H O T Ă R Î R E
privind aprobarea Cerinţelor minime obligatorii de securitate cibernetică
nr. 201 din 28.03.2017
Monitorul Oficial nr.109-118/277 din 07.04.2017
* * *
În scopul executării prevederilor art.10 alin.(1) şi art.18 alin.(1) din Legea nr.467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat (Monitorul Oficial al Republicii Moldova, 2004, nr.6-12, art.44), cu modificările ulterioare, art.11 alin.(2) lit.e) şi f) şi art.24 din Legea nr.71-XVI din 22 martie 2007 cu privire la registre (Monitorul Oficial al Republicii Moldova, 2007, nr.70-73, art.314), cu modificările ulterioare, şi ale Programului naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020, aprobat prin Hotărîrea Guvernului nr.811 din 29 octombrie 2015 (Monitorul Oficial al Republicii Moldova, 2015, nr.306-310, art.905), Guvernul
HOTĂRĂŞTE:
1. Se aprobă Cerinţele minime obligatorii de securitate cibernetică (se anexează).
2. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor, în termen de 6 luni de la data intrării în vigoare a prezentei hotărîri, va asigura definitivarea cadrului instituţional pentru implementarea Cerinţelor minime obligatorii de securitate cibernetică, va elabora modelul de politică internă privind securitatea cibernetică a instituţiei şi va definitiva lista sistemelor informaţionale automatizate de stat de importanţă majoră, pentru aplicarea cerinţelor de securitate avansată.
3. Cancelaria de Stat, ministerele şi alte autorităţi administrative centrale subordonate Guvernului şi structurile organizaţionale din sfera lor de competenţă (autorităţile administrative din subordine, serviciile publice desconcentrate şi cele aflate în subordine, instituţiile publice în care Cancelaria de Stat, ministerul sau altă autoritate administrativă centrală are calitatea de fondator), autorităţile administrative autonome şi unităţile cu autonomie financiară, în termen de pînă la 31 decembre 2017, vor asigura implementarea Cerinţelor minime obligatorii de securitate cibernetică.
4. Controlul asupra executării prezentei hotărîri se pune în sarcina Ministerului Tehnologiei Informaţiei şi Comunicaţiilor.
| PRIM-MINISTRU | Pavel FILIP
|
| Nr.201. Chişinău, 28 martie 2017. | |
Anexă
la Hotărîrea Guvernului
nr.201 din 28 martie 2017
CERINŢELE MINIME OBLIGATORII DE SECURITATE CIBERNETICĂ
I. DISPOZIŢII GENERALE
1. Cerinţele minime obligatorii de securitate cibernetică (în continuare – Cerinţe minime) se aplică în cadrul Cancelariei de Stat, ministerelor, altor autorităţi administrative centrale subordonate Guvernului, inclusiv al structurilor organizaţionale din sfera lor de competenţă (autorităţile administrative din subordine, serviciile publice desconcentrate şi cele aflate în subordine, instituţiile publice în care Cancelaria de Stat, ministerul sau altă autoritate administrativă centrală are calitatea de fondator), al autorităţilor administrative autonome şi unităţilor cu autonomie financiară (în continuare – instituţii) faţă de:
1) echipamentele (hardware) şi produsele de program (software) existente în cadrul fiecărei instituţii;
2) sistemele informatice, resursele şi sistemele informaţionale existente în instituţie (în continuare – sisteme), precum şi cele aflate la etapa de elaborare, testare şi implementare.
2. Cerinţele minime, după domeniul de aplicare, sînt de două categorii:
1) nivelul 1 – de securitate cibernetică de bază (utilizare TIC în activitatea instituţiei);
2) nivelul 2 – de securitate cibernetică avansată (utilizare TIC în activitatea instituţiei şi prestare servicii bazate pe TIC).
3. Aceste cerinţe nu se aplică în cazul sistemelor informaţionale şi reţelelor de comunicaţii speciale, atribuite la secretul de stat.
4. În alte cazuri, prevăzute de legislaţia în vigoare, se aplică cerinţele speciale de securitate cibernetică.
5. În sensul prezentelor Cerinţe, următoarele noţiuni principale semnifică:
autentificare multifactorială – autentificare cu cel puţin doi factori de autentificare independenţi;
cerinţe minime obligatorii de securitate cibernetică – sistemul de management al securităţii cibernetice – toate politicile, procedurile, planurile, procesele, practicile, rolurile, responsabilităţile, resursele şi structurile care sînt folosite pentru a proteja şi păstra intactă informaţia;
paravan de protecţie (firewall) – un dispozitiv sau o serie de dispozitive configurate în aşa fel încît să filtreze, să cripteze sau să intermedieze traficul dintre diferite domenii de securitate pe baza unor reguli predefinite;
actualizare – procedeu de modificare a unor fişiere şi aplicaţii ale calculatorului sau crearea unor noi;
protecţie malware – măsură tehnică de securitate, efectuată prin folosirea de programe antivirus, în scopul protecţiei cibernetice;
antispyware – măsură tehnică de securitate, efectuată prin folosire de programe, în scop de prevenire a intruziunii cibernetice;
test de penetrare – evaluare a securităţii cibernetice a unui sistem împotriva diferitor tipuri de atacuri.
Alţi termeni sînt utilizaţi în sensul definit de Legea nr.467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat, Legea nr.1069-XIV din 22 iunie 2000 cu privire la informatică şi Hotărîrea Guvernului nr.811 din 29 octombrie 2015 „Cu privire la Programul naţional de securitate cibernetică a Republicii Moldova pentru anii 2016-2020”.
II. ORGANIZAREA SISTEMULUI INTERN DE SECURITATE CIBERNETICĂ
6. Conducătorul autorităţii poartă răspundere pentru asigurarea securităţii cibernetice în instituţie.
7. Conducătorul autorităţii desemnează, prin act administrativ, persoana (subdiviziunea) responsabilă de punerea în aplicare a sistemului de management al securităţii cibernetice în instituţie şi prezintă Ministerului Tehnologiei Informaţiei şi Comunicaţiilor informaţia respectivă în termen de cinci zile lucrătoare de la desemnarea acesteia.
8. Persoana responsabilă are următoarele atribuţii:
1) organizează sistemul de management al securităţii cibernetice în instituţie conform sistemului de management al securităţii cibernetice;
2) participă, cel puţin o dată pe an, la cursurile de formare organizate de Ministerul Tehnologiei Informaţiei şi Comunicaţiilor privind securitatea cibernetică şi, respectiv, organizează cursuri pentru angajaţii instituţiei;
3) asigură elaborarea, implementarea şi respectarea prevederilor următoarelor documente: planul de acţiuni pentru asigurarea securităţii cibernetice al instituţiei, politica de securitate cibernetică a instituţiei, planul de instruire şi responsabilizare în securitatea cibernetică a personalului, regulamentele interne de securitate cibernetică, procedurile de recuperare.
9. Setul de documente se aprobă de conducătorul instituţiei şi trebuie să fie revizuit cel puţin o dată pe an, dacă:
1) a fost modificat sistemul şi poate fi afectată securitatea acestuia;
2) au fost descoperite noi ameninţări la securitatea sistemului;
3) s-a constatat o creştere bruscă a incidentelor de securitate asupra sistemului sau s-a depistat cel puţin un incident semnificativ de securitate a sistemului;
4) a fost restructurată persoana/subdiviziunea organizatorică responsabilă de sistemul de securitate cibernetică;
5) au fost modificate şi/sau completate legi şi/sau acte normative care reglementează funcţionarea sistemului.
10. Sistemul de securitate cibernetică asigură:
1) disponibilitatea informaţiei (accesul la informaţie pentru o anumită perioadă de timp specificată, conform specificaţiilor tehnice);
2) integritatea informaţiei (păstrarea informaţiei cu toate atributele sale iniţiale şi modificarea ei doar de către persoanele autorizate);
3) confidenţialitatea informaţiei (acces la informaţie doar al persoanelor autorizate şi doar la datele prestabilite pentru acces);
4) protecţia echipamentelor şi produselor program (calculatoare, software, sisteme de stocare a datelor, echipamente de reţea şi alte echipamente tehnice);
5) identificarea şi remedierea vulnerabilităţilor;
6) efectuarea copiilor de rezervă şi stabilirea procedurilor de recuperare.
11. Politica de securitate cibernetică, în calitate de document instituţional, include:
1) scopul şi obiectivele;
2) principiile de organizare internă a managementului de securitate cibernetică;
3) analiza situaţiei şi vulnerabilităţilor (disponibilitate, integritate şi confidenţialitate a datelor, precum şi analiza riscurilor şi căilor de remediere);
4) declaraţia managementului instituţiei de susţinere a scopului şi principiilor securităţii cibernetice în instituţie.
12. Planul de instruire şi responsabilizare în securitatea cibernetică a personalului instituţiei include:
1) instruirea în igiena şi etica cibernetică (programe/cursuri de formare în domeniul securităţii cibernetice);
2) măsurile de securitate internă privind activitatea personalului (autorizaţie de acces, stabilirea drepturilor, obligaţiilor, restricţiilor, responsabilizarea angajaţilor, monitorizarea, proceduri de asistenţă ale utilizatorilor în cazuri de urgenţă);
3) măsurile de securitate privind activitatea personalului/companiilor externe cooptate (coordonarea responsabilităţilor, acorduri de nedivulgare, autorizaţie de acces, monitorizare, planul de contingenţă (intervenţie) pentru suspendarea operaţiunilor de externalizare).
13. Regulamentele interne de securitate cibernetică prevăd:
1) dezvoltarea, actualizarea, modificarea, mentenanţa sistemelor informaţionale;
2) gestionarea activelor şi facilităţilor de comunicaţii electronice şi tehnologia informaţiei;
3) stocarea copiilor de rezervă ale datelor, precum şi ale procedurilor de control;
4) păstrarea datelor de acces, de jurnalizare a activităţilor;
5) monitorizarea securităţii sistemului;
6) regulile de gestionare a evenimentelor de securitate;
7) procedurile de utilizare a datelor în cazuri excepţionale (de urgenţă)
8) procedurile de evaluare a securităţii cibernetice.
14. Procedurile de recuperare includ:
1) stabilirea procedurilor privind copierea de rezervă şi de recuperare în cazul unui incident de securitate cibernetică;
2) descrierea acţiunilor măsurabile de recuperare;
3) atribuirea responsabilităţilor pentru restabilirea funcţionalităţilor;
4) stabilirea procedurilor de notificare.
III. CERINŢELE MINIME OBLIGATORII DE SECURITATE CIBERNETICĂ DE NIVELUL 1
(UTILIZAREA TIC ÎN ACTIVITATEA INSTITUŢIEI)
15. Controlul accesului se realizează după cum urmează:
1) drepturile, obligaţiile, restricţiile şi responsabilităţile utilizatorilor urmează a fi stabilite de către persoana responsabilă de proces şi comunicat într-o formă stabilită responsabilului/subdiviziunii de securitate cibernetică;
2) persoana care desfăşoară activităţi de administrare a sistemului utilizează conturi diferite pentru funcţii de administrare şi funcţii de utilizator;
3) fiecare cont de utilizator este asociat cu o persoană anumită. În cazul în care sistemul prevede neadmiterea utilizării acestor conturi de către alte persoane, atunci sistemul trebuie să includă mijloace tehnice speciale, care să nu admită utilizarea acestor conturi de către persoane terţe;
4) în cazul în care sistemul nu este utilizat pentru autentificarea multifactorială, adică nu este un atribut de o natură statică (de exemplu, simbolic, un mesaj de cod-text de unică folosinţă), dar este un atribut de altă natură, utilizatorii sistemului trebuie să utilizeze o parolă;
5) utilizatorul sistemului trebuie să folosească în calitate de parolă о combinaţie din numere (0-9), caractere latine (minuscule şi majuscule) şi simboluri speciale (!#%), constituită din numărul minim de caractere, stabilit prin regulamentul intern de securitate, dar nu mai puţin de 7 caractere;
6) se interzice stocarea electronică şi transportarea în formă necriptată a parolelor utilizatorilor sistemului, inclusiv a procesului de autentificare a utilizatorilor. Se admite transportarea acestora prin reţea publică necriptată doar în cazul utilizării unei parole de o singură folosinţă, cu o valabilitate de 48 de ore de la momentul transmiterii acestora;
7) sistemul trebuie să dispună de mecanisme de gestiune a parolelor, precum şi să asigure autentificarea şi identificarea utilizatorului pentru o perioadă limitată de timp;
8) nu se admite utilizarea în echipamentele şi produsele program a parolelor implicite (de la producător);
9) datele despre activităţile în sistem (jurnalizarea) se stochează în timp real şi se păstrează pe perioada stabilită prin regulamentul intern de securitate, dar nu mai puţin de 6 luni;
10) orice activitate în sistem trebuie să poată fi identificată într-un anumit cont de utilizator sau adresă IP;
11) managementul drepturilor de utilizator trebuie să asigure ca fiecare utilizator să poată face uz doar de drepturile sale. Verificarea activităţilor în sistem se realizează periodic, la etape de timp stabilite conform regulamentului intern de securitate, dar nu mai rar de o dată la 6 luni;
12) managementul controlului accesului trebuie să fie setat ca să permită acces autorizat din reţea externă prin Internet doar cu o parolă de o singură folosinţă, inclusiv prin semnătura electronică din cadrul serviciului electronic guvernamental de autentificare şi control al accesului (MPass).
16. Securitatea fizică presupune:
1) delimitarea clară a perimetrului rezervat diferitor grupuri de echipamente IT, alcătuirea planurilor camerelor de servere şi a reţelelor;
2) asigurarea condiţiilor de încălzire, ventilare şi aer condiţionat a încăperilor specializate;
3) asigurarea accesului în spaţiile specializate strict conform competenţelor;
4) asigurarea securităţii energetice prin utilizarea unor dispozitive conforme normativelor în vigoare şi cu protecţie la suprasarcină;
5) asigurarea mentenanţei adecvate, conform cerinţelor tehnice;
6) evidenţa echipamentelor şi produselor program, utilizare în cadrul instituţiei.
17. Securitatea operaţională stabileşte că:
1) echipamentele şi produsele program trebuie să fie protejate ca să asigure operaţionalitatea sistemelor;
2) pe calculatoarele conectate la reţeaua Internet trebuie să fie instalat cel puţin:
a) un sistem de operare cu actualizările curente aplicate;
b) program antivirus activat şi actualizat;
c) paravan de protecţie (firewall) activat;
d) instalare caracteristici de blocare automată a sistemului în caz de neutilizare a acestuia (screen saver, log-off);
3) controlul tehnic se efectuează periodic, conform regulamentului intern de securitate, şi vizează:
a) securitatea reţelelor, nodurilor şi liniilor majore de interconectare cu reţele externe;
b) evaluarea necesităţilor de instalare şi utilizare a echipamentelor fără fir, conform regulamentului intern de securitate, securizarea conexiunilor fără fir (autorizarea echipamentelor şi criptarea datelor);
c) securitatea serverelor web, DNS şi DHCP;
d) securitatea serverelor cu baze de date (instalarea în zona intranet, configurarea reţelei pentru a elimina camera pentru acces direct din reţeaua externă);
e) securitatea echipamentelor de reţea (router, comutator, caracteristici de control al accesului);
f) starea caracteristicilor de securitate cibernetică;
g) administrarea pachetelor de actualizare a produselor program privind securitatea cibernetică;
h) verificarea vulnerabilităţilor sistemelor şi remedierea deficienţelor;
i) cerinţele privind securitatea la utilizarea reţelei Internet;
4) aplicarea cerinţelor de securitatea cibernetică la utilizarea reţelelor:
a) caracteristicile echipamentelor şi produselor program pentru gestionarea fluxului de la/către utilizatori, conform regulamentului intern de securitate;
b) serviciile de reţea care nu sînt utilizate trebuie să fie dezactivate;
c) echipamentele active de reţea trebuie configurate şi testate astfel încît să asigure izolarea reţelei private de reţelele adiacente;
5) elaborarea planului de continuitate, care va asigura restaurarea caracteristicilor sistemului şi a datelor în caz de incident de securitate, care să includă:
a) procedura de efectuare a copiilor de rezervă (back-up) ale datelor, aplicaţiilor şi sistemelor (automată/manuală, periodicitatea şi durata disponibilităţii);
b) conţinutul copiei de rezervă (date, aplicaţii, sisteme);
c) amplasarea copiei/copiilor de rezervă;
d) testarea periodică a copiilor de rezervă;
e) procedura de recuperare/restaurare a datelor, aplicaţiilor şi sistemelor;
f) procedura de constatare a necesităţii efectuării altor copii de rezervă.
6) stabilirea mecanismului de scoaterea din uz a echipamentelor, distrugerea datelor ce le conţin şi reutilizarea lor;
7) stabilirea cerinţelor de securitate şi restricţii pentru echipamentele personale utilizate în cadrul instituţiei.
18. Schimbul securizat de date şi de comunicări include următoarele:
1) aplicarea ghidului de utilizare a serviciilor sistemului de poştă electronică, aprobat ca document tehnic pentru toate autorităţile sus-menţionate, şi obligarea personalului privind:
a) verificarea chenarului cu adrese înainte de expediere a corespondenţei şi a destinatarului, pentru a evita erorile;
b) precauţia faţă de conţinutul mesajelor recepţionate, verificarea datelor expeditorului/companiei, în mod special a celor de la expeditori necunoscuţi, privind eventuala falsificare a identităţii pentru a ascunde adevărata sa origine;
c) verificarea şi scanarea antivirus a anexelor la mesaje recepţionate şi a extensiilor acestora;
2) interzicerea:
a) redirecţionării automate a mesajelor din poşta de serviciu spre alte conturi personale/private;
b) utilizării poştei electronice de serviciu pentru a expedia sau redirecţiona mesaje considerate obscene, ameninţătoare, ofensatoare, calomnioase, defăimătoare, rasiste, pornografice, de hărţuire, de ură, remarci discriminatorii şi alte mesaje antisociale;
c) transmiterii/retransmiterii în lanţ a mesajelor cu divers conţinut irelevant pentru activitatea de serviciu;
d) utilizării poştei electronice de serviciu pentru obţinerea unui cîştig material, în scopuri personale, politice sau de alt gen;
e) distribuirii materialelor protejate de drepturi de autor;
f) transmiterea informaţiilor confidenţiale prin mesaje electronice nesecurizate;
g) utilizarea poştei electronice de serviciu pentru răspîndirea viruşilor de calculator, de infiltrare în sisteme, deteriorare sau distrugere a datelor, produselor program şi echipamentelor ori care duc la degradarea sau perturbarea performanţei reţelei;
h) ascunderea şi încercarea de a ascunde identitatea atunci cînd este trimis un mesaj prin poşta electronică de serviciu;
3) limitarea accesului personalului la conţinut obscen şi antisocial, a descărcării conţinutului protejat de drepturi de autor, utilizarea neconformă a informaţiilor de serviciu şi distribuirea lor, descărcarea materialelor din surse necunoscute, precum şi alte activităţi ce contravin obiectivelor instituţiei.
IV. CERINŢELE MINIME OBLIGATORII DE SECURITATE CIBERNETICĂ DE NIVELUL 2
(UTILIZAREA TIC ÎN ACTIVITATEA INSTITUŢIEI ŞI PRESTAREA
SERVICIILOR BAZATE PE TIC)
Suplimentar cerinţelor din capitolul III, în cazul instituţiilor ce prestează servicii bazate pe TIC, doar pentru infrastructura respectivă, se aplică următoarele cerinţe avansate.
19. Controlul accesului se realizează în felul următor:
1) parolele utilizatorilor de sistem se modifică nu mai tîrziu de 90 de zile calendaristice, cu limitarea posibilităţii de modificare manuală a acesteia nu mai des de două ori în decursul a 24 de ore;
2) parolele se stabilesc astfel încît să nu coincidă cu nici una dintre cele cinci parole utilizate anterior;
3) contul utilizatorului se blochează imediat în cazul în care utilizatorul a folosit parola incorect de trei ori consecutiv, cu excepţia contului administratorului de sistem. Pentru aceste cazuri se stabileşte procedura de reactivare a contului utilizatorului;
4) contul de acces al administratorului, în cazul accesării de la distanţă a sistemului, inclusiv a echipamentelor care nu se află în posesia instituţiei, este asigurat doar cu autentificarea multifactorială şi utilizarea unui canal securizat de comunicaţii;
5) accesul fizic la echipamentele care asigură funcţionarea sistemului este permis de către instituţie doar persoanelor autorizate;
6) instituţia asigură păstrarea pe o perioadă de cel puţin 6 luni a înregistrărilor accesului în sistem, începînd cu prima accesare a utilizatorului.
20. Securitatea fizică include următoarele:
1) accesul în spaţiul rezervat pentru echipamentele IT se realizează conform atribuţiilor stabilite în fişa postului, prin utilizarea unor mecanisme de securizare avansată. Accesările se monitorizează şi se înregistrează inclusiv pe perioada de valabilitate a accesului şi suspendarea acestuia în cazul eliberării din funcţie;
2) securitatea energetică prevede implementarea măsurilor de protecţie şi control al surselor de alimentare: utilizarea unor dispozitive de protecţie la suprasarcină, surse de tensiune neîntrerupte, generatoare electrice de rezervă şi cablare alternativă. Cablurile de alimentare cu energie electrică trebuie să fie protejate. Sursele de alimentare UPS se vor instala obligatoriu la centrele de date, pentru a menţine funcţionarea pe timpul deconectărilor de reţea, pînă la conectarea la surse alternative de energie;
3) echipamentele utilizate în sistemul informatic trebuie amplasate şi protejate astfel încît să fie redus riscul deteriorării lor în cazul calamităţilor naturale şi al altor accidente;
4) prevenirea, detectarea şi stingerea incendiilor; interzicerea fumatului în aria rezervată echipamentelor IT, înlăturarea materialelor inflamabile, utilizarea detectoarelor de căldură şi fum, dotarea cu stingătoare de incendii, utilizarea dispozitivelor de alarmă, instruirea personalului pentru cazuri de urgenţă;
5) protecţia împotriva inundaţiilor şi a excesului de umiditate, care implică dotarea perimetrului IT cu detectoare de umiditate, conectate la dispozitive de alarmă;
6) asigurarea condiţiilor de încălzire, ventilare şi aer condiţionat; asigurarea unui mediu ambiental controlat, conform cerinţelor tehnice.
21. Securitatea operaţională presupune:
1) instalarea/operarea în nodurile ce interacţionează cu reţele externe a sistemului de securitate cibernetică pentru prevenirea intruziunilor (IPS) şi/sau a sistemului de depistare a intruziunilor (IDS);
2) instalarea/utilizarea registrului evenimentelor cu următoarele caracteristici:
a) păstrarea datelor pentru o perioadă de cel puţin 12 luni;
b) înregistrarea activităţilor utilizatorilor în sistem, cu indicarea corectă a timpului, care trebuie să coincidă efectiv cu timpul universal coordonat (UTC) al organului competent;
c) sistemul înregistrează conţinutul monitorizării planificate şi analiza acesteia, în scopul de a detecta incidentele. Datele minime înregistrate sînt: numele utilizatorului, timpul şi IP adresa;
d) sistemul va fi dotat cu un mecanism de filtrare/gestionare a mesajelor de eroare generate;
3) aplicarea regulilor de utilizare de către instituţie a dispozitivelor mobile, aprobate ca document tehnic pentru toate autorităţile sus-menţionate, care vor include:
a) cerinţele pentru protecţia fizică şi responsabilizarea utilizatorilor;
b) aplicarea politicii de gestionare a componentelor produselor de program, inclusiv a pachetelor de actualizări;
c) aplicarea politicii de gestionare a resurselor informaţionale pentru echipamentele de reţea;
d) prevederile privind controlul accesului;
e) tehnicile criptografice;
f) protecţia antivirus;
g) dezactivarea accesului la dispozitivul mobil de la distanţă, în scopul prevenirii ştergerii informaţiei sau blocării acestuia;
h) aplicarea politicilor de gestiune a copiilor de rezervă;
4) implementarea mecanismelor de prevenire şi depistare promptă a instalării şi utilizării neautorizate a punctelor de acces la reţelele fără fir în cadrul instituţiei;
5) managementul evoluţiilor IT prevede implementarea unor proceduri care să ofere siguranţa că sînt îndeplinite următoarele condiţii:
a) descrierea procesului de modificări/aprobări ale persoanelor autorizate, testărilor şi rapoartelor planificate;
b) actualizările la timp şi complete;
c) gestiunea fişelor de schimbări/intervenţii;
d) actualizarea manualelor de instalare/utilizare, în concordanţă cu ultima versiune de sistem;
e) gestiuneа/evidenţa versiunilor produselor program utilizate şi ale documentaţiei tehnice;
6) managementul mijloacelor de stocare externă prevede că:
a) datele confidenţiale sau importante, stocate pe suport amovibil sînt criptate;
b) multiplicarea copiilor se realizează la necesitate şi pe dispozitive separate;
c) personalul ce utilizează mijloacele de stocare externă urmează a fi instruite corespunzător;
d) la scoaterea din uz a mijloacelor de stocare care conţin informaţii cu grad de clasificare, datele de pe mijlocul de stocare se extrag, iar echipamentul se distruge;
7) analiza riscurilor se efectuează periodic, dar nu mai rar de o dată la doi ani, şi serveşte pentru ajustarea politicii de securitate cibernetică şi a regulamentelor interne;
8) efectuarea separării sarcinilor pentru următoarele categorii de activităţi în domeniul TI:
a) proiectarea şi programarea sistemelor;
b) administrarea şi întreţinerea sistemelor;
c) introducerea datelor;
d) securitatea cibernetică;
e) administrarea bazelor de date;
f) managementul modificărilor şi dezvoltării sistemului informatic;
9) efectuarea auditului intern de securitate anual, pînă la finele lunii ianuarie a anului următor, de către subdiviziunile responsabile de tehnologia informaţiei, pentru a verifica:
a) eliminarea de pe calculatoarele instituţiei conectate la Internet a datelor şi programelor care nu sînt necesare;
b) prezenţa paravanului de protecţie. Dacă necesităţile cer conectarea directă la Internet cu riscuri minime, se utilizează includerea în configuraţie a unei protecţii de tip „firewall”, pentru a facilita controlul traficului dintre reţeaua entităţii şi Internet, dar şi pentru a stopa intruziunea pachetelor de date externe, neautorizate;
c) protecţia împotriva viruşilor informatici prin implementarea unei proceduri privind utilizarea unei soluţii antivirus care să ofere: aplicarea acesteia în toate serverele şi staţiile de lucru; actualizarea fişierului de definiţii antivirus; interdicţia dezactivării antivirusului de către utilizatori la staţia proprie de lucru; antivirusul scanează toate fişierele (pe server şi pe staţiile de lucru) automat, în mod periodic;
d) detectarea şi corectarea altor modificări neautorizate ale configurărilor realizate de către utilizatori, care sporesc riscurile de securitate cibernetică;
10) efectuarea periodică a testului de penetrare a sistemelor informaţionale automatizate de importanţă majoră se efectuează în conformitate cu politica de securitate cibernetică a instituţiei. Rezultatele testului sînt prezentate Ministerului Tehnologiei Informaţiei şi Comunicaţiilor, în termen de o lună, împreună cu planul de remediere a deficienţelor depistate.
V. CERINŢELE MINIME OBLIGATORII DE ASIGURARE A SECURITĂŢII CIBERNETICE
LA ACHIZIŢIA SISTEMELOR INFORMAŢIONALE NOI SAU ACTUALIZAREA
CELOR EXISTENTE
22. La iniţierea achiziţiilor de sisteme informaţionale automatizate noi sau actualizarea celor existente, instituţia trebuie să asigure includerea în documentaţia de achiziţii, ca parte a cerinţelor nonfuncţionale, a următoarelor cerinţe:
1) suportul anumitor sisteme de securitate şi de mentenanţă (inclusiv înlăturarea lacunelor de securitate ale sistemului, într-o perioadă prestabilită);
2) transmiterea către instituţie a dreptului de autor asupra codului-sursă a produselor program;
3) stabilirea perioadei de timp în care se efectuează actualizările propriu-zise;
4) sistemul de securitate cibernetică poate prevedea caracteristici mai stricte decît cele prevăzute în prezentele Cerinţe, dar în măsura în care nu intră în conflict cu legislaţia în vigoare;
5) înainte de achiziţionarea unui nou sistem sau dezvoltarea celui existent, instituţia elaborează şi aprobă politica de securitate şi se asigură că sistemele noi, pe parcursul dezvoltării lor, vor fi conforme prezentelor Cerinţe;
6) înainte de a pune în funcţiune un nou sistem, instituţia trebuie să se asigure de funcţionalitatea caracteristicilor de securitate ale acestuia conform cerinţelor prestabilite, prin efectuarea de o terţă parte a testelelor respective;
7) instituţia asigură efectuarea periodică a auditului de securitate a sistemului, în conformitate cu documentaţia tehnică aprobată;
8) dezvoltarea şi testarea sistemului nu trebuie să fie sau să prezinte un pericol pentru integritatea datelor stocate în sistem.
VI. CERINŢE DE SECURITATE LA EXTERNALIZAREA ADMINISTRĂRII/
MENTENANŢEI SISTEMELOR
23. În cazul în care instituţia externalizează serviciile de administrare şi mentenanţă a sistemelor informaţionale şi încheie un contract cu furnizorul extern de servicii, contractul trebuie să includă şi cerinţe de securitate. Contractul va stabili, cel puţin:
1) reglementările interne de securitate cibernetică ale instituţiei pe care trebuie să le urmeze prestatorul de servicii în realizarea prevederilor contractuale;
2) serviciile externalizate;
3) cerinţele precise pentru volumul şi calitatea serviciilor externalizate documentate ca Service Level Agreement (SLA);
4) drepturile şi obligaţiile instituţiei şi prestatorului de servicii externalizate:
a) dreptul instituţiei de a monitoriza continuu calitatea serviciilor furnizate;
b) dreptul instituţiei de a înainta prestatorului extern de servicii un titlu executoriu cu privire la aspectele legate de externalizarea de bună-credinţă, de înaltă calitate, executarea la timp şi corectă a legilor şi a regulamentelor;
c) dreptul instituţiei de a înainta prestatorului extern de servicii o cerere scrisă motivată pentru încetarea imediată a contractului de externalizare, în cazul în care instituţia a constatat că prestatorul extern de servicii nu respectă cerinţele contractului de externalizare privind valoarea sau calitatea serviciului;
d) obligaţia prestatorului extern de servicii de a furniza instituţiei informaţia privind monitorizarea continuă a calităţii serviciilor de externalizare prestate;
e) dreptul de audit al prestatorului de serviciu, dacă au fost notificate nonconformităţi critice.
VII. RĂSPUNSUL LA INCIDENTE, CONTINUITATEA PROCESELOR ŞI RECUPERAREA
24. Planul de răspuns la incidente stabileşte că:
1) instituţia trebuie să elaboreze şi să pună în aplicare planul de răspuns de incidente cibernetice;
2) în cazul unor încălcări ale securităţii cibernetice, persoana responsabilă/subdiviziunea asigură imediata notificare, înregistrare şi verificare a incidentelor de securitate cibernetică şi punerea în aplicare a măsurilor de contracarare a acestora, conform procedurilor stabilite.
25. Continuitatea activităţii şi procedurile de recuperare în caz de dezastru trebuie să prevadă:
1) implementarea procedurilor de efectuare a copiilor de rezervă şi a celor de recuperare;
2) elaborarea şi implementarea obiectivelor de recuperare, conform obiectivelor momentului de recuperare (OMR) şi perioadei de recuperare (OPR).
26. Conformitatea cu cerinţele interne şi externe de securitate cibernetică stipulează că:
1) instituţia actualizează planul său de acţiuni pentru asigurarea securităţii cibernetice, care precizează măsurile puse în aplicare şi cele planificate;
2) instituţia asigură conformitatea sa cu cerinţele externe de securitate cibernetică, prevăzute de legislaţie.
