ID intern unic: 361818
Версия на русском
Republica Moldova
din 29.10.2015
cu privire la Programul național de securitate cibernetică
a Republicii Moldova pentru anii 2016-2020
a Republicii Moldova pentru anii 2016-2020
MODIFICAT
HG522 din 06.07.17, MO244-251/14.07.17 art.616
În temeiul prevederilor Legii nr.64-XII din 31 mai 1990 cu privire la Guvern (republicată în Monitorul Oficial al Republicii Moldova, 2002, nr.131-133, art. 1018), cu modificările și completările ulterioare, Guvernul HOTĂRĂŞTE:
1. Se aprobă Programul național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020 (se anexează).
2. Ministerele și alte autorităţi administrative centrale vor prezenta Ministerului Tehnologiei Informaţiei şi Comunicaţiilor semestrial, pînă la data de 1 august și 1 februarie, informaţia despre executarea Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020, conform responsabilităților stabilite în acesta.
3. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor va generaliza informaţia recepţionată şi va prezenta Guvernului semestrial, pînă la data de 1 septembrie și 1 martie, raportul despre executarea Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020.
4. Monitorizarea şi coordonarea procesului de realizare a Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020 se pun în sarcina Ministerului Tehnologiei Informaţiei şi Comunicaţiilor.
PRIM-MINISTRU Valeriu STRELEŢ
Contrasemnează:
Ministrul tehnologiei informaţiei
şi comunicaţiilor Pavel Filip
Ministrul afacerilor interne Oleg Balan
Ministrul apărării Anatolie Șalaru
Nr. 811. Chişinău, 29 octombrie 2015.
2. Termenii utilizați în Program au următoarele semnificații:
1) amenințare cibernetică – circumstanță sau eveniment care constituie un pericol potențial la adresa securității cibernetice;
2) apărare cibernetică – acțiuni desfășurate în scopul protecției, monitorizării, analizării, detectării, contracarării agresiunilor și asigurării răspunsului oportun la amenințările asupra infrastructurilor cibernetice destinate apărării naționale;
3) atac cibernetic – acțiune ostilă, desfășurată în spațiul cibernetic, de natură să afecteze securitatea cibernetică;
4) audit de securitate cibernetică – evaluare sistemică, detaliată, măsurabilă și tehnică a modului în care politicile de securitate cibernetică sînt aplicate la nivelul infrastructurilor cibernetice, cu emiterea de recomandări pentru minimizarea riscurilor identificate;
5) incident cibernetic – eveniment survenit în spațiul cibernetic ale cărui consecințe afectează securitatea cibernetică;
6) eveniment survenit în spațiul cibernetic – acțiune desfășurată în spațiul cibernetic care are drept consecință modificarea stării infrastructurilor cibernetice;
7) infrastructuri cibernetice – infrastructuri din domeniul tehnologiei informației și comunicației, constînd din sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice;
8) infrastructuri cibernetice de interes național (ICIN) – infrastructuri cibernetice care susțin servicii publice sau de interes public, precum și servicii ale societății informaționale a căror afectare poate aduce atingere securității naționale ori prejudicii grave statului sau cetățenilor acestuia;
9) management al identității – metode de validare a identității persoanelor atunci cînd acestea accesează anumite infrastructuri cibernetice;
10) management al riscului – proces complex, continuu și flexibil de identificare, evaluare și contracarare a riscurilor la adresa securității cibernetice, bazat pe utilizarea unor tehnici și instrumente complexe, pentru prevenirea pierderilor de orice natură;
11) operații în rețelele de calculatoare – proces complex de planificare, coordonare, sincronizare, armonizare și desfășurare a acțiunilor în spațiul cibernetic pentru protecția, controlul și utilizarea rețelelor de calculatoare, în scopul obținerii superiorității informaționale, concomitent cu neutralizarea capabilităților adversarului;
12) reziliență a infrastructurilor cibernetice – capacitate a componentelor infrastructurilor cibernetice de a rezista unui incident sau unui atac cibernetic și de a reveni în starea de normalitate;
13) risc de securitate în spațiul cibernetic – probabilitate ca o amenințare să se materializeze, exploatînd o anumită vulnerabilitate specifică infrastructurilor cibernetice;
14) securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu complex de măsuri proactive şi reactive prin care în spațiul cibernetic se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a sistemelor și resurselor informaționale, a serviciilor publice și private. Măsurile proactive și reactive includ politici, concepte, standarde și ghiduri de securitate, managementul riscului, activități de instruire și conștientizare, implementarea de soluții tehnice de protecție a infrastructurilor cibernetice, managementul identității, managementul consecințelor;
15) spațiu cibernetic – mediu virtual, generat de infrastructurile cibernetice, incluzînd conținutul informațional procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acest mediu;
16) vulnerabilitate în spațiul cibernetic – ineficacitate în proiectarea și implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente, care poate fi exploatată de către o amenințare.
Alți termeni din Program sînt utilizați în sensul definit de Legea nr.20-XVI din 3 februarie 2009 privind prevenirea şi combaterea criminalităţii informatice, Legea comunicațiilor electronice nr.241-XVI din 15 noiembrie 2007 și Legea nr.467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat.
3. Conceptul securităţii cibernetice se bazează pe următoarele principii:
1) protecţia drepturilor și libertăților fundamentale ale omului. Asigurarea securității cibernetice poate fi adecvată şi eficientă doar în cazul în care se bazează pe drepturile şi libertăţile fundamentale ale omului, inclusiv pe valorile general umane. Nici un proces de transfer, procesare sau stocare de date, inclusiv cu caracter personal, comercial și confidențial, nu poate fi asigurat fără utilizarea sistemelor informaționale, a reţelelor și serviciilor de comunicații electronice securizate. Orice tratare a informațiilor efectuată în scopul asigurării securității cibernetice trebuie să fie conformă cadrului legal și tratatelor la care Republica Moldova este parte;
2) accesul pentru toţi. Accesul sigur şi liber la internet și la resursele acestuia este un drept al fiecărei persoane. Accesibilitatea limitată sau lipsa accesului, precum şi analfabetismul digital constituie dezavantaje atît pentru cetăţeni, cît și pentru autorități;
3) rezilienţa cibernetică. Sesizarea preventivă sau anticipată a ameninţărilor și atacurilor cibernetice, a altor evenimente survenite în spaţiul cibernetic este esenţială din cauza caracterului lor transfrontalier și materializării asimetrice. Astfel, acestea urmează a fi depistate, pentru a elimina sau a diminua efectele care pot afecta starea de normalitate a securității cibernetice. Amenințările cibernetice apar ca urmare a exploatării unor vulnerabilități. Mediul de ameninţări şi vulnerabilități este extrem de fluid şi dinamic: ameninţările pot apărea în decurs de zile sau chiar ore. Avînd în vedere acest mediu specific, responsabilii și coordonatorii de securitate cibernetică trebuie să îl monitorizeze continuu, să depisteze amenințările cibernetice și să consulte permanent sursele recunoscute de informare ale companiilor-lider în domeniul securităţii cibernetice, experţii din mediul academic şi diverse publicaţii;
4) administrare multiparticipativă. Atît la nivel local sau național, cît și la nivel regional sau global, spaţiul cibernetic nu poate fi ținut sub control de o singură entitate. În spațiul cibernetic nu pot fi fixate frontiere analogic frontierelor dintre unitățile administrativ-teritoriale sau dintre state. Astfel, pentru a asigura rezilienţa cibernetică, autorităţile publice şi sectorul privat trebuie să-şi dezvolte abilităţile necesare şi să coopereze în mod eficient între ele. Prin administrare multiparticipativă și acţiuni comune, autorităţile publice şi sectorul privat pot să combată cu succes riscurile şi ameninţările cibernetice, pot contribui cu un răspuns coordonat și eficient la evenimentele survenite în spațiul cibernetic, care au dimensiuni naţionale şi transfrontaliere;
5) responsabilitatea comună și răspunderea personalizată pentru asigurarea securităţii cibernetice. Dependenţa crescîndă a activităților umane de tehnologiile informaţiei şi comunicaţiei implică vulnerabilităţi care urmează a fi identificate, analizate minuţios și eliminate sau diminuate, în funcţie de pericolul potențial la adresa securității cibernetice. Toate părţile implicate în executarea activităților de asigurare a securității cibernetice, fie că sînt autorităţi publice, fie că aparţin sectorului privat sau sînt doar simpli cetăţeni, trebuie să recunoască această responsabilitate comună și răspundere personalizată, să întreprindă acţiuni proprii și comune de protecţie, să contribuie la consolidarea securității cibernetice și apărării cibernetice în conformitate cu cadrul legal.
5. Astfel, potrivit rapoartelor Norton1 pentru anii 2012 și 2013, costul global al criminalității cibernetice este în creștere. Pierderile globale au constituit în anul 2013 circa 113 miliarde dolari SUA față de 110 miliarde dolari SUA în 2012, iar pierderile în medie pe o victimă au fost de 298 dolari SUA în 2013 față de 197 dolari SUA în anul 2012. Potrivit datelor din aceleași rapoarte, sîntem supuși în permanență unor riscuri majore la accesarea rețelelor wi-fi neprotejate. Este destul de mare riscul accesării neautorizate a poștei electronice personale (54% în anul 2013 față de 64% în anul 2012) ca urmare a interceptării parolei de accesare, precum și riscul accesării neautorizate a paginilor personale ale utilizatorilor rețelelor sociale (56% în anul 2013 față de 63% în anul 2012). Este destul de ridicat și riscul în comerțul electronic, efectuat prin magazine online, accesate prin intermediul rețelelor wi-fi neprotejate (29% în anul 2013 față de 31% în anul 2012). A crescut riscul accesării neautorizate a conturilor bancare în urma efectuării operațiunilor prin intermediul rețelelor wi-fi neprotejate, care în anul 2013 a crescut la 29% față de 24% în anul 2012. Accesarea conturilor bancare prin intermediul rețelelor wi-fi neprotejate sporește considerabil riscul interceptării datelor de acces și, prin urmare, al accesării neautorizate ulterioare a acestora în scopuri criminale.
––––––––––––––––––––––––––––––––––––––––––––––
1 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.
6. Din cauza ratei destul de ridicate a riscurilor de accesare sus-menţionate, precum și a altor riscuri cibernetice specifice, în anul 2013 numărul victimelor care au suferit în urma unor fraude, atacuri și incidente cibernetice a constituit circa 379 milioane, față de 558 milioane în anul 2012. Astfel, în anul 2013 au fost afectați 64% dintre proprietarii dispozitivelor mobile, 63% dintre utilizatorii rețelelor sociale, 68% dintre utilizatorii rețelelor wi-fi publice, 65% dintre părinţii copiilor și 68% dintre piețele emergente. În pofida numărului foarte mare de victime, doar o parte dintre utilizatorii internetului conștientizează că dispozitivele lor electronice (telefoane mobile, tablete, laptopuri, calculatoare etc.) pot fi supuse unor atacuri cibernetice la conectarea la internet, al căror impact poate fi diminuat semnificativ dacă se respectă cele mai simple recomandări de siguranță. Acest fapt favorizează considerabil creșterea criminalității cibernetice (informatice) prin exploatarea vulnerabilităţilor de natură umană.
7. Pînă în prezent nu a fost efectuat nici un audit de securitate cibernetică, nu există studii sau rapoarte care ar reflecta în detalii situația privind criminalitatea informatică în Republica Moldova, ameninţările și riscurile cibernetice, atacurile și incidentele cibernetice, alte evenimente survenite în spațiul cibernetic, numărul victimelor și prejudiciile economice ale materializării acestora.
8. Unica sursă oficială de date statistice privind criminalitatea informatică este Registrul de evidenţă a infracţiunilor, a cauzelor penale, a persoanelor care au săvîrşit infracţiuni şi a materialelor cu privire la infracţiuni din cadrul Sistemului informaţional integral automatizat de evidenţă a infracţiunilor, a cauzelor penale şi a persoanelor care au săvîrşit infracţiuni. Potrivit informației din Sistemul informațional automatizat „Registrul informaţiei criminalistice şi criminologice”, prezentate de Ministerul Afacerilor Interne, începînd cu anul 2013 și pînă în august 2015 inclusiv au fost înregistrate 72 de infracțiuni informatice pe art.259-2611 și art.2081 ale Codului penal al Republicii Moldova, cu un prejudiciu material estimat la circa 21588 mii lei. În particular, ca urmare a activităților Procuraturii Generale și Inspectoratului General al Poliției, au fost înregistrate în anul 2013 – 23 de infracțiuni, cu un prejudiciu de circa 14139 mii lei, în anul 2014 – 24 de infracțiuni, cu un prejudiciu de circa 1323 mii lei, iar în primele 8 luni ale anului 2015 – 25 de infracțiuni, cu un prejudiciu de circa 6126 mii lei. Concomitent, în aceeași perioadă de timp au fost înregistrate 57 de încălcări ale dreptului de autor şi drepturilor conexe, cu valoarea totală a amenzilor aplicate de circa 99 mii lei. Cu toate că datele din Registrul informaţiei criminalistice şi criminologice nu sînt încă complete și nu reflectă toate clasele de infracțiuni și contravenții în sensul Convenției Consiliului Europei de la Budapesta privind criminalitatea informatică, se poate constata că numărul infracțiunilor și contravențiilor informatice este în creștere.
9. Totodată, conform datelor Centrului de Telecomunicații Speciale, numărul atacurilor cibernetice asupra serverelor web a crescut în anul 2014 față de anul 2013 cu circa 26%, iar vulnerabilitățile porturilor deschise au sporit cu circa 385%. Posibilitățile de infectare a calculatoarelor cu viruși informatici au crescut cu circa 27%. Numărul incidentelor asupra poștei electronice guvernamentale s-a micșorat în 2014 față de 2013 cu circa 1%. Concomitent, s-a micșorat ponderea acestor incidente în totalul atacurilor cibernetice. În 2014 această pondere s-a diminuat la 40%, față de 51% în 2013.
10. Pericolul major de materializare a acestor evenimente survenite în spațiul cibernetic, în care nu există frontiere, a impus ca pe agenda unui șir de țări, începînd cu anul 2009, să fie inclusă ca subiect dominant problema securității cibernetice. Deja 56 de state din lume dispun de documente de politici2 aprobate în domeniul securității cibernetice, inclusiv 21 de state ale Uniunii Europene. 37 de state din lume au aprobat documentele de politici pe parcursul anilor 2013-2015, inclusiv 14 state – în 2015.
––––––––––––––––––––––––––––––––––––––––––––––
2 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.
11. Cadrul legal intern al acestor țări se ajustează corespunzător prevederilor Convenţiei Consiliului Europei privind criminalitatea informatică, adoptate la Budapesta la 23 noiembrie 2001, ținîndu-se cont de Recomandările Uniunii Internaţionale a Telecomunicaţiilor referitoare la securitatea cibernetică.
12. Republica Moldova a ratificat Convenţia Consiliului Europei privind criminalitatea informatică prin Legea nr.6-XVI din 2 februarie 2009. Totodată, a fost adoptată Legea nr.20-XVI din 3 februarie 2009 privind prevenirea şi combaterea criminalităţii informatice, au fost operate modificări și completări la Codul penal în corespundere cu prevederile Convenției ratificate, însă prevederile de ordin procedural ale acesteia, precum și cele ce țin de dezvoltarea punctului de contact al rețelei 24/7 nu au fost încă implementate.
13. În baza analizei efectuate a fost identificată problema de bază – lipsa unui sistem de management al securității cibernetice, în cadrul căruia să se efectueze coordonat planificarea și utilizarea resurselor disponibile, identificarea vulnerabilităților și riscurilor în urma auditului de securitate cibernetică, a intervenţiilor necesare pentru diminuarea impactului dăunător al criminalității, atacurilor și incidentelor cibernetice asupra dezvoltării sigure a societății informaționale. Acest sistem urmează să fie extins în toate sferele vieţii sociale, economice şi politice. Acesta trebuie să fie creat și implementat de către entităţile vizate din domeniul public și cel privat.
14. Lipsa unui sistem de management al securității cibernetice a Republicii Moldova generează și lipsa datelor statistice complete, veritabile, actualizate şi structurate, ceea ce, la rîndul său, impune unele limitări în analiza efectuată şi identificarea de soluţii optime. De rezultatul soluționării problemei de bază depinde eficienţa măsurilor întreprinse în vederea dezvoltării unei societăţii informaţionale securizate în Republica Moldova, avansării tehnologice şi ştiinţifice, participării active a cetăţenilor la viaţa socială şi culturală, precum şi dinamica de creştere economică a ţării.
15. Pînă în prezent nu există un cadru legal privind delimitarea și armonizarea competențelor și responsabilităților instituțiilor statului și celor private în domeniul securității cibernetice, nu se aplică mecanismul obligatoriu de audit al securității cibernetice în cadrul instituțiilor publice și private, prin care pot fi identificate vulnerabilitățile, riscurile și amenințările cibernetice în scopul prevenirii sau diminuării, prin măsuri speciale, a impactului atacurilor, incidentelor și altor evenimente survenite în spațiul cibernetic, a căror origine este dificil de stabilit.
16. În afara reglementărilor legislative, normative și tehnico-normative, persistă o serie de probleme specifice ce țin de asigurarea securității cibernetice a Republicii Moldova și care sînt părți componente ale problemei de bază identificate mai sus:
1) nu este asigurată siguranța deplină la procesarea, stocarea și accesarea datelor publice, indiferent de clasificarea acestora;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice nu sînt ajustate la standardele și recomandările Uniunii Europene, Uniunii Internaţionale a Telecomunicaţiilor, la prevederile Acordului de Asociere între Republica Moldova şi Uniunea Europeană;
3) nu există capacități suficiente de prevenire și reacție urgentă la nivel național (CERT), ţinînd cont de caracterul asimetric al atacurilor și incidentelor cibernetice;
4) cadrul legislativ-normativ național nu este armonizat integral la prevederile Convenţiei Consiliului Europei privind criminalitatea informatică, instituțiile vizate nu dispun de competențe clare privind asigurarea securității cibernetice;
5) dispunem de capacități reduse de apărare cibernetică ca urmare a caracterului asimetric al atacurilor cibernetice;
6) nu sînt asigurate educația, formarea și informarea continuă în domeniul securității cibernetice;
7) există o insuficienţă a cooperării și interacțiunii internaționale privind identificarea riscurilor, vulnerabilităților, altor evenimente survenite în spațiul cibernetic global și prevenirea amenințărilor și atacurilor cibernetice transfrontaliere.
17. Soluționarea problemei de bază, inclusiv a problemelor specifice, presupune intervenții în cadrul legislativ și instituțional, în cadrul normativ și tehnico-normativ, în pregătirea continuă și certificarea specialiștilor în domeniul securității cibernetice, auditului de securitate cibernetică a entităților care dețin infrastructuri cibernetice, sisteme informaționale și rețele de comunicații electronice, inclusiv a celor care prestează servicii informatice și de comunicații electronice.
18. Totodată, soluționarea problemelor identificate este în concordanță cu obiectivul general orizontal privind asigurarea securității cibernetice stipulat în Strategia națională de dezvoltare a societății informaționale „Moldova Digitală 2020”, aprobată prin Hotărîrea Guvernului nr.857 din 31 octombrie 2013, cu prevederile Acordului de Asociere între Republica Moldova și Uniunea Europeană, ratificat prin Legea nr. 112 din 2 iulie 2014, precum și cu noua viziune a Strategiei securităţii naţionale a Republicii Moldova.
20. Realizarea obiectivului principal al Programului, în conformitate cu problemele specifice identificate în capitolul precedent, se va produce prin realizarea complexă a 7 obiective specifice:
1) procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice;
3) dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională);
4) prevenirea și combaterea criminalității informatice;
5) consolidarea capacităților de apărare cibernetică;
6) educația, formarea și informarea continuă în domeniul securității cibernetice;
7) cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică.
22. Conform Planului de acțiuni, anexă la prezentul Program, obiectivul specific „Procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public” va fi realizat prin asigurarea ajustării cadrului normativ-legislativ privind securitatea cibernetică a Republicii Moldova, clasificarea tipurilor de informație, analiza și elaborarea propunerilor de aplicare la nivel național a standardelor ce țin de procesarea, stocarea și accesarea în siguranţă a datelor, elaborarea unei metodologii pentru evaluarea vulnerabilităților sistemelor informaționale în baza standardelor prestabilite, elaborarea cerințelor minime obligatorii de securitate cibernetică, certificarea specialiștilor, efectuarea auditului de securitate cibernetică şi elaborarea planurilor de înlăturare a vulnerabilităților depistate, executarea altor măsuri, conform Planului de acțiuni.
23. Obiectivul specific „Securitatea și integritatea rețelelor și serviciilor de comunicații electronice” va fi realizat prin armonizarea legislației din domeniul comunicațiilor electronice la directivele-cadru UE din domeniu, stabilirea măsurilor minime de securitate ce trebuie luate de către furnizori pentru asigurarea securității și integrității rețelelor și serviciilor de comunicații electronice, raportarea incidentelor cu impact asupra acestor rețele și servicii, aplicarea la nivel național a standardelor europene și internaționale ce țin de protecția și securitatea rețelelor de comunicații electronice, executarea altor măsuri, conform Planului de acțiuni.
24. Obiectivul specific „Dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională)” va fi realizat prin crearea Centrului național de reacție la incidentele de securitate cibernetică (CERT) și a centrelor departamentale în autoritățile publice centrale, autoritățile publice locale, alte entități ce dețin sisteme informaționale de stat, stabilirea obligațiilor de raportare și evidență operativă obligatorie a incidentelor de securitate cibernetică pentru autorităţile administraţiei publice centrale şi locale și mediul de afaceri din domeniul tehnologiei informației și comunicațiilor, elaborarea și aplicarea unor metode de prevenire anticipată a incidentelor de securitate cibernetică în Republica Moldova, desfășurarea unor exerciții și antrenamente de consolidare a capacităților de reacție la incidentele și atacurile cibernetice cu blocarea acestora, executarea altor măsuri, conform Planului de acțiuni.
25. Obiectivul specific „Prevenirea și combaterea criminalității informatice” va fi realizat prin elaborarea proiectelor de legi pentru armonizarea continuă a legislației penale, contravenționale și procesuale la prevederile Convenției europene privind criminalitatea informatică și la deciziile Comitetului acestei Convenții, ratificarea Protocolului adițional la această Convenție, ajustarea legislației și statisticii naționale la prevederile Convenției Consiliului Europei pentru protecția copiilor împotriva exploatării și abuzurilor sexuale și Protocolului adițional la această Convenție, consolidarea capacităților de prevenire și combatere a criminalității informatice în cadrul Procuraturii Generale, Serviciului de Informații și Securitate, Inspectoratului General al Poliției al Ministerului Afacerilor Interne, instruirea angajaţilor organelor de drept în domeniul securității cibernetice conform recomandărilor proiectului EAP al Consiliului Europei, executarea altor măsuri, conform Planului de acțiuni.
26. Obiectivul specific „Consolidarea capacităților de apărare cibernetică” va fi realizat prin stabilirea autorităților responsabile și asigurarea cooperării dintre acestea pe timp de pace, în situații de criză, asediu și război în cadrul spațiului cibernetic, elaborarea compartimentului de apărare cibernetică a Republicii Moldova ca parte componentă a Strategiei securității informaționale a Republicii Moldova, instruirea în domeniul securității cibernetice a personalului din sfera securității și apărării naționale, dezvoltarea capabilităților militare de protecție a infrastructurii și serviciilor critice ce țin de apărarea națională, executarea altor măsuri, conform Planului de acțiuni.
27. Obiectivul specific „Educația, formarea și informarea continuă în domeniul securității cibernetice” va fi realizat prin crearea unui laborator de securitate cibernetică, completarea curriculumului de învățămînt cu studierea materiei din domeniul securității cibernetice, elaborarea și implementarea conceptului campaniilor de informare și conștientizare a riscurilor din spațiul cibernetic, stabilirea cerințelor de competență în domeniul securității cibernetice pentru personalul din sectorul public și privat, evidența, instruirea, evaluarea și certificarea acestui personal, organizarea și efectuarea trainingurilor și workshopurilor în domeniul securității cibernetice pentru personalul instituțiilor deținătoare de elemente ale infrastructurii cibernetice critice, executarea altor măsuri, conform Planului de acțiuni.
28. Obiectivul specific „Cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică” va fi realizat prin crearea unui Centru de excelență pentru cercetare și dezvoltare în domeniul securității cibernetice, stabilirea și dezvoltarea relațiilor cu comunitatea internațională de cercetare în domeniile specifice ce stau la baza securității cibernetice, dezvoltarea cooperării dintre sectorul public și cel privat privind identificarea soluțiilor comune de securitate cibernetică, implementarea măsurilor de evaluare a amenințărilor și riscurilor față de vulnerabilitățile cibernetice identificate, încheierea acordurilor de cooperare internațională cu echipele de tip CERT europene, nord-atlantice și naționale din alte țări, executarea altor măsuri, conform Planului de acțiuni.
30. În Planul de acțiuni, anexat la Program, acțiunile sînt grupate conform obiectivelor specifice care trebuie realizate. În rubricile respective ale Planului de acțiuni sînt stabiliți responsabilii de executarea acțiunilor, coexecutorii și termenele de executare pentru obținerea rezultatului scontat. Prima instituție din lista responsabililor se consideră „responsabil principal” de executarea acțiunii, care dirijează activitățile coexecutorilor și ale celorlalți responsabili, atrage partenerii de dezvoltare pentru a obține rezultatul scontat în termenul stabilit pentru acțiune.
32. Astfel, costurile estimative pentru obținerea rezultatelor scontate, totalizate pe acțiunile din cadrul fiecărui obiectiv al Programului, sînt următoarele:
1) procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public – circa 9504 mii lei;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice – circa 1944 mii lei;
3) dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională) – circa 49608 mii lei;
4) prevenirea și combaterea criminalității informatice – circa 2916 mii lei;
5) consolidarea capacităților de apărare cibernetică – circa 2232 mii lei;
6) educația, formarea și informarea continuă în domeniul securității cibernetice – circa 10089 mii lei;
7) cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică – circa 648 mii lei.
33. Costul estimativ preliminar de implementare integrală a Programului este de 76941 mii lei. Rezultatul scontat al implementării Programului este un sistem de management al securităţii cibernetice a Republicii Moldova, creat și implementat în entităţile vizate din domeniul public și cel privat, care va asigura planificarea şi utilizarea resurselor disponibile, identificarea intervenţiilor necesare pentru diminuarea impactului dăunător al criminalității, atacurilor și incidentelor cibernetice asupra dezvoltării sigure a societății informaționale. Acest sistem urmează a fi extins în toate sferele vieţii sociale, economice şi politice din țară.
IR1 – ponderea elaborării proiectelor de acte legislative și normative, documente de politici și tehnice, calculată în % din numărul total al acestora prevăzute în Planul de acțiuni;
IR2 – ponderea rapoartelor (informațiilor) de monitorizare și evaluare realizate, calculată în % din numărul total al acestora prevăzute în Program;
IR3 – numărul acțiunilor din Planul de acțiuni realizate (înainte de, după și în termenele prestabilite);
IR4 – numărul recomandărilor privind evitarea riscurilor și diminuarea vulnerabilităților cibernetice;
IR5 – numărul prescripțiilor tehnice și proiectelor standardelor de securitate cibernetică elaborate;
IR6 – numărul entităților care au beneficiat de instruirea angajaților în asigurarea securității cibernetice, numărul persoanelor care au beneficiat de această instruire;
IR7 – numărul entităților care au beneficiat de audit extern/intern de securitate cibernetică în scopul identificării la nivel de entitate a riscurilor și vulnerabilităților cibernetice;
IR8 – ponderea autorităţilor administraţiei publice care aplică politici proprii de securitate cibernetică internă;
IR9 – ponderea autorităţilor administraţiei publice centrale care au creat propriul CERT departamental în rețeaua CERT națională;
IR10 – numărul entităților participante în Sistemul de management al securității cibernetice a Republicii Moldova;
IR11 – numărul de cazuri penale și contravenționale ce țin de criminalitatea informatică înregistrate în Sistemul informațional automatizat „Registrul informaţiei criminalistice şi criminologice”, numărul persoanelor care au săvîrșit aceste infracțiuni și/sau contravenții, numărul victimelor, volumul prejudiciului adus victimelor și volumul amenzilor aplicate;
IR12 – numărul cercetărilor şi studiilor efectuate în domeniul securității cibernetice;
IR13 – numărul referatelor/comunicărilor privind securitatea cibernetică făcute public;
IR14 – numărul realizat de seminare, mese rotunde, trainingurilor, workshopurilor și alte evenimente privind securitatea cibernetică, numărul participanților la acestea;
IR15 – numărul recomandărilor practice de sensibilizare a populaţiei despre riscurile și vulnerabilitățile cibernetice, asigurarea la domiciliu a securității cibernetice;
IR16 – numărul de campanii informative organizate de instituțiile vizate în domeniul securității cibernetice;
IR17 – numărul informațiilor (rapoarte de monitorizare și evaluare, note informative etc.) publicate pe pagina web oficială a Ministerului Tehnologiei Informaţiei şi Comunicaţiilor.
35. Pentru a stabili progresul și performanța implementării curente și finale a Programului, indicatorii de rezultat periodic vor fi comparaţi cu indicatorii din Strategia națională de dezvoltare a societății informaționale „Moldova Digitală 2020”, cu rezultatele curente de realizare a Acordului de Asociere între Republica Moldova și Uniunea Europeană, cu Recomandările Uniunii Internaționale a Telecomunicațiilor și cu recomandările partenerilor de dezvoltare.
37. Procesul de implementare a Programului este însoţit de monitorizarea permanentă la nivel instituțional, național și internațional a realizării acţiunilor propuse şi a rezultatelor real obţinute pentru ca, în caz de necesitate, să fie operate modificările respective în politicile publice promovate și acțiunile întreprinse, precum și de corelarea obiectivelor şi a acţiunilor din Planul de acţiuni cu rezultatele aşteptate de la implementarea Programului, în scopul efectuării unei evaluări cît mai corecte a modului de implementare a Programului.
38. În cadrul procesului de monitorizare se elaborează Informația de raportare a monitorizării și evaluării, care include date relevante privind rezultatele realizării obiectivelor Programului și executării acţiunilor respective din Planul de acţiuni, corelate cu rezultatele implementării Strategiei naționale de dezvoltare a societății informaționale „Moldova Digitală 2020”. La această informaţie se anexează rapoarte de progres, rapoarte de evaluare și/sau note informative, cu concluzii și propuneri. În particular, procesul de monitorizare şi evaluare este orientat să contribuie la analiza situaţiei curente şi a tendinţelor în realizarea obiectivelor Programului, la analiza realizării Planului de acţiuni şi la evaluarea corectă a rezultatelor curente și finale obţinute față de rezultatele scontate.
39. La nivelul organismelor internaţionale donatoare (partenerilor de dezvoltare), care finanţează anumite etape, părţi componente sau seturi de activităţi din cadrul Programului, raportarea şi monitorizarea se va conforma cerinţelor acestora. Rapoartele periodice de progres, notele informative şi rapoartele de evaluare vor fi elaborate în formatul agreat de respectiva instituţie financiară donatoare şi Guvern.
40. La nivel național, procedurile de raportare și evaluare se efectuează de Ministerul Tehnologiei Informației și Comunicațiilor în baza Informației de raportare a monitorizării și evaluării prezentate semestrial de responsabilii principali de executarea acțiunilor din Planul de acțiuni. Pentru fiecare an de implementare, Ministerul Tehnologiei Informației și Comunicațiilor, în colaborare cu responsabilii principali specificați în Planul de acțiuni și alte instituții interesate, elaborează Raportul anual de evaluare a implementării Programului, care se prezintă Guvernului și Consiliul intersectorial de securitate cibernetică pînă la data de 1 martie a anului următor. În funcţie de caz, Ministerul Tehnologiei Informației și Comunicațiilor, în baza rezultatelor evaluării intermediare sau semestriale, va înainta spre examinare și aprobare proiecte de hotărîri ale Guvernului privind actualizarea Programului și/sau a Planului de acțiuni.
41. La nivel instituțional, procedurile de raportare și evaluare se efectuează semestrial de instituțiile responsabile de acțiunile din Planul de acțiuni. Principala instituție responsabilă de executarea acțiunii întocmeşte Informația de raportare a monitorizării și evaluării privind realizarea acțiunii de care este responsabilă și prezintă această informație Ministerului Tehnologiei Informației și Comunicațiilor pînă la data de 1 august și 1 februarie a semestrului următor. În caz de necesitate, principala instituție responsabilă de executarea acțiunii instituie un grup de lucru din reprezentanții instituțiilor responsabile și coexecutoare a acțiuni, partenerilor de dezvoltare, altor instituții de profil, în scopul organizării și executării eficiente a acțiunii în cauză, conform unui plan de lucru aprobat. Faptul instituirii grupului de lucru și aprobării planului de lucru privind executarea acțiunii se va reflecta în Informația de raportare a monitorizării și evaluării.
42. Evaluarea se efectuează prin compararea rezultatelor real obținute față de cele scontate pentru perioada respectivă de raportare. După caz, evaluarea poate fi efectuată prin cercetări și studii, în colaborare cu instituțiile interesate specificate în Planul de acţiuni.
43. După fiecare an de implementare a Programului se efectuează evaluarea intermediară, iar la sfîrşitul implementării acestuia – evaluarea finală. În cadrul evaluării intermediare se analizează rezultatele intermediare în comparație cele scontate. Ca urmare a concluziilor și propunerilor din Raportul de evaluare a implementării Programului, în caz de necesitate, se propun ajustări ale obiectivelor şi/sau ale rezultatelor preconizate, acţiuni noi, actualizarea Programului și/sau a Planului de acțiuni.
44. La sfîrşitul anului 2020 va fi elaborat Raportul de evaluare finală a implementării Programului, în care se va reflecta realizarea obiectivelor Programului, executarea acţiunilor prevăzute în Planul de acțiuni, inclusiv impactul implementării Programului asupra securității cibernetice a Republicii Moldova. Raportul final va include concluzii și propuneri privind dezvoltarea și extinderea rezultatelor implementării în alte sfere ale vieții sociale, economice și politice din țară.
45. Ministerul Tehnologiei Informației și Comunicațiilor informează publicul despre implementarea Programului prin plasarea pe site-ul său oficial a comunicatelor de presă privind activitățile de implementare a Programului, privind rezultatele semestriale, anuale și finale obţinute la implementarea acestuia, precum şi prin oferirea informaţiilor relevante partenerilor din ţară şi de peste hotare.
46. În procesul de monitorizare, un rol important se atribuie societății civile, care urmează:
1) să participe activ, în calitate de supraveghetor social al îndeplinirii prezentului Program, inclusiv prin generalizarea şi diseminarea informațiilor independente privind indicatorii de progres real, precum şi prin expunerea experienţei avansate acumulate şi a neajunsurilor depistate;
2) să se angajeze într-un dialog social cu Guvernul, în special cu Ministerul Tehnologiei Informației și Comunicațiilor, cu alte organe administrative centrale şi să ofere soluţii noi de sporire a eficienţei implementării Programului.
planul
[Planul modificat prin HG522 din 06.07.17, MO244-251/14.07.17 art.616]
HG522 din 06.07.17, MO244-251/14.07.17 art.616
În temeiul prevederilor Legii nr.64-XII din 31 mai 1990 cu privire la Guvern (republicată în Monitorul Oficial al Republicii Moldova, 2002, nr.131-133, art. 1018), cu modificările și completările ulterioare, Guvernul HOTĂRĂŞTE:
1. Se aprobă Programul național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020 (se anexează).
2. Ministerele și alte autorităţi administrative centrale vor prezenta Ministerului Tehnologiei Informaţiei şi Comunicaţiilor semestrial, pînă la data de 1 august și 1 februarie, informaţia despre executarea Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020, conform responsabilităților stabilite în acesta.
3. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor va generaliza informaţia recepţionată şi va prezenta Guvernului semestrial, pînă la data de 1 septembrie și 1 martie, raportul despre executarea Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020.
4. Monitorizarea şi coordonarea procesului de realizare a Programului național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020 se pun în sarcina Ministerului Tehnologiei Informaţiei şi Comunicaţiilor.
PRIM-MINISTRU Valeriu STRELEŢ
Contrasemnează:
Ministrul tehnologiei informaţiei
şi comunicaţiilor Pavel Filip
Ministrul afacerilor interne Oleg Balan
Ministrul apărării Anatolie Șalaru
Nr. 811. Chişinău, 29 octombrie 2015.
Aprobat
prin Hotărîrea Guvernului nr. 811
din 29 octombrie 2015
prin Hotărîrea Guvernului nr. 811
din 29 octombrie 2015
PROGRAMUL NAȚIONAL DE SECURITATE CIBERNETICĂ
A REPUBLICII MOLDOVA PENTRU ANII 2016-2020
I. DISPOZIŢII GENERALE
1. Programul național de securitate cibernetică a Republicii Moldova pentru anii 2016-2020 (în continuare – Program) are drept scop crearea unui sistem de management al securității cibernetice a Republicii Moldova prin securizarea serviciilor societăţi informaţionale, contribuind astfel la dezvoltarea unei economii bazate pe cunoaştere, ceea ce, la rîndul său, va stimula creşterea gradului de competitivitate economică şi de coeziune socială, precum şi va asigura crearea de noi locuri noi de muncă. A REPUBLICII MOLDOVA PENTRU ANII 2016-2020
I. DISPOZIŢII GENERALE
2. Termenii utilizați în Program au următoarele semnificații:
1) amenințare cibernetică – circumstanță sau eveniment care constituie un pericol potențial la adresa securității cibernetice;
2) apărare cibernetică – acțiuni desfășurate în scopul protecției, monitorizării, analizării, detectării, contracarării agresiunilor și asigurării răspunsului oportun la amenințările asupra infrastructurilor cibernetice destinate apărării naționale;
3) atac cibernetic – acțiune ostilă, desfășurată în spațiul cibernetic, de natură să afecteze securitatea cibernetică;
4) audit de securitate cibernetică – evaluare sistemică, detaliată, măsurabilă și tehnică a modului în care politicile de securitate cibernetică sînt aplicate la nivelul infrastructurilor cibernetice, cu emiterea de recomandări pentru minimizarea riscurilor identificate;
5) incident cibernetic – eveniment survenit în spațiul cibernetic ale cărui consecințe afectează securitatea cibernetică;
6) eveniment survenit în spațiul cibernetic – acțiune desfășurată în spațiul cibernetic care are drept consecință modificarea stării infrastructurilor cibernetice;
7) infrastructuri cibernetice – infrastructuri din domeniul tehnologiei informației și comunicației, constînd din sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice;
8) infrastructuri cibernetice de interes național (ICIN) – infrastructuri cibernetice care susțin servicii publice sau de interes public, precum și servicii ale societății informaționale a căror afectare poate aduce atingere securității naționale ori prejudicii grave statului sau cetățenilor acestuia;
9) management al identității – metode de validare a identității persoanelor atunci cînd acestea accesează anumite infrastructuri cibernetice;
10) management al riscului – proces complex, continuu și flexibil de identificare, evaluare și contracarare a riscurilor la adresa securității cibernetice, bazat pe utilizarea unor tehnici și instrumente complexe, pentru prevenirea pierderilor de orice natură;
11) operații în rețelele de calculatoare – proces complex de planificare, coordonare, sincronizare, armonizare și desfășurare a acțiunilor în spațiul cibernetic pentru protecția, controlul și utilizarea rețelelor de calculatoare, în scopul obținerii superiorității informaționale, concomitent cu neutralizarea capabilităților adversarului;
12) reziliență a infrastructurilor cibernetice – capacitate a componentelor infrastructurilor cibernetice de a rezista unui incident sau unui atac cibernetic și de a reveni în starea de normalitate;
13) risc de securitate în spațiul cibernetic – probabilitate ca o amenințare să se materializeze, exploatînd o anumită vulnerabilitate specifică infrastructurilor cibernetice;
14) securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu complex de măsuri proactive şi reactive prin care în spațiul cibernetic se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a sistemelor și resurselor informaționale, a serviciilor publice și private. Măsurile proactive și reactive includ politici, concepte, standarde și ghiduri de securitate, managementul riscului, activități de instruire și conștientizare, implementarea de soluții tehnice de protecție a infrastructurilor cibernetice, managementul identității, managementul consecințelor;
15) spațiu cibernetic – mediu virtual, generat de infrastructurile cibernetice, incluzînd conținutul informațional procesat, stocat sau transmis, precum și acțiunile derulate de utilizatori în acest mediu;
16) vulnerabilitate în spațiul cibernetic – ineficacitate în proiectarea și implementarea infrastructurilor cibernetice sau a măsurilor de securitate aferente, care poate fi exploatată de către o amenințare.
Alți termeni din Program sînt utilizați în sensul definit de Legea nr.20-XVI din 3 februarie 2009 privind prevenirea şi combaterea criminalităţii informatice, Legea comunicațiilor electronice nr.241-XVI din 15 noiembrie 2007 și Legea nr.467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat.
3. Conceptul securităţii cibernetice se bazează pe următoarele principii:
1) protecţia drepturilor și libertăților fundamentale ale omului. Asigurarea securității cibernetice poate fi adecvată şi eficientă doar în cazul în care se bazează pe drepturile şi libertăţile fundamentale ale omului, inclusiv pe valorile general umane. Nici un proces de transfer, procesare sau stocare de date, inclusiv cu caracter personal, comercial și confidențial, nu poate fi asigurat fără utilizarea sistemelor informaționale, a reţelelor și serviciilor de comunicații electronice securizate. Orice tratare a informațiilor efectuată în scopul asigurării securității cibernetice trebuie să fie conformă cadrului legal și tratatelor la care Republica Moldova este parte;
2) accesul pentru toţi. Accesul sigur şi liber la internet și la resursele acestuia este un drept al fiecărei persoane. Accesibilitatea limitată sau lipsa accesului, precum şi analfabetismul digital constituie dezavantaje atît pentru cetăţeni, cît și pentru autorități;
3) rezilienţa cibernetică. Sesizarea preventivă sau anticipată a ameninţărilor și atacurilor cibernetice, a altor evenimente survenite în spaţiul cibernetic este esenţială din cauza caracterului lor transfrontalier și materializării asimetrice. Astfel, acestea urmează a fi depistate, pentru a elimina sau a diminua efectele care pot afecta starea de normalitate a securității cibernetice. Amenințările cibernetice apar ca urmare a exploatării unor vulnerabilități. Mediul de ameninţări şi vulnerabilități este extrem de fluid şi dinamic: ameninţările pot apărea în decurs de zile sau chiar ore. Avînd în vedere acest mediu specific, responsabilii și coordonatorii de securitate cibernetică trebuie să îl monitorizeze continuu, să depisteze amenințările cibernetice și să consulte permanent sursele recunoscute de informare ale companiilor-lider în domeniul securităţii cibernetice, experţii din mediul academic şi diverse publicaţii;
4) administrare multiparticipativă. Atît la nivel local sau național, cît și la nivel regional sau global, spaţiul cibernetic nu poate fi ținut sub control de o singură entitate. În spațiul cibernetic nu pot fi fixate frontiere analogic frontierelor dintre unitățile administrativ-teritoriale sau dintre state. Astfel, pentru a asigura rezilienţa cibernetică, autorităţile publice şi sectorul privat trebuie să-şi dezvolte abilităţile necesare şi să coopereze în mod eficient între ele. Prin administrare multiparticipativă și acţiuni comune, autorităţile publice şi sectorul privat pot să combată cu succes riscurile şi ameninţările cibernetice, pot contribui cu un răspuns coordonat și eficient la evenimentele survenite în spațiul cibernetic, care au dimensiuni naţionale şi transfrontaliere;
5) responsabilitatea comună și răspunderea personalizată pentru asigurarea securităţii cibernetice. Dependenţa crescîndă a activităților umane de tehnologiile informaţiei şi comunicaţiei implică vulnerabilităţi care urmează a fi identificate, analizate minuţios și eliminate sau diminuate, în funcţie de pericolul potențial la adresa securității cibernetice. Toate părţile implicate în executarea activităților de asigurare a securității cibernetice, fie că sînt autorităţi publice, fie că aparţin sectorului privat sau sînt doar simpli cetăţeni, trebuie să recunoască această responsabilitate comună și răspundere personalizată, să întreprindă acţiuni proprii și comune de protecţie, să contribuie la consolidarea securității cibernetice și apărării cibernetice în conformitate cu cadrul legal.
II. SITUAȚIA ACTUALĂ ȘI IDENTIFICAREA
PROBLEMEI DE BAZĂ
4. Dezvoltarea accelerată a tehnologiilor informaţiei şi de comunicaţii moderne ridică la un alt nivel abordarea amenințărilor, riscurilor și vulnerabilităților într-o societate informațională. În prezent, la nivel mondial, atacurile cibernetice capătă o frecvenţă, o complexitate şi o amploare din ce în ce mai mari, aducînd pagube enorme sectorului guvernamental, celui privat şi cetăţenilor, ca urmare a caracterului lor asimetric. Accesarea neautorizată a reţelelor şi serviciilor de comunicaţii electronice, modificarea, ştergerea sau deteriorarea neautorizată de date informatice, restricţionarea ilegală a accesului la aceste date şi spionajul cibernetic constituie constrîngeri la nivel global. Ameninţările și riscurile, atacurile și incidentele cibernetice, precum și alte evenimente survenite în spațiul cibernetic se materializează prin exploatarea vulnerabilităţilor de natură umană, tehnică și procedurală. Prejudiciile economice provenite din exploatarea unor asemenea vulnerabilități sînt destul de semnificative. PROBLEMEI DE BAZĂ
5. Astfel, potrivit rapoartelor Norton1 pentru anii 2012 și 2013, costul global al criminalității cibernetice este în creștere. Pierderile globale au constituit în anul 2013 circa 113 miliarde dolari SUA față de 110 miliarde dolari SUA în 2012, iar pierderile în medie pe o victimă au fost de 298 dolari SUA în 2013 față de 197 dolari SUA în anul 2012. Potrivit datelor din aceleași rapoarte, sîntem supuși în permanență unor riscuri majore la accesarea rețelelor wi-fi neprotejate. Este destul de mare riscul accesării neautorizate a poștei electronice personale (54% în anul 2013 față de 64% în anul 2012) ca urmare a interceptării parolei de accesare, precum și riscul accesării neautorizate a paginilor personale ale utilizatorilor rețelelor sociale (56% în anul 2013 față de 63% în anul 2012). Este destul de ridicat și riscul în comerțul electronic, efectuat prin magazine online, accesate prin intermediul rețelelor wi-fi neprotejate (29% în anul 2013 față de 31% în anul 2012). A crescut riscul accesării neautorizate a conturilor bancare în urma efectuării operațiunilor prin intermediul rețelelor wi-fi neprotejate, care în anul 2013 a crescut la 29% față de 24% în anul 2012. Accesarea conturilor bancare prin intermediul rețelelor wi-fi neprotejate sporește considerabil riscul interceptării datelor de acces și, prin urmare, al accesării neautorizate ulterioare a acestora în scopuri criminale.
––––––––––––––––––––––––––––––––––––––––––––––
1 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.
6. Din cauza ratei destul de ridicate a riscurilor de accesare sus-menţionate, precum și a altor riscuri cibernetice specifice, în anul 2013 numărul victimelor care au suferit în urma unor fraude, atacuri și incidente cibernetice a constituit circa 379 milioane, față de 558 milioane în anul 2012. Astfel, în anul 2013 au fost afectați 64% dintre proprietarii dispozitivelor mobile, 63% dintre utilizatorii rețelelor sociale, 68% dintre utilizatorii rețelelor wi-fi publice, 65% dintre părinţii copiilor și 68% dintre piețele emergente. În pofida numărului foarte mare de victime, doar o parte dintre utilizatorii internetului conștientizează că dispozitivele lor electronice (telefoane mobile, tablete, laptopuri, calculatoare etc.) pot fi supuse unor atacuri cibernetice la conectarea la internet, al căror impact poate fi diminuat semnificativ dacă se respectă cele mai simple recomandări de siguranță. Acest fapt favorizează considerabil creșterea criminalității cibernetice (informatice) prin exploatarea vulnerabilităţilor de natură umană.
7. Pînă în prezent nu a fost efectuat nici un audit de securitate cibernetică, nu există studii sau rapoarte care ar reflecta în detalii situația privind criminalitatea informatică în Republica Moldova, ameninţările și riscurile cibernetice, atacurile și incidentele cibernetice, alte evenimente survenite în spațiul cibernetic, numărul victimelor și prejudiciile economice ale materializării acestora.
8. Unica sursă oficială de date statistice privind criminalitatea informatică este Registrul de evidenţă a infracţiunilor, a cauzelor penale, a persoanelor care au săvîrşit infracţiuni şi a materialelor cu privire la infracţiuni din cadrul Sistemului informaţional integral automatizat de evidenţă a infracţiunilor, a cauzelor penale şi a persoanelor care au săvîrşit infracţiuni. Potrivit informației din Sistemul informațional automatizat „Registrul informaţiei criminalistice şi criminologice”, prezentate de Ministerul Afacerilor Interne, începînd cu anul 2013 și pînă în august 2015 inclusiv au fost înregistrate 72 de infracțiuni informatice pe art.259-2611 și art.2081 ale Codului penal al Republicii Moldova, cu un prejudiciu material estimat la circa 21588 mii lei. În particular, ca urmare a activităților Procuraturii Generale și Inspectoratului General al Poliției, au fost înregistrate în anul 2013 – 23 de infracțiuni, cu un prejudiciu de circa 14139 mii lei, în anul 2014 – 24 de infracțiuni, cu un prejudiciu de circa 1323 mii lei, iar în primele 8 luni ale anului 2015 – 25 de infracțiuni, cu un prejudiciu de circa 6126 mii lei. Concomitent, în aceeași perioadă de timp au fost înregistrate 57 de încălcări ale dreptului de autor şi drepturilor conexe, cu valoarea totală a amenzilor aplicate de circa 99 mii lei. Cu toate că datele din Registrul informaţiei criminalistice şi criminologice nu sînt încă complete și nu reflectă toate clasele de infracțiuni și contravenții în sensul Convenției Consiliului Europei de la Budapesta privind criminalitatea informatică, se poate constata că numărul infracțiunilor și contravențiilor informatice este în creștere.
9. Totodată, conform datelor Centrului de Telecomunicații Speciale, numărul atacurilor cibernetice asupra serverelor web a crescut în anul 2014 față de anul 2013 cu circa 26%, iar vulnerabilitățile porturilor deschise au sporit cu circa 385%. Posibilitățile de infectare a calculatoarelor cu viruși informatici au crescut cu circa 27%. Numărul incidentelor asupra poștei electronice guvernamentale s-a micșorat în 2014 față de 2013 cu circa 1%. Concomitent, s-a micșorat ponderea acestor incidente în totalul atacurilor cibernetice. În 2014 această pondere s-a diminuat la 40%, față de 51% în 2013.
10. Pericolul major de materializare a acestor evenimente survenite în spațiul cibernetic, în care nu există frontiere, a impus ca pe agenda unui șir de țări, începînd cu anul 2009, să fie inclusă ca subiect dominant problema securității cibernetice. Deja 56 de state din lume dispun de documente de politici2 aprobate în domeniul securității cibernetice, inclusiv 21 de state ale Uniunii Europene. 37 de state din lume au aprobat documentele de politici pe parcursul anilor 2013-2015, inclusiv 14 state – în 2015.
––––––––––––––––––––––––––––––––––––––––––––––
2 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national
-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world.
11. Cadrul legal intern al acestor țări se ajustează corespunzător prevederilor Convenţiei Consiliului Europei privind criminalitatea informatică, adoptate la Budapesta la 23 noiembrie 2001, ținîndu-se cont de Recomandările Uniunii Internaţionale a Telecomunicaţiilor referitoare la securitatea cibernetică.
12. Republica Moldova a ratificat Convenţia Consiliului Europei privind criminalitatea informatică prin Legea nr.6-XVI din 2 februarie 2009. Totodată, a fost adoptată Legea nr.20-XVI din 3 februarie 2009 privind prevenirea şi combaterea criminalităţii informatice, au fost operate modificări și completări la Codul penal în corespundere cu prevederile Convenției ratificate, însă prevederile de ordin procedural ale acesteia, precum și cele ce țin de dezvoltarea punctului de contact al rețelei 24/7 nu au fost încă implementate.
13. În baza analizei efectuate a fost identificată problema de bază – lipsa unui sistem de management al securității cibernetice, în cadrul căruia să se efectueze coordonat planificarea și utilizarea resurselor disponibile, identificarea vulnerabilităților și riscurilor în urma auditului de securitate cibernetică, a intervenţiilor necesare pentru diminuarea impactului dăunător al criminalității, atacurilor și incidentelor cibernetice asupra dezvoltării sigure a societății informaționale. Acest sistem urmează să fie extins în toate sferele vieţii sociale, economice şi politice. Acesta trebuie să fie creat și implementat de către entităţile vizate din domeniul public și cel privat.
14. Lipsa unui sistem de management al securității cibernetice a Republicii Moldova generează și lipsa datelor statistice complete, veritabile, actualizate şi structurate, ceea ce, la rîndul său, impune unele limitări în analiza efectuată şi identificarea de soluţii optime. De rezultatul soluționării problemei de bază depinde eficienţa măsurilor întreprinse în vederea dezvoltării unei societăţii informaţionale securizate în Republica Moldova, avansării tehnologice şi ştiinţifice, participării active a cetăţenilor la viaţa socială şi culturală, precum şi dinamica de creştere economică a ţării.
15. Pînă în prezent nu există un cadru legal privind delimitarea și armonizarea competențelor și responsabilităților instituțiilor statului și celor private în domeniul securității cibernetice, nu se aplică mecanismul obligatoriu de audit al securității cibernetice în cadrul instituțiilor publice și private, prin care pot fi identificate vulnerabilitățile, riscurile și amenințările cibernetice în scopul prevenirii sau diminuării, prin măsuri speciale, a impactului atacurilor, incidentelor și altor evenimente survenite în spațiul cibernetic, a căror origine este dificil de stabilit.
16. În afara reglementărilor legislative, normative și tehnico-normative, persistă o serie de probleme specifice ce țin de asigurarea securității cibernetice a Republicii Moldova și care sînt părți componente ale problemei de bază identificate mai sus:
1) nu este asigurată siguranța deplină la procesarea, stocarea și accesarea datelor publice, indiferent de clasificarea acestora;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice nu sînt ajustate la standardele și recomandările Uniunii Europene, Uniunii Internaţionale a Telecomunicaţiilor, la prevederile Acordului de Asociere între Republica Moldova şi Uniunea Europeană;
3) nu există capacități suficiente de prevenire și reacție urgentă la nivel național (CERT), ţinînd cont de caracterul asimetric al atacurilor și incidentelor cibernetice;
4) cadrul legislativ-normativ național nu este armonizat integral la prevederile Convenţiei Consiliului Europei privind criminalitatea informatică, instituțiile vizate nu dispun de competențe clare privind asigurarea securității cibernetice;
5) dispunem de capacități reduse de apărare cibernetică ca urmare a caracterului asimetric al atacurilor cibernetice;
6) nu sînt asigurate educația, formarea și informarea continuă în domeniul securității cibernetice;
7) există o insuficienţă a cooperării și interacțiunii internaționale privind identificarea riscurilor, vulnerabilităților, altor evenimente survenite în spațiul cibernetic global și prevenirea amenințărilor și atacurilor cibernetice transfrontaliere.
17. Soluționarea problemei de bază, inclusiv a problemelor specifice, presupune intervenții în cadrul legislativ și instituțional, în cadrul normativ și tehnico-normativ, în pregătirea continuă și certificarea specialiștilor în domeniul securității cibernetice, auditului de securitate cibernetică a entităților care dețin infrastructuri cibernetice, sisteme informaționale și rețele de comunicații electronice, inclusiv a celor care prestează servicii informatice și de comunicații electronice.
18. Totodată, soluționarea problemelor identificate este în concordanță cu obiectivul general orizontal privind asigurarea securității cibernetice stipulat în Strategia națională de dezvoltare a societății informaționale „Moldova Digitală 2020”, aprobată prin Hotărîrea Guvernului nr.857 din 31 octombrie 2013, cu prevederile Acordului de Asociere între Republica Moldova și Uniunea Europeană, ratificat prin Legea nr. 112 din 2 iulie 2014, precum și cu noua viziune a Strategiei securităţii naţionale a Republicii Moldova.
III. OBIECTIVELE PROGRAMULUI
19. Obiectivul principal al Programului, stabilit în urma analizei efectuate și identificării problemei de bază, este crearea și implementarea unui sistem de management al securităţii cibernetice a Republicii Moldova care să asigure entităţilor vizate din domeniul public și cel privat planificarea şi utilizarea resurselor disponibile, identificarea intervenţiilor necesare pentru diminuarea impactului dăunător al criminalității, atacurilor și incidentelor cibernetice asupra dezvoltării sigure a societății informaționale. 20. Realizarea obiectivului principal al Programului, în conformitate cu problemele specifice identificate în capitolul precedent, se va produce prin realizarea complexă a 7 obiective specifice:
1) procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice;
3) dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională);
4) prevenirea și combaterea criminalității informatice;
5) consolidarea capacităților de apărare cibernetică;
6) educația, formarea și informarea continuă în domeniul securității cibernetice;
7) cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică.
IV. ACȚIUNILE CE URMEAZĂ A FI ÎNTREPRINSE
PENTRU REALIZAREA OBIECTIVELOR
21. Pentru realizarea obiectivelor formulate în capitolul precedent au fost identificate, împreună cu autoritățile vizate, o serie de acțiuni ce urmează a fi executate, care – pentru comoditate și în corespundere cu obiectivele specifice – au fost sistematizate într-un Plan de acțiuni privind implementarea Programului național de securitate cibernetică a Republicii Moldova (în continuare – Plan de acțiuni). PENTRU REALIZAREA OBIECTIVELOR
22. Conform Planului de acțiuni, anexă la prezentul Program, obiectivul specific „Procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public” va fi realizat prin asigurarea ajustării cadrului normativ-legislativ privind securitatea cibernetică a Republicii Moldova, clasificarea tipurilor de informație, analiza și elaborarea propunerilor de aplicare la nivel național a standardelor ce țin de procesarea, stocarea și accesarea în siguranţă a datelor, elaborarea unei metodologii pentru evaluarea vulnerabilităților sistemelor informaționale în baza standardelor prestabilite, elaborarea cerințelor minime obligatorii de securitate cibernetică, certificarea specialiștilor, efectuarea auditului de securitate cibernetică şi elaborarea planurilor de înlăturare a vulnerabilităților depistate, executarea altor măsuri, conform Planului de acțiuni.
23. Obiectivul specific „Securitatea și integritatea rețelelor și serviciilor de comunicații electronice” va fi realizat prin armonizarea legislației din domeniul comunicațiilor electronice la directivele-cadru UE din domeniu, stabilirea măsurilor minime de securitate ce trebuie luate de către furnizori pentru asigurarea securității și integrității rețelelor și serviciilor de comunicații electronice, raportarea incidentelor cu impact asupra acestor rețele și servicii, aplicarea la nivel național a standardelor europene și internaționale ce țin de protecția și securitatea rețelelor de comunicații electronice, executarea altor măsuri, conform Planului de acțiuni.
24. Obiectivul specific „Dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională)” va fi realizat prin crearea Centrului național de reacție la incidentele de securitate cibernetică (CERT) și a centrelor departamentale în autoritățile publice centrale, autoritățile publice locale, alte entități ce dețin sisteme informaționale de stat, stabilirea obligațiilor de raportare și evidență operativă obligatorie a incidentelor de securitate cibernetică pentru autorităţile administraţiei publice centrale şi locale și mediul de afaceri din domeniul tehnologiei informației și comunicațiilor, elaborarea și aplicarea unor metode de prevenire anticipată a incidentelor de securitate cibernetică în Republica Moldova, desfășurarea unor exerciții și antrenamente de consolidare a capacităților de reacție la incidentele și atacurile cibernetice cu blocarea acestora, executarea altor măsuri, conform Planului de acțiuni.
25. Obiectivul specific „Prevenirea și combaterea criminalității informatice” va fi realizat prin elaborarea proiectelor de legi pentru armonizarea continuă a legislației penale, contravenționale și procesuale la prevederile Convenției europene privind criminalitatea informatică și la deciziile Comitetului acestei Convenții, ratificarea Protocolului adițional la această Convenție, ajustarea legislației și statisticii naționale la prevederile Convenției Consiliului Europei pentru protecția copiilor împotriva exploatării și abuzurilor sexuale și Protocolului adițional la această Convenție, consolidarea capacităților de prevenire și combatere a criminalității informatice în cadrul Procuraturii Generale, Serviciului de Informații și Securitate, Inspectoratului General al Poliției al Ministerului Afacerilor Interne, instruirea angajaţilor organelor de drept în domeniul securității cibernetice conform recomandărilor proiectului EAP al Consiliului Europei, executarea altor măsuri, conform Planului de acțiuni.
26. Obiectivul specific „Consolidarea capacităților de apărare cibernetică” va fi realizat prin stabilirea autorităților responsabile și asigurarea cooperării dintre acestea pe timp de pace, în situații de criză, asediu și război în cadrul spațiului cibernetic, elaborarea compartimentului de apărare cibernetică a Republicii Moldova ca parte componentă a Strategiei securității informaționale a Republicii Moldova, instruirea în domeniul securității cibernetice a personalului din sfera securității și apărării naționale, dezvoltarea capabilităților militare de protecție a infrastructurii și serviciilor critice ce țin de apărarea națională, executarea altor măsuri, conform Planului de acțiuni.
27. Obiectivul specific „Educația, formarea și informarea continuă în domeniul securității cibernetice” va fi realizat prin crearea unui laborator de securitate cibernetică, completarea curriculumului de învățămînt cu studierea materiei din domeniul securității cibernetice, elaborarea și implementarea conceptului campaniilor de informare și conștientizare a riscurilor din spațiul cibernetic, stabilirea cerințelor de competență în domeniul securității cibernetice pentru personalul din sectorul public și privat, evidența, instruirea, evaluarea și certificarea acestui personal, organizarea și efectuarea trainingurilor și workshopurilor în domeniul securității cibernetice pentru personalul instituțiilor deținătoare de elemente ale infrastructurii cibernetice critice, executarea altor măsuri, conform Planului de acțiuni.
28. Obiectivul specific „Cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică” va fi realizat prin crearea unui Centru de excelență pentru cercetare și dezvoltare în domeniul securității cibernetice, stabilirea și dezvoltarea relațiilor cu comunitatea internațională de cercetare în domeniile specifice ce stau la baza securității cibernetice, dezvoltarea cooperării dintre sectorul public și cel privat privind identificarea soluțiilor comune de securitate cibernetică, implementarea măsurilor de evaluare a amenințărilor și riscurilor față de vulnerabilitățile cibernetice identificate, încheierea acordurilor de cooperare internațională cu echipele de tip CERT europene, nord-atlantice și naționale din alte țări, executarea altor măsuri, conform Planului de acțiuni.
V. ETAPELE, TERMENELE ȘI RESPONSABILII DE
IMPLEMENTARE
29. Programul nu prevede implementarea pe etape. Însă după fiecare an de implementare se va realiza evaluarea intermediară, în cadrul căreia se vor analiza și se vor compara rezultatele intermediare cu cele scontate, se va stabili nivelul de implementare a Programului. Ca urmare a concluziilor din Informația de raportare a monitorizării și evaluării (IRME), se vor propune, în caz de necesitate, ajustări ale obiectivelor şi/sau ale rezultatelor preconizate, acţiuni noi, actualizarea Programului și/sau a Planului de acțiuni. IMPLEMENTARE
30. În Planul de acțiuni, anexat la Program, acțiunile sînt grupate conform obiectivelor specifice care trebuie realizate. În rubricile respective ale Planului de acțiuni sînt stabiliți responsabilii de executarea acțiunilor, coexecutorii și termenele de executare pentru obținerea rezultatului scontat. Prima instituție din lista responsabililor se consideră „responsabil principal” de executarea acțiunii, care dirijează activitățile coexecutorilor și ale celorlalți responsabili, atrage partenerii de dezvoltare pentru a obține rezultatul scontat în termenul stabilit pentru acțiune.
VI. ESTIMAREA GENERALĂ A COSTURILOR
ȘI REZULTATELE SCONTATE
31. La rubricile respective din Planul de acțiuni sînt indicate rezultatele scontate și costurile estimative de realizare a fiecărei acțiuni aparte pentru obținerea acestor rezultate. Sursele de finanțare includ contribuţia partenerilor de dezvoltare și alocările bugetare.ȘI REZULTATELE SCONTATE
32. Astfel, costurile estimative pentru obținerea rezultatelor scontate, totalizate pe acțiunile din cadrul fiecărui obiectiv al Programului, sînt următoarele:
1) procesarea, stocarea și accesarea în siguranţă a datelor, inclusiv a datelor de interes public – circa 9504 mii lei;
2) securitatea și integritatea rețelelor și serviciilor de comunicații electronice – circa 1944 mii lei;
3) dezvoltarea capacităților de prevenire și reacție urgentă la nivel național (rețeaua CERT națională) – circa 49608 mii lei;
4) prevenirea și combaterea criminalității informatice – circa 2916 mii lei;
5) consolidarea capacităților de apărare cibernetică – circa 2232 mii lei;
6) educația, formarea și informarea continuă în domeniul securității cibernetice – circa 10089 mii lei;
7) cooperarea și interacțiunea internațională în sferele ce țin de securitatea cibernetică – circa 648 mii lei.
33. Costul estimativ preliminar de implementare integrală a Programului este de 76941 mii lei. Rezultatul scontat al implementării Programului este un sistem de management al securităţii cibernetice a Republicii Moldova, creat și implementat în entităţile vizate din domeniul public și cel privat, care va asigura planificarea şi utilizarea resurselor disponibile, identificarea intervenţiilor necesare pentru diminuarea impactului dăunător al criminalității, atacurilor și incidentelor cibernetice asupra dezvoltării sigure a societății informaționale. Acest sistem urmează a fi extins în toate sferele vieţii sociale, economice şi politice din țară.
VII. INDICATORII DE PROGRES ȘI PERFORMANȚĂ
34. Domeniul securității cibernetice, fiind relativ nou în lume, nu dispune încă de indicatori de progres și performanță recomandați pentru monitorizarea și evaluarea implementării documentelor de politici în acest domeniu. Totodată, pornind de la necesitatea monitorizării și evaluării implementării Programului se vor aplica în complexitate 17 indicatori de rezultat (IR):IR1 – ponderea elaborării proiectelor de acte legislative și normative, documente de politici și tehnice, calculată în % din numărul total al acestora prevăzute în Planul de acțiuni;
IR2 – ponderea rapoartelor (informațiilor) de monitorizare și evaluare realizate, calculată în % din numărul total al acestora prevăzute în Program;
IR3 – numărul acțiunilor din Planul de acțiuni realizate (înainte de, după și în termenele prestabilite);
IR4 – numărul recomandărilor privind evitarea riscurilor și diminuarea vulnerabilităților cibernetice;
IR5 – numărul prescripțiilor tehnice și proiectelor standardelor de securitate cibernetică elaborate;
IR6 – numărul entităților care au beneficiat de instruirea angajaților în asigurarea securității cibernetice, numărul persoanelor care au beneficiat de această instruire;
IR7 – numărul entităților care au beneficiat de audit extern/intern de securitate cibernetică în scopul identificării la nivel de entitate a riscurilor și vulnerabilităților cibernetice;
IR8 – ponderea autorităţilor administraţiei publice care aplică politici proprii de securitate cibernetică internă;
IR9 – ponderea autorităţilor administraţiei publice centrale care au creat propriul CERT departamental în rețeaua CERT națională;
IR10 – numărul entităților participante în Sistemul de management al securității cibernetice a Republicii Moldova;
IR11 – numărul de cazuri penale și contravenționale ce țin de criminalitatea informatică înregistrate în Sistemul informațional automatizat „Registrul informaţiei criminalistice şi criminologice”, numărul persoanelor care au săvîrșit aceste infracțiuni și/sau contravenții, numărul victimelor, volumul prejudiciului adus victimelor și volumul amenzilor aplicate;
IR12 – numărul cercetărilor şi studiilor efectuate în domeniul securității cibernetice;
IR13 – numărul referatelor/comunicărilor privind securitatea cibernetică făcute public;
IR14 – numărul realizat de seminare, mese rotunde, trainingurilor, workshopurilor și alte evenimente privind securitatea cibernetică, numărul participanților la acestea;
IR15 – numărul recomandărilor practice de sensibilizare a populaţiei despre riscurile și vulnerabilitățile cibernetice, asigurarea la domiciliu a securității cibernetice;
IR16 – numărul de campanii informative organizate de instituțiile vizate în domeniul securității cibernetice;
IR17 – numărul informațiilor (rapoarte de monitorizare și evaluare, note informative etc.) publicate pe pagina web oficială a Ministerului Tehnologiei Informaţiei şi Comunicaţiilor.
35. Pentru a stabili progresul și performanța implementării curente și finale a Programului, indicatorii de rezultat periodic vor fi comparaţi cu indicatorii din Strategia națională de dezvoltare a societății informaționale „Moldova Digitală 2020”, cu rezultatele curente de realizare a Acordului de Asociere între Republica Moldova și Uniunea Europeană, cu Recomandările Uniunii Internaționale a Telecomunicațiilor și cu recomandările partenerilor de dezvoltare.
VIII. PROCEDURILE DE RAPORTARE ȘI EVALUARE
36. Procedurile de raportare și evaluare sînt orientate spre maximizarea efectelor obţinute de la implementarea Programului în corespundere cu rezultatele scontate indicate la rubrica „Indicatori de rezultat” din Planul de acţiuni.37. Procesul de implementare a Programului este însoţit de monitorizarea permanentă la nivel instituțional, național și internațional a realizării acţiunilor propuse şi a rezultatelor real obţinute pentru ca, în caz de necesitate, să fie operate modificările respective în politicile publice promovate și acțiunile întreprinse, precum și de corelarea obiectivelor şi a acţiunilor din Planul de acţiuni cu rezultatele aşteptate de la implementarea Programului, în scopul efectuării unei evaluări cît mai corecte a modului de implementare a Programului.
38. În cadrul procesului de monitorizare se elaborează Informația de raportare a monitorizării și evaluării, care include date relevante privind rezultatele realizării obiectivelor Programului și executării acţiunilor respective din Planul de acţiuni, corelate cu rezultatele implementării Strategiei naționale de dezvoltare a societății informaționale „Moldova Digitală 2020”. La această informaţie se anexează rapoarte de progres, rapoarte de evaluare și/sau note informative, cu concluzii și propuneri. În particular, procesul de monitorizare şi evaluare este orientat să contribuie la analiza situaţiei curente şi a tendinţelor în realizarea obiectivelor Programului, la analiza realizării Planului de acţiuni şi la evaluarea corectă a rezultatelor curente și finale obţinute față de rezultatele scontate.
39. La nivelul organismelor internaţionale donatoare (partenerilor de dezvoltare), care finanţează anumite etape, părţi componente sau seturi de activităţi din cadrul Programului, raportarea şi monitorizarea se va conforma cerinţelor acestora. Rapoartele periodice de progres, notele informative şi rapoartele de evaluare vor fi elaborate în formatul agreat de respectiva instituţie financiară donatoare şi Guvern.
40. La nivel național, procedurile de raportare și evaluare se efectuează de Ministerul Tehnologiei Informației și Comunicațiilor în baza Informației de raportare a monitorizării și evaluării prezentate semestrial de responsabilii principali de executarea acțiunilor din Planul de acțiuni. Pentru fiecare an de implementare, Ministerul Tehnologiei Informației și Comunicațiilor, în colaborare cu responsabilii principali specificați în Planul de acțiuni și alte instituții interesate, elaborează Raportul anual de evaluare a implementării Programului, care se prezintă Guvernului și Consiliul intersectorial de securitate cibernetică pînă la data de 1 martie a anului următor. În funcţie de caz, Ministerul Tehnologiei Informației și Comunicațiilor, în baza rezultatelor evaluării intermediare sau semestriale, va înainta spre examinare și aprobare proiecte de hotărîri ale Guvernului privind actualizarea Programului și/sau a Planului de acțiuni.
41. La nivel instituțional, procedurile de raportare și evaluare se efectuează semestrial de instituțiile responsabile de acțiunile din Planul de acțiuni. Principala instituție responsabilă de executarea acțiunii întocmeşte Informația de raportare a monitorizării și evaluării privind realizarea acțiunii de care este responsabilă și prezintă această informație Ministerului Tehnologiei Informației și Comunicațiilor pînă la data de 1 august și 1 februarie a semestrului următor. În caz de necesitate, principala instituție responsabilă de executarea acțiunii instituie un grup de lucru din reprezentanții instituțiilor responsabile și coexecutoare a acțiuni, partenerilor de dezvoltare, altor instituții de profil, în scopul organizării și executării eficiente a acțiunii în cauză, conform unui plan de lucru aprobat. Faptul instituirii grupului de lucru și aprobării planului de lucru privind executarea acțiunii se va reflecta în Informația de raportare a monitorizării și evaluării.
42. Evaluarea se efectuează prin compararea rezultatelor real obținute față de cele scontate pentru perioada respectivă de raportare. După caz, evaluarea poate fi efectuată prin cercetări și studii, în colaborare cu instituțiile interesate specificate în Planul de acţiuni.
43. După fiecare an de implementare a Programului se efectuează evaluarea intermediară, iar la sfîrşitul implementării acestuia – evaluarea finală. În cadrul evaluării intermediare se analizează rezultatele intermediare în comparație cele scontate. Ca urmare a concluziilor și propunerilor din Raportul de evaluare a implementării Programului, în caz de necesitate, se propun ajustări ale obiectivelor şi/sau ale rezultatelor preconizate, acţiuni noi, actualizarea Programului și/sau a Planului de acțiuni.
44. La sfîrşitul anului 2020 va fi elaborat Raportul de evaluare finală a implementării Programului, în care se va reflecta realizarea obiectivelor Programului, executarea acţiunilor prevăzute în Planul de acțiuni, inclusiv impactul implementării Programului asupra securității cibernetice a Republicii Moldova. Raportul final va include concluzii și propuneri privind dezvoltarea și extinderea rezultatelor implementării în alte sfere ale vieții sociale, economice și politice din țară.
45. Ministerul Tehnologiei Informației și Comunicațiilor informează publicul despre implementarea Programului prin plasarea pe site-ul său oficial a comunicatelor de presă privind activitățile de implementare a Programului, privind rezultatele semestriale, anuale și finale obţinute la implementarea acestuia, precum şi prin oferirea informaţiilor relevante partenerilor din ţară şi de peste hotare.
46. În procesul de monitorizare, un rol important se atribuie societății civile, care urmează:
1) să participe activ, în calitate de supraveghetor social al îndeplinirii prezentului Program, inclusiv prin generalizarea şi diseminarea informațiilor independente privind indicatorii de progres real, precum şi prin expunerea experienţei avansate acumulate şi a neajunsurilor depistate;
2) să se angajeze într-un dialog social cu Guvernul, în special cu Ministerul Tehnologiei Informației și Comunicațiilor, cu alte organe administrative centrale şi să ofere soluţii noi de sporire a eficienţei implementării Programului.
planul
[Planul modificat prin HG522 din 06.07.17, MO244-251/14.07.17 art.616]