1 / 21

Luna Securităţii Cibernetice în Guvern. Ministerul Tehnologiei Informa ţiei şi Comunicaţiilor

Luna Securităţii Cibernetice în Guvern. Ministerul Tehnologiei Informa ţiei şi Comunicaţiilor Clinica juridic ă (09.10.2013). Strategia Naţională „ Moldova Digitală 2020 ”. www.cybersecuritymonth.eu. Un mediu digital securizat și protejat: Obiective și programe. Obiectiv general

vallerie-aubert
Download Presentation

Luna Securităţii Cibernetice în Guvern. Ministerul Tehnologiei Informa ţiei şi Comunicaţiilor

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Luna Securităţii Cibernetice în Guvern. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor Clinica juridică (09.10.2013)

  2. StrategiaNaţională „Moldova Digitală 2020” www.cybersecuritymonth.eu

  3. Un mediu digital securizat și protejat: Obiective și programe Obiectiv general Crearea condiţiilor pentru sporirea gradului de securitate şi încredere în spaţiul digital Obiective specifice: • Sporirea nivelului de securitate cibernetică a infrastructurilor critice naţionale (autorităţi/ instituţii publice, reţele de comunicaţii electronice, apeducte, reţele energetice, reţele de transport, etc.); • Sporirea competenţelor în securitatea cibernetică; • Creşterea gradului de conştientizare a riscurilor spaţiului digital şi a necesităţii măsurilor de asigurare a securităţii cibernetice; • Promovarea şi dezvoltarea cooperării în plan internaţional în domeniul securităţii cibernetice.

  4. Componentele abordării sistemice a securităţii cibernetice sau informaţionale Abordarea sistemică a problemei securităţii cibernetice sau a securităţii informaţionale include 4 componente de bază: 1. Cadrul legislativ, normativ-juridic şi ştiinţific; 2. Structura şi atribuţiile organelor (subdiviziunilor), care asigură securitatea cibernetică sau informaţională; 3. Politica securităţii cibernetice sau informaţionale (măsuri şi metode tehnico-organizatorice şi administrative de asigurare a securităţii cibernetice sau informaţionale); 4. Procedee şi mijloace tehnice şi software de asigurare a securităţii cibernetice şi informaţionale.

  5. CADRUL LEGAL. • Aspectul terminologic în cadrul juridic 1.Nu există o sistematizare privind conţinutul termenilor de "securitate informaţională" şi "protecţia informaţiilor" frecvent utilizaţi în actele legislative, normative şi acordurile internaţionale (circa 270 de acte), precum nu există nici o sistematizare privind interdependenţa termenilor adiacenţi acestora. Majoritatea acestor termeni nu sunt definiţi. 2. Legea nr.20 din 03.02.2009 "Privind prevenirea şi combaterea criminalităţii informatice" este prima Lege care include noţiuni corelate la cuvîntul "informatic": "securitate informatică", "sistem informatic", "program informatic", "date informatice",“trafic informatic”,"activităţi informatice", "infracţiuni şi delicte informatice", "viruşi informatici ". Este prima Lege în care este definită noţiunea"măsuri de securitate – folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de utilizatori",însă nu este definită noţiunea de "securitate informatică".

  6. I. CADRUL LEGAL. Aspectul terminologic în cadrul juridic Strategia naţională de dezvoltare a societăţii informaţionale "Moldova Digitală 2020". În compartimentul "Un mediu digital securizat şi protejat"este definită noţiunea de "securitate cibernetică"prin carese înţelege starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic.

  7. II.STRUCTURA ŞI ATRIBUŢIILE. Organele care asigură securitatea informaţională 1. Din sistemul organelor securităţii statului, potrivit Legii nr.619 din 31.10.1995 "Privind organele securităţii statului", fac parte Serviciul de Informaţii şi Securitate, Serviciul de Protecţie şi Pază de Stat, Poliţia de Frontieră, Serviciul Vamal, Organele serviciului militar de contrainformaţii, precum şi instituţiile de învăţămînt şi alte instituţii şi organizaţii nemilitarizate ale organelor securităţii statului (art.13, art.17). 2. Dar nici unul din aceste organe nu are direct careva sarcini, funcţii, atribuţii sau obligaţiuni privind asigurarea "securităţii informaţionale" a sistemelor şi resurselor informaţionale de importanţă statală, cu excepţia asigurării secretului de stat ce-i revine Serviciului de Informaţii şi Securitate şi autorităţilor publice care deţin informaţii secrete.

  8. II. STRUCTURA ŞI ATRIBUŢIILE. Atribuţii şi obligaţiuni ale SIS privind securitateainformaţională 1. Potrivit prevederilor art.7 (lit."b", "c") şi art.9 (lit."g", "h") din Legea nr.753-XIV din 23.12.1999 "Privind Serviciul de Informaţii şi Securitate al Republicii Moldova", SIS îi revin un şir de atribuţii şi obligaţiuni care practic îi permit SIS să asigure securitatea informaţională a Republicii Moldova din punct de vedere a siguranţei statului. Şi anume: - atribuţiile: "protecţia secretului de stat, exercitarea controlului privind asigurarea păstrării şi prevenirii scurgerii informaţiilor ce constituie secret de stat şi altor informaţii importante pentru stat; crearea, asigurarea funcţionării şi securităţii sistemelor guvernamentale de telecomunicaţii, elaborarea strategiei şi realizarea politicii naţionale în domeniul creării, administrării şi asigurării funcţionării şi securităţii sistemelor speciale de telecomunicaţii". - obligaţiunile: "să asigure, în limita competenţei sale, siguranţa obiectivelor complexului defensiv, sistemului financiar-bancar, energetic, de transport şi telecomunicaţii şi a obiectivelor de importanţă vitală, a sistemelor informaţionale şi de telecomunicaţii, a cercetărilor ştiinţifice; să exercite controlul privind asigurarea păstrării informaţiilor ce constituie secret de stat; să participe la elaborarea şi realizarea măsurilor de protejare a informaţiilor ce constituie secret de stat în autorităţile publice, formaţiunile militare, la întreprinderi, instituţii şi organizaţii, indiferent de tipul de proprietate; să întreprindă, în modul stabilit, măsuri legate de accesul cetăţenilor la informaţiile ce constituie secret de stat".

  9. II. STRUCTURA ŞI ATRIBUŢIILE. Obligaţiunile Serviciului de Protecţie şi Pază de Stat privind securitatea informaţională Potrivit prevederilor art.11 (lit."e", "l") din Legea nr.134-XVI din 13.06.2008 "Cu privire la Serviciul de Protecţie şi Pază de Stat" permite Serviciului "să întreprindă, în limitele competenţei, măsuri de asigurare a fiabilităţii, securităţii informaţionale şi operativităţii sistemelor de telecomunicaţii; să organizeze, potrivit legii, activitatea de apărare a secretului de stat şi a altor informaţii oficiale cu accesibilitate limitată". În sensul prevederilor acestei Legi, asigurarea "securităţii informaţionale" se referă doar la obiectele fizice de importanţă statală(edificii, căi ferate, poduri etc.) şi la persoanele oficiale ale statului.

  10. II. STRUCTURA ŞI ATRIBUŢIILE. Atribuţiile şi obligaţiunile Ministerului Apărării, Poliţiei de Frontieră şi Serviciului Vamal privind securitatea informaţională 1. Regulamentului privind organizarea şi funcţionarea Ministerului Apărării, aprobat prin H.G. nr. 939 din 16.08.2007 nu include prevederi privind securitatea informaţională, cu excepţia atribuţiei de asigurarea recepţionării, prelucrării, verificării, sistematizării şi aprecierii informaţiei privind ameninţările şi pericolele cu caracter militar, care au sau pot avea impact asupra suveranităţii, independenţei şi integrităţii teritoriale a Republicii Moldova (pct.6 lit."b" subpct.1)) 2. Legea nr.283 din 28.12.2011 "Cu privire la Poliţia de Frontieră" nu include nici o prevedere privind funcţiile, atribuţiile sau obligaţiunile Poliţiei de Frontieră la subiectul asigurării securităţii informaţionale, cu excepţia păstrării confidenţialităţii informaţiilor secrete ce ţin de frontiera de stat. 3. Regulamentul Serviciului Vamal, aprobat prin H.G. nr.4 din 02.01.2007, de asemenea, nu include nici o prevedere la subiectul asigurării securităţii informaţionale, cu excepţia atribuţiilor ce-i revin din sfera securităţii economice a ţării.

  11. II. STRUCTURA ŞI ATRIBUŢIILE. Autorităţile şi instituţiile publice competente în domeniul prevenirii şi combaterii criminalităţii informatice În contextul ratificării Convenţiei Consiliului Europei privind criminalitatea informatică (adoptată la Budapesta în 2001), Parlamentul Republicii Moldova a adoptat Legea nr.20 din 03.02.2009 "Privind prevenirea şi combaterea criminalităţii informatice". La art.4 din această Lege sînt indicate funcţiile autorităţilor şi instituţiilor publice competente în domeniul prevenirii şi combaterii criminalităţii informatice: 1. Procuratura Generală, art.4 alin.(4): a) coordonează, conduce şi exercită urmărirea penală, în modul prevăzut de lege; b) dispune, în cadrul desfăşurării urmăririi penale, la solicitarea organului de urmărire penală sau din oficiu, conservarea imediată a datelor informatice ori a datelor referitoare la traficul informatic, faţă de care există pericolul distrugerii ori alterării, în condiţiile legislaţiei de procedură penală; c) reprezintă învinuirea, în numele statului, în instanţă de judecată în modul prevăzut de lege.

  12. II. STRUCTURA ŞI ATRIBUŢIILE. Autorităţile şi instituţiile publice competente în domeniul prevenirii şi combaterii criminalităţii informatice 2. Serviciul de Informaţii şi Securitate art.4 alin.(1) şi (3): - formează şi actualizează în permanenţă bazele de date privind criminalitatea informatică; - desfăşoară activităţi de prevenire şi combatere a criminalităţii informatice ce prezintă ameninţări la adresa securităţii naţionale, activităţi operative de investigaţii, de depistare a legăturilor organizaţiilor criminale internaţionale, alte activităţi în limita competenţei sale. 3. Ministerul Afacerilor Interne, art.4 alin.(1) şi (2): - formează şi actualizează în permanenţă bazele de date privind criminalitatea informatică; - desfăşoară activităţi operative de investigaţie, de urmărire penală, de cooperare internaţională, de identificare a persoanelor care comit infracţiuni informatice.

  13. II. STRUCTURA ŞI ATRIBUŢIILE. Autorităţile şi instituţiile publice competente în domeniul prevenirii şi combaterii criminalităţii informatice 4. Centrul pentru Combaterea Crimelor Economice şi Corupţiei, art.4 alin.(1): - formează şi actualizează în permanenţă bazele de date privind criminalitatea informatică. 5. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor, art.4 alin.(5): - în comun cu Serviciul de Informaţii şi Securitate, prezintă propuneri privind asigurarea protecţiei şi securităţii informatice. 6. Institutul Naţional al Justiţiei, art.4 alin.(6): - realizează perfecţionarea profesională a personalului antrenat în înfăptuirea justiţiei în domeniul combaterii criminalităţii informatice.

  14. II. STRUCTURA ŞI ATRIBUŢIILE. Alte acte care includ atribuţii privind asigurarea protecţiei şi securităţii informaţiei 1. Potrivit prevederilor art.5 şi art.25 din Legea nr.216 din 29.05.2003 "Cu privire la Sistemul informaţional integral automatizat de evidenţă a infracţiunilor, a cauzelor penale şi a persoanelor care au săvîrşit infracţiuni": - asigurarea protecţiei şi securităţii informaţiei cu caracter criminal, inclusiv din băncile locale de date este o atribuţie a fiecărui participant la Sistem; - asigurarea protecţiei, securităţii şi integrităţii informaţiei conţinute în banca centrală de date, precum şi a accesului nemijlocit la această informaţie este o atribuţie a administratorului băncii centrale de date.

  15. II. STRUCTURA ŞI ATRIBUŢIILE. Alte acte care includ atribuţii privind asigurarea protecţiei şi securităţii informaţiei 2. Potrivit prevederilor art.10 alin.(1) din Legea nr.467 din 21.11.2003 "Cu privire la informatizare şi la resursele informaţionale de stat": - asigurarea securităţii sistemelor informaţionale şi protecţia informaţiilor documentate este o atribuţie a autorităţilor administraţiei publice, a persoanelor fizice şi persoanelor juridice, în limitele competenţelor atribuite. 3. Potrivit prevederilor pct.4 subpct.8 din Regulamentul, aprobat prin HG nr.770 din 26.11.2009: - Comisia interdepartamentală pentru protecţia secretului de stat are atribuţia să "efectueze în comun cu autorităţile administraţiei publice şi cu organizaţiile ştiinţifice analiza dezvoltării mijloacelor tehnice în domeniul protecţiei informaţiei„.

  16. II. STRUCTURA ŞI ATRIBUŢIILE. Alte acte care includ atribuţii privind asigurarea protecţiei şi securităţii informaţiei 4. Potrivit pct.7 subpct. 47 şi pct.8 subpct. 6 din Regulamentul privind organizarea şi funcţionarea Ministerului Tehnologiei Informaţiei şi Comunicaţiilor, aprobat prin HG nr.389 din 17.05.2010: - MTIC are atribuţia de a asigura securitatea sistemelor informaţionale şi protecţia informaţiei documentate ce se află în competenţa Ministerului; - MTIC are dreptul să introducă reguli şi norme unice pentru asigurarea protecţiei informaţionale, să aprobe măsuri pentru preîntîmpinarea şi lichidarea consecinţelor avariilor în domeniul tehnologiei informaţiei şi comunicaţiilor.

  17. III. POLITICA SECURITĂŢII. Cerinţe şi Reglementări tehnice. 1. Cerinţe faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin H.G. nr.1123 din 14.12.2010; 2. Cerinţe tehnice. Asigurarea securităţii informaţionale la prestarea serviciilor publice electronice, aprobate prin Ordinul MTIC nr. 94 din 17.09.2009; 3. Cerinţe tehnice. Asigurarea securităţii informaţiei bazelor de date în procesul de prestare a serviciilor publice electronice, aprobate prin Ordinul MTIC nr.106 din 20.12.2010; 4. Cerinţe tehnice. Asigurarea securităţii informaţiei infrastructurii informaţionale pentru autorităţile administraţiei publice, aprobate prin Ordinul MTIC nr.106 din 20.12.2010.

  18. III. POLITICA SECURITĂŢII. Standarde de securitate. - SM EM ISO 9001:2002 "Sisteme de management al calităţii. Cerinţe"; - SM ISO/CEI 17799:2004 "Tehnologia informaţiei. Cod de practică pentru gestiunea securităţii informaţiei"; - SM GOST R ISO/CEI 27001:2008 "Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securităţii informaţiei"; - SMV ISO/CEI 27002:2009 "Tehnologia informaţiei. Tehnici de securitate. Cod de practică pentru managementul securităţii informaţiei".

  19. Concluziile şi propunerile unificate din cadrul mesei rotunde 1. De stabilit un criteriu obligatoriu privind definirea termenilor în actele juridice, care să stabilească un standard structural al acestora, să excludă definirea multiplă şi recursivă a unor şi aceiaşi termeni în diferite acte juridice, cu utilizarea unei trimiteri la actul juridic care deja definesc termenii utilizaţi. 2. De revizuit toate definiţiile din actele legislative şi normative în vigoare pentru a exclude repetarea multiplă a definiţiilor echivalente a unor şi aceiaşi termeni, inclusiv a denumirilor echivalente a termenilor. 3. Definiţiile revizuite ale termenilor de inclus într-un act legislativ de bază.

  20. Concluziile şi propunerile unificate din cadrul mesei rotunde 4. De armonizat cadrul legal în vigoare, astfel ca acesta cu claritate să determine sistemul organelor de stat competente, cu funcţii şi atribuţii distincte, evitîndu-se conflictul de competenţe şi interese pentru domeniile securităţii informaţionale şi securităţii cibernetice (informatice). 5. Potrivit prevederilor art.10 alin.(1) din legea nr.467 din 21.11.2003 "cu privire la informatizare şi la resursele informaţionale de stat", se recomandă autorităţilor administraţiei publice, persoanelor juridice şi fizice să întreprindă măsuri eficiente de asigurare, în limitele competenţelor atribuite, a securităţii sistemelor informaţionale şi resurselor informaţionale, inclusiv protecţia informaţiilor.Stabilirea şi aplicarea unor cerinţe minimale de securitate pentru infrastructurile menţionate. 6. De instituit un grup de lucru înterdepartamental, care să se ocupe cu armonizarea cadrului legal în domeniul securităţii informaţionale şi cibernetice (informatice).

  21. Vă mulţumesc pentru atenție! www.mtic.gov.md www.cybersecuritymonth.eu

More Related