26
01 2017
825

Au fost aprobate Cerinţele minime obligatorii de securitate cibernetică

Cerinţele minime de securitate cibernetică, aprobate de Guvern au drept scop sporirea gradului de securitate şi încredere în spaţiul digital şi urmează a fi aplicate în cadrul Cancelariei de Stat, ministerelor şi altor autorităţi administrative centrale subordonate Guvernului.

Potrivit documentului, cerinţele vor fi aplicate sistemelor şi resuselor informaţionale la etapa de testare, precum şi sistemelor create pentru a fi utilizate la alte etape de elaborare a sistemului — de planificare, proiectare sau dezvoltare.

Totodată, cerinţele nu se vor aplica în cazul sistemelor informaţionale şi reţelelor de comunicaţii speciale, atribuite la secretul de stat şi celor care conţin date cu caracter personal.

Potrivit proiectului, după domeniul de aplicare, cerințele minime obligatorii de securitate cibernetică vor fi divizate în două categorii:

  • cerințele de nivelul I, care se referă la utilizarea tehnologiilor informaționale în activitatea instituțiilor,
  • cerințele de nivelul II, de securitate cibernetică avansată, destinate instituțiilor care prestează servicii bazate pe tehnologiile informaționale și comunicații.

Astfel, pentru cerinţele de nivelul I, la controlul accesului, drepturile, obligaţiile şi restricţiile utilizatorilor urmează a fi stabilite de către persoana responsabilă de proces, iar în cazul cerinţelor de nivelul II, parolele utilizatorilor de sistem trebuie să fie modificate nu mai târziu de 90 de zile calendaristice, cu limitarea posibilităţii de modificare manuală a acesteia nu mai des de două ori în decursul a 24 de ore.

Totodată, parolele vor trebui stabilite astfel, încât să nu coincidă cu oricare dintre cele cinci parole, utilizate anterior, iar contul utilizatorului va fi blocat imediat, dacă a folosit incorect parola de 3 ori consecutiv.

Proiectul conține şi alte standarde de securitate pentru ambele niveluri, inclusiv privind securitatea fizică și cea operațională, schimbul de date.

Personalul din cadrul instituţiior va fi instruit în domeniul securităţii cibernetice conform unui plan de instruire şi responsabilizare, care include instruire în igiena şi etica cibernetică, măsurile de securitate internă privind activitatea personalului, cum ar fi autorizaţiile de acces, monitorizarea, restricţiile etc., precum şi măsuri de securitate privind activitatea instituţiilor cooptate, ca, de exemplu, acorduri de nedivulgare, suspendarea operaţiunilor de externalizare etc.

Totodată, vor fi elaborate Regulamente interne de securitate cibernetică, care vor reglementa dezvoltarea, actualizarea şi mentenanţa sistemelor informaţionale, gestionarea activelor şi facilităţilor de comunicaţii electronice, stocarea copiilor de rezervă a datelor şi a procedurilor de control.

Regulamentele interne vor mai conţine reguli de gestionare a evenimentelor de securitate, proceduri de evaluare a securităţii cibernetice, precum şi proceduri de utilizare a datelor în cazuri excepţionale.

Instituţiile vor mai deţine, obligatoriu, şi un Plan de răspuns de incidente cibernetice. În cazul unor încălcări ale securităţii cibernetice, persoana sau subdiviziunea responsabilă va asigura imediat o notificare, înregistrare şi verificare a incidentelor de securitate cibernetică şi punere în aplicare a măsurilor de contracarare.

De asemenea, instituţiile vor mai fi obligate să asigure efectuarea periodică a auditului de securitate a sistemului.

Proiectul privind aprobarea cerinţelor minime obligatorii de securitate cibernetică a fost aprobat în şedinţa Guvernului din 25 ianuarie curent.

0 comentarii

Doar utilizatorii înregistraţi şi autorizați au dreptul de a posta comentarii.