţii, nr 2, 2012, ISSN 1844-7945;
40. Mircea F. V., Tehnologii de securitate alternative pentru aplicaţii în reţea, Universitatea
Tehnică din Cluj Napoca, 2009;
41. Northcutt S., ş.a., Network Intrusion Detection: An Analyst's Handbook, 2nd Edition. New
Riders, 2000;
42. Oprea D., Protecţia şi securitatea informaţiilor, Editura Polirom, 2007, 448 p.;
43. Peltier T.R., Information Security Risk Analysis, Editura Taylor & Francis Ltd, 2005, 360 p.;
44. Patriciu, V. V., ş.a., Semnături electronice și securitate informatică, Editura All, 2006;
45. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference,
McGraw-Hill, 2003;
46. Sarcinschi A., Vulnerabilitate, risc, ameninţare. Securitatea ca reprezentare psihosocială,
Editura Militară, 2009;
47. Stamp M., Information Security, Editura John Wiley And Sons Ltd, 2005, 416 p.;
48. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003;
49. Udroiu, M., ş.a., Securitatea informaţiilor în societatea informaţională, Editura
Universitară, 2010, 402 p.;
50. Zwicky, E., ş.a., Building Internet Firewalls, 2nd Edition. O'Reilly & Associates, 2000;
100
Resurse internet
51. Banu C., Responsabilitatea securităţii informaţiilor, http://www.datasecurity.ro (vizitat
24.11.2014);
52. Asigurarea securității informaționale, http://www.sis.md/ro/asigurarea-securitatii-
informationale (vizitat 24.11.2014);
53. Securitatea informaţiei în Republica Moldova, http://www.egov.md/index.php/ro/resurse
/newsletter/item/1015-securitatea-informaţiei-în-republica-moldova (vizitat 24.11.2014)
54. Moraru R., Crearea culturii securităţii informaţionale în cadrul unei companii,
http://www.security.ase.md/publ/ro/pubro31/ (vizitat 24.11.2014);
55. Leahu T., Despre necesitatea, varietăţile, evoluţia şi unii termini ai securităţii datelor în
sistemele informaţionale şi informatice economice, http://security.ase.md
/publ/ro/pubro02.html (vizitat 24.11.2014);
56. Serviciul de Telecomunicaţii Speciale, Scannere de vulnerabilităţi,
https://corisweb.stsisp.ro/instrumente/scannere (vizitat 24.11.2014);
57. Information Security Officer’s Manual, RUSecure, http://www.computer-security-
policies.com (vizitat 24.11.2014);
58. Instrumente şi resurse pentru securitatea informaţională,
http://www.theiia.org/?doc_id=3061 (vizitat 24.11.2014);
59. Procese şi activităţi de management al securităţii informaţionale,
http://www.secinf.net/Network_Security/ (vizitat 24.11.2014);
60. SecTools.Org: Top 125 Network Security Tools, http://sectools.org/ (vizitat 24.11.2014);
61. Network Scanners, http://www.securitywizardry.com/index.php/products/scanning-
products/network-scanners.html (vizitat 24.11.2014);
62. Centrul tehnic de securitate, Microsoft Baseline Security Analyzer,
http://technet.microsoft.com/ro-ro/security/cc184924.aspx, (vizitat 24.11.2014);
63. Cunoştinţe de calculator, Instrumente Vulnerability Scanner,
http://www.punzakhvac.com/instrumente-vulnerability-scanner/ (vizitat 24.11.2014);
64. Canal media oficial al ARASEC – Asociaţia Română pentru Asigurarea Securităţii
Informaţiei, informaţii multiple http://www.criminalitatea-informatica.ro/ (vizitat
27.11.2014);
65. NIST Issues New Revision of Guide to Assessing Information Security Safeguards,
http://www.nist.gov/itl/csd/sp8000-53a-121614.cfm (vizitat 27.11.2014);
66. Informaţii multiple, http://ro.wikipedia.org (vizitat 27.11.2014);
101
67. Informaţii multiple, http://support.microsoft.com (vizitat 27.11.2014);
68. Scanner Nikto, http://www.cirt.net/code/nikto.shtml (vizitat 27.11.2014);
69. WPScan scanner, http://wpscan.org (vizitat 27.11.2014);
70. Vega web scanner, http://subgraph.com/vega/ (vizitat 27.11.2014);
71. Arachni Scanner, http://arachni-scanner.com (vizitat 27.11.2014);
72. Microsoft Baseline Security Analyzer, http://www.microsoft.com/technet/security/tools/
mbsahome.mspx (vizitat 27.11.2014);
73. Winfingerprint scanner, http://winfingerprint.con/index.php (vizitat 27.11.2014);
74. CIS Benchmarks/Security Tool scanner, http://www.cissecurity.com/ (vizitat 27.11.2014);
75. OpenVAS, Open Vulnerabilty Assesment System, http://wald.intevation.org/
projects/openvas (vizitat 27.11.2014);
76. Paros, arhitectură pentru testare web, http://parosproxy.org/ (vizitat 27.11.2014);
77. Analiză vulnerabilităţi şi evenimente de securitate, http://www.eyenet.ro/securitate-it.html
(vizitat 27.11.2014);
78. Informaţii multiple, http://cert.gov.md/noutati/noutati.html (vizitat 27.11.2014);
79. Informaţii multiple, http://cert.acad.md/ro (vizitat 27.11.2014);
80. Griniuc R., Ploteanu N., Formarea politicii de securitate a sistemelor informatice,
http://www.security.ase.md/publ/ro/pubro34/9.pdf (vizitat 08.12.2014);
81. Consiliul suprem de securitate recomandă elaborarea concepţiei securităţii informaţiei,
http://www.timpul.md/articol/consiliul-suprem-de-securitate-recomanda-elaborarea-
conceptiei-securitatii-informationale-64474.html?action=print (vizitat 08.12.2014);
82. Informaţii multiple, www.cnas.md (vizitat 15.01.2015);
83. Bulai R., Analiza etapelor de creare a unui sistem de management al securităţii informaţiei,
http://www.security.ase.md/publ/ro/pubro35/Bulai_Rodica%20.pdf (vizitat 15.01.2015);
84. Informaţii multiple, http://date.gov.md/ (vizitat 15.01.2015);
85. Informaţii multiple, https://servicii.gov.md/ (vizitat 15.01.2015);
86. TF-CSIRT Trusted Introducer, https://www.trusted-introducer.org/services/overview/
romanian.html (vizitat 20.01.2015);
87. Popescu M., Securitatea IT – o provocare de maximă actualitate,
http://www.ensight.ro/newsletter/no51/art3.html (vizitat 20.01.2015);
102
Alte surse
88. ISO 13335-1, Managementul securităţii informaţiilor şi tehnologiei comunicaţiilor, Partea I:
Concepte şi modele pentru managementul securităţii informaţiilor şi tehnologiei
comunicaţiilor, 2004;
89. ISO 27001:2005, Sistemul de management al securităţii informaţiilor – Cerinţe;
90. ISO 27002:2005, Codul de practică al managementului securităţii informaţiilor;
91. ISO 27001:2013, Sistem de management al securităţii informaţiei: specificaţii şi ghid de
utilizare;
92. ISO/IEC 27007:2011, Tehnologia Informației – Tehnici de securitate – Ghid pentru
auditarea SMSI;
93. ISO/IEC 27000:2014, Tehnologia informaţiei – Tehnici de securitate – Sisteme de
management al securității informației – Descriere generală și vocabular;
94. ISO/IEC 27002:2013, Tehnologia informaţiei – Tehnici de securitate – Cod de practici
pentru controalele de securitate;
95. ISO/IEC 27003:2010, Tehnologia informaţiei – Tehnici de securitate – Ghid pentru
implementarea SMSI;
96. ISO/IEC 27004:2009, Tehnologia informaţiei – Tehnici de securitate –Sisteme de
management al securității informației – Măsurări;
97. ISO/IEC 27005:2011, Tehnologia informaţiei – Tehnici de securitate – Managementul
riscurilor de securitate a informației;
98. ISO/IEC 27006:2011, Tehnologia informaţiei – Tehnici de securitate – Cerințe pentru
organismele care efectueasă auditul și certificarea SMSI;
99. ISO/IEC 27007:2011, Tehnologia Informației – Tehnici de securitate – Ghid pentru auditarea
SMSI.
103
ANEXEAnexa 1
104
Anexa 2: Fişe de post
APROBAT
_____________
Maria BORTA,
Preşedinte al Casei Naţionale
de Asigurări Sociale
L.Ş. „_____” ______________ 201_
FIŞA POSTULUI
Capitolul I.
Dispoziţii generale
Autoritatea publică: Casa Naţională de Asigurări Sociale
Compartimentul: Direcţia generală elaborarea şi dezvoltarea sistemelor informaţionale (în
continuare Direcţia generală), Direcţia elaborarea sistemelor aplicative (în continuare Direcţia).
Adresa: mun. Chişinău, str. Gh. Tudor, 3
Denumirea funcţiei: Programator principal
Nivelul funcţiei: Funcţie de deservire tehnică ce asigură funcţionarea autorităţii publice
Nivelul de salarizare: Conform prevederilor Legii nr.355
Capitolul II.
Descrierea funcţiei
Scopul general al funcţiei:
Asigurarea procesului de proiectare, elaborare, testarea şi implementare, întreţinerea aplicaţiilor
programatice a sistemelor aplicative ale sistemelor informaţionale privind sistemul public de
asigurări sociale şi alte sisteme informaţionale pentru automatizarea proceselor de activitate ale
subdiviziunilor Casei Naţionale de Asigurări Sociale.
Asigurarea procesului de elaborare a caietelor de sarcini pentru elaborarea, modificarea sau
procurarea sistemelor informaţionale.
Sarcinile de bază:
1. Testarea sistemelor aplicative ale sistemelor informaţionale privind sistemul public de
asigurări sociale.
2. Implementarea sistemului informaţional ”sistemul public de asigurări sociale (SPAS).”
3. Completarea şi perfectarea documentaţiei de proiect.
4. Implementarea sistemelor informaţionale in Casele Teritoriale de Asigurări Sociale.
105
5. Elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaţionale.
Atribuţiile de serviciu:
1. Testarea sistemelor aplicative ale sistemelor informaţionale privind sistemul public de
asigurări sociale.
1.1. Participă la testarea şi întreţinerea aplicaţiilor programatice.
1.2. Participă la proiectarea şi elaborarea procesului tehnologic al sistemelor informaţionale
create în cadrul Direcţiei.
1.3. Analiza şi testarea structurii bazei de date, Soft şi Nomenclaturilor.
1.4. Modifică sistemele informaţionale existente.
1.5. Excluderea din folosinţă a sistemelor informaţionale ce nu se mai exploatează.
1.6. Participă la elaborarea materialelor metodologice privind implementarea sistemului de
asigurări sociale de stat
2. Implementarea sistemului informaţional ”sistemul public de asigurări sociale(SPAS)”.
2.1. Asigură pregătirea datelor din sistemele informaţionale necesare pentru migrare.
2.2. Controlează rezultatul migrării şi participă la elaborarea algoritmelor de migrare.
2.3. Participă la procesul de testare a sistemului şi la formarea cerinţelor faţă de sistem.
3. Completarea şi perfectarea justa a documentaţiei de proiect.
3.1. Completarea şi perfectarea justa a documentaţiei de proiect, prezentarea la timp a dărilor
de seama, conform formelor aprobate la Casa Naţională de Asigurări Sociale.
3.2. Pregăteşte note explicative, instrucţiuni în cadrul problemelor ce ţin de executarea
obligaţiilor Direcţiei.
3.3. Elaborarea caietelor de sarcini pentru elaborarea, modificarea sau procurarea SI.
4. Implementarea sistemelor informaţionale in Casele Teritoriale de Asigurări Sociale.
4.1. Efectuează îndrumarea metodologică a lucrătorilor structurilor Caselor Teritoriale de
Asigurări Sociale privind problemele ce apar în procesul utilizării sistemului informaţional creat.
5. Elaborarea caietelor de sarcini pentru elaborarea, modificarea, procurarea sistemelor
informaţionale
5.1. participă la elaborarea şi examinarea caietelor de sarcini pentru elaborarea, modificarea,
procurarea sistemelor informaţionale
Responsabilităţile. Titularul postului răspunde de:
- Proiectarea, elaborarea la timp si calitativa a sistemelor aplicative.
106
- Participă la testarea şi întreţinerea aplicaţiilor programatice a sistemelor informaţionale şi
baze de date.
- Perfecţionarea si ridicarea nivelului de calificare.
- Implementarea, susţinerea şi protecţia sistemelor informaţionale în domeniul protecţiei
sociale a populaţiei.
- Respectarea strictă a regulamentului Casei Naţionale de Asigurări Sociale, regulamentului
intern a Casei Naţionale de Asigurări Sociale, regulamentului Direcţiei.
- Confidenţialitatea informaţiei şi materialelor primite în cadrul îndeplinirii activităţii
Direcţiei.
- Păstrarea şi folosirea raţională a utilajului şi materialelor primite din Direcţie.
Împuternicirile:
Să primească în ordinea cuvenită consultaţiile specialiştilor de la Direcţia Generală
elaborarea şi dezvoltarea sistemelor informaţionale.
Să primească din subdiviziunile structurale ale Casei Naţionale de Asigurări Sociale şi
Direcţia generală informaţia şi consultaţia necesară pentru exercitarea funcţiilor sale.
Să participe la seminare si conferinţe.
Cui îi raportează titularul funcţiei Programatorul principal din cadrul Direcţiei elaborarea
sistemelor aplicative îi raportează Şefului Direcţiei elaborarea sistemelor aplicative.
Pe cine substituie: Programatorul principal din cadrul Direcţiei poate să substituie, în caz de
necesitate, de un alt programator principal din cadrul Direcţiei.
Cine îl substituie: Programator principal din cadrul Direcţiei poate fi substituit, în caz de
necesitate, de un alt programator principal din Direcţie.
Cooperarea internă:
- Cu colaboratorii Direcţiei elaborarea sistemelor aplicative.
- Cu colaboratorii subdiviziunilor Casei Naţionale de Asigurări Sociale.
- Cu colaboratorii Caselor teritoriale de asigurări sociale.
Mijloacele de lucru/echipamentul utilizat:
- computer, imprimantă, telefon, fax.
- Internet.
- Manuale, materiale metodologice şi informative în domeniul tehnologii informaţionale.
- Presă periodică din domeniu.
Condiţiile de muncă:
- Regim de muncă: 40 ore pe săptămînă, 8 ore pe zi.
- Program de muncă: luni-vineri, orele 8.00-17.00, pauza de masă 12.00-13.00.
107
- Activitate preponderent de birou, la necesitate, deplasări în teritoriu.
Capitolul III.
Cerinţele funcţiei faţă de persoană
Studii: superioare, de licenţă sau echivalente, în domeniul tehnologii informaţionale.
Experienţă profesională: - 1 ani de experienţă profesională în domeniu.
Cunoştinţe:
- Cunoaşterea legislaţiei în domeniu.
- Tehnologii informaţionale: (UNIX, WINDOWS) RDBMS (ORACLE), limbaje de programare
(SQL, PL/SQL, Delphi, FOXPRO/VISUAL FOXPRO, Clipper, PHP, HTML, ORACLE
DEVELOPER Suite)
Abilităţi: de organizare, coordonare, control, gestionare resurse, analiză şi sinteză, obiectivitate
şi apreciere, corectitudine, lucru în echipă.
Atitudini/comportamente: respect faţă de oameni, spirit de iniţiativă, creativitate, flexibilitate,
disciplină, responsabilitate, tendinţă spre dezvoltare profesională continuă.
Întocmită de:
Nume, prenume _______________________Boris Goţonoaga_____________
Funcţia publică de conducere __________Şef Direcţie____________________
Semnătura ______________________________________________________
Data întocmirii ___________________________________________________
Vizată de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcţia publică ______Şef Direcţie________________
Semnătura ______________________________________________________
Data __________________________________________________________
Luat la cunoştinţă de către titularul funcţiei:
Nume, prenume __________________________________________________
Semnătura ______________________________________________________
Data ___________________________________________________________
108
APROBAT
_____________
Maria BORTA,
Preşedinte al Casei Naţionale
de Asigurări Sociale
L.Ş. „_____” ______________ 201_
FIŞA POSTULUI
Capitolul I.
Dispoziţii generale
Autoritatea publică: Casa Naţională de Asigurări Sociale.
Compartimentul: Direcţia generală elaborarea şi dezvoltarea sistemelor informaţionale (în
continuare Direcţia generală), Secţia e-Transformare (în continuare Secţia).
Adresa: mun. Chişinău, str. Gh. Tudor, 3
Denumirea funcţiei: Specialist principal
Nivelul funcţiei: Funcţie publică de execuţie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012 .
Capitolul II.
Descrierea funcţiei
Scopul general al funcţiei: Contribuirea la perfecţionarea proceselor de activitate ale Casei
Naţionale de Asigurări Sociale prin elaborarea şi analiza cerinţelor business în susţinerea şi
dezvoltarea sistemelor informaţionale în domeniul drepturilor sociale.
Sarcinile de bază:
1. Planificarea resurselor, investiţiilor şi achiziţiilor TI în vederea realizării procesului e-
Transformare a CNAS.
2. Asigurarea menţinerea arhitecturii infrastructurii informaţionale şi tehnologice.
3. Asigurarea securităţii informaţiei şi a infrastructurii TI.
4. Gestionarea tehnologică şi evaluarea resurselor TI.
Atribuţiile de serviciu:
1. Planificarea resurselor, investiţiilor şi achiziţiilor TI în vederea realizării procesului e-
Transformare a CNAS:
1.1. Identifică necesităţile de achiziţie a mijloacelor TI.
1.2. Participă la elaborarea conceptelor, termenelor de referinţă, caietelor de sarcini şi a altor
documente tehnice, necesare procesului de achiziţie a soluţiilor TI.
109
1.3. Planifică achiziţiile de hardware şi software pe etape, în baza necesităţilor identificate.
1.4. Participă la procesul de acceptare de către autoritate a soluţiilor TI achiziţionate.
1.5. Identifică sursele de finanţare şi participă în procesul de bugetare a resurselor în baza
planului de achiziţie.
1.6. Coordonează planul de achiziţie cu Şeful subdiviziunii e-Transformare.
2. Asigurarea menţinerea arhitecturii infrastructurii informaţionale şi tehnologice:
2.1. Elaborează şi documentează arhitectura infrastructurii informaţionale şi tehnologice,
inclusiv topologia reţelei, canalele de acces la internet, arhitectura de date.
2.2. Menţine arhitectura infrastructurii informaţionale şi tehnologice.
3 . Asigurarea securităţii informaţiei şi a infrastructurii TI.
3.1. Realizează analiza de evaluare a riscurilor şi vulnerabilităţilor.
3.2. Planifică măsurile de prevenire şi reacţie la incidentele de securitate.
3.3. Examinează şi investighează incidentele de securitate şi planifică acţiunile corective.
3.4. Monitorizează implementarea acţiunilor corective.
3.5. Asigură aplicarea standardelor şi politicilor de securitate a informaţiei.
4. Gestionarea tehnologică şi evaluarea resurselor TI.
4.1. Realizează monitorizarea coerenţei investiţiilor în infrastructura informaţională şi
tehnologică la nivelul autorităţii şi asigură interoperabilitatea organizaţionala în corespundere cu
obiectivele modernizării tehnologice a guvernării.
4.2. Asigură administrarea cu acurateţe a informaţiei.
4.3. Elaborează, în comun cu şeful subdiviziunii e-Transformare, standarde de calitate pentru
prestarea serviciilor electronice în cadrul autorităţii.
4.4. Defineşte si implementează îmbunătăţirea calităţii în managementul informaţiei.
4.5. Planifică şi efectuează darea în exploatare şi scoaterea din uz a resurselor TI (hardware si
software).
4.6. Gestionează activele TI (hardware şi software).
4.7. Planifică necesităţile de resurse TI pentru asigurarea bunei funcţionări a autorităţii.
4.8. Monitorizează piaţa de produse hardware şi software în vederea utilizării acestora pentru
a spori performanţa autorităţii şi calitatea serviciilor prestate.
4.9. Asigură integritatea şi menţinerea resurselor TI.
Responsabilităţile. Titularul postului răspunde de:
- Exercitarea atribuţiilor sale de serviciu în strictă conformitate cu Regulamentul Secţiei.
- Organizarea raţională a activităţii secţiei, executarea calitativă şi în termenele stabilite a
acţiunilor incluse în planul de activitate al Secţiei.
110
- Elaborarea şi analiza calitativa a software-ului aplicativ.
- Implementarea, susţinerea şi protecţia sistemelor informaţionale în domeniul asigurărilor
sociale de stat.
- Confidenţialitatea informaţiei şi materialelor primite în cadrul îndeplinirii activităţii direcţiei.
- Sporirea competenţei sale profesionale.
- Consultarea corectă a colaboratorilor din subdiviziunile Casei Naţionale de Asigurări Sociale
în domeniul său de competenţă.
- Păstrarea şi folosirea raţională a utilajului şi materialelor primite din direcţie.
Împuternicirile:
- Ia decizii cu privire la organizarea şi desfăşurarea activităţii Secţiei, precum şi aprecierea
colaboratorilor Secţiei.
- Reprezintă cu acordul şefului secţiei, Secţia în subdiviziunile Direcţiei generale pentru
soluţionarea problemelor, ce ţin de competenta Secţiei.
- Face propuneri la proiectele elaborate în Secţie şi le propune pentru aviz conducerii Secţiei.
- Decide soluţii de optimizare şi modernizare a activităţii Secţiei.
- Face propuneri, soluţii de optimizare şi modernizare în grupurile de lucru stabilite de
conducerea ierarhică.
- Participă la activităţile de instruire (conferinţe, seminare, cursuri de instruire, etc.) organizate
în Casa Naţională de Asigurări Sociale.
- Decide asupra participării colaboratorilor Direcţiei la activităţile de instruire profesională.
- Solicită de la conducerea Direcţiei generale şi Direcţiei informaţia şi materialele necesare
pentru îndeplinirea Regulamentului Secţiei şi atribuţiilor sale de serviciu.
- Solicită din subdiviziunile structurale ale Casei Naţionale de Asigurări Sociale informaţia şi
consultaţia necesară pentru exercitarea funcţiilor sale, cu acordul conducerii Direcţiei.
Cui îi raportează titularul funcţiei: Specialistul principal din cadrul Secţiei îi raportează
şefului Secţiei e-Tranformare.
Pe cine îl substituie: Specialistul principal al Secţiei poate substitui pe un alt specialist principal
în cazul absenţei temporare acestuia din Secţiei e-Tranformare.
Cine îl substituie: Specialistul principal al Secţiei e-Tranformare poate fi substituit, în caz de
necesitate, de un alt specialist principal din Secţiei.
Cooperarea internă:
- Cu colaboratorii Direcţiei generale elaborarea şi dezvoltarea sistemelor informaţionale.
- Cu colaboratorii subdiviziunilor Casei Naţionale de Asigurări Sociale.
Cooperarea externă:
111
- Cu colaboratorii din cadrul altor autorităţi publice.
- Cu agenţii economici şi beneficiarii de prestaţii sociale de stat.
- Cu diferite proiecte şi programe internaţionale, relevante domeniului său de competenţă.
Mijloacele de lucru/echipamentul utilizat:
- Monitorul Oficial al Republicii Moldova, culegeri de acte normative.
- Computer, imprimantă, telefon, fax.
- Varianta electronică a bazei legislative „Moldlex”.
- Documentaţia tehnică.
- Fişiere electronice.
- Internet.
- Dicţionare etc.
Condiţiile de muncă:
- Regim de muncă: 40 ore pe săptămînă, 8 ore pe zi, disponibilitatea lucrului peste
program şi în zile de repaus, după caz.
- Program de muncă: luni-vineri, orele 8.00-17.00, pauza de masă 12.00-13.00.
Capitolul III.
Cerinţele funcţiei faţă de persoană
Studii: Superioare, de licenţă sau echivalente în domeniul tehnologii informaţionale sau
ştiinţelor economice.
Experienţă profesională: - 1 ani de experienţă profesională în domeniu.
Cunoştinţe:
- Cunoaşterea legislaţiei în domeniu.
- Sistemele Operaţionale WINDOWS, MS Office, limbaje de programare SQL
- Ordinea perfectării documentaţiei tehnice de proiect .
- Documentele normative si materialele metodice de elaborare a sistemelor informaţionale.
- Metodele matematico-economice, aplicarea lor justa, selectarea raţională.
- Metodele si mijloacele de construire raţională a documentelor de maşină.
- Capacităţile tehnico-exploataţionale a tehnicii electronice de calcul.
Abilităţi: de lucru cu informaţia, elaborare a documentelor, argumentare, planificare, organizare,
luare a deciziilor, analiză şi sinteză, consultare, instruire, prezentare, comunicare eficientă, lucru
în echipă, soluţionare de probleme.
Atitudini/comportamente: respect faţă de oameni, spirit de iniţiativă, creativitate, flexibilitate,
disciplină, responsabilitate, tendinţă spre dezvoltare profesională continuă.
112
Întocmită de:
Nume, prenume _____________________Ivan Cuciaş____________
Funcţia publică de conducere __________Şef Direcţie Generală__________
Semnătura ______________________________________________________
Data întocmirii ___________________________________________________
Vizată de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcţia publică ______Şef Direcţie________________
Semnătura ______________________________________________________
Data __________________________________________________________
Luat la cunoştinţă de către titularul funcţiei:
Nume, prenume __________________________________________________
Semnătura ______________________________________________________
Data ___________________________________________________________
113
APROBAT
_____________
Maria BORTA,
Preşedinte al Casei Naţionale
de Asigurări Sociale
L.Ş. „_____” ______________ 201_
FIŞA POSTULUI
Capitolul I.
Dispoziţii generale
Autoritatea publică: Casa Naţională de Asigurări Sociale
Compartimentul: Direcţia generală elaborarea şi dezvoltarea sistemelor informaţionale (în
continuare Direcţia generală), Direcţia analiza de sistem şi metodologie de dezvoltare sistemelor
informaţionale (în continuare Direcţia).
Adresa: mun. Chişinău, str. Gh. Tudor, 3
Denumirea funcţiei: Specialist superior
Nivelul funcţiei: Funcţie publică de execuţie
Nivelul de salarizare: Conform prevederilor Legii nr.48 din 22 martie 2012.
Capitolul II.
Descrierea funcţiei
Scopul general al funcţiei: Contribuie la procesul de planificare şi analiză a eficacităţii
tehnologiilor informaţionale în sistemele informaţionale ale Casei Naţionale de Asigurări
Sociale, la implementarea noului sistem informaţional.
Sarcinile de bază:
13. Implementarea proceselor de planificare, elaborare şi analiză a proiectelor.
14. Implementarea metodologiilor, cerinţelor şi soluţiilor de program pentru asigurarea
funcţionării continue a business proceselor în Casa Naţională de Asigurări Sociale.
15. Participarea în realizarea planificării, coordonării şi monitorizării tehnologiilor
informaţionale în Casa Naţională de Asigurări Sociale.
16. Organizarea proceselor de instruire şi difuzare a informaţiei.
17. Asigurarea întreţinerii documentaţiei de însoţire.
Atribuţiile de serviciu:
1. Implementarea proceselor de planificare, elaborare şi analiză a proiectelor:
1.1. Efectuează analiza eficacităţii proceselor de dirijare a soluţiilor tehnologii informaţionale în
domeniul sistemului public de asigurări sociale.
114
1.2. Efectuează analiza proceselor de dirijare în domeniul tehnologii informaţionale şi
eficacitatea sistemelor informaţionale în corespundere cu sarcinile şi obiectivele Casei Naţionale
de Asigurări Sociale.
1.3. Efectuează analiza activelor informaţionale în Casa Naţională de Asigurări Sociale.
2. Implementarea metodologiilor, cerinţelor şi soluţiilor de program pentru asigurarea
funcţionării continue a business proceselor în Casa Naţională de Asigurări Sociale:
2.1. Efectuează elaborarea cerinţelor funcţionale şi tehnice pentru modificările aprobate, finisarea
software-urilor aplicative ori achiziţionarea sau elaborarea unui software aplicativ nou.
2.2. Efectuează proiectarea şi elaborarea diverselor module şi soluţii pentru asigurarea
eficacităţii funcţionării business proceselor.
2.3. Efectuează elaborarea şi implementarea metodologiei de proiectare, elaborare, dezvoltare şi
exploatare a sistemelor informaţionale.
3. Participarea în realizarea planificării, coordonării şi monitorizării tehnologiilor
informaţionale în Casa Naţională de Asigurări Sociale.
3.1. Menţinerea unei baze centralizate de instalări de sisteme informaţionale în Casa Naţională
de Asigurări Sociale.
3.2. Menţinerea şi anexarea conţinutului contentelor din Casa Naţională de Asigurări Sociale.
4. Organizarea proceselor de instruire şi difuzare a informaţiei:
4.1. Participarea la planificarea şi organizarea proceselor de instruire sistematică a
colaboratorilor Casei Naţionale de Asigurări Sociale CNAS în domeniul tehnologii
informaţionale.
4.2. Asigurarea informaţional-analitică a activităţii Casei Naţionale de Asigurări Sociale în
domeniul tehnologiilor informaţionale.
5. Asigurarea întreţinerii documentaţiei de însoţire.
5.1. Efectuează întreţinerea evidenţei documentaţiei privind programele aplicate elaborate,
implementate şi aflate în exploatare.
5.2. Efectuează introducerea specificărilor privind modificările efectuate în software-urile
aplicative şi bazele de date.
Responsabilităţile. Titularul postului răspunde de:
- Exercitarea atribuţiilor sale în strictă conformitate cu legislaţia şi actele normative în vigoare.
- Organizarea raţională a activităţii sale conform planului de activitate a Secţiei şi a indicaţiilor
şefului Secţiei.
- Calitatea materialelor elaborate şi prezentarea lor în termenii stabiliţi.
115
- Sporirea competenţei sale profesionale.
- Confidenţialitatea informaţiei şi materialelor primite în cadrul îndeplinirii activităţii Direcţiei.
- Păstrarea şi folosirea raţională a utilajului şi materialelor primite din Direcţie.
Împuternicirile:
- Solicită de la conducerea Secţiei şi Direcţiei informaţia şi materialele necesare pentru
îndeplinirea atribuţiilor sale de serviciu.
- Face propuneri conducerii la proiectele elaborate în Secţie.
- Face propuneri de optimizare şi modernizare a activităţii Secţiei.
- Participă la activităţile de instruire (conferinţe, seminare, cursuri de instruire, etc.) organizate
în Casa Naţională de Asigurări Sociale.
Cui îi raportează titularul funcţiei: Specialist superior al Direcţiei îi raportează Şefului
Direcţiei.
Pe cine îl substituie: Specialistul superior al Direcţiei îl poate substitui pe un alt specialist
superior din Direcţie, în cazul absenţei temporare a acestora.
Cine îl substituie: Specialist superior al Direcţiei poate fi substituit de un alt specialist superior
sau principal, în caz de necesitate.
Cooperarea internă:
- Cu colaboratorii Direcţiei generale elaborarea şi dezvoltarea sistemelor informaţionale.
Mijloacele de lucru/echipamentul utilizat:
- Computer, imprimantă, telefon.
- Varianta electronică a bazei legislative „Moldlex”.
- Documentaţia tehnică.
- Fişiere electronice.
- Internet.
- Dicţionare etc.
Condiţiile de muncă:
- Regim de muncă: 40 ore pe săptămînă, 8 ore pe zi, disponibilitatea lucrului peste
program şi în zile de repaus, după caz.
- Program de muncă: luni-vineri, orele 8.00-17.00, pauza de masă 12.00-13.00.
Capitolul III.
Cerinţele funcţiei faţă de persoană
Studii: Superioare tehnologii informaţionale, economice, cursuri de perfecţionare profesională în
domeniul tehnologii informaţionale.
Experienţă profesională: - 6 luni de experienţă profesională în domeniu.
116
Cunoştinţe:
- Cunoaşterea legislaţiei în domeniu.
- Sistemele Operaţionale (WINDOWS), RDBMS (Oracle), limbaje de programare (SQL,
PL/SQL)
- ordinea perfectării documentaţiei tehnice de proiect conform lucrărilor executate.
- documente normative şi materiale metodice de elaborare în sistemele automatizat dirijate.
- metodele matematico-economice, aplicarea lor justa, selectarea raţională.
- metodele si mijloacele de construire raţională a documentelor de maşina.
- capacităţile tehnico-exploataţionale a tehnicii electronice de calcul.
Abilităţi: de lucru cu informaţia, consultare, instruire, prezentare, comunicare eficientă, lucru în
echipă.
Atitudini/comportamente: respect faţă de oameni, spirit de iniţiativă, creativitate, flexibilitate,
disciplină, responsabilitate, tendinţă spre dezvoltare profesională continuă.
Întocmită de:
Nume, prenume _____________________Natalia Netreba_______________
Funcţia publică de conducere __________Şef Direcţie____________________
Semnătura ______________________________________________________
Data întocmirii ___________________________________________________
Vizată de:
Nume, prenume ______________________Angela Botnariuc______________
Serviciul resurse umane/funcţia publică ______Şef Direcţie________________
Semnătura ______________________________________________________
Data __________________________________________________________
Luat la cunoştinţă de către titularul funcţiei:
Nume, prenume __________________________________________________
Semnătura ______________________________________________________
Data ___________________________________________________________
117
Anexa 3: Politica securităţii informaţionale a CNAS
CONSILIUL DE ADMINISTRAŢIE AL CASEI NAŢIONALE DE ASIGURĂRISOCIALE
DECIZIA nr. _6_/8
21 noiembrie 2008 mun. Chişinău
Cu privire la aprobareaConcepţiei securităţii informaţionale şiPoliticii securităţii informaţionalea Casei Naţionale de Asigurări Sociale
În urma analizei şi audierii informaţiei privind aprobarea Concepţiei securităţiiinformaţionale şi Politicii securităţii informaţionale a Casei Naţionale de AsigurăriSociale, Consiliul de Administraţieal Casei Naţionale de Asigurări Sociale
DECIDE:
Se aprobă Concepţia securităţii informaţionale şi Politica securităţii informaţionale aCasei Naţionale de Asigurări Sociale.
Preşedintele Consiliului deAdministraţie Igor DODON
118
Aprobatăprin Decizia Consiliului de Administraţie al CNAS
nr. 6/8 din 21 noiembrie 2008
Casa Naţională de Asigurări SocialeRepublica Moldova
Politica Securităţii Informaţionale
Controlul versiunilor
Versiunea Data Modificări introduse
1. Generalităţi
1.1 Introducere
Politica Securităţii Informaţionale determină scopurile, obiectivele şi direcţiile principale ale
activităţilor privind asigurarea securităţii informaţionale (SI) în cadrul Casei Naţionale de
Asigurări Sociale a Republicii Moldova (în continuare – CNAS).
Prezentul document a fost elaborat în conformitate cu legislaţia Republicii Moldova şi standardul
internaţional ISO/IEC 27001:2005. Politica SI ia în consideraţie stipulările Directivei 95/46/ЕС a
Parlamentului european şi a Consiliului Uniunii Europene din 24 octombrie 1995 privind protecţia
drepturilor persoanelor despre tratarea datelor personale şi publicarea lor.
CNAS este organ autonom al puterii de stat a Republicii Moldova cu statut de persoană
juridică şi administrează sistemul de asigurare socială obligatorie de stat. Activitatea
multilaterală a CNAS este imposibilă fără un sistem informaţional fiabil, care procesează şi
datele personale ale cetăţenilor Republicii Moldova, inclusiv. Pentru organizarea unei protecţii
eficiente în cadrul CNAS este elaborat şi implementat Sistemul de Management al Securităţii
Informaţionale (SMSI).
Politica SI reprezintă documentul normativ de bază, care reglează procesul de management al
securităţii informaţionale al CNAS. Exigenţele prezentei Politici vizează toţi colaboratorii CNAS
119
fără excepţie, fiind aduse la cunoştinţa acestora şi sunt obligatorii pentru execuţie. Cerinţele
înaintate partenerilor CNAS, antreprenorilor şi altor terţe persoane, sunt expuse în
contractele şi acordurile respective. În conformitate cu prezenta Politică, toate informaţiile
CNAS, fără excepţie, independent de forma de prezentare - pe suporţi materiali, în formă
vizuală sau orală, trebuie protejate.
1.2 Introducerea modificărilor
Revizia regulată a prezentei Politici şi a altor documente normative ale CNAS din
domeniul securităţii informaţionale se va realiza în scopul perfecţionării lor.
Prezenta Politică şi alte documente normative ale CNAS din domeniul securităţii informaţionale
vor fi revizuite cel puţin o dată la doi ani. Revizia extraplan va avea loc în următoarele
situaţii:
· În cazul unor modificări esenţiale ale condiţiilor de activitate a CNAS, structurii
organizaţionale sau a sistemului informaţional,
· În cazul modificării cadrului legislativ al Republicii Moldova sau a standardelor
internaţionale.
2. Terminologie
Activ – toate resursele, care prezintă valoare pentru organizaţie [ISO/IEC 13335-1:2004].
Accesibilitate – proprietatea informaţiei de a fi accesibilă şi utilizabilă de către partea
autorizată [ISO/IEC 13335-1:2004].
Securitate informaţională – asigurarea confidenţialităţii, integrităţii şi accesibilităţii informaţiei,
ca şi unor caracteristici suplimentare, cum ar fi autenticitatea, nonrefuzul sau veridicitatea
[ISO/IEC 27002:2005].
Sistem informaţional – set de sisteme de procesare a informaţiei şi a datelor, utilizat în
scopul asigurării activităţii organizaţiei [ISO/IEC 27002:2005 Toolkit Glossary].
Incident de securitate informaţională – eveniment unitar indezirabil sau neaşteptat privind
securitatea informaţională (sau ansamblu de asemenea evenimente) care poate compromite
procesul de activitate al companiei sau ameninţa securitatea ei informaţională [ISO/IEC TR
18044:2004].
Confidenţialitate – proprietatea informaţiei de a fi accesibilă doar persoanelor, părţilor sau
proceselor autorizate [ISO/IEC 13335-1:2004].
Estimarea riscurilor – proces general de analiză şi determinare a nivelului de risc [ISO/IEC
Guide 73:2002].
Sistemul de management al securităţii informaţionale – componentă a sistemului de
management al companiei, bazată pe analiza riscurilor afacerii şi necesară pentru elaborarea,
120
implementarea, monitorizarea, revizuirea şi perfectarea activităţilor privind asigurarea securităţii
informaţionale [ISO/IEC 27001:2005].
Eveniment al securităţii informaţionale – eveniment înregistrat în funcţionarea sistemului,
service-ului sau reţelei, care indică posibile încălcări ale politicii SI, deteriorarea mijloacelor de
protecţie sau situaţii anterior necunoscute, care pot influenţa securitatea [ISO/IEC 27002:2005].
Managementul riscurilor – acţiuni coordonate privind managementul companiei, care iau în
consideraţie valorile determinate ale riscului.
NB: managementul riscurilor include, de obicei, estimarea riscurilor, diminuarea riscurilor,
acceptarea riscurilor ca şi discutarea şi adoptarea măsurilor privind managementul riscurilor
[ISO/IEC Guide 73:2002].
Integritate – proprietatea de păstrare a exactităţii şi completitudinii unui activ [ISO/IEC
13335-1:2004].
3. Abrevieri
SI Securitate informaţională
SMSI Sistemul de management al securităţii informaţionale
4. Scopurile şi obiectivele securităţii informaţionale
4.1 Scopurile
Activele informaţionale al CNAS, inclusiv datele personale ale cetăţenilor Republicii Moldova,
reprezintă una din cele mai preţioase resurse, utilizate în activitatea CNAS. Sistemul de
asigurare socială obligatorie de stat depinde de securitatea acestor active. Conducerea CNAS,
conştientizând în deplină măsură importanţa activelor informaţionale, consideră procesul de
management al securităţii informaţionale una din formele de activitate cu prioritate maximă.
Scopurile managementului SI în cadrul CNAS sunt:
1. Prevenirea violării confidenţialităţii, integrităţii sau accesibilităţii activelor
informaţionale ale CNAS,
2. Asigurarea funcţionării continue a sistemului informaţional al CNAS.
4.2 Obiectivele SI
În vederea atingerii scopurilor susmenţionate în cadrul procesului de asigurare a securităţii
informaţionale vor fi soluţionate următoarele probleme:
1. Implementarea măsurilor organizaţionale direcţionate spre reglarea administrativă a
procesului de asigurare a securităţii informaţionale,
2. Inventarierea şi clasificarea activelor informaţionale, estimând protecţia lor şi stabilind regulile
de utilizare,
121
3. Estimarea riscurilor, asociate încălcărilor exigenţelor securităţii informaţionale,
4. Identificarea utilizatorilor SI, determinarea regulilor de diferenţiere a accesului utilizatorilor
la activele informaţionale şi controlul îndeplinirii acestor reguli,
5. Asigurarea securităţii fizice a activelor informaţionale,
6. Asigurarea securităţii informaţionale la etapele de achiziţie, elaborare şi mentenanţă a
componentelor SI,
7. Asigurarea securităţii proceselor de tratare, păstrare şi transmitere a informaţiei,
8. Înregistrarea incidentelor de securitate, depistarea şi eliminarea cauzelor apariţiei lor,
9. Elaborarea planurilor de restabilire a funcţionalităţii SI CNAS,
10. Controlul eficienţei măsurilor de asigurare a SI, auditul regulat al SI şi al SMSI al CNAS.
5. Managementul securităţii informaţionale
5.1 Abordare bazată pe procese
Managementul securităţii informaţionale a CNAS este un proces continuu. Pentru managementul
SI în CNAS este implementat sistemul de management, care corespunde standardului
internaţional ISO/IEC 27001:2005. La baza procesului de management al SI este pus ciclul
PDCA, care asigură perfecţionarea continuă a procesului de asigurarea a securităţii
informaţionale.
Procesul ciclic al managementului SI este prezentat în fig. 1.
Fig. 1. Modelul abordării orientate pe procese
Planificarea SMSI presupune estimarea riscurilor informaţionale şi stabilirea măsurilor de
contracare a acestora. Măsurile de diminuare a riscurilor sunt introduse în aplicare în
conformitate cu planul de tratare a riscurilor. Monitorizarea SMSI permite depistarea riscurilor
noi, incidentelor de securitate, ca şi încălcările procedurilor de asigurare a SI. Rezultatele
executării procedurilor de monitorizare sunt utilizate la introducerea modificărilor în SMSI la
etapa de perfecţionare.
122
5.2 Administrarea riscurilor
Administrarea SI CNAS este bazată pe estimarea riscurilor informaţionale, această abordare
asigurând adecvanţa alegerii măsurilor de garantare a securităţii informaţionale referitor la
daunele potenţiale, care rezultă din încălcarea exigenţelor SI. Pentru estimarea eficientă a
riscurilor, asociate încălcării cerinţelor securităţii informaţionale, are loc categorisirea tuturor
activelor informaţionale în conformitate cu nivelul de importanţă al acestora. La estimarea
riscurilor SI este luată în calcul starea curentă de protejare a fiecărui activ. Metodologia de
estimare a riscurilor este reglementată de documentele normative respective.
6. Asigurarea securităţii informaţionale
6.1 Măsuri organizatorice
Măsurile organizatorice au scopul asigurării administrative a protecţiei activelor informaţionale
ale CNAS. În cadrul măsurilor administrative sunt identificate documentele normative ale
CNAS în sfera securităţii informaţionale, ca şi obligaţiunile şi responsabilităţile colaboratorilor
CNAS în domeniul SI. Sunt documentate din punct de vedere administrativ şi legal relaţiile cu
colaboratorii, partenerii CNAS, antreprenorii şi alte terţe persoane. Responsabilităţile
subdiviziunilor CNAS privind SI sunt reglementate prin documentele normative respective,
iar activitatea lor este coordonată de către conducerea CNAS.
Procedurile de angajare, concediere sau trecerea la un alt post în cadrul CNAS sunt
reglementate de documentele normative respective. Colaboratorii CNAS sunt implicaţi în
instruirea continuă în sfera securităţii informaţionale.
6.2 Gestiunea activelor
Orice informaţie, creată de colaboratorii CNAS în procesul activităţii lor sau achiziţionată de
către CNAS, indiferent de forma de reprezentare, este proprietatea CNAS.
Gestiunea activelor CNAS reprezintă baza asigurării securităţii informaţionale a acestora.
Protecţia activelor informaţionale este realizată în conformitate cu categoria de criticitate a
proceselor business ale CNAS. Nivelul de criticitate a unui activ este determinat în conformitate
cu metodica aprobată. Pentru fiecare activ este numită o persoană responsabilă. Care poartă
responsabilitate personală privind asigurarea securităţii.
Regulile de inventariere şi clasificare a activelor informaţionale ale CNAS sunt stabilite de
documentele normative respective.
6.3 Administrarea accesului
În scopul preîntâmpinării accesului nesancţionat la activele informaţionale ale CNAS sunt
realizate anumite acţiuni de administrare a accesului. Drepturile de acces sunt stabilite şi
documentate pentru fiecare categorie de utilizatori.
123
Ordinea de introducere a înregistrărilor de evidenţă în sistemul informaţional şi drepturile de
accesare a activelor informaţionale sunt reglementate prin documentele normative respective.
Accesul la activele informaţionale este admis doar din necesităţi de serviciu în conformitate
cu principiul “totul ce nu este în mod evident admis este interzis”.
Obligaţiunile utilizatorilor privind asigurarea securităţii accesului la activele informaţionale, ca şi
regulile de utilizare a parolelor, cheilor de acces şi echipamentelor, sunt descrise în
instrucţiunile respective. Utilizatorii sunt obligaţi să respecte principiul “mesei curate” şi
“ecranului curat”.
Regulile de gestiune a accesului la serviciile de reţea, inclusiv metodele de segmentare a reţelei
locale, controlul conexiunilor de reţea şi configurarea echipamentelor de reţea active, sunt
stabilite de documentele normative respective.
Accesul la distanţă la sistemul informaţional al CNAS este permis doar în caz de necesitate
de lucru. Utilizarea de către colaboratorii CNAS a dispozitivelor mobile este reglementată de
documentele normative respective.
6.4 Securitatea fizică
Garantarea securităţii fizice este chemată să prevină penetrarea nesancţionată de către
persoanele străine a teritoriului CNAS şi provocarea unor daune în rezultatul acestor
penetrări. Obiectele CNAS vor fi incluse în cadrul unui perimetru de securitate, accesul la aceste
obiecte vor avea doar colaboratorii autorizaţi.
Vor fi planificate acţiuni, menite să protejeze obiectele CNAS de ameninţări naturale, tehnogene
sau sociale.
6.5 Securitatea proceselor de tratare, păstrare şi transmitere a informaţiei
Protecţia proceselor de tratare, păstrare şi transmitere a informaţiei reprezintă o componentă
importantă în asigurarea securităţii informaţionale a CNAS. Obligaţiunile privind tratarea
informaţiei sunt partajate între colaboratorii CNAS şi sunt expuse în documentele respective.
Mediile de dezvoltare, testare şi execuţie a operaţiilor business sunt separate unele de altele.
Orice modificare a sistemului informaţional are loc în conformitate cu procedura respectivă
documentată.
Regulile de operare cu suporţii de informaţie, inclusiv transportarea şi distrugerea, sunt
reglementate de documentele normative respective.
Activitatea CNAS nu este posibilă fără interacţiunea structurilor sale cu terţe organizaţii, din care
cauză o atenţie specială se acordă asigurării securităţii informaţiei în timpul transmiterii prin
mijloace electronice.
124
Pentru protecţia activelor informaţionale ale CNAS sunt utilizate mijloace criptografice de
protecţie a informaţiei. Regulile de utilizare a mijloacelor criptografice de protecţie a
informaţiei, inclusiv administrarea cheilor de criptare sunt reglementate de documentele
normative respective.
Toate acţiunile utilizatorilor şi administratorilor sistemului informaţional sunt protocolate şi
controlate în scopul evidenţierii încălcărilor cerinţelor securităţii informaţionale şi prevenirii
incidentelor de securitate.
6.6 Gestiunea ciclului de viaţă a resurselor program
Asigurarea securităţii informaţionale în timpul procurării, elaborării şi mentenanţei produselor
program are destinaţia să garanteze, că funcţia protecţiei informaţiei este parte inalienabilă a
acestora şi este realizată la toate etapele ciclului de viaţă.
Cerinţele privind resursele program din punctul de vedere al securităţii informaţionale sunt
determinate şi documentate.
Elaborarea resurselor program se realizează luând în consideraţie cerinţele procedurilor de
asigurare a securităţii datelor procesate.
În cadrul procesului de management al securităţii informaţionale sunt respectate proceduri
contemporane de instalare a actualizărilor şi a pachetelor cu modificări, publicate de
dezvoltatorii resurselor program. Procedurile de instalare şi testare a actualizărilor sunt
reglementate de documentele normative respective.
6.7 Gestiunea incidentelor
Procedurile de gestiune a incidentelor securităţii informaţionale sunt îndeplinite în scopul
înregistrării operative a evenimentelor SI, eliminarea consecinţelor incidentelor SI, ca şi
depistării şi eliminării vulnerabilităţilor în securitatea informaţională.
Incidentele de securitate sunt cercetate anchetate scurpulos în scopul depistării cauzelor apariţiei
şi prevenirea posibilităţii repetării lor.
Procedurile de gestiune a incidentelor de securitate şi vulnerabilitate sunt reglementate de
documentele normative respective.
6.8 Mentenanţa funcţionării continue a sistemului informaţional
Obiectivul mentenanţei funcţionării continue a sistemului informaţional este neutralizarea
eficientă a consecinţelor incidentelor de securitate pentru activitatea CNAS. Aceasta permite să
se garanteze că procesele business ale CNAS vor fi restabilite într-un interval de timp prestabilit
după cădere.
125
În cadrul mentenanţei funcţionării continue a sistemului informaţional sunt elaborate,
implementate, testate şi actualizate planuri de restabilire a capacităţii de funcţionare a sistemului
informaţional.
6.9 Controlul eficienţei şi auditul securităţii informaţionale
Eficienţa îndeplinirii măsurilor de asigurare a SI este controlată regulat în scopul garantării
nivelului riscurilor, introdus la planificarea acestor măsuri. Estimarea eficienţei măsurilor de
asigurare a SI este realizată în conformitate cu metode documentate.
În scopul controlului la conformitate a SMSI cu legislaţia Republicii Moldova, standardele
internaţional şi alte cerinţe regulatorii, are loc auditul regulat al SMSI al CNAS.