Professional Documents
Culture Documents
2017 Ord374 Proceduri SMSI Full
2017 Ord374 Proceduri SMSI Full
12
Anexa nr.1
la Ordinul MAI nr. 374
din 12 decembrie 2017
PROCEDURA
privind gestionarea incidentelor de securitate a informației
Capitolul I
DISPOZIȚII GENERALE
Capitolul II
RESPONSABILITĂȚI ȘI IMPLEMENTAREA PROCEDURII
Capitolul III
INCIDENTE DE SECURITATE A INFORMAȚIEI
12. Incidentele de securitate a informației sunt evenimente ce au dus sau pot duce la
realizarea riscurilor de securitate a informației, ca rezultat al eșecului în cadrul
proceselor, sistemelor, oamenilor sau în rezultatul evenimentelor externe. Un incident
se produce nu doar atunci când există impactul asupra securității resurselor
informaționale (realizarea riscului), dar și atunci când există posibilitatea producerii
unui asemenea impact (risc nerealizat).
13. Există o legătură directă între riscurile de securitate și incidentele de securitate
(Cu cât SMSI este mai eficient în a gestiona riscurile de securitate, cu atât mai puține
incidente de securitate vor avea loc)
14. Gestionarea riscurilor de securitate este o componentă critică a SMSI al MAI, ce
permite îmbunătățirea sa continuă în rezultatul utilizării experienței acumulate în
cadrul procesului de gestionare a incidentelor.
15. Clasificarea după tipuri de incidente de securitate a informației după sursa de
acțiune, asupra resurselor informaționale și sistemelor TIC ale MAI, se realizează
conform indicatorilor stabiliți în tabelul nr.1:
Tabel nr. 1:
Categorie Descriere
Cod malițios Codul malițios poate fi orice produs, program rău intenționat sau cod
executat pe un terminal/sistem cu scopul de a altera starea sau funcțiile
terminalului/sistemului fără acordul informat al deținătorului.
Exemple de cod malițios includ: viruși, worms, spyware, keyloggers,
backdoors, etc.
Hacking Hacking este definit ca orice încercare intenționată de a accesa sau
dăuna resurselor informaționale într-un mod neautorizat prin ocolirea
măsurilor de securitate logice implementate.
Exemple de activități de hacking includ: brute force, SQL injection,
criptanalize, DDOS, etc.
Acțiunile de „Hacking” sunt atribuite exclusiv persoanelor ce obțin
acces/privilegii neautorizate la resursele informaționale.
Social Acțiunile sociale cuprind înșelăciune, manipulare, intimidare, etc. pentru
(social a exploata factorul uman sau utilizatorii resurselor informaționale.
engineering) Exemple de activități sociale includ: a pretinde, phishing, șantaj,
amenințări, escrocherii, etc.
Utilizare Utilizarea necorespunzătoare este definită ca utilizarea privilegiilor sau
necorespunzătoare resurselor, autorizate pentru necesități de serviciu, în orice scop sau mod
ce contravine normelor stabilite.
Exemple de aceste acțiuni includ: abuz administrativ, încălcarea
normelor de utilizare acceptabilă, utilizarea resurselor neautorizate, etc.
Acțiunile de „Utilizare necorespunzătoare” sunt atribuite exclusiv
persoanelor ce au acces autorizat și/sau dețin un nivel de încredere în
cadrul MAI.
Fizice Acțiunile fizice cuprind amenințări deliberate care implică proximitate,
deținere sau forță. Această categorie include doar acțiunile intenționate
comise de către factorul uman.
Exemple de aceste acțiuni includ: furt, manipulare, spionaj, sabotaj,
acces fizic la dispozitive, asalt, etc.
Erori Erorile, în linii generale, cuprind tot ce s-a făcut (sau a rămas nefăcut)
într-un mod incorect sau din greșeală.
Exemple de aceste acțiuni includ: omisiuni, erori de programare,
configurări greșite, defecțiuni, etc.
De mediu Această categorie include nu doar evenimentele naturale precum
cutremur și inundații, dar și pericolele asociate mediului și infrastructurii
în care resursele sunt amplasate.
Exemple de aceste acțiuni includ: căderi de tensiune, interferențe
electrice, scurgeri de conducte, condiții de microclimă, etc.
Tabel nr. 2:
Tabelul nr. 3:
URGENŢĂ
IMPACT
Înaltă Medie Joasă
Înalt Excepțional Excepțional Major
Mediu Major Major Ordinar
Jos Ordinar Ordinar Neglijabil
Neglijabil Neglijabil Neglijabil Neglijabil
Tabel nr. 4:
IMPACT Descriere
Înalt Afectează toți angajații MAI la nivelul tuturor subdiviziunilor
MAI. Se încalcă prevederi ale reglementărilor și legislației în
vigoare. Activități de bază nu pot fi efectuate. Pierderile
financiare estimate ale incidentului ar putea fi evaluate la peste
500 000 MDL.
Mediu Poate afecta majoritatea angajaților MAI sau toți angajații unei
instituții subordonate MAI. Prevederile legislației și
reglementărilor aplicabile nu sunt încălcate. Pierderile financiare
estimate ale incidentului ar putea fi evaluate la peste 100 000
MDL.
Jos Afectează un număr redus de angajați. Activitățile de bază se
desfășoară în regim normal. Pierderile financiare estimate ale
incidentului ar putea fi evaluate la peste 10 000 MDL.
Neglijabil Impact nu există sau acesta este neglijabil (activitățile MAI nu
sunt afectate sau sunt afectate nesemnificativ la nivelul unei
subdiviziuni, pierderi financiare nu sunt)
20. Estimarea urgenței soluționării unui incident produs în cadrul MAI, se realizează
conform indicatorilor stabiliți în tabelul nr. 5:
Tabelul nr. 5:
URGENŢĂ Descriere
Înaltă Este necesară reacție imediată. Incidentul afectează activitățile
de bază ale MAI. A fost depășită sau există riscul de a depăși
perioada maximă de întrerupere tolerabilă pentru activitățile
afectate ale MAI. Există riscul ca incidentul să devină public,
fapt ce va influenta creșterea impactului.
Medie Reacțiunea la incident este necesară în termen de până la 4 ore.
Nu există riscul de a fi depășită perioada maximă de întrerupere
tolerabilă pentru activitatea afectată.
Joasă Afectează activitatea sau resursa informațională care poate fi
amânată pe un timp îndelungat. Reacțiunea la incident în termen
de până la 72 ore.
Capitolul IV
Gestionarea incidentelor de securitate a informației
Secțiunea 1
Detectarea și comunicarea incidentului
Secțiunea a 3-a
Escaladare și comunicare
Tabel nr. 6:
Secțiunea a 4-a
Analiza și soluționarea incidentului
Secțiunea a 5-a
Investigarea incidentului
45. După soluționarea unui incident, Echipa CERT împreună cu RSI identifică
cauzele producerii acestuia și măsurile de prevenire ce urmează a fi implementate
pentru a preveni sau a fi mai bine pregătiți de producerea incidentelor similare.
46. Investigarea incidentului se va face de către CERT împreună cu RSI (pentru
Excepțional și Major) sau Coordonatorul SMSI (pentru Ordinar).
47. La investigarea incidentului participă subdiviziunile MAI care au fost afectate de
incident și persoanele implicate la soluționarea incidentului.
Secțiunea a 6-a
Raportarea incidentului
Tabel nr. 7:
Tabel nr.8:
Excepțional
Neglijabil
Ordinar
Major
Câmp Descriere
x x x x
Detectarea Cine a detectat și comunicat incidentul x x x x
Excepțional
Neglijabil
Ordinar
Major
Câmp Descriere
Clasificarea
incidentului de impact și urgenta soluționare)
x x x x
Impactul Nivel impact. Descrierea impactului estimat la
evaluarea incidentului
x x x
Urgență Estimarea nivelului de urgență conform scării de
clasificare
x x x
Responsabil Persoana sau structura organizațională desemnată
de responsabilă pentru depășirea incidentului
gestionarea
x x x
incidentului
Participanții Persoanele/Funcțiile implicate la soluționarea și
Soluționare
la depășirea incidentului
soluționarea
x x
incidentului
Acțiuni Descrierea activităților întreprinse pentru
executate soluționarea incidentului
x x x x
Timpul de Timpul de soluționare a incidentului de la
soluționare detectarea și escaladarea acestuia
x x x
Investigare
Câmp Descriere
Data și ora
Detectare
Detectarea incidentului
Tipul incidentului
Sursa incidentului
Resurse afectate
Evaluare
Clasificarea incidentului
Impactul
Urgență
Responsabil de gestionarea
incidentului
Participanții la soluționarea
Investigare Soluționare
incidentului
Acțiuni executate
Timpul de soluționare
Echipa de investigare
Estimarea consecințelor
Timpul de la producere
Investigarea cauzelor
Măsuri de prevenire
Anexa nr.2
la Ordinul MAI nr. 374
din 12 decembrie 2017
PROCEDURA
privind analiza și evaluarea riscurilor de securitate a informației
Capitolul I
DISPOZIȚII GENERALE
Capitolul II
RESPONSABILITĂȚI ȘI IMPLEMENTAREA PROCEDURII
Capitolul III
ABORDAREA GENERALĂ
14. Resursele informaționale active ale MAI prezintă valoare de utilizare pentru
activitatea sa. Acestea sunt utilizate în scopul prestării serviciilor și informației către
cetățeni, precum și în cadrul proceselor interne ale MAI.
15. Utilizarea resurselor informaționale oferă multiple avantaje și oportunități, iar în
același timp implică riscuri pentru activitatea MAI. În scopul atingerii obiectivelor de
activitate, riscurile implicate la utilizarea resurselor informaționale trebuie să fie
adecvat gestionate.
16. Obiectivul analizei riscurilor este de a identifica, analiza, evalua și stabili planul
de tratare pentru riscurile de securitate a informației aferente resurselor informaționale
ale MAI. Acest obiectiv poate fi atins prin intermediul unui proces matur și eficient de
analiză și evaluare a riscurilor de securitate a informației.
17. În urma procesului de analiză a riscurilor, resursele informaționale ale MAI vor fi
protejate proporțional riscurilor implicate de acestea pentru activitatea MAI. Riscurile
reziduale vor fi la un nivel acceptabil, aprobate de către CSI.
18. Procesul de analiză și evaluare a riscurilor de securitate este prezentat în figura
nr.1.
Figura nr. 1:
Secțiunea 1
Clasificarea resurselor informaționale
Tipurile de clasificare în cadrul analizei riscurilor
Tabel nr.3:
Secțiunea a 2-a
Planificarea analizei riscurilor
26. Analiza și evaluarea riscurilor de securitate este un proces complex care necesită
efort semnificativ. Resursele alocate pentru efectuarea analizei riscurilor urmează să
fie utilizate eficient.
27. Pentru utilizarea rațională a resurselor alocate pentru efectuarea analizei
riscurilor de securitate este rațional a efectua analiza și evaluarea riscurilor, inițial,
pentru resursele informaționale ce implică riscuri de securitate comparativ mai mari
pentru activitatea MAI.
28. În scopul evaluării priorității de efectuare a analizei riscurilor, se efectuează o
evaluare a riscurilor de securitate inerente pentru resursele informaționale, care
includ:
1) rezultatele analizelor riscurilor precedente (aprecierea pentru rezultatele
analizei riscurilor efectuată ultima dată, ține cont de doi factori: rezultatele nemijlocit,
timpul scurs de la ultima analiză a riscurilor);
2) modificări în configurații (modificări în configurația resursei informaționale sau
în mediul în care resursa informațională este menținută și utilizată);
3) modificări în cadrul de reglementare (modificări în cadrul legal și de
reglementare ce afectează profilul de risc al resursei informaționale);
4) concluziile de audit (concluziile auditorului intern sau extern cu privire la
nivelul de securitate al resursei date);
5) incidentele de securitate produse (numărul de incidente produse în ultimul an și
gravitatea acestora).
29. În baza rezultatelor evaluării riscurilor inerente și clasificării de securitate a
resursei informaționale, va fi elaborat Planul de efectuare a analizelor riscurilor.
Structura Planului de efectuare a analizelor riscurilor este stabilită în Anexa nr.1 la
această Procedură.
30. Responsabil de elaborarea Planului de analiză a riscurilor de securitate este
RSI, în comun cu Deținătorii de resurse informaționale.
31. Planul de analiză a riscurilor de securitate se aprobă de CSI.
32. Inițierea și efectuarea misiunilor de analiză a riscurilor se va efectua, conform
Planului de efectuare a analizelor riscurilor aprobat de CSI, pentru fiecare resursă
informațională sau grup de resurse informaționale.
Capitolul IV
ANALIZA ȘI EVALUAREA RISCURILOR
33. Fiecare analiză a riscurilor se va desfășura sub forma unui proiect separat.
Responsabil de gestiunea proiectului este RSI. Deținătorii și Gestionarii resurselor
informaționale implicate vor oferi toate informațiile necesare pentru efectuarea
analizei riscurilor.
34. Modelul general pentru analiza riscurilor este prezentat în figura nr. 2.
Figura nr. 2:
Secțiunea a 2-a
Aplicarea metodei detaliate
Secțiunea a 5-a
Analiza riscurilor
54. Analiza riscurilor are drept scop de a identifica și înțelege modul în care
amenințările de securitate pot evita măsurile de securitate identificate și compromite
securitatea resursei informaționale.
55. Riscurile astfel identificate sunt considerate riscuri reziduale pentru resursa
informațională.
56. Descrierea riscului rezidual se face pentru fiecare scenariu de risc și conține
informație privind modul de acționare a amenințării, vulnerabilitățile exploatate și
impactul posibil asupra resursei, dar și asupra activității MAI.
Secțiunea a 6-a
Evaluarea riscurilor
57. Evaluarea riscurilor are drept scop de a aprecia dacă riscul rezidual identificat este
tolerabil pentru activitatea MAI.
58. Evaluarea riscului rezidual se face în funcție de estimările pentru impactul (I)
produs de realizarea riscului și probabilitatea (P) de realizare a riscului.
59. Pentru evaluarea probabilității se utilizează scara conform tabelului nr.5:
Tabel nr.5:
Tabel nr. 6:
61. Pentru evaluarea riscului rezidual se utilizează matricea din tabelul nr. 7:
Tabel nr.7:
Probabilitate
Garantat Foarte probabil Puțin probabil Imposibil
Impact
Catastrofic Critic Critic Major Major
Major Major Major Moderat Moderat
Moderat Moderat Moderat Minor Minor
Neglijabil Minor Minor Minor Minor
62. Pentru activitatea MAI, riscuri tolerabile sunt considerate doar riscurile reziduale
cu evaluare „Minor”.
Capitolul V
RAPORTUL DE ANALIZĂ ȘI EVALUARE A RISCURILOR
63. Raportul de analiză și evaluare a riscurilor este elaborat de către RSI, pentru
fiecare analiză a riscurilor efectuată.
64. Raportul trebuie să conțină cel puțin următoarele informații:
1) informație de context privind analiza riscurilor, inclusiv: obiective, sfera de
acoperire, metodologie aplicată, persoane implicate și rolurile acestora (deținător,
gestionar, Coordonator SMSI, etc.);
2) mediul de activitate pentru resursa informațională (ex. destinația de utilizare, rolul
în desfășurarea proceselor interne);
3) mediul Tehnologiei informației pentru resursa informațională (caracteristici
tehnice, relații de interdependență, mentenanță etc.);
4) aprecierea riscurilor inerente, inclusiv pentru confidențialitate, integritate și
disponibilitate, dar și pentru alte caracteristici specifice resursei (ex. autenticitate,
non-repudiere);
5) clasificarea de securitate a resursei informaționale;
6) rezultatele analizei riscurilor de securitate, inclusiv pentru analiza de bază și
analiza detaliată.
65. Raportul de analiză și evaluare a riscurilor conține riscurile identificate și măsurile
implementate la moment în vederea gestiunii riscurilor respective. Informația
respectivă este documentată la etapa de analiză a riscurilor.
66. Scopul Raportului este de a prezenta capacitatea curentă a MAI în gestionarea
riscurilor de securitate la nivelul resursei informaționale.
67. Raportul de analiză și evaluare a riscurilor se aprobă de CSI.
68. Semestrial RSI prezintă un sumar informativ către Conducerea MAI privind
rezultatele analizelor riscurilor efectuate.
69. Raportul de analiză și evaluare a riscurilor se revizuiește o dată la 3 ani sau în
cazul unor modificări semnificative la nivelul resursei, ce pot cauza riscuri de
securitate adiționale și care necesită a fi reevaluate.
Capitolul VI
TRATAREA RISCURILOR
Secțiunea 1
Selectarea strategiei de tratare a riscurilor
70. Pentru tratarea riscurilor reziduale identificate, în cadrul MAI vor fi aplicate
următoarele strategii:
1) Diminuarea riscului – presupune identificarea, selectarea și implementarea
măsurilor de securitate adiționale, ce ar diminua impactul sau probabilitatea de
realizare a riscului;
2) Transferarea riscului – presupune identificarea unei terțe părți ce își va asuma
integral sau parțial riscul, în acest fel diminuând impactul realizării riscului (ex.
asigurare);
3) Evitarea riscului – presupune renunțarea la anumite caracteristici funcționale sau
la utilizarea integrală a resursei informaționale;
4) Acceptarea riscului – presupune acceptarea riscului rezidual, chiar dacă acesta nu
este la un nivel tolerabil. Acceptarea riscului poate fi opțiunea potrivită în cazul în
care diminuarea acestuia implică costuri ce depășesc dimensiunea riscului.
71. RSI, în baza opiniei obținute de la Deținătorul resursei, cu suportul Gestionarului
resursei informaționale, va identifica și va selecta opțiunile de tratare a riscurilor
reziduale.
72. Pentru măsurile de tratare a riscurilor, se efectuează estimarea de resurse necesare
în vederea implementării măsurilor, se stabilesc persoanele responsabile și perioada
de timp pentru implementare.
73. Măsurile de securitate selectate urmează să fie cost-eficiente pentru tratarea
riscurilor.
Secțiunea a 2-a
Planul de tratare a riscurilor de securitate
Planul
de efectuare a analizelor riscurilor
Denumirea misiunii
ID resurse Perioada
Nr. de analiză a Deținător Gestionar
incluse desfășurării
riscurilor
1
2
3
Legendă la tabel:
Analiza de bază
Nu este Risc
Ref. Cerință Implementat Propuneri
implementat rezidual
Legendă la tabel:
Analiza detaliată
Legendă la tabel:
Măsuri de Risc
Categorie de Risc de Responsabil Nivel
Nr. Impact securitate rezidual
risc securitate de risc RR
implementate (RR)
P=
I=
RR=
P=
I=
RR=
P=
I=
RR=
P=
I=
RR=
Legendă la tabel: