374

12
 Anexa nr.1
la Ordinul MAI nr. 374
din 12 decembrie 2017

PROCEDURA
privind gestionarea incidentelor de securitate a informației

Capitolul I
DISPOZIȚII GENERALE

1. Scopul procedurii privind gestionarea incidentelor de securitate a informației

(în continuare Procedurii) este stabilirea cadrului normativ pentru gestionarea
eficientă a incidentelor de securitate a informației produse asupra resurselor
informaționale ale Ministerului Afacerilor Interne (în continuare MAI), care trebuie
să contribuie la consolidarea capacității MAI de a face față incidentelor de securitate
a informației.
2. Procedura se aplică pentru activități de detectare, raportare și soluționare a
incidentelor de securitate produse în cadrul MAI.
3. Procedura urmează a fi cunoscută de toți angajații subdiviziunilor aparatului
central, autorităților administrative și instituțiilor din subordinea MAI (în continuare
subdiviziunile MAI) și aplicată conform responsabilităților deținute în cadrul
procesului.
4. Incidentele de securitate produse la nivelul informației sau sistemelor atribuite
la secret de stat sunt excluse din sfera de aplicabilitate a procesului definit în această
Procedură. Procedura privind gestionarea incidentelor de securitate a informației
atribuite la secret de stat se stabilește de către Responsabilul de protecția secretului de
stat.
5. Procedura are drept bază următoarele acte normative, inclusiv cele interne:
1) Programul național de securitate cibernetică al Republicii Moldova pentru anii
2016 – 2020, aprobat prin Hotărîrea Guvernului nr. 811 din 29 octombrie 2015;
2) Cerințele minime obligatorii de securitate cibernetică, aprobate prin Hotărîrea
Guvernului nr. 201 din 28 martie 2017;
3) Politica de securitate a informației în cadrul MAI;
4) Regulamentul Sistemului de management al securității informației în cadrul MAI;
5) Standarde de securitate a informației în cadrul MAI.
6. În sensul prezentei Proceduri se definesc următoarele noțiuni:
1) eveniment de securitate (cibernetică) – orice eveniment ce poate afecta securitatea
resurselor informaționale, o întâmplare identificată într-un sistem, activitate sau rețea
care indică o posibilă încălcare a normelor de securitate a informației ori a măsurilor
de protecție a resurselor informaționale sau o situație ce nu s-a cunoscut anterior și
care poate fi relevantă pentru securitatea informației (fără compromiterea activităților
și amenințarea securității informației);
2) incident de securitate (cibernetică) - un eveniment sau o serie de evenimente
nedorite sau neașteptate ce a/au survenit în spaţiul cibernetic care perturbă
funcționarea uneia sau mai multor infrastructuri cibernetice și ale cărui consecinţe
sunt de natură a afecta securitatea cibernetică, care prezintă o probabilitate
semnificativă de compromitere a securității resurselor informaționale;
3) risc de securitate (în spaţiul cibernetic) – probabilitatea ca o ameninţare să se
materializeze, exploatând o vulnerabilitate specifică infrastructurii cibernetice,
posibilitatea ca un anumit eveniment de securitate să se producă și să aibă un impact
advers asupra confidențialității, integrității sau disponibilității informației;
4) Comitetul pentru securitatea informației – (în continuare CSI) este organul
colegial permanent, format din reprezentanții subdiviziunilor MAI, care asigură
implementarea și buna funcționare a Sistemului de management al securității
informației (în continuare SMSI) în cadrul MAI, care activează în conformitate cu
Politica de securitate a informației în cadrul MAI;
5) Responsabil de Securitatea Informației – (în continuare RSI), Serviciul tehnologii
informaționale din subordinea MAI, care activează în conformitate cu Politica de
securitate a informației în cadrul MAI și Regulamentul SMSI în cadrul MAI;
6) Echipa CERT – Echipa Centrul de Răspuns la Incidente de Securitate Cibernetică,
structura organizațională din cadrul MAI ce deține responsabilitățile de asigurare a
securității cibernetice a infrastructurii Tehnologiilor informației și comunicațiilor (în
continuare TIC) a MAI.

Capitolul II
RESPONSABILITĂȚI ȘI IMPLEMENTAREA PROCEDURII

7. Coordonatorii SMSI sunt persoanele desemnate, din cadrul subdiviziunilor

MAI, de către conducătorii acestor subdiviziuni, pentru coordonarea activităților ce
țin de securitatea informației la nivelul subdiviziunii.
8. Coordonatorii SMSI au următoarele atribuții în cadrul procesului de gestionare
a incidentelor:
1) evaluează incidentul de securitate și gestionarea acestuia conform procesului
stabilit;
2) coordonează acțiunile în situații de incident și oferă suportul persoanelor de
soluționare a incidentelor escaladate;
3) asigură evidența incidentelor de securitate produse la nivelul subdiviziunii;
4) asigură instruirea salariaților din cadrul subdiviziunii pentru identificarea și
gestionarea adecvată a incidentelor de securitate.
9. RSI are următoarele atribuții în cadrul procesului de gestionare a incidentelor:
1) asigură respectarea prevederilor Procedurii la gestionarea incidentelor de securitate
a informației;
2) gestionează incidentele de securitate conform Procedurii.
10. Echipa CERT are următoarele atribuții în cadrul procesului de gestionare a
incidentelor:
1) gestionează incidentele de securitate semnificative conform Procedurii;
2) asigură evidența incidentelor de securitate produse la nivelul MAI și toate
subdiviziunile subordonate MAI;
3) asigură comunicarea cu alte echipe CERT la gestionarea incidentelor de securitate
de scară națională.
11. Utilizatorii resurselor informaționale sunt angajații MAI autorizați de a accesa și
utiliza resursele informaționale. În caz de detectare a unui incident de securitate sau
suspiciune de incident de securitate, utilizatorul este obligat să comunice incidentul
Coordonatului SMSI din cadrul subdiviziunii.

Capitolul III
INCIDENTE DE SECURITATE A INFORMAȚIEI

12. Incidentele de securitate a informației sunt evenimente ce au dus sau pot duce la
realizarea riscurilor de securitate a informației, ca rezultat al eșecului în cadrul
proceselor, sistemelor, oamenilor sau în rezultatul evenimentelor externe. Un incident
se produce nu doar atunci când există impactul asupra securității resurselor
informaționale (realizarea riscului), dar și atunci când există posibilitatea producerii
unui asemenea impact (risc nerealizat).
13. Există o legătură directă între riscurile de securitate și incidentele de securitate
(Cu cât SMSI este mai eficient în a gestiona riscurile de securitate, cu atât mai puține
incidente de securitate vor avea loc)
14. Gestionarea riscurilor de securitate este o componentă critică a SMSI al MAI, ce
permite îmbunătățirea sa continuă în rezultatul utilizării experienței acumulate în
cadrul procesului de gestionare a incidentelor.
15. Clasificarea după tipuri de incidente de securitate a informației după sursa de
acțiune, asupra resurselor informaționale și sistemelor TIC ale MAI, se realizează
conform indicatorilor stabiliți în tabelul nr.1:

Tabel nr. 1:

Categorie Descriere
Cod malițios Codul malițios poate fi orice produs, program rău intenționat sau cod
executat pe un terminal/sistem cu scopul de a altera starea sau funcțiile
terminalului/sistemului fără acordul informat al deținătorului.
Exemple de cod malițios includ: viruși, worms, spyware, keyloggers,
backdoors, etc.
Hacking Hacking este definit ca orice încercare intenționată de a accesa sau
dăuna resurselor informaționale într-un mod neautorizat prin ocolirea
măsurilor de securitate logice implementate.
Exemple de activități de hacking includ: brute force, SQL injection,
criptanalize, DDOS, etc.
Acțiunile de „Hacking” sunt atribuite exclusiv persoanelor ce obțin
acces/privilegii neautorizate la resursele informaționale.
Social Acțiunile sociale cuprind înșelăciune, manipulare, intimidare, etc. pentru
(social a exploata factorul uman sau utilizatorii resurselor informaționale.
 engineering) Exemple de activități sociale includ: a pretinde, phishing, șantaj,
amenințări, escrocherii, etc.
Utilizare Utilizarea necorespunzătoare este definită ca utilizarea privilegiilor sau
necorespunzătoare resurselor, autorizate pentru necesități de serviciu, în orice scop sau mod
ce contravine normelor stabilite.
Exemple de aceste acțiuni includ: abuz administrativ, încălcarea
normelor de utilizare acceptabilă, utilizarea resurselor neautorizate, etc.
Acțiunile de „Utilizare necorespunzătoare” sunt atribuite exclusiv
persoanelor ce au acces autorizat și/sau dețin un nivel de încredere în
cadrul MAI.
Fizice Acțiunile fizice cuprind amenințări deliberate care implică proximitate,
deținere sau forță. Această categorie include doar acțiunile intenționate
comise de către factorul uman.
Exemple de aceste acțiuni includ: furt, manipulare, spionaj, sabotaj,
acces fizic la dispozitive, asalt, etc.
Erori Erorile, în linii generale, cuprind tot ce s-a făcut (sau a rămas nefăcut)
într-un mod incorect sau din greșeală.
Exemple de aceste acțiuni includ: omisiuni, erori de programare,
configurări greșite, defecțiuni, etc.
De mediu Această categorie include nu doar evenimentele naturale precum
cutremur și inundații, dar și pericolele asociate mediului și infrastructurii
în care resursele sunt amplasate.
Exemple de aceste acțiuni includ: căderi de tensiune, interferențe
electrice, scurgeri de conducte, condiții de microclimă, etc.

16. Clasificarea după tipuri de incidente de securitate a informației după impact,

asupra resurselor informaționale și sistemelor TIC ale MAI, se realizează conform
indicatorilor stabiliți în tabelul nr.2:

Tabel nr. 2:

Tip impact Descriere impact

Distrugerea resurselor informaționale (sedii, echipament hard,
Financiar informație), pierderi financiare (costuri de compensare a
consecințelor)
Activitățile MAI sunt întrerupte sau desfășurate cu dificultate.
Performanță
Performanța angajaților MAI este afectată.
Părțile terțe sunt afectate (scurgere de informație, manipularea
Părțile terțe informației). Calitatea serviciilor către părțile terțe este afectată
(servicii indisponibile, incomplete)
Abaterea de la prevederile legale și de la reglementările aplicabile.
Legal
Posibile litigii și sancțiuni legale.
Afectarea reputației MAI, periclitarea imaginii și diminuarea
Reputație
încrederii MAI.
Amenințarea sau chiar realizarea amenințării vieții și sănătății
Viață și sănătate
angajaților MAI sau persoanelor terțe.

17. Clasificarea incidentelor se face în funcție de gravitatea impactului asupra

activității MAI. Este necesar de a clasifica incidentele de securitate pentru a asigura
un răspuns adecvat la incidentul produs și a-l escalada spre nivelul de autoritate
corespunzător în cadrul MAI. Clasificarea incidentului se poate modifica în timp, pe
măsură ce se obțin noi detalii și în dependență de cum evoluează soluționarea
acestuia.
18. Clasificarea incidentelor de securitate a informației în funcție de impactul
incidentului asupra activității MAI și urgența soluționării se realizează conform
indicatorilor stabiliți în tabelul nr.3:

Tabelul nr. 3:

URGENŢĂ
IMPACT
Înaltă Medie Joasă
Înalt Excepțional Excepțional Major
Mediu Major Major Ordinar
Jos Ordinar Ordinar Neglijabil
Neglijabil Neglijabil Neglijabil Neglijabil

19. Estimarea impactului în rezultatul unui incident produs, se realizează conform

indicatorilor stabiliți în tabelul nr. 4:

Tabel nr. 4:

IMPACT Descriere
Înalt Afectează toți angajații MAI la nivelul tuturor subdiviziunilor
MAI. Se încalcă prevederi ale reglementărilor și legislației în
vigoare. Activități de bază nu pot fi efectuate. Pierderile
financiare estimate ale incidentului ar putea fi evaluate la peste
500 000 MDL.
Mediu Poate afecta majoritatea angajaților MAI sau toți angajații unei
instituții subordonate MAI. Prevederile legislației și
reglementărilor aplicabile nu sunt încălcate. Pierderile financiare
estimate ale incidentului ar putea fi evaluate la peste 100 000
MDL.
Jos Afectează un număr redus de angajați. Activitățile de bază se
desfășoară în regim normal. Pierderile financiare estimate ale
incidentului ar putea fi evaluate la peste 10 000 MDL.
Neglijabil Impact nu există sau acesta este neglijabil (activitățile MAI nu
sunt afectate sau sunt afectate nesemnificativ la nivelul unei
subdiviziuni, pierderi financiare nu sunt)

20. Estimarea urgenței soluționării unui incident produs în cadrul MAI, se realizează
conform indicatorilor stabiliți în tabelul nr. 5:
Tabelul nr. 5:

URGENŢĂ Descriere
Înaltă Este necesară reacție imediată. Incidentul afectează activitățile
de bază ale MAI. A fost depășită sau există riscul de a depăși
perioada maximă de întrerupere tolerabilă pentru activitățile
afectate ale MAI. Există riscul ca incidentul să devină public,
fapt ce va influenta creșterea impactului.
Medie Reacțiunea la incident este necesară în termen de până la 4 ore.
Nu există riscul de a fi depășită perioada maximă de întrerupere
tolerabilă pentru activitatea afectată.
Joasă Afectează activitatea sau resursa informațională care poate fi
amânată pe un timp îndelungat. Reacțiunea la incident în termen
de până la 72 ore.

Capitolul IV
Gestionarea incidentelor de securitate a informației

Secțiunea 1
Detectarea și comunicarea incidentului

21. Incidentele de securitate sunt detectate de către angajați în timpul realizării

atribuțiilor de serviciu și utilizarea resurselor informaționale.
22. Un incident este detectat dacă angajatul constată abateri de la funcționarea
adecvată a sistemului informațional sau desfășurarea normală a activității de lucru,
fapt ce provoacă sau ar putea provoca un impact advers asupra securității informației
și care ar provoca pierderi și prejudicii pentru MAI. Salariatul trebuie să fie suficient
instruit și informat pentru a putea identifica un potențial incident de securitate și a
reacționa corect.
23. Angajatul va raporta imediat orice situație de incident sau suspiciune de incident
de securitate a informației către șeful subdiviziunii sau Coordonatorul SMSI.
24. Incidentele de securitate pot fi detectate și de către responsabilii din cadrul
Serviciului Hotline al STI, în baza apelurilor/sesizărilor utilizatorilor de sisteme,
trebuie să stabilească dacă apelul utilizatorului este determinat de o cerere de servicii
de suport sau de o situație de incident de securitate.
25. În cazul în care apelul utilizatorului este determinat de un incident de securitate,
Serviciul Hotline va comunica acest fapt Coordonatorului SMSI.
26. În cazul în care incidentul este constatat simultan de mai multe subdiviziuni,
fiecare subdiviziune va trata incidentul individual, prin prisma impactului și urgenței
soluționării acestuia la nivelul responsabilităților proprii, activitățile de soluționare a
incidentului fiind coordonate centralizat de către CERT.
27. Ulterior, toate incidentele înregistrate în diferite subdiviziuni și care au o cauză
comună, vor fi grupate într-un singur incident de către CERT, pentru a putea evalua
corect impactul.
 Secțiunea a 2-a
Clasificarea incidentului

28. Clasificarea incidentelor se realizează pentru a asigura reacționarea

corespunzătoare gravității incidentului și alocarea resurselor potrivite pentru
soluționarea acestuia.
29. Responsabil de clasificarea incidentelor este Coordonatorul SMSI.
30. Clasificarea incidentelor se face conform clasificării stabilite în pct. 18-20 din
prezenta Procedură.
31. Incidentele clasificate „Excepțional” sau „Major” vor fi evaluate repetat de către
CERT pentru a confirma nivelul de clasificare.
32. Un incident de securitate poate fi reclasificat în timp, în funcție de evoluția
impactului estimat și urgența soluționării acestuia. Reclasificarea incidentului se face
de către aceiași responsabili, în același mod.

Secțiunea a 3-a
Escaladare și comunicare

33. În funcție de clasificarea incidentului, acesta este imediat escaladat și comunicat

la diferite nivele în cadrul MAI. Primul informat despre producerea unui incident este
Coordonatorul SMSI.
34. Nivelul de escaladare a incidentelor în cadrul MAI și preluarea responsabilității
de gestionare a acestora, este prezentat în tabelul nr. 6:

Tabel nr. 6:

Nivel incident \ Coordonator CERT RSI Conducerea

Responsabili SMSI MAI
Excepțional Escaladează Responsabilul Participă la Este informată
incidentul către de gestionarea depășirea privind
CERT. incidentului incidentului. progresul
informează gestionării
conducerea incidentului.
MAI și RSI. Aprobă
alocarea
resurselor.
Major Escaladează Responsabilul
incidentul către de gestionarea
CERT. incidentului
informează RSI
în decurs de 72
ore privind
producerea
incidentului.
Ordinar Responsabilul
de gestionarea
 incidentului
raportează către
CERT în decurs
de 72 ore
privind
producerea
incidentului.
Neglijabil Responsabil de
gestionarea
incidentului.

Secțiunea a 4-a
Analiza și soluționarea incidentului

35. Escaladarea incidentelor permite implicarea în gestionarea incidentelor a tuturor

responsabililor ce pot contribui la limitarea pagubelor incidentului și soluționarea
acestuia în cel mai scurt timp posibil.
36. În funcție de nivelul de clasificare a incidentului, responsabilul de gestionarea
incidentului împreună cu deținătorii și gestionarii resurselor afectate asigură analiza
situației și propune acțiunile de reacție și restabilire, care se coordonează cu
persoanele responsabile de aprobare, în funcție de nivelul de clasificare a incidentului
și resursele necesare pentru soluționarea incidentului.
37. La analiza incidentului de securitate, Echipa CERT/Coordonator SMSI va apela
la baza de cunoștințe deținută în MAI pentru a identifica dacă au avut loc incidente
similare și care a fost modul de soluționare a acestora.
38. Echipa CERT/Coordonator SMSI întreprind măsurile stabilite în procedurile
operaționale pentru resursele afectate în scopul soluționării incidentului.
39. Membrii echipei de gestionare a incidentelor de securitate acționează în comun,
conlucrând și coordonând acțiunile întreprinse. În cazul în care se constată că
incidentul nu poate fi depășit cu forțe proprii, persoanele desemnate pot apela la
specialiștii furnizorilor externi cu care există contracte de prestare a serviciilor.
40. În funcție de circumstanțele și tipul incidentului produs, se solicită suportul
entităților guvernamentale specializate în soluționarea incidentelor de securitate.
41. Pe parcursul soluționării incidentului, responsabilul de gestionarea incidentului
monitorizează evoluția situației și se asigură că incidentul rămâne în clasificarea
stabilită inițial.
42. În cazul în care gravitatea incidentului crește, responsabilul de gestionarea
incidentului efectuează reclasificarea și escaladarea conform noii clasificări.
43. Soluționarea incidentului presupune faptul că MAI nu mai suportă sau nu riscă să
mai suporte pierderi adiționale în rezultatul incidentului, revenind ulterior la
activitatea normală.
44. La stabilirea măsurilor de soluționare a incidentului de securitate și revenire la
activitatea normală, responsabilul de gestionarea incidentului va ține cont de
necesitatea păstrării probelor și evidență a probelor pentru investigarea ulterioară a
incidentelor (de ex. în cazul când depășirea incidentului necesită restabilirea fișierelor
de sistem din copiile de rezervă, acest fapt poate duce la pierderea înregistrărilor log,
care pot conține informații privind modul de compromitere a sistemului).

Secțiunea a 5-a
Investigarea incidentului

45. După soluționarea unui incident, Echipa CERT împreună cu RSI identifică
cauzele producerii acestuia și măsurile de prevenire ce urmează a fi implementate
pentru a preveni sau a fi mai bine pregătiți de producerea incidentelor similare.
46. Investigarea incidentului se va face de către CERT împreună cu RSI (pentru
Excepțional și Major) sau Coordonatorul SMSI (pentru Ordinar).
47. La investigarea incidentului participă subdiviziunile MAI care au fost afectate de
incident și persoanele implicate la soluționarea incidentului.

Secțiunea a 6-a
Raportarea incidentului

48. După soluționarea incidentului, va fi elaborat un Raport privind incidentul de

securitate produs conform regulilor stabilite în tabelul nr. 7:

Tabel nr. 7:

Incident Termen de raportare Destinatar Responsabil

Excepțional 3 zile Conducerea MAI CERT
Major 3 zile RSI CERT
Conducerea MAI
(lunar, sumar privind
incidentele produse)
Ordinar 3 zile CERT, RSI Coordonator SMSI
Neglijabil Trimestrial, sumar CERT, RSI Coordonator SMSI
incidente

49. Raport privind incidentul de securitate se elaborează conform modelului tipizat

din Anexa nr.1 la prezenta Procedură. Cîmpurile obligatorii de a fi completate în
Raport pentru fiecare tip de incident sunt indicate în tabelul nr.8:

Tabel nr.8:
Excepțional

Neglijabil
Ordinar
Major

Câmp Descriere

Data și ora Data și ora detectării incidentului de securitate

tare
Detec

x x x x
Detectarea Cine a detectat și comunicat incidentul x x x x
 Excepțional

Neglijabil
Ordinar
Major
Câmp Descriere

incidentului Circumstanțele în care a fost detectat incidentul

Informație sumară despre incidentul detectat
Tipul Tipul incidentului conform capitolului 3.2. al
incidentului acestei Proceduri
x x x
Sursa Care este sursa care a generat producerea
incidentului incidentului (externă, internă, părți terțe/parteneri, x x x
necunoscută)
Resurse Resursele informaționale ce au fost afectate de
afectate producerea incidentului
x x x x
Nivelul de clasificare atribuit incidentului (funcție
Evaluare

Clasificarea
incidentului de impact și urgenta soluționare)
x x x x
Impactul Nivel impact. Descrierea impactului estimat la
evaluarea incidentului
x x x
Urgență Estimarea nivelului de urgență conform scării de
clasificare
x x x
Responsabil Persoana sau structura organizațională desemnată
de responsabilă pentru depășirea incidentului
gestionarea
x x x
incidentului
Participanții Persoanele/Funcțiile implicate la soluționarea și
Soluționare

la depășirea incidentului
soluționarea
x x
incidentului
Acțiuni Descrierea activităților întreprinse pentru
executate soluționarea incidentului
x x x x
Timpul de Timpul de soluționare a incidentului de la
soluționare detectarea și escaladarea acestuia
x x x
Investigare

Echipa de Persoanele implicare la investigarea incidentului

investigare
x x
Estimarea Estimarea consecințelor și resurselor alocate
consecințelor pentru soluționarea incidentului (pierderi
financiare, de performanță, litigii legale,
x x x
reputație)
Timpul de la Dacă este aplicabil, timpul de la producerea
producere incidentului și detectarea acestuia
x x
Investigarea Descrierea cauzei ce a dus la apariția incidentului,
cauzelor inclusiv măsurile ce ar fi trebuit să prevină
producerea incidentului și motivul pentru care
x x x
acestea au fost ineficiente
Măsuri de Măsuri propuse pentru implementare în scopul
prevenire prevenirii repetării sau îmbunătățirea capacității x x x
de detectare și reacțiune la incidentele de acest tip
 Secțiunea a 7
Evidența incidentelor de securitate

50. Echipa CERT este responsabilă de organizarea și gestionarea bazei de date cu

evidența incidentelor de securitate produse în cadrul MAI. În regim operațional, baza
de date cu evidența incidentelor de securitate este utilizată de către Echipa CERT și
RSI în scopul identificării oportunităților de consolidare a capacităților de răspuns la
incidentele repetate.
51. În baza de date se înregistrează incidentele excepționale, majore și ordinare.
52. Incidentele ordinare vor fi înregistrate de către Coordonatorii SMSI.
53. Coordonatorul SMSI este responsabil de evidența incidentelor de securitate
produse la nivelul subdiviziunii.
54. RSI va prezenta trimestrial un raport de sinteză privind incidentele de securitate
produse în cadrul MAI către CSI.
55. Raportul va include acțiuni ce necesită aprobarea alocării resurselor și
implementării acțiunilor pentru îmbunătățirea măsurilor de prevenire a incidentelor.
56. Anual, către 31 ianuarie, CERT va elabora un Raport despre incidentele de
securitate produse în decursul anului în cadrul sistemelor de date cu caracter personal.
57 Raportul despre incidentele de securitate produse în decursul anului în cadrul
sistemelor de date cu caracter personal se transmite după aprobarea de către
Conducerea MAI, Centrului Național pentru Protecția Datelor cu Caracter Personal.
 Anexa nr. 1
la Procedura privind gestionarea
incidentelor de securitate a informației
în cadrul MAI

Raport privind incidentul de securitate

(formular tipizat)

Responsabil raportare: ID Incident:

Câmp Descriere
Data și ora
Detectare

Detectarea incidentului
Tipul incidentului
Sursa incidentului
Resurse afectate
Evaluare

Clasificarea incidentului
Impactul
Urgență
Responsabil de gestionarea
incidentului
Participanții la soluționarea
Investigare Soluționare

incidentului
Acțiuni executate
Timpul de soluționare
Echipa de investigare
Estimarea consecințelor
Timpul de la producere
Investigarea cauzelor
Măsuri de prevenire
 Anexa nr.2
la Ordinul MAI nr. 374
din 12 decembrie 2017

PROCEDURA
privind analiza și evaluarea riscurilor de securitate a informației

Capitolul I
DISPOZIȚII GENERALE

1. Scopul procedurii privind analiza și evaluarea riscurilor de securitate a

informației (în continuare Procedurii) este stabilirea procesului de analiză și evaluare
a riscurilor de securitate a informației în cadrul Ministerului Afacerilor Interne (în
continuare MAI), rolurilor și responsabilităților în cadrul procesului, etapelor
procesului și activităților necesare la fiecare etapă.
2. Rezultatul scontat al aplicării prezentei Proceduri este procesul funcțional de
analiză și evaluare a riscurilor de securitate a informației, integrat în SMSI al MAI.
3. Procedura se aplică pentru toate resursele informaționale ale MAI cu excepția
resurselor informaționale ce sunt atribuite la secret de stat.
4. Procedura este adresată deținătorilor de resurse informaționale și angajaților cu
rolul de RSI și Coordonatori ai SMSI din cadrul subdiviziunilor aparatului central,
autorităților administrative și instituțiilor din subordinea MAI (în continuare
subdiviziunile MAI).
5. Procedura urmează a fi cunoscută și aplicată de angajații subdiviziunilor MAI,
conform responsabilităților deținute în cadrul procesului.
6. Procedura are drept bază următoarele acte normative, inclusiv cele interne:
1) Programul național de securitate cibernetică a Republicii Moldova pentru anii 2016
– 2020, aprobat prin Hotărîrea Guvernului nr. 811 din 29 octombrie 2015;
2) Cerințele minime obligatorii de securitate cibernetică, aprobate prin Hotărîrea
Guvernului nr. 201 din 28 martie 2017;
3) ISO 27005:2011 – Information technology – Security techniques – Information
security risk management (Tehnologia informației – Tehnici de securitate a
informației – Managementul riscurilor de securitate a informației);
4) Politica de securitate a informației în cadrul MAI;
5) Regulamentul Sistemului de management al securității informației în cadrul MAI;
6) Standarde de securitate a informației în cadrul MAI.
7. În sensul prezentei Proceduri se definesc următoarele noțiuni:
1) deținător de resursă informațională – subdiviziunea din cadrul MAI, primar
responsabilă pentru funcționarea, utilizarea și securitatea resursei informaționale;
2) responsabil de risc – angajatul sau subdiviziunea din cadrul MAI, primar
responsabilă de gestiunea unui risc de securitate la un nivel acceptabil pentru
activitatea MAI (risk owner);
3) analiza riscului – proces de acumulare și analizare sistematică a informației pentru
a identifica amenințările și a estima riscul;
4) evaluarea riscului – proces de măsurare a riscului estimat în raport cu criterii
prestabilite;
5) tratarea riscului – proces de identificare și selectare a măsurilor de securitate în
vederea reducerii riscului prin aplicarea strategiilor de tratare a riscurilor;
6) Comitetul pentru securitatea informației – (în continuare CSI) este organul colegial
permanent, format din reprezentanții subdiviziunilor MAI, care asigură
implementarea și buna funcționare a Sistemului de management al securității
informației (în cadrul SMSI) în cadrul MAI, care activează în conformitate cu Politica
de securitate a informației în cadrul MAI;
7) Responsabil de Securitatea Informației – (în continuare RSI), Serviciul tehnologii
informaționale din subordinea MAI, care se conduce de prevederile Politicii de
securitate a informației în cadrul MAI și Regulamentului SMSI în cadrul MAI.

Capitolul II
RESPONSABILITĂȚI ȘI IMPLEMENTAREA PROCEDURII

8. Comitetul pentru securitatea informației este primar responsabil în cadrul MAI

pentru procesul de analiză și evaluare a riscurilor de securitate și are următoarele
atribuții în cadrul procesului de analiză și evaluare a riscurilor de securitate a
informației:
1) coordonează procedurile utilizate în cadrul MAI pentru analiza și evaluarea
riscurilor de securitate a informației;
2) coordonează planul pentru efectuarea analizelor riscurilor de securitate a
informației;
3) asigură ca toate riscurile să fie identificate și considerate corespunzător;
4) asigură ca măsurile incluse în planurile de tratare a riscurilor să fie suficiente și
eficiente pentru a adresa riscurile de securitate, implementarea lor fiind rațională și
acestea fiind consistente în raport cu măsurile deja existente sau care se planifică a
mai fi implementate;
5) evaluează și monitorizează performanța procesului de analiză a riscurilor și
asigură îmbunătățirea continuă a procesului.
9. Coordonatorii SMSI sunt persoanele desemnate din cadrul subdiviziunilor MAI, de
către conducătorii acestor subdiviziuni, pentru coordonarea activităților ce țin de
securitatea informației la nivelul subdiviziunii și au următoarele atribuții în cadrul
procesului de analiză și evaluare a riscurilor de securitate a informației:
1) participă la efectuarea analizelor riscurilor pentru resursele informaționale din
cadrul subdiviziunii;
2) asigură implementarea măsurilor stabilite în planurile de tratare a riscurilor de
securitate la nivelul subdiviziunii.
10. RSI are următoarele atribuții în cadrul procesului de analiză și evaluare a riscurilor
de securitate a informației:
1) elaborează și menține în stare actuală procedura de analiză a riscurilor de securitate
a informației;
2) elaborează și propune spre aprobare CSI Planul de efectuare a analizelor riscurilor
de securitate a informației;
3) asigură implementarea Planului de efectuare a analizelor riscurilor de securitate a
informației;
4) efectuează, de comun cu Deținătorul de resurse informaționale, analiza și evaluarea
riscurilor de securitate conform planului aprobat;
5) coordonează implementarea măsurilor stabilite în planurile de tratare a riscurilor de
securitate.
11. Deținătorul resursei informaționale este subdiviziunea desemnată în cadrul MAI,
responsabilă pentru funcționarea, utilizarea și protejarea resursei informaționale și are
următoarele atribuții în cadrul procesului de analiză și evaluare a riscurilor de
securitate a informației:
1) asigură faptul că toate riscurile de securitate aferente resurselor deținute sunt
identificate, conștientizate și gestionate adecvat în cadrul MAI;
2) validează rezultatele efectuării analizelor riscurilor pentru resursele deținute;
3) aprobă riscurile de securitate propuse spre acceptare și măsurile ce necesită a fi
implementate pentru tratarea riscurilor.
12. Gestionarul resursei informaționale este subdiviziunea desemnată în cadrul MAI,
responsabilă pentru menținerea și administrarea operațională a resursei informaționale
și are următoarele atribuții în cadrul procesului de analiză și evaluare a riscurilor de
securitate a informației:
1) participă la identificarea riscurilor de securitate a informației și estimarea
impactului acestora asupra resursei informaționale;
2) identifică măsurile de securitate implementate în scopul protejării resursei
informaționale;
3) participă la identificarea și selectarea măsurilor de securitate pentru a fi
implementate adițional în vederea protejării resursei;
4) implementează planurile de tratare a riscurilor și planurile de gestiune a
riscurilor de securitate a informației;
5) monitorizează operațional funcționarea corectă a măsurilor de securitate a
informației.
13. Responsabilul de risc (risk owner) este persoana sau subdiviziunea desemnată în
cadrul procesului, care este responsabilă de gestiunea unui risc de securitate a
informației și care deține autorizarea necesară pentru a acționa în vederea tratării
riscului de securitate conform necesităților MAI (de obicei este desemnat un șef de
subdiviziune) și are următoarele atribuții în cadrul procesului de analiză și evaluare a
riscurilor de securitate a informației:
1) asigură conștientizarea și gestiunea adecvată în conformitate cu necesitățile MAI
pentru riscurile de securitate de care a fost stabilit responsabil;
2) stabilește și propune spre aprobare măsuri adiționale de tratare a riscului de
securitate;
3) realizează acceptarea riscului rezidual aferent unui risc de securitate.

Capitolul III
ABORDAREA GENERALĂ

14. Resursele informaționale active ale MAI prezintă valoare de utilizare pentru
activitatea sa. Acestea sunt utilizate în scopul prestării serviciilor și informației către
cetățeni, precum și în cadrul proceselor interne ale MAI.
15. Utilizarea resurselor informaționale oferă multiple avantaje și oportunități, iar în
același timp implică riscuri pentru activitatea MAI. În scopul atingerii obiectivelor de
activitate, riscurile implicate la utilizarea resurselor informaționale trebuie să fie
adecvat gestionate.
16. Obiectivul analizei riscurilor este de a identifica, analiza, evalua și stabili planul
de tratare pentru riscurile de securitate a informației aferente resurselor informaționale
ale MAI. Acest obiectiv poate fi atins prin intermediul unui proces matur și eficient de
analiză și evaluare a riscurilor de securitate a informației.
17. În urma procesului de analiză a riscurilor, resursele informaționale ale MAI vor fi
protejate proporțional riscurilor implicate de acestea pentru activitatea MAI. Riscurile
reziduale vor fi la un nivel acceptabil, aprobate de către CSI.
18. Procesul de analiză și evaluare a riscurilor de securitate este prezentat în figura
nr.1.

Figura nr. 1:

Secțiunea 1
Clasificarea resurselor informaționale
Tipurile de clasificare în cadrul analizei riscurilor

19. În scopul asigurării confidențialității, integrității și disponibilității informației,

resursele informaționale urmează a fi protejate. În funcție de impactul pe care îl poate
produce compromiterea securității resursei asupra confidențialității, integrității și
disponibilității informației, resursele informaționale sunt clasificate în clase de
securitate pentru confidențialitate, integritate și disponibilitate.
20. Tipurile de incidente după impactul de securitate, se realizează conform
indicatorilor stabiliți în Standardele de securitate a informației în cadrul MAI, pentru
clase de securitate: C1 (impact de securitate înalt), C2 (impact de securitate mediu) și
C3 (impact de securitate jos). Analiza riscurilor se va efectua conform procesului
stabilit reieșind din clasa de securitate din care face parte sistemul informațional
respectiv.
21. Adițional, resursele informaționale vor fi clasificate de către RSI, cu validarea
de către deținătorii de resurse informaționale, conform următoarelor criterii:
1) pentru confidențialitate ;
2) pentru integritate;
3) pentru disponibilitate.
22. Clasificarea resursei informaționale conform criteriului „Confidențialitate”
presupune aprecierea impactului pe care îl poate produce compromiterea
confidențialității informației la nivelul resursei date, prin identificarea și analiza
informației ce este procesată, stocată și accesată cu implicarea resursei informaționale
și se realizează conform indicatorilor stabiliți în tabelul nr.1:
Tabel nr.1:

Clasă de Impactul compromiterii confidențialității informației

securitate
Resursa informațională este clasificată în clasa „Critic” dacă resursa
informațională este implicată în procesarea, stocarea, accesarea
Critic
informației clasificate „Confidențiale” și care cade sub incidența
cerințelor legale în vigoare.
Resursa informațională este clasificată în clasa „Important” dacă resursa
Important informațională este implicată în procesarea, stocarea, accesarea
informației clasificate „De uz intern”.
Resursa informațională este clasificată în clasa „Ordinar” dacă resursa
Ordinar informațională este implicată în procesarea, stocarea, accesarea
informației clasificate „Public”.

23. Clasificarea resursei informaționale conform criteriului „Integritate” presupune

aprecierea impactului pe care îl poate produce compromiterea integrității informației
la nivelul resursei date, prin identificarea și analiza informației ce este procesată,
stocată și accesată cu implicarea resursei informaționale și se realizează conform
indicatorilor stabiliți în tabelul nr. 2:
Tabel nr.2:

Clasă de securitate Caracteristici ale resursei informaționale

Resursa informațională este clasificată în clasa „Critic” dacă
Critic
compromiterea integrității informației la nivelul acestei resurse poate
 produce un impact extrem de grav asupra activității MAI, inclusiv:
periclitarea gravă a imaginii, implicarea în litigii judiciare, încălcarea
gravă a legislației, pierderi financiare în proporții deosebit de mari,
afectarea gravă a securității MAI, întreruperi ale activității MAI,
compromiterea totală a strategiilor de dezvoltare etc.
Resursa informațională este clasificată în clasa „Important” dacă
compromiterea integrității informației la nivelul acestei resurse poate
Important produce un impact grav asupra activității MAI, inclusiv: periclitarea
imaginii, încălcarea legislației, pierderi financiare, afectarea izolată a
securității serviciilor MAI, afectarea strategiilor de dezvoltare, etc.
Resursa informațională este clasificată în clasa „Ordinar” dacă
compromiterea integrității informației la nivelul acestei resurse poate
Ordinar produce un impact moderat sau nesemnificativ asupra activității MAI,
inclusiv: prejudiciu de imagine, afectarea izolată a unui serviciu MAI la
nivelul unei subdiviziuni, etc.

24. Clasificarea resursei conform criteriului „Disponibilitate” presupune aprecierea

capacității resursei de a face informația disponibilă către entitățile autorizate, în
forma, modul și nivelul stabilit și se realizează conform indicatorilor stabiliți în
tabelul nr. 3:

Tabel nr.3:

Clasă de Caracteristicile resurselor informaționale

securitate
Resursa informațională este clasificată în clasa „Critic” dacă compromiterea
disponibilității la nivelul acestei resurse poate produce un impact extrem de
grav asupra activității MAI, inclusiv: periclitarea gravă a imaginii,
Critic
deteriorarea gravă a relației cu părțile interesate, implicarea în litigii
judiciare, încălcarea gravă a legislației, pierderi financiare în proporții
deosebit de mari, întreruperi netolerabile ale activității MAI, etc.
Resursa informațională este clasificată în clasa „Important” dacă
compromiterea disponibilității la nivelul acestei resurse poate produce un
Important
impact grav asupra activității MAI, inclusiv: periclitarea imaginii, încălcarea
legislației, pierderi financiare, deteriorarea relațiilor cu părțile interesate, etc.
Resursa informațională este clasificată în clasa „Ordinar” dacă
compromiterea disponibilității la nivelul acestei resurse poate produce un
Ordinar impact moderat sau nesemnificativ asupra activității MAI sau a unei
subdiviziuni, inclusiv: prejudiciu de imagine, afectarea relației cu părțile
interesate, întreruperi tolerabile în serviciile oferite, etc.

25. Clasificarea resurselor, se realizează prin completarea tabelului nr. 4:

Tabel nr. 4:

ID Nume Tip Deținător C I A S

Identifica Numele Tipul Subdiviziun Clasificarea Clasificarea Clasificarea Clasa de
torul resursei resursei ea resursei resursei resursei securitate a
unic al (ex. deținătoare conform conform conform resursei
resursei APP, a resursei criteriului criteriului criteriului conform
SERV, „Confidenți „Integritate „Disponibil Standardelor de
BD etc.) alitate” ” itate” securitate (C1,
C2 sau C3).
…
ID_n … … … … … … …

Secțiunea a 2-a
Planificarea analizei riscurilor

26. Analiza și evaluarea riscurilor de securitate este un proces complex care necesită
efort semnificativ. Resursele alocate pentru efectuarea analizei riscurilor urmează să
fie utilizate eficient.
27. Pentru utilizarea rațională a resurselor alocate pentru efectuarea analizei
riscurilor de securitate este rațional a efectua analiza și evaluarea riscurilor, inițial,
pentru resursele informaționale ce implică riscuri de securitate comparativ mai mari
pentru activitatea MAI.
28. În scopul evaluării priorității de efectuare a analizei riscurilor, se efectuează o
evaluare a riscurilor de securitate inerente pentru resursele informaționale, care
includ:
1) rezultatele analizelor riscurilor precedente (aprecierea pentru rezultatele
analizei riscurilor efectuată ultima dată, ține cont de doi factori: rezultatele nemijlocit,
timpul scurs de la ultima analiză a riscurilor);
2) modificări în configurații (modificări în configurația resursei informaționale sau
în mediul în care resursa informațională este menținută și utilizată);
3) modificări în cadrul de reglementare (modificări în cadrul legal și de
reglementare ce afectează profilul de risc al resursei informaționale);
4) concluziile de audit (concluziile auditorului intern sau extern cu privire la
nivelul de securitate al resursei date);
5) incidentele de securitate produse (numărul de incidente produse în ultimul an și
gravitatea acestora).
29. În baza rezultatelor evaluării riscurilor inerente și clasificării de securitate a
resursei informaționale, va fi elaborat Planul de efectuare a analizelor riscurilor.
Structura Planului de efectuare a analizelor riscurilor este stabilită în Anexa nr.1 la
această Procedură.
30. Responsabil de elaborarea Planului de analiză a riscurilor de securitate este
RSI, în comun cu Deținătorii de resurse informaționale.
31. Planul de analiză a riscurilor de securitate se aprobă de CSI.
32. Inițierea și efectuarea misiunilor de analiză a riscurilor se va efectua, conform
Planului de efectuare a analizelor riscurilor aprobat de CSI, pentru fiecare resursă
informațională sau grup de resurse informaționale.

Capitolul IV
ANALIZA ȘI EVALUAREA RISCURILOR

33. Fiecare analiză a riscurilor se va desfășura sub forma unui proiect separat.
Responsabil de gestiunea proiectului este RSI. Deținătorii și Gestionarii resurselor
informaționale implicate vor oferi toate informațiile necesare pentru efectuarea
analizei riscurilor.
34. Modelul general pentru analiza riscurilor este prezentat în figura nr. 2.

Figura nr. 2:

35. Pentru resursele informaționale ce dețin clasa de securitate C3, va fi efectuată

identificarea riscurilor de securitate de bază.
36. Pentru resursele informaționale ce dețin clasa de securitate C1 sau C2 vor fi
identificate caracteristicile resursei informaționale pentru care au fost clasificate ca
fiind de gradul 1 sau 2 (ex. Confidențialitate – Critic, Integritate – Important,
Integritate – Critic, etc.). Astfel, pentru caracteristicile de gradul 1 sau 2, va fi
efectuată identificarea riscurilor detaliate.
37. Pentru identificarea riscurilor de bază aferente resursei este aplicată metoda de
bază (baseline approach).
38. Pentru riscurile de securitate ce pot afecta caracteristicile identificate mai sus este
aplicată metoda detaliată (detailed approach).
39. Metoda detaliată are scopul de a completa metoda de bază și a oferi un nivel sporit
de siguranță privind identificarea și gestiunea riscurilor de securitate specifice resursei
informaționale analizate la riscuri.
 Secțiunea 1
Aplicarea metodei de bază
40. Metoda de bază pornește de la premisa că aplicarea unui set de cerințe minime
pentru protejarea resursei informaționale asigură cel mai mult un control acceptabil
asupra riscurilor de securitate a informației aferente resursei.
41. Aplicarea metodei de bază se efectuează în următoarele etape:
1) identificarea seturilor de cerințe aplicabile pentru resursa informațională, utilizînd
Standardele de securitate a informației în cadrul MAI;
2) din seturile de cerințe identificate, selectarea cerințelor aplicabile pentru resursa
informațională dată;
3) efectuarea unei analize a diferențelor conform cerințelor aplicabile selectate (pentru
fiecare cerință aplicabilă se va analiza conformitatea la cerințele respective).
42. Rezultatele aplicării metodei de bază vor fi documentate conform Anexei nr. 2 la
această Procedură.

Secțiunea a 2-a
Aplicarea metodei detaliate

43. Metoda analizei detaliate presupune analiza și evaluarea riscurilor Tehnologiei

informației conform unei metodologii complexe care să asigure considerarea tuturor
riscurilor importante specifice unei resurse informaționale.
44. Metoda analizei detaliate este stabilită conform cerințelor standardului ISO
27005:2011 Information technology – Security techniques – Information security risk
management (Tehnologia informației – Tehnici de securitate – Managementul
riscurilor de securitate).
45. Aplicarea metodei detaliate presupune etape în contextul procesului implementat
în cadrul MAI: identificarea amenințărilor, identificarea vulnerabilităților, analiza
riscurilor, evaluarea riscurilor.
46. Rezultatele analizei detaliate vor fi documentate conform Anexei nr. 3 la această
Procedură.
Secțiunea a 3-a
Identificarea amenințărilor

47. Amenințările sunt pericole ce au capacitatea de a exploata vulnerabilitățile

caracteristice resurselor informaționale și de a compromite securitatea acestora.
48. La această etapă sunt identificate amenințările de securitate ce pot afecta resursa
informațională.
49. Pentru analiza detaliată vor fi considerate doar amenințările ce pot afecta
caracteristicile resursei informaționale pentru care aceasta a fost clasificată ca fiind de
gradul 1 (Critic) sau 2 (Important).
50. Stabilirea categoriilor de amenințări și identificarea amenințărilor nemijlocite este
obiect de raționament profesional individual al persoanelor implicate în procesul de
analiză și evaluare a riscurilor.
 Secțiunea a 4-a
Identificarea vulnerabilităților

51. Identificarea vulnerabilităților are drept scop de a identifica lacunele existente la

nivelul măsurilor de securitate implementate pentru protejarea resursei informaționale
și care ar putea fi exploatate de amenințările aferente resursei informaționale.
52. În cadrul analizei riscurilor detaliate, vulnerabilitățile sunt considerate ca fiind
lipsa unor măsuri de securitate eficiente.
53. Pentru a identifica lipsa măsurilor de securitate, inițial sunt identificate măsurile
de securitate implementate, perimetrul de acțiune din care fac parte și resursa
informațională analizată la riscuri.

Secțiunea a 5-a
Analiza riscurilor

54. Analiza riscurilor are drept scop de a identifica și înțelege modul în care
amenințările de securitate pot evita măsurile de securitate identificate și compromite
securitatea resursei informaționale.
55. Riscurile astfel identificate sunt considerate riscuri reziduale pentru resursa
informațională.
56. Descrierea riscului rezidual se face pentru fiecare scenariu de risc și conține
informație privind modul de acționare a amenințării, vulnerabilitățile exploatate și
impactul posibil asupra resursei, dar și asupra activității MAI.

Secțiunea a 6-a
Evaluarea riscurilor

57. Evaluarea riscurilor are drept scop de a aprecia dacă riscul rezidual identificat este
tolerabil pentru activitatea MAI.
58. Evaluarea riscului rezidual se face în funcție de estimările pentru impactul (I)
produs de realizarea riscului și probabilitatea (P) de realizare a riscului.
59. Pentru evaluarea probabilității se utilizează scara conform tabelului nr.5:

Tabel nr.5:

Nr. Probabilitate Semnificație

1. Se așteaptă că riscul se va realiza cel puțin de 10 ori pe
Garantat
parcursul următorilor 5 ani.
2. Se așteaptă că riscul se va realiza de cel mult 5 ori pe
Foarte probabil
parcursul următorilor 5 ani.
3. Se așteaptă că riscul se va realiza nu mai mult de o dată pe
Puțin probabil
parcursul următorilor 5 ani.
4. Riscul nu este exclus, dar nu se așteaptă realizarea
Imposibil
acestuia în următorii 5 ani.
60. Pentru evaluarea impactului se utilizează scara conform tabelului nr. 6:

Tabel nr. 6:

Nr. Impact Semnificație

Activitatea MAI este extrem de grav afectată. Nici un
1. Catastrofic
serviciu al MAI nu este disponibil.
Activitatea MAI este puternic afectată. MAI riscă să piardă
2. Major grav din credibilitate, importanță și volum de servicii
prestate. Sunt afectate o bună parte din serviciile prestate.
Este afectată imaginea MAI, credibilitatea și imaginea
3. Moderat organizației. Sunt afectate servicii izolate la nivelul
subdiviziunilor.
Activitatea MAI nu este afectată sau afectată nesemnificativ.
4. Neglijabil Serviciile prestate cetățenilor sunt disponibile, cu impact
nesemnificativ asupra calității și performanței.

61. Pentru evaluarea riscului rezidual se utilizează matricea din tabelul nr. 7:

Tabel nr.7:

Probabilitate
Garantat Foarte probabil Puțin probabil Imposibil
Impact
Catastrofic Critic Critic Major Major
Major Major Major Moderat Moderat
Moderat Moderat Moderat Minor Minor
Neglijabil Minor Minor Minor Minor

62. Pentru activitatea MAI, riscuri tolerabile sunt considerate doar riscurile reziduale
cu evaluare „Minor”.

Capitolul V
RAPORTUL DE ANALIZĂ ȘI EVALUARE A RISCURILOR

63. Raportul de analiză și evaluare a riscurilor este elaborat de către RSI, pentru
fiecare analiză a riscurilor efectuată.
64. Raportul trebuie să conțină cel puțin următoarele informații:
1) informație de context privind analiza riscurilor, inclusiv: obiective, sfera de
acoperire, metodologie aplicată, persoane implicate și rolurile acestora (deținător,
gestionar, Coordonator SMSI, etc.);
2) mediul de activitate pentru resursa informațională (ex. destinația de utilizare, rolul
în desfășurarea proceselor interne);
3) mediul Tehnologiei informației pentru resursa informațională (caracteristici
tehnice, relații de interdependență, mentenanță etc.);
4) aprecierea riscurilor inerente, inclusiv pentru confidențialitate, integritate și
disponibilitate, dar și pentru alte caracteristici specifice resursei (ex. autenticitate,
non-repudiere);
5) clasificarea de securitate a resursei informaționale;
6) rezultatele analizei riscurilor de securitate, inclusiv pentru analiza de bază și
analiza detaliată.
65. Raportul de analiză și evaluare a riscurilor conține riscurile identificate și măsurile
implementate la moment în vederea gestiunii riscurilor respective. Informația
respectivă este documentată la etapa de analiză a riscurilor.
66. Scopul Raportului este de a prezenta capacitatea curentă a MAI în gestionarea
riscurilor de securitate la nivelul resursei informaționale.
67. Raportul de analiză și evaluare a riscurilor se aprobă de CSI.
68. Semestrial RSI prezintă un sumar informativ către Conducerea MAI privind
rezultatele analizelor riscurilor efectuate.
69. Raportul de analiză și evaluare a riscurilor se revizuiește o dată la 3 ani sau în
cazul unor modificări semnificative la nivelul resursei, ce pot cauza riscuri de
securitate adiționale și care necesită a fi reevaluate.

Capitolul VI
TRATAREA RISCURILOR

Secțiunea 1
Selectarea strategiei de tratare a riscurilor

70. Pentru tratarea riscurilor reziduale identificate, în cadrul MAI vor fi aplicate
următoarele strategii:
1) Diminuarea riscului – presupune identificarea, selectarea și implementarea
măsurilor de securitate adiționale, ce ar diminua impactul sau probabilitatea de
realizare a riscului;
2) Transferarea riscului – presupune identificarea unei terțe părți ce își va asuma
integral sau parțial riscul, în acest fel diminuând impactul realizării riscului (ex.
asigurare);
3) Evitarea riscului – presupune renunțarea la anumite caracteristici funcționale sau
la utilizarea integrală a resursei informaționale;
4) Acceptarea riscului – presupune acceptarea riscului rezidual, chiar dacă acesta nu
este la un nivel tolerabil. Acceptarea riscului poate fi opțiunea potrivită în cazul în
care diminuarea acestuia implică costuri ce depășesc dimensiunea riscului.
71. RSI, în baza opiniei obținute de la Deținătorul resursei, cu suportul Gestionarului
resursei informaționale, va identifica și va selecta opțiunile de tratare a riscurilor
reziduale.
72. Pentru măsurile de tratare a riscurilor, se efectuează estimarea de resurse necesare
în vederea implementării măsurilor, se stabilesc persoanele responsabile și perioada
de timp pentru implementare.
73. Măsurile de securitate selectate urmează să fie cost-eficiente pentru tratarea
riscurilor.

Secțiunea a 2-a
Planul de tratare a riscurilor de securitate

74. În baza măsurilor de tratare a riscurilor de securitate, RSI va completa Planul de

tratare a riscurilor (parte din Raportul de analiză și evaluare a riscurilor ce urmează a
fi completat în caz că sunt riscuri reziduale ce necesită a fi tratate).
75. Planul de tratare a riscurilor conține măsurile de securitate ce sunt propuse de RSI,
agreate cu Deținătorul resursei informaționale și Responsabilul de risc pentru a fi
implementate în scopul diminuării riscurilor de securitate identificate.
76. Planul de tratare a riscurilor se aprobă de CSI.
77. Gestiunea operațională a riscurilor presupune aplicarea Planului de gestiune a
riscurilor de securitate ori de câte ori un risc de securitate se realizează.
78. Planul de gestiune a riscurilor vizează riscurile identificate și măsurile
implementate la moment în vederea gestiunii riscurilor respective.
 Anexa nr. 1
la Procedura privind analiza și evaluarea
riscurilor de securitate a informației în
cadrul Ministerului Afacerilor Interne

Planul
de efectuare a analizelor riscurilor

Denumirea misiunii
ID resurse Perioada
Nr. de analiză a Deținător Gestionar
incluse desfășurării
riscurilor
1
2
3

Legendă la tabel:

Nr. – numărul de ordine în tabel;

Denumirea misiunii de analiză a riscurilor – Denumirea sugestivă a misiunii de analiză a
riscurilor;
ID resurse incluse – identificatoarele unice ale resurselor informaționale din cadrul MAI;
Deținător – subdiviziunea desemnată ca deținător al resursei informaționale;
Gestionar – subdiviziunea desemnată ca gestionar al resursei informaționale;
Perioada desfășurării – perioada efectuării analizei riscurilor.
 Anexa nr. 2
la Procedura privind analiza și evaluarea
riscurilor de securitate a informației în
cadrul Ministerului Afacerilor Interne

Analiza de bază

Nu este Risc
Ref. Cerință Implementat Propuneri
implementat rezidual

Legendă la tabel:

Ref. – identificatorul cerinței din Standarde de securitate (ex. 7.2.1);

Cerință – textul nemijlocit al cerinței de securitate;
Implementat – măsuri de securitate implementate la moment la nivelul resursei informaționale și
care asigură conformitate totală sau parțială la cerința de securitate;
Nu este implementat – măsuri de securitate ce rezultă că trebuie să fie implementate conform
cerinței de securitate și nu sunt de facto implementate;
Risc rezidual – riscul ce rezultă din faptul că anumite măsuri de securitate (propuse) nu sunt
implementate;
Propuneri – propunerea măsurilor ce ar îmbunătăți conformitatea la cerința de securitate.
 Anexa nr. 3
la Procedura privind analiza și evaluarea
riscurilor de securitate a informației în
cadrul Ministerului Afacerilor Interne

Analiza detaliată

Matricea măsurilor de securitate

ID Denumirea măsurii Descrierea măsurii Obiectiv de Responsabil
de securitate de securitate securitate Gestiune
Categorie măsuri de securitate

Legendă la tabel:

ID – identificatorul măsurii de securitate, care poate fi utilizat ulterior în context;

Denumirea măsurii de securitate – denumirea sugestivă a măsurii de securitate (ex. autentificare
bifactorială);
Descrierea măsurii de securitate – descrierea caracteristicilor și a modului de funcționare a
măsurii de securitate;
Obiectiv de securitate – obiectivul de securitate urmărit de măsura de securitate;
Responsabil Gestiune – subdiviziunea sau funcția responsabilă de operarea măsurii de securitate.

Analiza și evaluarea riscurilor

Măsuri de Risc
Categorie de Risc de Responsabil Nivel
Nr. Impact securitate rezidual
risc securitate de risc RR
implementate (RR)
P=
I=
RR=
P=
I=
RR=
P=
I=
RR=
P=
I=
RR=

Legendă la tabel:

Nr. – numărul de ordine în tabel;

Categorie de risc – categoria din care face parte riscul identificat (ex. compromiterea
confidențialității informației);
Risc de securitate – riscul de securitate nemijlocit la adresa resursei informaționale (ex.
compromiterea accesului logic la nivel aplicativ);
Responsabil de risc – persoana din cadrul MAI primar responsabilă de gestiunea riscului de
securitate;
Impact – descrierea impactului asupra resursei informaționale în cazul producerii riscului de
securitate;
Măsuri de securitate implementate – lista măsurilor de securitate implementate (cu referință la
tabelul măsurilor de securitate), care adresează riscul de securitate indicat;
Risc rezidual – riscul rezidual ce nu este acoperit suficient/eficient de măsurile de securitate
implementate;
Nivel RR – nivelul riscului rezidual, calculat în funcție de evaluarea pentru Impact (I) și
Probabilitate (P);
Acțiuni propuse –acțiunile pentru gestiunea riscului rezidual și diminuarea acestuia (pentru a forma
Planul de tratare riscuri).