CCS 387 Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea [618426]
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 1 din 138
Plan sectorial: M CSI
Proiect : Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi
luați în calcul pentru măsurarea nivelului de securitate cibernetică la nivel
național
Etapa I – 29 Noiembrie 2018
Denumire etapă : Elaborarea studiului de analiză a contextului actual
Rezultat: Studiu de analiză asupra contextului actual, a dinamicii evolu țiilor și a
necesită ții stabilirii unui sistem de indicatori de securitate cibernetică
Activități :
A.I.1 – Analiza amănunțită a contextului actual și a necesității stabilirii unui sistem
de indicatori de securitate cibernetică pentru evaluarea nivelului de
securitate cibernetică la nivel național
A.I.2 – Analiza asupra dinamicii și evoluțiilor din spațiul cibernetic, a abordărilor și
inițiativelor existente la nivel internațional , european și național
A.I.3 – Realizarea site -ului Web al proiectului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 2 din 138 COLECTIV DE ELABORARE
Inf. Dragoș Cătălin Barbu, Cercetător științific III, Director proiect
Dr. Carmen Elena Cî rnu, Cercetător științific II
Dr. Alexandru Sipică, Cercetător științific II I
Dr. Monica Anghel, Cercetător științific II I
Lect. Dr. ing. Adrian -Victor Vevera, Director tehnic, Cercetător științific II
Ec. Sorin Constantinescu , inginer de sistem
Candet Ionuț , Asistent c ercet are
Ec. Marian -Alexandru Grigore, economist
Paul-Cristian Vasile, programator ajutor
Alexandra -Raluca Albescu, expert științe administrative
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 3 din 138 CUPRINS
1. INTRODUCERE ………………………….. ………………………….. ………………………….. ……………………. 4
1.1 Scopul proiectului ………………………….. ………………………….. ………………………….. ……………. 5
1.2 Obiectivele și fazele proiectului ………………………….. ………………………….. ……………………… 5
1.3 Obiectivele fazei actuale ………………………….. ………………………….. ………………………….. …… 6
1.4 Rezumatul fazei actuale ………………………….. ………………………….. ………………………….. ……. 6
2. CONTEXTUL ACTUAL ȘI NECESITATEA UNUI SISTEM DE INDICATORI DE
SECURITATE CIBERNETICĂ ………………………….. ………………………….. ………………………….. ………. 9
2.1. Contextul actual și dinamica evoluției din spațiul cibernetic ………………………….. ………….. 9
I. Principalele tipuri de atacuri depistate pe teritoriul României ………………………….. ……….. 27
II. Totalul atacurilor raportate ………………………….. ………………………….. ………………………….. . 29
III. Tipuri de sisteme informatice afectate ………………………….. ………………………….. ……….. 29
2.2. Analiza necesității privind stabilirea unui sistem de indicatori de securitate cibernetică .. 33
I. Indicatori privind incidentele de securitate ………………………….. ………………………….. …….. 44
II. Indicatori de vulnerabilități ………………………….. ………………………….. ………………………….. 79
III. Indicatori pentru măsurarea impactului ………………………….. ………………………….. ……. 126
3. PROIECTAREA, STRUCTURAREA ȘI REALIZAREA SITE -ULUI PROIECTULUI …… 128
3.1. Arhitectura ………………………….. ………………………….. ………………………….. ………………….. 128
3.1.1. Ciclul de viață al unei pagini Web ………………………….. ………………………….. ……….. 129
3.2. Descrierea site -ului Web ………………………….. ………………………….. ………………………….. .. 130
4. CONCLUZII ………………………….. ………………………….. ………………………….. ………………………. 133
Anexa 1. Listă de figuri ………………………….. ………………………….. ………………………….. ……………….. 135
Anexa 2. Listă de tabele ………………………….. ………………………….. ………………………….. ………………. 135
Bibliografie ………………………….. ………………………….. ………………………….. ………………………….. …… 137
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 4 din 138 1. INTRODUCERE
Incidentele de securitate cibernetică și atacurile cibernetice majore cu care s -au confruntat
unele state și organizații internaționale în ultimii ani au determinat, la nivel internațional,
înțelegerea necesității de a adopta strategii și politici în domeniul securității informatice. Astfel,
există strategii naționale de securitate cibernetică, cum ar fi cele din Estonia, Statele Unite, Marea
Britanie, Germania și Franța, care susțin necesitatea dezvoltării în continuare a capa bilităților lor de
combatere a atacurilor cibernetice și care stabilesc cadrul de acțiune și cooperare între diferitele
guverne , entități și ONG -uri pentru a atenua consecințele. Conform acestor strategii (Guvernul
României, 2013) , eforturile statelor vizează implementarea unor măsuri de securitate care să
conducă la creșterea nivelului de protecție a infrastructurii cibernetice, în special a celor care
sprijină infrastructurile critice naționale.
În ultimele decenii, progresele tehnologice au schimbat fundamental lumea. Creșterea
substanțială a accesului la Internet, utilizarea dispozitivelor cu acces la Internet și disponibilitatea
sistemelor de tehnologie a informațiilor de mare viteză și a seturilor de date mari au facilitat
productivitatea, eficiența și capacitățile în toate industriile majore. Proliferarea tehnologiei prezintă,
noi provocări în materie de securitate cibernetică și conduce la riscuri semnificative la nivel
național. Riscurile introduse de numărul și varietatea crescândă a acestor dispozitive sunt
substanțiale, necesitatea monitorizării riscurilor fiind tot mai evidentă la nivel mondial (U.S.
Department of Homeland Security, 2018) .
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 5 din 138 1.1 Scopul proiectului
În vederea realizării scopul ui propus, proiectul are următorul obiectiv pentru etapa curentă :
1. Analiza amănunțită a contextului actual și a necesității stabilirii unui sistem de
indicatori de securitate cibernetică pentru evaluarea nivelului de securitate cibernetică la
nivel național;
Prima etapă a proiectului este structurată pe trei activități, obiectivul măsurabil al acesteia
fiind studiul de analiză asupra contextului actual, a dinamicii evoluțiilor și a necesității stabilirii
unui sistem de indicatori de securitate cibern etică la nivel național . Rezultatul obținut de echipa de
cercetare, s -a concretizat într -un raport de cercetare privind elaborarea unui studiu de analiză a
contextului actual , axat pe cele trei activități :
Contextul actual și necesitatea unui sistem de indicatori de securitate cibernetică;
Dinamica evoluției din spațiul cibernetic;
Proiectarea, structurarea și realizarea site -ului proiectului;
1.2 Obiectivele și fazele proiectului
În contextul prezentat și în concordanță cu propunerea de proiect Studiu priv ind stabilirea
indicatorilor de securitate cibernetică care por fi luați în calcul pentru măsurarea nivelului de
securitate cibernetică la nivel național , obiectivele specifice au vizat cu precădere următoarele:
Analiza amănunțită a contextului actual și a necesității stabilirii unui set de indicatori de
securitate cibernetică pentru evaluarea nivelului de securitate cibernetică la nivel național;
Analiza asupra dinamici și evoluțiilor din spațiul cibernetic a abordărilor și inițiativelor
existente;
Etapel e de rea lizare ale proiectului stabilite a se realiza pe toată durata cercetării sunt
următoarele :
Tabel 1. Etape de realizare
Nr.
crt. Anul Denumire faza /activități Termen de
predare
1 2018 Elaborarea studiului de analiză a contextului actual 29.11.2018
2 2019 Identificarea surselor relevante și stabilirea indicatorilor de
securitate cibernetică care pot fi luați în calcul pentru
măsurarea nivelului de securitate cibernetică la nivel național 29.11.201 9
3 2020 Elaborarea unor fișe pentru fiecare indicator relevant și
propuneri de modalități de încorporare în acte normative 27.11.2020
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 6 din 138 1.3 Obiectivele fazei actuale
Prin obiectivele și activitățile de cercetare propuse în proiectul de față se urmărește cu
preponderență realizarea unui studiu de analiză asupra contextului actual, a dinamici evoluțiilor și a
necesității stabilirii unui sistem de indicatori de securitate cibernetică la nivel național.
Obiectivul principal al acestei faze a const at în analizarea prevederilor actelor normative
naționale în vigoare care reglementează domeniul securității cibernetice în vederea identificării
instituțiilor cu responsabilități în domeniu, atribuțiile și capabilitățile acestora și informațiile ce pot
fi furnizate de acestea cu priv ire la nivelul de securitate cibernetică la nivel național.
Pentru analiza asupra dinamicii și evoluțiilor în spațiul cibernetic s -au analizat strategiile
naționale de securitate cibernetică ale statelor membre ale Uniunii Europenecare și -au dezvoltat
capabilități de gestionare a incidentelor de securitate cibernet ică și au implementat metodologii de
răspuns la aceste incidente. De asemenea, majoritatea companiilor ce activează în domeniul
securității cibernetice publică cel puțin anual rapoarte privind incidentele și amenințările cibernetice
la nivel global. La ace stea se adaugă rapoartele CERT -urilor naționale care reflectă situația la nivel
național.
Prin acest obiectiv s -a urmărit studierea modelelor adoptate la nivel internațional în ceea ce
privește gestionarea incidentelor de securitate cibernetică, dar și a măsurării nivelului de securitate
cibernetică. Un exemplu elocvent este prevederea Directivei NIS prin care statele membre UE vor
raporta periodic către ENISA situația cu privire la incidentele de securitate cibernetică gestionate la
nivel național.
1.4 Rezuma tul fazei actuale
În cadrul fazei actuale intitulată „ Elaborarea studiului de analiză a contextului actual ” s-a
analizat prevederile actelor normative în vigoare pentru elaborarea contextului actual și pentru
analiza dinamicii evoluției spațiului ciberneti c.
Raportul de cercetare elaborat în această fază cuprinde 3 capitole principale, un capitol de
concluzii, anexe și un capitol cu bibliografie.
Pentru atingerea obiectivelor fazei, în cadrul capitolului 1 „Introducere” sunt oferite
informații referitoare la scopul proiectului, obiectivele și schema de realizare a proiectului.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 7 din 138 Capitolul 2 prezintă contextul actual și dinamica evoluției din spațiul cibernetic. Sunt
prezentate prevederile actelor normative în vigoare care au fost luate în considerare pentru stabilirea
unui sistem de indicatori de securitate cibernetică . În cadrul acestui capitol sunt prezentate în detaliu
principalele directive și rapoarte ale Uniunii Europene care au impact asupra spațiului securității
cibernetice.
La nivelul Uniunii Europen e au fost identificate o serie de acțiuni cheie pentru reglementarea
acestui cadru care sunt prezentate în acest capitol fiind analizat în același timp și contextul
internațional, fiind prezentate și etapele identificate de Department of Homeland Security (DHS)
privind domeniul de securitate cibernetică.
Pentru evidențierea în dinamică a amenințărilor de securitate cibernetică, echipa de proiect a
considerat necesar analiza datelor statistice oferite de CertRo, în mod special indicatorii de
securitate ciber netică, pe lângă rapoartele organizațiilor de securitate cibernetică la nivel mondial
pentru a avea o imagine completă asupra tendințelor de securitate cibernetică.
În cadrul subcapitolului 2.2 s -a elaborat un studiu referitor la necesitatea privind stabil irea
unui sistem de indicatori de securitate cibernetică fiind analizate studii de performanță a securității
cibernetice și în cadrul căruia este enumerat și un set detaliat de indicatori întâlniți în literatura de
specialitate pe care echipa de proiect le consideră necesare care fac referire și la câteva metrici
privind securitatea cibernetică.
Acest capitol cuprinde și o propunere de indicatori, ca urmare a analizării literaturii de
specialitate, aceștia fiind poziționați în trei mari categorii – indicatori relevanți pentru incidentele de
securitate, indicatori relevanți pentru vulnerabilitățile comportamentale, software -ul, configurația și
securitatea generală cât și inidicatori relevanți pentru măsurătorile de impact, prelucrați după ETSI
GS ISI 002 – Information Security Indicators (ISI).
Rezultatele cercetării prezentate în capitol ul 2 au contribuit la realizarea activitățiilor A.I.1 –
Analiza amănunțită a contextului actual și a necesității stabilirii unui sistem de indicatori de
securitate cibernetică pentru evaluarea nivelului de securitate cibernetică la nivel național și A.I.2
– Analiza asupra dinamicii și evoluțiilor din spațiul cibernetic, a abordărilor și inițiativelor
existente la nivel internațional , european și național din planul de realizar e al proiectului.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 8 din 138 Capitolul 3 oferă informații asupra arhitecturii soluției implementate pentru realizarea site –
ului proiectului. În această secțiune este prezentată tehnologia folosită și capturi din cadrul
principalelor pagini ale site -ului proiectului.
Rezultatele cercetării prezentate în capitol ul 3 au contribuit la realizarea activități A.I.3 –
Realizarea site -ului Web al proiectului din planul d e realizare al proiectului.
Soluțiile și rezultatele obținute au avut în vedere realizarea obiectivelor și priorităților
proiectului în sensul analizării contextului actual, a dinamicii evoluțiilor ș i a necesității stabilirii
unui sistem de indicatori de s ecuritate cibernetică .
Documentația mai cuprinde un capitol de concluzii, anexe și un capitol cu bibliografia și
referințele utilizate în activitatea de cercetare. A nexele conțin listele de figuri și tabele .
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 9 din 138 2. CONTEXTUL ACTUAL ȘI NECESITATEA UNUI SISTEM DE INDICATORI
DE SECURITATE CIBERNETICĂ
La ora actuală, noile tehnologii își pun din ce în ce mai mult amprenta asupra economiilor,
lumea noastră fiind acum hiper -legată de tehnologii cum ar fi Cloud, Internet of Things, Big Data
care se dezvoltă într -un ritm rapid. Majoritatea companiilor sunt determinate să le adopte, având în
vedere potențialul ridicat al creării de valoare prin intermediul unor noi modele de afaceri (de
exemplu, SaaS) sau simplificării managementului IT (de exemplu infrastructura informati că
găzduită de Cloud). În această evoluție, securitatea cibernetică este adesea ignorată, deși, riscurile și
amenințările la adresa securității cresc și se diversifică.
2.1. Contextul actual și dinamica evoluției din spațiul cibernetic
În România, vulnerabilită țile, riscurile și amenințările specifice pentru spațiul cibernetic sunt
caracterizate de asimetrie și o dinamică ascuțită, ceea ce le face dificil de identificat și contraatacat
prin măsuri proporționale cu riscurile.
România se confruntă în prezent cu a menințări la adresa infrastructurii sale critice, provenind
din spațiul cibernetic. Acest lucru se datorează unei interdependențe crescânde între infrastructura
cibernetică și infrastructurile din sectoarele bancare, al transporturilor, al energiei și al a părării
naționale. Globalizarea spațiului cibernetic poate crește riscurile care afectează atât cetățenii,
întreprinderile, cât și guvernul.
În general, infrastructurile cibernetice pot fi afectate de amenințări tehnice (adică deficiențe
sau defecțiuni teh nice), amenințări umane (adică erori de operare, acțiuni voluntare) sau amenințări
naturale (adică vremuri extreme, dezastre naturale).
Amenințările pentru spațiul cibernetic pot fi clasificate în mai multe moduri, dar cel mai
frecvent utilizate sunt cele bazate pe factori motivaționali și impact asupra societății. În acest sens,
putem lua în considerare criminalitatea cibernetică, terorismul cibernetic și războiul cibernetic,
având ca sursă atât actorii statului, cât și actorii nestatali (Guvernul României, 2013) .
În România, Strategia de Securitate Cibernetică a României are ca scop definirea și
menținerea unui mediu virtual sigur, cu un înalt grad de reziliență și de încredere, bazat pe
infrastructurile cibernetice naționale, care să constituie un important suport pentru securitatea
națională și buna guvernare, pentru maximizarea beneficiilor cetățenilor, mediului de afaceri și ale
societății românești, în ansamblul ei. De asemenea, Strategia urmărește îndeplinirea obiectivului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 10 din 138 național de securitate privind "asigurarea securității cibernetice", cu respectarea principiilor și
caracteristicilor Strategiei naționale de apărare și Strategiei naționale de protecție a infrastructurilor
critice.
Obiectivele Strategiei de securitate ci bernetică a României sunt:
adaptarea cadrului normativ și instituțional la dinamica amenințărilor specifice spațiului
cibernetic;
stabilirea și aplicarea unor profil uri și cerințe minime de securitate pentru infrastructurile
cibernetice naționale, relevant e din punct de vedere al funcționării corecte a infrastructurilor
critice;
asigurarea rezilienței infrastructurilor cibernetice;
asigurarea stării de securitate prin cunoașterea, prevenirea și contracararea vulnerabilităților,
riscurilor și amenințărilor l a adresa securității cibernetice a României;
valorificarea oportunităților spațiului cibernetic pentru promovarea intereselor, valorilor și
obiectivelor naționale în spațiul cibernetic;
promovarea și dezvoltarea cooperării între sectorul public și cel priv at în plan național,
precum și a cooperării internaționale în domeniul securității cibernetice;
dezvoltarea culturii de securitate a populației prin conștientizarea față de vulnerabilitățile,
riscurile și amenințările provenite din spațiul cibernetic și ne cesitatea asigurării protecției
sistemelor informatice proprii;
participarea activă la inițiativele organizațiilor internaționale din care România face parte în
domeniul definirii și stabilirii unui set de măsuri destinate creșterii încrederii la nivel
internațional privind utilizarea spațiului cibernetic.
Amenințările din spațiul cibernetic se materializează adesea prin exploatarea vulnerabilităților
de natură umană, tehnică și procedurală. Datorită importanței serviciilor societății informaționale
care sprijină funcțiile publice sau serviciile (întreruperea sau deteriorare serviciilor ar putea
constitui un pericol pentru securitatea națională), cele mai importante amenințări sunt împotriva
infrastructurii (sunt sub forma unor atacuri cibernetice, accesu l neautorizat la infrastructurile
cibernetice, modificarea, ștergerea sau deteriorarea datelor de pe computer, restricționarea ilegală
neautorizată a accesului la astfel de date, spionajul cibernetic, provocând pagube patrimoniale,
hărțuind și șantajând in divizii și întreprinderile publice și private).
Principalii actori care creează amenințări în spațiul cibernetic sunt(din perspectiva Strategiei
Naționale pentru Securitate Cibernetică ):
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 11 din 138 persoanele sau grupurile de crimă organizată care exploatează vulnera bilitățile spațiului
cibernetic pentru a obține beneficii de proprietate sau non -proprietate;
teroriștii sau extremiștii care utilizează spațiul cibernetic pentru a conduce și coordona
atacurile teroriste, activitățile de comunicare, propaganda, recrutarea și instruirea etc.
strângerea de fonduri în scopuri teroriste;
actorii statali sau nestatali care inițiază operațiuni în spațiul cibernetic, în scopul colectării
de informații în domeniul guvernamental, militar, economic sau al asigurării materializării
altor amenințări la adresa securității naționale.
La nivel strategic, conform documentelor publicate de CERT, direcțiile de acțiune pe care
România le vizează sunt în principal asigurarea și reducerea riscurilor în utilizarea spațiului
cibernetic prin îmbun ătățirea deciziei privind cunoștințele, capacitățile și mecanismele. În acest
sens, eforturile se vor concentra pe următoarele direcții:
Stabilirea cadrului conceptual, organizatoric și de acțiune necesar asigurării securității
cibernetice:
o constituirea și operaționalizarea unui sistem național de securitate cibernetică;
o completarea și armonizarea cadrului legislativ național în domeniu, inclusiv instituirea
și aplicarea cerințelor minime de securitate pentru infrastructurile cibernetice naționale;
o dezvoltarea cooperării dintre sectorul public și cel privat, inclusiv prin stimularea
schimbului reciproc de informații privind amenințările, vulnerabilitățile și riscurile,
precum și incidente și atacuri cibernetice.
Dezvoltarea capabilităților naționale de gesti onare a riscurilor și de reacție în domeniul
securității cibernetice, pe baza unui program național și care să includă următoarele aspecte:
o consolidarea, la nivelul autorităților competente, a potențialului de înțelegere, prevenire
și combatere a amenințăr ilor și minimizarea riscurilor asociate cu utilizarea spațiului
cibernetic;
o asigurarea unor instrumente pentru dezvoltarea cooperării public -privat în domeniul
securității cibernetice, inclusiv în scopul creării unor mecanisme eficiente de avertizare,
alertă și reacție în ceea ce privește incidentele cibernetice;
o stimularea capacităților de cercetare, dezvoltare și inovare în domeniul securității
cibernetice; – creșterea nivelului de rezistență a infrastructurilor cibernetice; –
dezvoltarea entităților de t ip CERT atât în sectorul public, cât și în cel privat.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 12 din 138 Promovarea și consolidarea culturii securității în domeniul cibernetic prin
o dezvoltarea programelor de sensibilizare la nivel de populație, administrație publică și
sectorul privat privind amenință rile, vulnerabilitățile și riscurile specifice utilizării
spațiului cibernetic;
o dezvoltarea programelor educaționale, în ciclul de învățământ obligatoriu, privind
utilizarea în siguranță a internetului și a echipamentelor de calcul;
o pregătire profesională adecvată pentru persoanele care lucrează în domeniul securității
cibernetice și promovarea pe scară largă a domeniului certificărilor profesionale;
o includerea elementelor legate de securitatea cibernetică în programele de formare
profesională pentru managerii din sectorul public și privat.
Dezvoltarea cooperării internaționale în domeniul securității cibernetice prin:
o încheierea de acorduri de cooperare internațională pentru îmbunătățirea capacității de
reacție în cazul unor atacuri cibernetice majore ;
o participarea la programe internaționale în domeniul securității cibernetice;
o promovarea intereselor formatelor naționale de cooperare în domeniul securității
cibernetice la care România este parte.
La nivelul UE, este în curs de adoptare o strategie euro peană de securitate cibernetică, menită
să armonizeze eforturile statelor membre de a aborda provocările de securitate în spațiul cibernetic
și protecția infrastructurilor critice de informație.
În același timp, UE a subliniat necesitatea unei politici de combatere a criminalității
informatice. Au început inițiativele ulterioare de la realizarea creșterii numărului de infracțiuni
informatice, cu implicarea mai profundă a grupurilor criminale organizate în criminalitatea
informatică și necesitatea coordonăr ii eforturilor UE de combatere a acestor infracțiuni. Dat fiind
faptul că atacurile cibernetice coordonate pe scară largă, care vizează infrastructura critică
cibernetică a statelor membre, reprezintă o preocupare crescândă a UE, apare necesitatea urgentă
atât la nivel european, cât și la nivel național, de a lua măsuri pentru combaterea tuturor formelor de
criminalitate informatică.
În ceea ce privește produsele, serviciile și procesele, creșterea pieței de securitate cibernetică
în UE este reținută în mai multe moduri. Un aspect esențial îl reprezintă lipsa sistemelor de
certificare a securității informatice recunoscute în întreaga UE pentru a construi standarde mai
înalte de reziliență în produse și pentru a susține încrederea pe piață la nivelul UE. Prin urmare,
Comisia Europeană prezintă propunerii de creare a unui cadru UE de certificare a securității
informatice.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 13 din 138 La nivel procedural crearea a unor sisteme de certificare a securității cibernetice la nivelul
UE, se va stabili într -un cadru care să includ ă produse, servicii și / sau sisteme care adaptează
nivelul de asigurare la utilizarea implicată (indiferent dacă este vorba de infrastructuri critice sau
dispozitive de consum). Aceasta ar aduce beneficii clare întreprinderilor prin evitarea necesității d e
a trece prin mai multe procese de certificare atunci când tranzacționează internațional, limitând
astfel costurile administrative și financiare.
Utilizarea schemelor dezvoltate în cadrul acestui cadru ar contribui, de asemenea, la
consolidarea încrederi i consumatorilor, printr -un certificat de conformitate pentru informarea și
reasigurarea cumpărătorilor și utilizatorilor cu privire la proprietățile de securitate ale produselor și
serviciilor pe care le cumpără și le utilizează. Acest lucru ar face ca st andardele înalte pentru
securitate cibernetică să fie un avantaj competitiv. Rezultatul ar putea genera o rezistență sporită,
deoarece produsele și serviciile IT vor fi evaluate în mod oficial în raport cu un set definit de
standarde de securitate cibernet ică.
În acest context la nivelul EU (COMMUNICATION FROM THE COMMISSION TO THE
EUROPEAN PARLIAMENT, 2016) , schemele cadru propuse ar fi voluntare și nu ar crea obligații
de reglementare imediate pentru furnizori sau furnizori de servicii. Schemele nu ar contraveni
niciunei cerințe legale aplicabile, cum ar fi legislația UE privind protecția datelor (GDPR). După
stabilirea cadrului, Comisia Europeană va invita părțile interesate relevante să se concentreze asupra
a trei domenii pri oritare (COUNCIL, 2017) :
o Securitatea în aplicații critice sau cu grad ridicat de risc: sistemele utilizate în activitatea de
zi cu zi, sisteme mari și complexe (cum ar fi avioanele sau centralele electrice până la cele
mai mici , dispozitivele medicale care devin din ce în ce mai mult digitale și
interconectate). Prin urmare, componentele TIC de bază în astfel de produse și sisteme ar
necesita o evaluare riguroasă a securității;
o Securitate cibernetică în produsele, rețelele, sist emele și serviciile digitale utilizate pe scară
largă utilizate de sectorul privat și public pentru a apăra împotriva atacurilor. Este necesară
aplicarea obligațiilor de reglementare, cum ar fi criptarea prin e -mail, firewall -urile și
rețelele virtuale pri vate. De asemenea, este esențial ca utilizarea răspândită a unor astfel de
instrumente să nu ducă la noi surse de risc sau noi vulnerabilități;
o Utilizarea metodelor "security by design" în dispozitivele cu consum redus, digital,
interconectate în masă, ca re alcătuiesc internetul obiectelor: (schemele din cadrul respectiv
ar putea fi folosite pentru a semnala că produsele sunt construite folosind metode de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 14 din 138 dezvoltare sigure de ultimă generație, datorită faptului că au fost supuse unor teste de
securitate ad ecvate și vânzătorii s -au angajat să își actualizeze software -ul în cazul unor
vulnerabilități sau amenințări recent descoperite).
Aceste priorități ar trebui să țină seama în special de evoluția amenințărilor la adresa
securității cibernetice (Council, 2016 ) , precum și de importanța serviciilor esențiale, cum ar fi
transportul, energia, asistența medicală, sectorul bancar, infrastructurile pieței financiare, apa
potabilă sau infrastructura digitală.
Deși niciun produs, sistem sau serviciu TIC din punct de vedere al securității nu poate fi
garantat în întregime , există câteva defecte bine cunoscute și bine și documentate în ceea ce privește
proiectarea produselor TIC care pot fi utilizate pentru atacuri. O astfel de abordare "se curity by
design" adoptată de producătorii de dispozitive ce utilizează conectări software, precum și
echipamente informatice ar asigura faptul că securitatea informatică este abordată înainte de a
introduce noi produse pe piață. Aceasta ar putea face part e din principiul "datoriei de îngrijire", care
va fi dezvoltat în continuare împreună cu industria, care ar putea reduce vulnerabilitățile produselor
/ software -ului prin aplicarea unei game de metode, de la proiectare până la testare și verificare,
inclusiv verificarea formală, după caz, întreținerea și utilizarea proceselor securizate de dezvoltare a
ciclului de viață, precum și dezvoltarea de actualizări și patch -uri pentru a aborda vulnerabilitățile
nedescoperite și actualizarea și repararea rapidă (Advisors, 2017) . Acest lucru ar spori, de
asemenea, încrederea consumatorilor în produsele digitale.
Este necesară recunoașterea rolului important al cercetătorilor de securitate terți în
descoperirea vulnerabilităților în produse le și serviciile existente și ar trebui create condiții pentru a
permite divulgarea coordonată a vulnerabilității în statele membre, pe baza celor mai bune practici
și a standardelor relevante (Advisors, 2017) (E. Black, 2008) .
Anumite sectoare se confruntă cu probleme specifice și ar trebui încurajate să își dezvolte
propria abordare. În acest fel, strategiile generale privind securitatea informatică vor fi completate
de strategii specifice privind securitatea cibernetică în domenii precum serviciile financiare,
energia, transportul și sănătatea (Council, 2016 ) . Comisia a subliniat deja aspectele specifice
privind răspunderea ridicată de noile tehnologii digitale și se desfășoară lucrări de analiză a
implicațiilor; pașii următori vor fi încheiați până în iunie 2018. Securitatea cibernetică ridică
probleme în ceea ce privește atribuirea prejudiciilor întreprinderilor și lanțurilor de aprovizionare
(EUROPEAN PARLIAMENT, 2017) , iar nerespectarea acestor aspecte va împiedica dezvoltarea
unei piețe unice puternice în ceea ce privește produse le și serviciile informatice.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 15 din 138 În cele din urmă, dezvoltarea pieței unice a UE depinde, de asemenea, de factorizarea
securității cibernetice în politica privind comerțul și investițiile. Efectul achizițiilor străine asupra
tehnologiilor critice – dintre car e securitatea informatică reprezintă un exemplu important și este un
aspect -cheie în cadrul investițiilor străine directe în Uniunea Europeană. Un posibil obiectiv al
acestor investiți este verificarea investițiilor din țări terțe pe motive de securitate ș i ordine publică.
În același timp, cerințele privind securitatea informatică au creat deja bariere comerciale pentru
bunurile și serviciile UE în sectoare importante dintr -o serie de economii din țări terțe. Cadrul UE
de certificare a securității informati ce va consolida în continuare poziția internațională a Europei și
ar trebui să fie completat de eforturi continue în vederea elaborării unor standarde mondiale de
înaltă securitate și a acordurilor de recunoaștere reciprocă (PARLIAM ENT, 2017) .
Cu principalele instrumente de combatere a securității informatice de astăzi în, la nivelul UE
s-a recunoscut necesitatea de a crește standardele de securitate cibernetică . Datorită naturii din ce în
ce mai globalizate, dependente de cea digitală și interconectată a sectoarelor -cheie, (cum ar fi
sectorul bancar, energia sau transportul), incidentele cibernetice la scară largă afectează rar numai
un singur stat membru.
Directiva privind securitatea sistemelor de rețea și de informații (Directiva NIS) este
cunoscută ca prima lege privind securitatea cibernetică la nivelul UE. Conținutul acesteia este
conceput pentru a construi rezistența prin îmbunătățirea capacităților n aționale de securitate
cibernetică și promovarea unei mai bune cooperări între statele membre. Această lege, impune
întreprinderilor din sectoarele economice importante să adopte practici eficiente de gestionare a
riscurilor și raportarea către autoritățil e naționale incidente grave. Obligațiile Directivei NIS se
aplică și în cazul a trei tipuri de furnizori de servicii cheie: cloud computing, motoarele de căutare și
piețele online. Directiva (Council, 2016 ) , urmărește o abordare mai puternică și mai sistematică și
un flux de informații mai bun.
Implementarea și aplicarea integrală a directivei de către toate statele membre până în mai
2018 a fost esențială pentru creșterea securității cibernetice la nivel mondial a UE. Acest proces a
fost susținut de munca colectivă din partea statelor membre, care au condus, până în toamna anului
2017, la orientări care să sprijine o punere în aplicare mai armonizată, în special în ceea ce privește
operatorii de servicii esențiale. De ase menea, Comisia a elaborat o comunicare ca parte a acestui
pachet privind securitatea informatică pentru a -și susține eforturile, oferind cele mai bune practici
din partea statelor membre relevante pentru punerea în aplicare a directivei și orientări privi nd
modul în care directiva ar trebui să funcționeze în practică (COUNCIL C. T., 2017) .
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 16 din 138 Fluxul de informații, reprezintă un domeniu în care directiva ar trebuie să fie completată. Spre
exemplu, așa cum se arată în literatura de specialitate ( Securitate cibernetică in the European Digital
Single Market, High level group of Scientific Advisors 2017), directiva acoperă doar sectoare
strategice cheie. O abordare similară a tuturor părților interesate afectate de atacuri cibernetice ar fi
necesară pentru a avea o evaluare sistematică a vulnerabilităților și a punctelor de intrare pentru
atacatorii cibernetici. În plus, cooperarea și schimbul de informații între sectorul public și cel privat
se confruntă cu o serie de obstacole. Guvern ele și autoritățile publice sunt reticente în a împărtăși
informații relevante pentru securitatea informatică, de teama de a compromite securitatea națională
sau competitivitatea. Întreprinderile private sunt reticente în a împărtăși informații despre
vulnerabilitățile lor cibernetice și pierderile rezultate din teama de a compromite informațiile de
afaceri sensibile, riscând reputația sau riscând încălcarea regulilor de protecție a datelor (Security E.
U., 2016) .
Există neces itatea consolidării încrederii în parteneriatele public -private pentru a sprijini
cooperarea și schimbul mai larg de informații într -un număr mai mare de sectoare. Rolul centrelor
de partajare și analiză a informațiilor este deosebit de important în creare a încrederii necesare
pentru schimbul de informații între sectorul privat și cel public. În acest sens, au fost întreprinși
câțiva pași în privința unor sectoare critice specifice, cum ar fi: aviația (prin crearea Centrului
european pentru securitatea cibe rnetică în domeniul aviației) (Agency, 2017) și a energiei (prin
dezvoltarea de centre de schimb și de analiză a informațiilor). Din documentele analizată de echipa
de proiect, Comisia Europeană va contribui pe deplin la aceast ă abordare cu sprijinul ENISA
(Security E. -E., 2014) , cu o accelerare necesară, în special în ceea ce privește sectoarele care
furnizează servicii esențiale, astfel cum sunt acestea identificate în directiva privind INS.
În cazul în care are loc un atac cibernetic, un răspuns rapid și eficient îi poate atenua impactul.
Acest lucru poate demonstra, de asemenea, că autoritățile publice nu sunt neputincioase în fața
atacurilor cibernetice și contribuie la construirea încreder ii. În ceea ce privește răspunsul instituțiilor
UE, este necesară integrarea aspectelor cibernetice în mecanismele existente ale UE de gestionare a
crizelor: (răspunsul la criza politică integrată a UE, coordonat de Președinția Consiliului și de
sistemele generale de alertă rapidă ale UE). Necesitatea de a răspunde unui incident sau unui atac
cibernetic deosebit de grav poate constitui un motiv suficient pentru ca un stat membru să invoce
clauza de solidaritate a UE (Security E. -E., 2014) .
Un răspuns rapid și eficace se bazează, de asemenea, pe un mecanism rapid de schimb de
informații între toți actorii cheie la nivel național și la nivelul UE, care, la rândul său, necesită
claritate cu privire la rolurile și responsabilitățile lor. Comisia a consultat instituțiile și statele
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 17 din 138 membre cu privire la un "proiect" pentru a oferi un proces eficient de reacție operațională la nivelul
Uniunii și al statelor membre la un incident cibernetic la scară largă. Planul prezentat într -o
recomandare din acest pachet explică modul în care securitatea informatică este integrată în
mecanismele existente de gestionare a crizelor la nivelul UE și stabilește obiectivele și modurile de
cooperare între statele membre, precum și între statele membre și i nstituțiile, agențiile și
organismele, atunci când răspund la incidente și crize la scară largă în domeniul securității
cibernetice. Recomandarea solicită, de asemenea, statelor membre și instituțiilor UE să instituie un
cadru comunitar de răspuns la criză în domeniul securității informatice pentru a operaționaliza
planul. Planul va fi testat periodic în exerciții cibernetice și în alte activități de gestionare a crizelor
și va fi actualizat după cum este necesar (Europeană, 2017) .
Având în vedere că incidentele privind securitatea informatică ar putea avea un impact
semnificativ asupra funcționării economiilor și asupra vieții cotidiene a oamenilor, o opțiune ar fi să
se investigheze posibilitatea unui fond de intervenție în caz de urgență de cibernetică, urmărind
exemplul altor mecanisme de criză în alte domenii politice ale UE. Acest lucru ar permite statelor
membre să solicite asistență la nivelul UE în timpul sau după un incident major, cu condiția ca
statul membru să fi inst ituit un sistem prudențial de securitate cibernetică înainte de incident,
inclusiv punerea integrală în aplicare a directivei NIS, cadrelor de supraveghere la nivel național.
Un astfel de fond, care să completeze mecanismele existente de gestionare a crize lor la nivelul UE,
ar putea utiliza o capacitate de reacție rapidă în interesul solidarității și să finanțeze acțiuni specifice
de intervenție în caz de urgență, cum ar fi înlocuirea echipamentelor compromise sau utilizarea
instrumentelor de atenuare sau d e reacție. mecanismul de protecție civilă al UE.
Instrumentele tehnologice ale securității cibernetice sunt active strategice, precum și
tehnologii cheie de creștere pentru viitor. S -a constatat faptul cp este în interesul strategic al UE să
se asigure sun t menținute și dezvoltate capacitățile esențiale pentru a -și asigura economia digitală,
societatea și democrația, în vederea protejării hardware -ul și software -ul critic și pentru a oferi
servicii -cheie în domeniul securității informatice.
În UE, parteneri atul public -privat privind securitatea cibernetică, creat în 2016, a reprezentat
un prim pas important, care a generat investiții de până la 1,8 miliarde EUR până în 2020. Cu toate
acestea, amploarea investițiilor în curs în alte părți ale lumii sugerează că UE are nevoie să facă mai
mult în ceea ce privește investițiile și să depășească fragmentarea capacităților din întreaga UE.
Așa cum se specific ă în literatur a de specialitate (Joint communication to the european
parliament and the council, 2017) UE a i ntrodus valoare adăugată, având în vedere sofisticarea
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 18 din 138 tehnologiei de securitate cibernetică și investițiile la scară largă necesare și nevoia de soluții care să
acționeze în întreaga UE. Bazându -se pe activitatea statelor membre și pe parteneriatul public –
privat, un nou pas ar fi consolidarea capacității UE de informatică prin intermediul unei rețele de
centre de competență în domeniul securității informatice, cu un centru european de cercetare și
competență în domeniul securității informatice. Această reț ea și Centrul său ar stimula dezvoltarea
și implementarea tehnologiei în securitatea informatică și vor completa eforturile de consolidare a
capacității în acest domeniu la nivel european și național. Comisia Europeană a lansat o evaluare a
impactului pent ru a examina opțiunile disponibile, inclusiv posibilitatea înființării unei întreprinderi
comune, în vederea înființării acestei structuri în 2018.
Ca prim pas și pentru a informa gândirea viitoare, Comisia Europeană, a propus lansarea în
cadrul programulu i Orizont 2020 a unei etape pilot pentru a ajuta la reunirea centrelor naționale
într-o rețea care să creeze un nou impuls în competența securitate cibernetică și dezvoltarea
tehnologică. Aceasta intenționează să propună o finanțare pe termen scurt de 50 d e milioane EUR în
acest scop. Activitate a completat implementarea permanentă a parteneriatului public -privat pentru
securitatea informatică.
Punerea în comun și formarea eforturilor de cercetare ar fi în centrul rețelei și în centrul
atenției centrului. P entru a sprijini dezvoltarea capacităților industriale, centrul ar putea acționa ca
un manager de proiect capabil să gestioneze proiectele multinaționale. Acest lucru este considerat
ca un impuls suplimentar inovării și competitivității industriei UE pe sc ena mondială în dezvoltarea
tehnologiilor digitale de generație următoare, inclusiv inteligența artificială, calculul cuantic,
blocajele și identitățile digitale sigure, precum și asigurarea accesului la date în masă pentru
Companiile cu sediul în UE, toat e cheia asigurării securității cibernetice în viitor. Centrul se
bazează pe eforturile UE de extindere a infrastructurii de înaltă performanță în computere (Comisia
Europeană, , 2016) : acest lucru este esențial pentru analiza ca ntităților mari de date, criptarea și
decriptarea rapidă a datelor, verificarea identităților, simularea atacurilor cibernetice și analizarea
materialelor video.
În ceea ce privește centrele de competență, acestea ar putea avea, capabilități pentru a spri jini
industria prin testarea și simularea pentru a susține certificarea privind securitatea informatică.
Implicarea sa în întreaga gamă de activități de securitate cibernetică a UE ar asigura o actualizare
continuă a direcționării sale în funcție de necesi tăți. Centrul ar încerca să impună standarde înalte în
materie de securitate cibernetică nu numai în sistemele de tehnologie și securitate cibernetică, ci și
în dezvoltarea competențelor de vârf pentru profesioniști, oferind soluții și șabloane pentru
eforturile naționale de a dezvolta competențe digitale. În acest sens, ar consolida, de asemenea,
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 19 din 138 capacitățile de securitate cibernetică la nivelul UE și se va baza pe sinergii, în special cu ENISA,
CERT -UE, Europol, eventualul viitor fond de răspuns la situaț ii de urgență în caz de cibernetică și
CSIRT -urile naționale.
În cadrul pieței unice digitale, un accent deosebit al activității rețelei de competențe trebuie să
fie lipsa unei capacități europene de evaluare a criptării produselor și serviciilor utilizate de cetățeni,
întreprinderi și guverne. Criptarea eficientă reprezintă baza pentru sistemele de identificare digitală
sigure, care joacă un rol -cheie în securitatea informatică eficientă. De asemenea, aceasta păstrează
în siguranță proprietatea intelectuală a oamenilor și permite protejarea drepturilor fundamentale,
cum ar fi libertatea de exprimare și protecția datelor cu caracter personal, și crește securitatea
tranzacțiilor online precum și a comerțul online (High Level Group of Scientific Advisors, 2017) .
Având în vedere că atât piețele civile cât și cele de securitate cibernetică ale UE împărtășesc
provocări comune (Optimity Advisors, 2016) și tehnologii cu du blă utilizare care impun o
colaborare strânsă în domenii critice, la nivelul Uniunii Europene, din dispozițiile tratatului
referitoare la politica de securitate și apărare comună, se poate dezvolta o a altă fază cu o
dimensiune de apărare cibernetică. Pe l ângă orientarea sa tehnologică, dimensiunea apărării ar putea
contribui la cooperarea dintre statele membre în domeniul apărării cibernetice, inclusiv schimbul de
informații, conștientizarea situației, construirea de expertiză și reacții coordonate și spri jinirea
dezvoltării capacităților comune ale statelor membre. De asemenea, ar putea acționa ca o platformă
care să permită statelor membre să identifice prioritățile pentru apărarea cibernetică a UE, să
investigheze soluții comune, să contribuie la elabora rea strategiilor comune, să faciliteze formarea
comună în domeniul apărării cibernetice, exerciții și teste la nivel european și să sprijine activitățile
taxonomiile și standardele de apărare cibernetică, Centrul având un rol de sprijin și de consiliere.
Pentru a continua activitățile menționate anterior, Centrul ar trebui să colaboreze îndeaproape și în
deplină complementaritate cu Agenția Europeană de Apărare în domeniul apărării cibernetice,
precum și cu ENISA în domeniul rezistenței cibernetice. Această dimensiune de apărare ar lua în
considerare procesul lansat de documentul de reflecție privind viitorul apărării europene.
În Europa, nivelul ridicat de rezistență necesar în apărarea cibernetică necesită o direcționare
specifică a eforturilor de cercetar e și tehnologie. Proiectele de apărare cibernetică sau tehnologiile
dezvoltate de întreprinderi ar putea beneficia de finanțarea din Fondul european de apărare atunci
când este vorba atât de faza de cercetare, cât și de dezvoltare. Domeniile specifice, cum ar fi
sistemele de criptare bazate pe tehnologii cuantice, conștientizarea situației cibernetice, sistemele de
control al accesului biometric, detectarea amenințărilor persistente avansate sau exploatarea datelor,
ar putea fi deosebit de relevante în aces t context. Agenția Europeană de Apărare și Comisia va
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 20 din 138 sprijini statele membre în identificarea domeniilor în care proiectele comune de securitate
cibernetică ar putea fi luate în considerare pentru finanțarea din partea Fondului european de
apărare.
În literatura de specialitate se specific faptul că aproximativ 95% din incidente sunt activate
de "un tip de eroare umană fie ea intenționată sau nu", deci există un factor uman puternic în joc.
Astfel, se arată că securitatea informatică este responsabilitatea tuturor. Aceasta arată
comportamentul personal, corporativ și al administrației publice trebuie să se schimbe pentru a se
asigura că toată lumea înțelege amenințarea și este dotată cu instrumentele și abilitățile necesare
pentru a detecta rapid și pentru a se proteja în mod activ împotriva atacurilor. Oamenii trebuie să -și
dezvolte obiceiurile de securitate cibernetică, iar întreprinderile și organizațiile trebuie să adopte
programe adecvate de securitate împotriva riscurilor informatice și să le actualize ze în mod regulat
pentru a reflecta peisajul de risc în evoluție.
Directiva NIS nu numai că stabilește responsabilitățile statelor membre de a face schimb de
informații privind atacurile cibernetice la nivelul UE, dar și de a pune în practică strategii și cadre
naționale în materie de securitatea informatică și securitatea rețelelor și a sistemelor informatice.
Administrațiile publice la nivelul UE și la nivel național ar trebui să joace un rol de conducere în
continuare în promovarea acestor eforturi.
Se consideră că la nivelul Uniunii Europene, în primul rând, statele membre ar trebui să
maximizeze disponibilitatea instrumentelor de securitate cibernetică pentru întreprinderi și persoane
fizice. În special, ar trebui întreprinse mai multe măsuri pentru a p reveni și a atenua impactul
criminalității cibernetice asupra utilizatorilor finali. În literatura de specialitate putem identifica un
exemplu se poate considera cel dom activitatea Europol cu campania "NoMoreRansom"1, construită
prin strânsa cooperare î ntre companiile de aplicare a legii și companiile de securitate cibernetică,
pentru a ajuta utilizatorii să prevină infecțiile cu ransomware și să decripteze datele dacă sunt
victime ale unui atac. Astfel de scheme ar trebui puse în aplicare pentru alte ti puri de malware, în
alte domenii, iar UE ar trebui să dezvolte un portal unic pentru a reuni toate aceste instrumente într –
un ghișeu unic, oferind consultanță utilizatorilor cu privire la prevenirea și depistarea malware -ului
și a legăturilor mecanisme de raportare.
În al doilea rând, statele membre ar trebui să accelereze utilizarea mai multor instrumente
securizate cibernetice în dezvoltarea e -guvernării și, de asemenea, să profite pe deplin de rețeaua de
competențe. Ar trebui promovată adoptarea unor mij loace sigure de identificare, bazându -se pe
1 https://www.nomoreransom.org
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 21 din 138 cadrul UE de identificare electronică și servicii de încredere pentru tranzacțiile electronice pe piața
internă, care a intrat în vigoare începând din 2016 și oferă un cadru de reglementare previzibil
pentru a pe rmite interacțiuni electronice sigure și fără întreruperi între întreprinderi, persoane fizice
și autorități publice. În plus, instituțiile publice, în special cele care furnizează servicii esențiale, ar
trebui să se asigure că personalul lor este instruit în domenii legate de securitatea informatică
(Parlamentul European, 2014) .
În al treilea rând, se consideră faptul că statele membre ar trebui să devină o prioritate în
campaniile de conștientizare, inclusiv cele care vizează ș colile, universitățile, comunitatea de
afaceri și organismele de cercetare. Creșterea gradului de conștientizare în legătură cu campaniile
online de dezinformare și știrile false despre mediile sociale care vizează în special subminarea
proceselor democrat ice și a valorilor europene este la fel de importantă. În timp ce responsabilitatea
principală rămâne la nivel național , inclusiv pentru alegerile pentru Parlamentul European, punerea
în comun a expertizei și schimbul de experiență la nivel european sa do vedit a fi de valoare
adăugată în acordarea unei atenții pentru acțiuni.
În general, există, un rol important pentru industrie, prin acordarea unei atenții deosebite
furnizorilor și producătorilor de servicii digitale. Acesta trebuie să sprijine utilizator ii (persoane
fizice, întreprinderi și administrații publice) cu instrumente care să le permită să își asume
responsabilitatea pentru acțiunile proprii online, făcând clar că menținerea igienei cibernetice este o
parte indispensabilă a ofertei către consuma tori. Pentru a detecta și a elimina vulnerabilitățile,
industria ar trebui să depună eforturi pentru a avea procese interne care să se ocupe de investigații,
triaj și rezolvarea vulnerabilităților, indiferent dacă sursa vulnerabilității potențiale a fost e xternă
sau în interiorul companiei în cauză.
Astfel, la nivelul Uniunii Europene sunt identificate o serie de acțiuni cheie:
o Implementarea integrală a Directivei privind securitatea sistemelor de rețea și de
informații;
o Adoptarea rapidă de către Parlamentul European și Consiliu a regulamentului de stabilire a
unui nou mandat pentru ENISA și a unui cadru european de certificare (COUNCIL J. C.,
2017) ;
o Inițiativă comună a Comisiei / industriei pentru definirea unui princi piu "datorie de
îngrijire" pentru reducerea vulnerabilităților de produs / software și promovarea "securității
prin proiectare";
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 22 din 138 o Implementarea rapidă a planului pentru răspunsul transfrontalier la incidente majore;
o Lansarea unei evaluări a impactului pentr u a studia posibilitatea ca, în 2018, o propunere a
Comisiei să înființeze o rețea de centre de competență în domeniul securității cibernetice și
un centru european de cercetare și competențe în domeniul securității cibernetice , pe baza
unei etape pilot im ediate;
o Sprijinirea statelor membre în identificarea domeniilor în care proiectele comune de
securitate cibernetică ar putea fi luate în considerare pentru sprijinul Fondului european de
apărare;
o Un ghișeu unic la nivelul UE pentru a ajuta victimele atacur ilor cibernetice, furnizarea de
informații privind cele mai recente amenințări și reunirea sfaturilor practice și a
instrumentelor de securitate cibernetică;
o Acțiunea statelor membre de a integra securitatea informatică în programele de
competențe, e -guvernare și campanii de sensibilizare;
o Acțiunile întreprinse de industrie în vederea intensificării instruirii legate de securitatea
informatică a personalului acestora și adoptarea unei abordări "securitate prin design"
pentru produsele, serviciile și procese le acestora.
Analizând securitatea cibernetică în relațiile externe ale Uniunii Europene, putem spune că
atacurile cibernetice din alte țări sunt identificate ca fiind printre principalele amenințări la adresa
securității naționale. Având în vedere caracte rul global al amenințării, construirea și menținerea
alianțelor și a parteneriatelor solide cu țările terțe este esențială pentru prevenirea și descurajarea
atacurilor cibernetice – care sunt din ce în ce mai importante pentru stabilitatea și securitatea
internațională. Uniunea Europeană va acorda prioritate stabilirii unui cadru strategic pentru
prevenirea conflictelor și stabilitatea în spațiul cibernetic, în cadrul angajamentelor sale bilaterale,
regionale, multilaterale și multilaterale.
Astfel, Uniunea Europeană promovează cu fermitate poziția potrivit căreia legislația
internațională, în special Carta ONU, se aplică în spațiul cibernetic. Ca o completare la legislația
internațională obligatorie, UE susține normele, normele și principiile voluntare, făr ă caracter
obligatoriu, ale unui comportament responsabil al statului, formulate de Grupul de experți
guvernamentali al ONU; încurajează, de asemenea, dezvoltarea și punerea în aplicare a măsurilor de
consolidare a încrederii, atât în cadrul Organizației pentru Securitate și Cooperare în Europa, cât și
în alte regiuni.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 23 din 138 La nivel bilateral, dialogurile cibernetice vor fi dezvoltate și completate prin eforturi de
facilitare a cooperării cu țările terțe pentru a consolida principiile diligenței și responsabil ității
statului în spațiul cibernetic. Uniunea Europeană va prioritiza problemele de securitate
internațională din spațiul cibernetic în angajamentele sale internaționale, asigurând totodată că
securitatea informatică nu devine pretext pentru protecția pie ței și limitarea drepturilor și libertăților
fundamentale, inclusiv libertatea de exprimare și accesul la informație. O abordare cuprinzătoare a
securității cibernetice necesită respectarea drepturilor omului și Uniunea Europeană va continua să
își mențină valorile de bază la nivel mondial, pe baza liniilor directoare ale UE privind drepturile
omului privind libertatea online. În acest sens, UE subliniază importanța implicării tuturor părților
interesate în guvernanța internetului.
De asemenea, Comisia a pr ezentat o propunere de modernizare a controalelor la export ale
UE, inclusiv introducerea de controale asupra exportului tehnologiilor critice de supraveghere
cibernetică care ar putea cauza încălcări ale drepturilor omului sau ar putea fi utilizate în mod
abuziv împotriva securității UE și vor intensifica dialogurile cu pentru a promova convergența
globală și comportamentul responsabil în acest domeniu.
La nivel internațional, din documentele analizate de echipa de proiect reiese faptul că în
Statele Unite ca și în Europa problema securitate cibernetică este dezbătută tot mai intens, datorită
faptului că și SUA se confruntă cu amenințări din partea unui n umăr tot mai mare de actori rău
intenționați, care încearcă să exploateze spațiul cibernetic. Motivațiile sunt diverse, ele includ în
principal: spionajul, interesele politice și ideologice precum și câștigul financiar. La ora actuală, așa
cum se arată în diverse rapoarte, persoanele care atentează asupra securitate cibernetică , sunt din ce
în ce mai împuterniciți de tehnologiile moderne de informare și comunicare care le permit să
crească în sofisticare și în domeniul transnațional. Astfel, imaginea amenin țării, se complică prin
folosirea proxy -ului și alte tehnici care distrug distincția dintre activitățile cibernetice de stat și cele
nestatale. S -a constatat că într -o serie de cazuri, actorii rău -intenționați implicați în activități cyber –
criminale semnif icative par să aibă atât afilieri penale, cât și statale.
Aceste amenințări diverse pot afecta sistemele informatice federale precum și pe cele non –
federale. Încercările de incursiuni în rețele guvernamentale apar zilnic, iar numărul incidentelor
cibernetice raportate la sistemele federale către DHS a crescut de mai mult de zece ori între 2006 și
2015. Așa cum se specific în strategiile adoptate la nivel internațional , (Department of homeland
security securitate cibernetică strategy, 2018), în 2015, o intru ziune puternică într -o singură agenție
federală a dus la compromisul înregistrărilor de personal ale a peste 4 milioane de angajați federali
și a afectat aproape 22 de milioane de oameni. Interconectarea crescândă a sistemelor cibernetice și
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 24 din 138 fizice în cadr ul infrastructurilor critice creează, de asemenea, riscul potențial pentru activitățile
cibernetice ciudate de a avea consecințe fizice directe; de exemplu, depășirea controlului din
decembrie 2015 în grila electrică ucraineană a dus la pierderea de putere pe scară largă. De
asemenea, incidente de tipul Ransomware, cum ar fi WannaCry și NotPetya demonstrează modul în
care creșterea rapidă a sistemelor online complică în continuare lista amenințărilor.
Disponibilitatea largă, costul relativ scăzut și creșt erea capacităților instrumentelor cibernetice
afectează, de asemenea, tendințele amenințărilor cu care ne confruntăm. Ransomware, de exemplu,
a evoluat pentru a ataca atât sistemele din față, cât și unitățile de rezervă. Actorii rău intenționați au
folosit cu succes ransomware pentru a compromite sistemele maritime, controlul călătoriilor și
sistemele de asistență medicală. Darkweb facilitează vânzarea ușoară a bunurilor și serviciilor
ilicite, cum ar fi armele de foc, pașapoartele forjate și programele mal ware, pe care actorii îl pot
achiziționa și utiliza. Seturile de malware și instrucțiunile sunt disponibile și pe Darkweb.
Instrumentele ciudate cibernetice vândute pe Internet pot fi adaptate pentru a intra în sisteme și pot
comite acte criminale legate d e frauda financiară, spălarea banilor, furtul de proprietate intelectuală
sau alte activități ilicite. Popularitatea crescândă a cripto -monedelor prezintă, de asemenea,
provocări pentru combaterea spălării banilor și a activității de aplicare a legii.
În acest context la nivelul Statelor Unite, DHS trebuie să găsească modalități inovatoare de a
mobiliza resursele și capacitățile noastre ample din cadrul Departamentului și a întreprinderii de
securitate internă pentru a gestiona strategic riscurile naționale de securitate cibernetică. Echipa de
proiect, a identificat la nivelul Strategiei pentru Securitate cibernetică a SUA, cinci etape ai unei
abordări privind gestionarea riscurilor. Considerăm necesar ca în stabilirea necesității unor
indicatori pentru Securitate cibernetică , să prezentăm etapele identificate în experiența SUA (U.S.
Department of Homeland Security, 2018) privind domeniul de securitate cibernetică :
Etapa 1. Identificarea riscurilor
Evaluarea riscurilor de securita te cibernetică în evoluție. Aici, se înțelege evoluția stării de
risc a securității informatice la nivel național pentru a informa și prioritiza activitățile de
gestionare a riscurilor.
Etapa 2. Reducerea vulnerabilității
Protejarea sistemelor informatice guvernamentale federale – Se dorește reducerea
vulnerabilităților agențiilor federale pentru a asigura faptul că ating un nivel adecvat de
securitate cibernetică;
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 25 din 138 Protejarea infrastructurii critice – Se dorește colaborarea cu părțile interesate cheie pentru a
asigura faptul că riscurile naționale de securitate cibernetică sunt gestionate în mod adecvat.
Etapa 3. Reducerea Amenințărilor
Prevenirea și întreruperea utilizării penale a spațiului ciber netic. Este necesar să fie reduse
amenințările cibernetice prin combaterea organizațiilor criminale transnaționale și a
infractorilor cibernetici.
Etapa 4. Reducerea efectelor
Răspunderea efectivă la incidentele Cy ber – Vom reduce la minim consecințele pot ențialelor
incidente cibernetice, prin eforturi coordonate la nivelul întregii comunități.
Etapa 5. Accesul la rezultatele Securitate cibernetică
Consolidarea securității și fiabilității ecosistemului cyber – Ca acțiune se va sprijini
politicile și activi tățile care permit o îmbunătățire a managementului riscului global în
materie de securitate digitală;
Îmbunătățirea managementului activităților DHS Securitate cibernetică – În acest caz
acțiunile vizează executarea eforturilor departamentale de securitat e cibernetică într -un mod
integrat și prioritar.
Prima etapă a abordării reprezintă o înțelegerea mai bună a poziției de risc la nivel național.
Înțelegerea acestor riscuri la nivel strategic va permite alocarea în mod eficient de resurse și
acordarea priorități eforturilor pentru a aborda vulnerabilitățile, amenințările și consecințele în toate
activitățile noastre de securitate cibernetică.
În cadrul etapelor doi până la patru, se concentrează reducerea sau atenuarea
vulnerabilităților, a amenințărilor ș i a posibilelor consecințe ale incidentelor de securitate
cibernetică. În acest caz DHS conduce eforturile naționale de a proteja sistemele informatice
federale, infrastructura critică și alte sisteme care influențează securitatea națională, sănătatea și
siguranța publică și securitatea economică. Aceste eforturi de protecție încearcă să reducă
vulnerabilitatea organizațională și sistemică față de activitatea cibernetică ciudată și să ofere părților
interesate posibilitatea de a lua decizii informate în mat erie de gestionare a riscurilor și de a -și
îmbunătăți securitatea informatică.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 26 din 138 În același timp, componentele de aplicare a legii lucrează îndeaproape între ele și în întreaga
comunitate de aplicare a legii, pentru a reduce amenințările prin investigarea ag resivă, perturbarea
și înfrângerea actorilor și organizațiilor criminale care utilizează spațiul cibernetic pentru a -și
desfășura activitățile ilicite. Pentru a atenua consecințele incidentelor cibernetice, DHS se bazează
pe experiența și capacitățile sale de gestionare a situațiilor de urgență, pe lângă capacitățile noastre
de protecție a rețelei și de aplicare a legii. În USA, DHS joacă un rol principal în răspunsul federal
la numeroasele incidente cibernetice, care pot sau nu pot implica consecințe fizic e. DHS
colaborează cu alte agenții federale și cu părțile interesate pentru a minimiza impactul și a se
asigura că lecțiile învățate din incidente sunt incluse în eforturile viitoare de gestionare a riscurilor.
În vederea evidențierii în dinamică a ameninț ărilor de securitate cibernetică, echipa de proiect
a considerat necesar analiza datelor statistice oferite de CERT Ro, din raportul anual al CERT -RO
pe anul 2017 , fiind de interes în mod special următorii indicatori :
33,71% (2,89 mil.) din totalul IP -urilor unice alocate spațiului cibernetic național au fost
implicate în cel puțin o alertă de securitate cibernetică procesată în anul 2017, în scădere față
de anul 2016, când s -a înregistrat procentul de 38,72% (2,92 mil.);
83,63% (115,60 mil.) din ale rtele procesate vizează sisteme informatice vulnerabile, în
sensul că sunt neactualizate , nesecurizate sau configurate necorespunzător , fiind astfel
expuse atacurilor cibernetice care vizează exploatarea vulnerabilităților acestora.
10,32% (14,33 mil.) din alertele procesate se referă la sisteme informatice compromise , în
sensul că fie au fost infectate cu diferite forme de malware , fie au fost exploatate și utilizate
de atacatori în diferite tipuri de atacuri și campanii de trimitere de Spam , marea majoritate
fiind înregistrate în listele cu resurse blocate (Realtime Blackhole Lists – RBL);
5,88% (8,17 mil.) din alertele procesate vizează sisteme informatice infectate cu malware de
tip botnet , acesta din urmă fiind caracterizat de faptul că d ispune de mecanisme ce permit
atacatorilor să controleze de la distanță sistemele informatice infectate . Astfel, se constată o
scădere semnificativă față de anul 2016 când s-a înregistrat procentul de 12,81% (14,12
mil.), confirmându -se tendința descendentă a fenomenului botnet la nivel internațional ;
1.709 de domenii web „ .ro” au fost raportate ca fiind compromise , în scădere cu aproximativ
84% față de anul 2016 (10.639). Numărul reprezintă aproximativ 0,18% din totalul
domeniilor ”.ro” înregistrate în România în luna decembrie 2017 (944.145) 37 și
aproximativ 0,38% din totalul domeniilor “.ro” active (438.366)38.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 27 din 138 I. Principalele tipuri de atacuri depistate pe teritoriul României
Ransomware
Este un tip de software rău intenționat care, după ce se instalează pe dispozitivul victimei,
criptează toate datele acesteia cu scopul de a obține o „răscumpărare” (engl. ransom).
Două campanii majore de ransomware – WannaCry și NotPetya au fost în pr im plan și pe
agenda publică din România , după ce au afectat sute de mii de sisteme din sectoare diverse precum
sănătate, transport, manufactură și administrație publică din aproximativ 150 țări.
Wannacry
Începând cu 12 Mai 2017, numeroase organizați i din întreaga lume au fost afectate de o
nouă variantă de ransomware , cu denumirea de WannaCry. Printre victime s -au numărat companii –
gigant precum FedEx, operatorul de comunicații Telefonica din Spania, sau chiar sistemul de
sănătate din Marea Britanie (National Health Service).
Spre deosebire de alte campanii ransomware din trecut , Wannacry dispunea și de capabilități
de răspândire în rețea (lateral movement) prin exploatarea unei vulnerabilități a protocolului
SMBv1.
Această amenințare s-a propagat prin intermediul unor mesaje email care conțineau
atașamente și link -uri malițioase , atacatorii utilizând tehnici de inginerie socială pentru a determina
utilizatorii să acceseze resursele malițioase .
Mai mulți specialiști au susținut că ar exista variante multiple a ransomware -ului WannaCry ,
cu domenii diferite inserate în script sau fără acel buton de ‘stop’ (kill switch) pentru propagarea
malware -ului. Comunitatea de specialitate a raportat cel puțin două domenii cu funcție de buton de
stop (kill switch) pentru campanie.
În total , aproximativ 300.000 de computere din aproximativ 150 de țări au fost afectate de
această campanie . Atacatorii au beneficiat de un număr de aproximativ 100 de plăți, cifrate la suma
de aproximativ 26.0 00 de dolari.
În România , din datele deținute de CERT -RO la momentul respectiv, 514 IP -uri au fost
afectate, 10 dintre acestea aparținând unor instituții publice. În absența unui cadru legal care să
oblige companiile și instituțiile publice să raporte ze aceste incidente , o evaluare exactă a situației la
nivel național nu ar fi fost posibilă .
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 28 din 138 NotPetya
Începând cu data de 26 iunie 2017, utilizatori și companii din întreaga lume, dar mai cu
seamă Ucraina , au fost afectați de un nou virus de tip rans omware denumit Petya , cunoscut și ca
Petrwrap.
Infecția inițială a sistemelor se realiza prin intermediul unor documente atașate unor mesaje
email de tip phishing , pe care utilizatorii erau îndemnați să le deschidă . De asemenea, conform unor
informații publicate pe rețelele de socializare de autoritățile din Ucraina , virusul s -a răspândit și prin
intermediul mecanismului de actualizare al aplicației MeDoc (populară în Ucraina ), această variantă
fiind confirmată și într -o postare de pe blogul companiei de securitate Kaspersky.
Ca și în cazul WannaCry , odată infectată o stație de lucru dintr -o rețea , virusul utiliza
multiple tehnici de răspândire laterală în rețeaua internă unde a avut loc infecția inițială a unei stații
de lucru.
Phishing
Phishing -ul reprezintă o încercare a răufăcătorilor de a obține informații confidențiale
(credențiale de acces la un sistem sau serviciu , date aferente cardurilor de credit etc .), prin
deghizarea ca o persoană sau organizație de î ncredere și prin utilizarea unor tehnici de inginerie
socială .
Un numar de 673 de alerte colectate și procesate de CERT -RO în anul 2017 reprezinta
atacuri de tip Phishing. Acest numar reprezinta 46,96% din totalul alertelor procesate pe anul 2017.
Botnets
Amenințările de tip botnet reprezintă în continuare o problemă serioasă , în anul 2017
înregistrându -se recorduri în ceea ce privește lățimea de bandă (peste 1Tbps) aferentă unor atacuri
DDoS derulate cu ajutorul unor botneți de tip Io T (Internet of Things).
DoS/DDoS
Atacurile de tip DoS (Denial of Service ), prin care atacatorii vizează afectarea
disponibilității unor sisteme informatice sau întreruperea unor servicii furnizate prin intermediul
sistemelor IT, constau de cele mai mul te ori în inundarea sistemului /serviciului țintă cu cereri la
nivel de rețea astfel încât să se ajungă la supraîncărcarea sistemului care nu va mai putea răspunde
la cererile legitime. Unele dintre cele mai atacate sisteme prin DoS sunt site -urile web.
Atacurile DDoS (Distributed Denial of Service ) înregistrează o evoluție ascendentă ; Acestea
se caracterizează prin faptul că traficul care inundă sistemul țintă cu cereri de rețea este generat de
un număr mare de surse – adesea sisteme i nformatice care fac parte dintr -o rețea de tip botnet .
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 29 din 138 Datorită numărului mare de surse implicate în generarea traficului malițios , contracararea acestor
tipuri de atacuri este de cele mai multe ori problematică și implică resurse /costuri mari.
II. Totalul atacurilor raportate
În decursul anului 2017 CERT -RO a colectat 1.433 de notificări de incidente , repartizate
astfel:
Tabel 2. Notificări de incidente
Clasă incident Tip incident umăr notificări notificări
1 Phishing Phishing URL 673 46,96%
2 Malware Malware Infection 341 23,80%
3 Malware Malicious URL 239 16,68%
4 Compromised System Compromised Webserver 97 6,77%
5 Botnet Botnet Drone 31 2,16%
6 Attack Scan 23 1,61%
7 Attack Bruteforce 13 0,91%
8 Attack DDoS 10 0,70%
9 Botnet Botnet C2 Server 4 0,28%
10 Spam Spam URL 2 0,14%
III. Tipuri de sisteme informatice afectate
Familie sistem de operare Procent (%)
1 Linux 41,02%
2 Unix 30,13%
3 Network Devices Firmware/OS 20,65%
4 UPnP/1.0 7,76%
5 Windows 0,44%
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 30 din 138 Într-un peisaj de securitate cibernetică în continuă schimbare, războiul informațional pare a fi
cea mai importantă componentă în majoritatea conflictelor viitoare, după cum se arată în diferite
studii realizate de ag ențiile de securitate națională și de asociațiile de apărare.
Pe măsură ce ne uităm înapoi în anul trecut, putem ține seama doar de faptul că au existat
multe incidente în domeniul securității cibernetice și, în 2018, numărul a c rescut cu aproape 2%.
Din păcate, a cest aspect sporește gradul de anxietate care este deja prezent în comunitatea de
securitate cibernetică și, de asemenea, dezvăluie lipsa de personal calificat care este necesară pentru
a contraataca aceste incidente și a le rezolva.
Majoritatea atacurilor considerate cele mai scumpe sunt amenințări le din interior.
Determinarea impactului economic real al incidentelor asupra economiei UE poate contribui la
definirea unor politici de atenuare adecvate, coerente și rentabile. Costurile pot atinge până la 1,6%
din PIB în unele țări ale UE2, iar pentru economia globală, pierderile se estimează între 330 și 506
de miliarde de euro. Sectoarele de finanțe, TIC și energie prezintă cele mai ridicate costuri ale
incidentului.
Pentru anul 2018/2019, tendințele de secur itate cibernetică care vor "afecta" comunitatea vor
fi:
1. GDPR – Regulamentul general al Comisiei Europene privind protecția datelor, care a intrat
în vigoare în 25 mai 2018, va da fiori printre companiile care, cel mai probabil, nu vor fi pregătite
pentru punerea sa în aplicare și vor suferi consecințe financiare sub formă de amenzi enorme.
2. Directiva NIS – cerințele care decurg din Directiva NIS pentru industrie și ceea ce se
așteaptă de la furnizorii de servicii digitale (DSP) și de la operatorii de s ervicii esențiale (din
sectorul energetic, bancar, sănătate, transport) .
3. Ransomware – În trecut, ransomware -ul a fost folosit de către infractorii cibernetici numai
pentru câștiguri financiare. Ransomware nu mai este doar dedicat criminalilor ciberneti ci. Din
diferite motive, grupurile de atac vizate sunt de asemenea interesate; dacă este vorba de a colecta
valută străină sau de a folosi ransomware fals ca o acoperire pentru alte tipuri de atacuri (de ex .:
malware -ul de ștergere a discurilor, deghizat ca ransomware în atacurile asupra Ucrainei –
decembrie 2016). Atacurile momeală nu sunt noi, dar grupurile de atac vizate anterior s -au bazat pe
alte forme de momeală, atacurile DDoS de obicei. Atacurile DDoS pot lovi o organizație și o pot
trece în offline, ceea ce înseamnă că administratorii de sisteme vor fi ocupați să încerce să oprească
2 Cost of Cyber Crime Study: France, Ponemon Institute, 2014
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 31 din 138 atacul DDoS și ar putea fi prea distraș i să observe activitate suspectă în rețeaua lor, indicând că un
atac vizat este în curs de desfășurare.
Figură 1. Ransomware ca procent din incidentele de malware – evoluție
Source: 2018 Data Breach Investigations Report, Verizon
4. Inteligența artificială și Machine Learnig – softurile AI/Machine Learning (ML) au
capacitatea de a "învăța" de la consecințele evenimentelor trecute, pentru a ajuta la prezicerea și
identificarea amenințărilor la adresa securității informatice. Potrivit rapoartelor, AI este utilizat de
aproximativ 87% din profesioniștii în domeniul securității cibernetice din SUA. Cu toate acestea,
AI se poate dovedi a fi o sabie cu două tăișuri, întrucât 91% dintre profesioniștii din domeniul
securității sunt îngrijorați că hackerii vor folosi AI pentru a lansa atacuri cibernetice mai sofisticate.
Criminalii cibernetici vor începe să abuzeze de detectarea mașinilor de învățare, să utilizeze
Inteligența Artificială pentru atacuri sofisticate de spearphishing. În 2017, cercetătorii de la
SecureWorks au descoperit un atac sofisticat de spearphishing care vizează organizațiile din
Orientul Mijlociu, prin crearea unui personaj fals care a comunicat cu obiectivele din diferite
conturi de social media într -o perioadă extinsă de timp.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 32 din 138 5. Data breach3 – aproape trei sferturi (73%) de atacuri cibernetice au fost comise de persoane
externe organizației . Membrii grupurilor criminale organizate s -au aflat în spatele a jumătate din
toate încălcările, în timp ce actorii statali sau ai celui afiliat implică în proporție de 12%. Peste un
sfert (28%) de atacuri au implicat persoane din interior . Ameninț area persoanelor din interior poate
fi deosebit de dificil de protejat. Ransomware este cea mai bună varietate de software rău
intenționat, găsită în 39% din cazuri în care a fost identificat un program malware. Erori au fost în
centrul a aproape unul din cinci încălcări (17%). Acestea includ angajații care nu reușesc să distrugă
informații confidențiale, trimițând un e -mail persoanei greșite sau configurări greșite ale servere lor
web.
• 4% dintre oameni vor face clic pe o anumită campanie de phishing.
• 68% dintre încălcări au avut nevoie de luni sau chiar mai mult pentru a fi descoperi te.
6. IoT – Cea mai slabă legătură – Cybercriminalii pot deturna dispozi tivele inteligente
vulnerabile și le pot folosi î ntr-un botnet. Botnet -urile pot efectua o mare varietate de atacuri – tipul
principal de atac implică botneturi care efectuează atacuri DDoS, care pot pune jos întregi site -uri
web.
Dispozitivele IoT sunt predispuse la atacuri de ransomware – Când un sistem informatic al
unui hotel a fost infectat cu r ansomware în februarie 2017, oaspeții au fost blocați din camerele lor,
deoarece sistemul infectat s -a întâmplat, de asemenea, să fie sistemul folosit pentru a programa
cartelele de chei electronice.
Dispozitivele inteligente care pot divulga date personal e – Dispozitivele IoT hackate prezintă
în principal un risc pentru infrastructura internetului, ceea ce face dificil pentru utilizatorul mediu
IoT să înțeleagă pe deplin riscurile pe care aceste dispozitive vulnerabile le pot pune securității și
confidenți alității personale.
7. O creștere a atacurilor sponsorizate de actori statali – Creșterea atacurilor cibernetice statale
este probabil una dintre cele mai vizate domenii ale securității cibernetice. Astfel de atacuri sunt de
obicei motivate politic și depă șesc câștigul financiar. În schimb, ele sunt în mod obișnuit concepute
pentru a obține inteligență care poate fi folosită pentru a împiedica obiectivele unei entități politice
targetate . Ele pot fi, de asemenea, utilizate pentru a viza sistemele electronic e de vot pentru a
manipula opinia publică într -un fel. După cum se poate aștepta, atacurile sponsorizate de stat sunt
direcționate, sofisticate, bine finanțate și au potențialul de a fi incredibil de perturbatoare. Țările
3 2018 Data Breach Investigations Report, 11th, Verizon
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 33 din 138 cele mai notorii pentru dezlănțuir ea unor astfel de atacuri includ, dar nu se limitează la: China,
Rusia, Iran, Israel, Coreea de Nord și Statele Unite.
2.2. Analiza necesității privind stabilirea unui sistem de indicatori de
securitate cibernetică
În SUA, conform studiilor de performanță a securității cibernetice4, indicatorii de securitate
cibernetică pun probleme în evaluarea securității datelor companiilor. Atunci când se evaluează
măsurarea investițiilor în securitate cibernetică precum și performanța în raport cu cele mai bune
practici, cea mai mare parte a companiilor care au obținut un calificativ bun la securitate cibernetică
au obținut de fapt un grad "F" sau "D". Pe baza standardelor acceptate la nivel internațional privind
securitatea(încorporate în standardul ISO 27001), precum și a celor mai bune practici din partea
experților din industrie și a asociațiilor profesionale, ancheta de referință a indicelui de măsurare a
securității oferă o modalitate cuprinzătoare de a defini cât de bine o organizație măsoară eficiența
securității I T. Studiul arată că:
58% dintre companii nu reușesc să evalueze eficacitatea investițiilor și a performanțelor lor
în concordanță cu bune practici;
4 din 5 companii din întreaga lume nu sunt pe deplin mulțumite de măsurarea securității
informatice (The 2017 state of cybersecurity metrics annual report, 2017) .
Corectarea defectelor și îmbunătățirea politici de securitate pentru companii și guverne, se
cheltuie peste 100 miliarde de dolari pe an. Aceste cheltuieli au ca scop corectarea deficiențele de
securitate cibernetică. Un număr semnificativ de (aproximativ 32%) dintre companii, iau decizii în
încercarea întării acestei sensibilității prin achiziționarea de tehnologie de securitate cibernetică, dar
aceste achiziții nu au la bază criterii și indicatori care trebuie îndepliniți.
Aceste studii arată că, peste 80% dintre respondenți nu includ utilizatorii în luarea deciziilor
la punerea în aplicare a politicilor de securitate. Astfel nu se ia în calcul impactul adus asupra
afacerilor și riscurile asociate investițiilor în securitatea informatică. Astfel se arat ă că:
1 din 3 companii investesc în tehnologii de securitate cibernetică, fără să aibă posibilitatea
de a-și măsura valoarea sau eficiența;
4 din 5 companii nu știu unde sunt situate datele lor sensibile și cum să le securizeze;
4 https://insights.sei.cmu.edu/insider -threat/2018/03/cybersecurity -performance -8-indicators.html
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 34 din 138 4 din 5 nu reușesc să comun ice în mod eficient cu părțile interesate din domeniul afacerilor
și să le includă în deciziile de investiții în securitatea cibernetică.
Față de erorile apărute în performanță, literatura de specialitate (The 2017 state of
cybersec urity metrics annual report, 2017) este prezentat faptul că este alarmant faptul că atât de
multe organizații nu sunt sigure dacă au creat informații corecte și dacă le pot recupera în timp util,
ținând cont de daunele serioase care au fost provocate d e atacuri precum Ransomware. Statistic,
aproape două din trei întreprinderi nu reușesc să se recupereze în timp util sau în afara aceleiași
poziții care s -au aliniat cu planul lor de recuperare în caz de dezastru.
În plus, 8 din cele 10 companii nu reușesc să se asigure că politicile lor de securitate IT sunt
înțelese de angajați. Acest lucru pune organizațiile în pericol, deoarece eroarea umană sau rău
intenția sunt cauze frecvente de încălcări ale securității. Controalele de acces pentru conturile
privilegiate din sistemele de rețea sunt unele dintre cele mai importante modalități de a proteja
întreprinderile. Aici sunt incluse și conturile de putere extrem de sensibile precum cele ale unui
administrator de sistem care, dacă sunt compromise, pot permite un ui atacator să se deplaseze
oriunde în rețea nedetectat. Cu toate acestea studiile arată că aproape doi din trei sau 60% dintre
respondenții sondajului nu reușesc să protejeze în mod adecvat conturile de administrator privat.
Astfel:
2 din 3 companii nu m ăsoară pe deplin dacă recuperarea în caz de atac cibernetic va
funcționa conform planificării;
4 din 5 nu măsoară niciodată succesul investițiilor în domeniul formării în domeniul
securității.
Companiile mici sunt considerate cele mai vulnerabile, conform (Carnegie Mellon
University, 2018) întreprinderile mici și mijlocii (SMB) sunt vizate mai mult, deoarece securitatea
cibernetică este, în mod tipic, mult mai ușor de compromis. Deși nu sunt de obicei țintă principală,
ci o victimă secundară, scopul real al infractorilor cibernetici este de a infiltra parteneriatele pe care
le-au înființat băncile mici și mijlocii cu organizații mai mari, prin intermediul unui lanț de
aprovizionare sau prin intermediul unor date comune cu companii mai mari. Astfel, statistic:
Întreprinderile mici vizate în 2 din 3 atacuri cibernetice;
60% ies din afaceri șase luni după o încălcare.
Conform literaturii de specialitate, sunt prezentate diverse seturi de recomandări pentru
companiile ce activează în diverse medii de afacerii. Echipa de proiect consideră necesar
prezentarea unui set de recomandării ce vizează companiile la nivel mondial. Aceste recomandării
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 35 din 138 indică în mod clar că măsurătorile privind securitatea cibernetică trebuie să devină cu mult mai mult
o prioritate decât au fost în trecut. Se pare că multe or ganizații iau decizii de securitate orbește fără
măsurători clare cu privire la impactul asupra poziției lor de securitate cibernetică, protejând datele
sensibile și asigurând că întreprinderea se poate recupera eficient din cauza unei încălcări. Mai
presus de toate, întreprinderile trebuie să își implice eforturile de a colabora cu utilizatorii lor de
afaceri pentru a -și asigura efectiv operațiunile. Principalele recomandări fac referire la:
Instruire
Instruirea angajaților și măsurarea prin indicatori a securității cibernetice;
Protecție
Actualizarea datelor și sistemele critice și actualizarea măsurilor de back -up pentru
diferite tipuri de amenințări cibernetice. Testarea prin indicatori a capacității de
restaurare;
Asigurarea unei autentificării multi -factor;
Consolidarea gestionării accesului la identitate și protejarea conturilor pe nivel de
privilegii;
Pregătirea și implementarea unei strategii de securitate cibernetică în cazul incidentelor
cibernetice.
Monitorizare
Controlul, monitorizarea și rapo rtul pentru acces privilegiat al administratorilor de
sisteme
Corelați, monitorizarea și controlul logo -urilor de securitate
În Canada gestionarea eficientă a indicilor de performanță variați în domeniul securității
informațiilor poate însemna diferența di ntre un proiect practic și eficient și o risipă de bani. Deși
manageri au urmărit KPI -uri de ceva timp acum, în securitatea informațiilor, aceasta este o practică
neobișnuită și încă în curs de dezvoltare pentru a urmări măsurătorile de securitate cibernet ică .
În analiza propusă, un set de indicatori întâlnit în literatura de specialitate5 pe care echipa de
proiect consideră necesar a fi prezentat face referire la câteva metrici privind securitatea cibernetică.
Aceste metrici pot și ar trebui urmărite pen tru a asigura eficiența securității cinernetice. Metricile
sunt:
5 http://blog.cipher.com/10 -securitate cibernetică -metrics -you-should -be-monitoring
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 36 din 138 Timpul mediu de detectare și răspuns la incident
Timpul mediu de identificare (MTTI) și timpul mediu de conținut (MTTC) pentru
companiile din SUA indică faptul că fazele de detectare și de r ăspuns suferă. De fapt, MTTC în
2017 a fost de 208 de zile, iar MTTI a fost de 52 de zile. În același timp, probabilitatea de a suporta
un cost mediu de încălcare de 2,25 milioane de dolari este de aproape 28% în următoarele 24 de
luni pentru companiile di n S.U.A.
Performanța slabă în MTTI și MTTC este un contribuitor imens la costurile de încălcare.
Acestea ar trebui să fie cele două cele mai importante KPI -uri atunci când măsurați securitatea
informațiilor. Este, de asemenea, un KPI bun pentru CISOs de a măsura și a -și arăta consiliul pentru
îmbunătățirea pe termen lung. Oricine din echipa de securitate ar trebui să acorde prioritate
îmbunătățirii acestor două KPI -uri.
Număr de sisteme cu vulnerabilități cunoscute
Cunoașterea numărului de active vulnerabile din mediul instituțional este un indicator cheie
al securității informatice pentru a determina riscul pe care îl implică afacerea. Gestionarea
actualizărilor și a patch -urilor este un proces complex, dar foarte important pentru a evita lacunel e
care pot fi exploatate în mediul dvs. O scanare a vulnerabilității care include toate materialele va
indica ce trebuie făcut pentru a îmbunătăți poziția de securitate a companiei dvs. Un program de
gestionare a vulnerabilităților nu este un zgomot, ci o necesitate.
Numărul de certificate SSL configurat incorect
Un certificat SSL este un fișier mic care certifică dreptul de proprietate asupra unei chei
criptografice a site -ului sau a companiei cu care se schimbă date, garantând autenticitatea
tranzacției. Monitorizarea cerințelor de securitate pentru fiecare certificat, precum și asigurarea
faptului că acestea sunt configurate corect pe servere, le împiedică să cadă în mâinile greșite și că
identitatea digitală a companiei dvs. nu este folosită pentru a fur a informații despre utilizatori.
Volumul de date transferate utilizând rețeaua instituțională
În cazul în care angajații au acces nelimitat la internet prin intermediul rețelei instituționale,
monitorizarea volumului de trafic permite identificarea utiliză rii necorespunzătoare a resurselor
companiei. În acest caz, când sunt descărcte programe, videoclipuri, filme și aplicații, un utilizator
poate lăsa ușa deschisă pentru botneturi și programe malware.
Numărul de utilizatori cu nivel ridicat de acces (admin istrator)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 37 din 138 În acest sens, cele mai bune practici în gestionarea securității informațiilor includ controlul
deplin asupra nivelului accesului utilizatorilor la resursele companiei. Este necesar ca un angajat să
aibă acces doar la datele, sistemele și activele necesare pentru munca lor. Identificarea nivelurilor
de acces ale tuturor utilizatorilor de rețea vă permite să le ajustați după cum este necesar, blocând
orice utilizator super sau administrator care nu are sens.
Numărul de zile pentru a dezactiv a datele de identificare ale angajatului
Prin monitorizarea acestor metrici privind securitatea informatică, se pate stabili dacă
echipele de resurse umane și IT au proceduri de lucru comune. Într -un scenariu ideal, accesul
utilizatorilor care și au înceta t activitatea în instituție, trebuie anulat imediat. Menținerea activă a
acestora este un risc extraordinar, deoarece pot apărea scurgeri de informații sensibile și se poate
ajunge la compromiterea anumitor dispozitive.
Numărul de porturi de comunicare des chise într -o perioadă de timp
Ca regulă generală, este necesar evitarea evitați traficul de intrare pentru NetBIOS (UDP
137 și 138, TCP 135 -139 și 445). Această metrică arată necesitatea unei atenții ridicate la SSL
outbound (TCP 443): o sesiune care rămân e activă de mult timp ar putea fi un tunel VPN SSL care
să permită traficul bidirecțional. În aceste cazuri, orice porturi comune pentru protocoale care
permit sesiuni de la distanță, cum ar fi TCP 22 (SSH), TCP 23 (telnet), TCP 3389 (TCP 3389) și
TCP 20 și 21 (FTP), ar trebui monitorizate o perioadă lungă de timp.
Frecvența revizuirii accesului terților
De multe ori, managerii IT acordă accesul terților în rețelele lor pentru a finaliza un proiect
sau o activitate. Este important să fie monitorizat dacă ac cesul este anulat la sfârșitul perioadei de
furnizare a serviciilor. Dacă nu se realizează acest lucru se poate pune în pericol securitatea în cazul
în care terțul decide să revină și să extragă date sau să desfășoare alte activități rău intenționate.
Spre exemplu, în mediu de afaceri acestea pot fi angajate de un concurent.
Frecvența accesului la sisteme critice de întreprinderi de către terți
Crearea unei cartografiere a sistemelor critice pentru instituții și cunoașterea utilizatorilor
care le accesează sunt imperative în contextul securității. Monitorizarea încercărilor de a accesa
servere sau aplicații care nu ar trebui vizate de utilizatori neautorizați poate indica abateri și intenții
de compromitere a mediului înconjurător.
Procentul partenerilor de afaceri cu politici eficiente de securitate cibernetică
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 38 din 138 Trebuie menținut un control strict precum și o monitorizare a măsurătorilor privind
securitatea informatică ale instituțiilor care furnizează servicii pentru propria afacere. Acordarea
accesului inte rnalizat la informații către aceste instituții poate reprezenta un risc enorm dacă nu
există implementate standarde și proceduri de securitate.
Securitate cibernetică nu este o strategie comună cu date definite de început și de sfârșit,
Totuși măsurarea p erformanței organizaționale a securității cibernetice, se poate face cu ajutorul
unor concepte EVM (Earned value management). Ca și în EVM,(***
https://insights.sei.cmu.edu/insiderthreat/2018/03/ securitate cibernetică -performance -8-
indicators.html ) sunt n ecesare de câteva dimensiuni pentru a calcula performanța de securitate
digitală într -un anumit interval de timp, și anume:
Cheltuieli de securitate cibernetică . Trebuie cunoscută valoarea investiției, în securitatea
informatică, inclusiv cheltuielile tehn ice (de exemplu, hardware, software) și non -tehnice
(de exemplu, personal, dezvoltare politică);
Evenimente și activități reale care au avut loc . Acestea pot fi evenimente planificate sau
neplanificate.
Sfera planificată a evenimentelor și activităților pr ivind securitatea cibernetică care care
nu au fost acoperite de cheltuielile privind securitate cibernetică . Domeniul de aplicare
planificat acoperă o gamă largă de evenimente, cum ar fi atacurile rău -intenționate din
partea unor persoane din afară sau ac țiunile neintenționate ale angajaților, precum activități,
elaborarea și executarea de politici sau monitorizarea performanței terților (cum ar fi un
furnizor de servicii de tip cloud).
Manipularea cu succes a evenimentelor sau activităților
Prin planifica rea evenimentelor și activităților privind securitatea cibernetică care au fost
planificate a fi bugetate, se poate dezvolta un set de indicatori de performanță, bazat pe cele patru
dimensiuni ale cheltuielilor de securitate cibernetică prezentate mai sus. În acest sens au fost
elaborați indicatori de performanță, având la baza cele patru dimensiuni ale cheltuielilor de
securitate cibernetică (Guvernul României, 2013) :
Performanță vizată : detectatrea și încorporarea în carantină de către antivirus, a 8 din cele 10
semnături planificate pentru malware;
Cheltuieli nereușite : antivirusul a detectat, dar nu a fost pus în carantină, 1 din cele 10 semnături
planificate pentru malware, ceea ce a dus la instalarea de dispozitive infectat e în rețea;
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 39 din 138 Riscul acceptat realizat : Instituția a planificat în mod conștient să nu investească în autentificarea
cu doi factori (2FA) din cauza constrângerilor legate de resurse și a fost victima unui atac care a dus
la acces neautorizat la informații pe rsonale de identificare;
Impact neașteptat : Organizația a fost victima unui atac Distributed Denial of Service (DDoS) ca
parte a unui atac mai mare (botnet). În cadrul instituției nu s -a identificat acest lucru ca parte a
riscurilor potențiale sau rezidual e;
Risc rezidual avertizat : Analistul a detectat și a pus în carantină o nouă semnătură de malware
despre care instituția a fost avertizată, dar nu a investit ți luat măsuri pentru această semnătură în
antivirus din cauza constrângerilor legate de resurse;
Impactul neașteptat a fost prevenit : Antivirusul a detectat și a pus în carantină 3 semnături
malware care nu făceau parte din cele 10 planificate;
Planificat, dar evenimentul nu a avut loc : analistul a petrecut timp analizând logourile pentru a
determina dacă semnătura 9 a trecut neobservată de antivirus, dar acest program malware nu a
încercat niciodată să aibă acces la sistemele instituției;
Cheltuieli inutile : Deși organizația a plătit actualizarea sistemului cu semnătura malware 10 ca
parte a protecți ei antivirus, această vulnerabilitate particulară a fost deja adăugată ca parte a ultimei
actualizări a sistemului de operare.
Metricile de securitate sunt instrumente care facilitează luarea deciziilor și îmbunătățesc
performanța și responsabilitatea în domeniul securității cibernetice. Măsurile sunt cuantificabile,
observabile și sunt date obiective care sprijină măsurătorile. Operatorii pot utiliza metrici pentru a
aplica acțiuni corective și pentru a îmbunătăți performanța securității.
Factorii de regl ementare, financiari și organizaționali determină necesitatea de a măsura
performanța securității IT (E. Black, 2008) .
Un alt set pentru indicatori de securitate cibernetică, considerat complet de echipa de proiect
face referi re la un model de clasificare a evenimentului (reprezentare și taxonomie asociată)
elaborat în ETSI GS ISI 002 (ETSI, 2015) . Există șapte categorii principale (trei privind incidentele
de securitate și patru despre vulnerabilități), după cum urmează:
Incidente de securitate
Atacurile externe (Categoria IEX)
Defecțiuni (categoria FMI)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 40 din 138 Comportamente Interne derivate interne (categoria IDB)
Există o categorie care include și adună toate categoriile de incidente (catego ria IWH).
Vulnerabilitățile
Vulnerabilități de comportament (categoria VBH)
Vulnerabilități software (categoria WSW)
Vulnerabilități de configurare (categoria VCF)
Vulnerabilități generale de securitate (tehnice sau organizaționale) (categoria VTC sau
categoria VOR)
Descrierea fiecărui indicator include legăturile cu categoriile de modele de clasificare a
evenimentelor ISI 002 (ETSI, 2015) (categorii, subcategorii și familii) și cu comenzile ISO / IEC
27002 (ISO IEC 27002) . Definiția indicatorilor respectă modelul recomandat prevăzut în acest sens
în ISO / IEC 27004.
Pentru construirea unei arhitecturi de indicatori complet flexibili, îndeplinind cerințele de
exhaustivitate (necesitatea unui set comple t de peste 90 de indicatori pentru evaluarea precisă a
indicatorilor de benchmarking al majorității controalelor ISMS), cât și a guvernanței (necesitatea
unui rezumat al 10 -15 indicatori derivați și consolidează), indicator ii sunt prezentați și organizați în
funcție de modelul de clasificare a evenimentelor sub adiacente (reprezentare și taxonomie asociată),
ceea ce face posibilă gruparea acestora pe baza diferitelor criterii (originea, tipul de acțiune, tipul de
activ afectat, tipul consecințelor) și pentru a construi o structură piramidală cu diferite nivele de
agregare (cu flexibilitate ridicată).
Structura modelului și taxonomia utilizate pentru descrierea in cidentelor (ETSI GS ISI 002)
fac referire la utilizarea a 8 domenii necesare pentru a descrie o sc himba re a unui sistem .
Structura modelului și taxonomia utilizate pentru a descrie vulnerabilitățile (ETSI GS ISI 002)
(ETSI, 2013) recomandă pentru incidente următorii indicatori:
Incidente externe malware.
Incidente interne i ncorecte (care pot fi descompuse în continuare în funcție de originea
incidentului – angajați, contractori, furnizori de servicii și parteneri de afaceri).
Incidente interne care implică neglijență sau lipsă de conștientizare (care pot fi descompuse
în continuare în funcție de origine – angajați, contractori, furnizori de servicii și parteneri de
afaceri).
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 41 din 138 Incidente accidentale sau involuntare.
Incidente cu impact de tip "A" (pierderea disponibilității, eventual ulterior descompusă în
funcție de diferitele tipuri de active afectate – adică stații de lucru, servere, mainframe,
rețea);
Incidente cu impact de tip "C" (pierderea confidențialității – consecința, de obicei, mai puțin
cunoscută, eventual rafinată cu intimitatea, DPI, secretul apărării etc.);
Incidente cu impact de tip "I" în legătură cu frauda (pierderea integrității, rafinată în funcție
de cele mai interesante tipuri de integritate);
Incidente cu un impact specific asupra organizației (financiare, legale, reputație, etc.);
Incidentele care afecteaz ă stațiile de lucru (eventual ulterior descompuse de către organizație
sau deținute de angajați);
Incidente care afectează serverele Web;
Incidente descrise în funcție de vulnerabilitățile exploatate sau de starea victimei / țintă (de
exemplu, privind lips a de patch -uri).
Cu toate acestea, de cele mai multe ori, acești indicatori de nivel superior nu permit
benchmarkingul, deoarece sunt foarte specifici pentru sectoarele industriale.
Problema cheie a nivelului de maturitate al unei instituții este dată în principal de lipsa
detectării unui atac. În cadrul unei instituții nu înseamnă că nu au apărut evenimente și este
recomandat să fie evaluat nivelul eficacității detectării evenimentelor. Este vorba despre construirea
unei scări dedicate, practice, simple ș i ușor de utilizat la scară de nivel N, axată pe detectarea
evenimentelor de securitate. Această scală de maturitate se bazează pe experiența practică, pentru a
evalua măsurătorile și măsurătorile definite de organizații în funcție de nivelul de maturitate al
securității (instrumente, procese, organizare, oameni) și, prin urmare, să propună evoluții ale acestor
măsurători (ETSI GS ISI 003, 2018) . Acest concept este apropiat de conceptul de (dovezi de punere
în aplicare) folosit în (NIST SP 800 -55) (Parlamentul European, 2016) în descrierea exemplelor de
indicatori. În cadrul (ETSI GS ISI 003) se abordează această problemă într -un mod simplu,
bazându -se în special pe cadrul de referință CAG al SUA și pu nctele sale de control. Pe baza unui
chestionar și a acestor puncte de control cu valorile speciale asociate, ETSI ISG ISI definește un set
de indicatori KPSI (Key Performance Security Indicators) care se vor aplica indicatorilor actuali
pentru măsurarea rezultatelor. O altă modalitate (mai precisă) de a evalua acest nivel de maturitate
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 42 din 138 este de a testa eficiența instrumentelor de detectare printr -un set cuprinzător de scenarii de testare
(stimularea prin evenimente false de securitate).
Pentru fiecare indicator descris sunt oferite informații despre nivelul de detectare a
evenimentelor asociate corespunzător celor mai recente (practicile celor mai bune organizații).
Există 3 nivele (de la 1 la 3 înalte), indicând nivelul de detectare prin cea mai bună m etodologie și
instrumentele actuale din domeniu, dacă este cunoscut). Din moment ce nu ajungem la o rată de
detectare a evenimentelor de 100% pentru multe evenimente de securitate, este obligatorie aplicarea
unei ajustări a cifrelor colectate din proiectel e SIEMM și realizările din cadrul profesiei (în funcție
de nivelul echipamentului de monitorizare și de gravitatea eșantionate), dacă de dorește să obținrea
unei imagini reale de ultimă generație (reprezentând adevărata realitate). Acest tip de nivel de
detectare ar trebui, prin urmare, să fie calculat în mod specific pentru organizație, în funcție de
nivelul de maturitate (prin KPSI definit în ETSI GS ISI 003)pentru a obține cea mai asemănătoare
cifră aplicabilă organizației.
Fiecare indicator ar trebui să fie asociat, pe cât posibil, cu nivelul său de acoperire, adică
perimetrul IT sau domeniul în care este măsurat indicatorul. Un mic domeniu de monitorizare poate,
să conducă la o măsură mai parțială și mai puțin fiabilă decât la un domeniu de aplicare mai larg și,
eventual, la nivel de instituție.
Următoarele sunt furnizate pentru detalierea fiecărui indicator propus, cu excepția
indicatorilor de impact care sunt de altă natură și nu au nici o corespondență cu modelul de
clasificare a evenimentelor (ETSI G S ISI 002):
Categoria sa (conform celor 7 categorii ale modelului de clasificare a evenimentelor descrise
în ETSI GS ISI 002).
Familia și identificatorul său (XXX_YYY.number) și numele (în conformitate cu
evenimentul ETSI GS ISI 002 model de clasificare);
Definiția exactă a evenimentelor de bază care sunt incluse în indicator, inclusiv comentariile
(să fie cât mai precise cu privire la evenimentele care se numără). Nivelul de frecvență
estimat al evenimentelor de bază (rațiunea principală pentru selectarea indicatorului).
Această frecvență este colectată cantitativ;
Nivelul de severitate al evenimentelor de bază (1 fiind cel mai mic și 4 cel mai înalt);
Mijloacele de detectare de ultimă oră ale majorității evenimentelor de bază (manual vs.
automate, metode ș i instrumente tehnice pentru detectarea evenimentelor);
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 43 din 138 Nivelul de detecție al majorității evenimentelor de bază: 3 niveluri – de la 1 scăzut (mai puțin
de 30%) la 3 înalți (mai mult de 70%), inclusiv nivelul de detectare oferit de cea mai bună
metodologie și instrumentele utilizate în prezent în industrie, cum ar fi definită în
maturitatea asociată KSPI (ETSI GS ISI 003);
Producția indicatorilor în ceea ce privește (ISO/IEC 27004 ) ;
Valoare finală :
Indicații cu împrăștierea cifrelor la baza valorii medii furnizate.
Exprimată ca frecvență lunară a evenimentelor sau ca procent;
Posibil nu sunt aplicabile sau nu sunt uniforme (definiții care sunt prea variabile în
funcție de organizații);
Corespondența sa posibilă cu ISO / IEC 27002;
Tipul de maturitate KPSI asociat indicatorului (ETSI GS ISI 003).
Ca atare, indicatorii propuși sunt poziționați, în funcție de cazuri, ca "măsură de bază",
"măsură derivată" sau "indicator". Termenul de "indicator" înseamnă că măsurarea este adecva tă
pentru a servi drept punct de referință pentru evaluarea progreselor înregistrate în sistemul ISMS
existent, în timp ce termenii "măsura de bază" și "Evaluare" pot, în unele cazuri, înseamnă că nu
avem cum să acționăm asupra controalelor relevante (de e xemplu, presiunea externă aplicată). De
asemenea, trebuie remarcat faptul că numeroși subiecți incluse în ISO / IEC 27004 "șablon", care
sunt complet specifice organizației și nu sunt aplicabile aici, nu sunt incluse în acest document.
Indicatorii descriși mai jos sunt împărțiți în trei categorii:
Cei relevanți pentru incidentele de securitate (nivelul eficacității ISMS), care sunt
completate de indicatori de avertizare care măsoară "presiunea" externă periculoasă (au fost
detectate încercări răuvoitoare și care pot anunța incidente de securitate ale tipului de
"adevărat intruziune").
Cele relevante pentru vulnerabilitățile comportamentale, software -ul, configurația și
securitatea generală (tehnice și organizaționale) (parțial aplicația actuală a ISMS).
Cele relevante pentru măsurătorile de impact (consecințe practice).
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 44 din 138 I. Indicatori privind incidentele de securitate
Sunt indicatorii operaționali recomandați referitori la incidentele de securitate. Echipa de
proiect consideră necesar prezentarea celor mai impor tanți indicatori, în literatura de specialitate
(ETSI, 2015) sunt descriși peste 42 în total:
1. Categoria IEX (Intruziuni și atacuri externe)
Indicatorii din această categorie oferă informații privind apariția unor incidente cauzate de
surse externe de amenințare periculoasă.
Tabel 3. Indicatori de securitate cibernetică din categoria Falsificarea Domeniilor Web
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1
Numele de domeniu
sau numele de
marcă fortificate
care se
impersonalizează
sau imită numele
legitime și autentice
IEX_FGY 1
Reprezintă zonele
falsificate, care
sunt adrese foarte
apropiate de
numele de
domiciliu în mod
legal înregistrate
de instituțiile sau
organizațiile de
înregistrare. Detectarea unei noi
adrese de domeniu
falsificată care se
află aproape de
domeniul sau
numele de marcă al
companiei, al
organizației (inclusiv
erori de scriere) și
că este înregistrată
într-o bază de date
care corespunde
acestor domenii de
nivel 1 Evaluarea
fundamentală :
data
evenimentului
Evaluarea 1 :
umărul de
evenimente
detectate în
ultimele 30 de
zile
Evaluarea 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de
zile la numărul de
adrese legitime
existente
Valoarea
indicatorului :
Raportul
măsurării 2 la
Media pe lună
pentru ultimele 90
de zile
Valoare finală : nu
se poate aplica
(prea dependentă
de companii sau
instituții, de
reputația lor sau
de caracterul
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 45 din 138 public general
sau nu al
activităților lor)
2 Site-uri web complet
sau parția l falsificate
(cu excepția
paginilor de
parcare), care
afectează imaginea
sau afacerea
companiei
IEX_FGY.2 Site-urile falsificate
corespund celor
două amenințări
principale
(falsificarea site –
urilor pentru a fura
date personale
precum
identificatori de
cont și parole,
falsificarea
serviciilor pentru a
valorifica o marcă
și pentru a genera
cifra de afaceri
care creează
concurență
neloială). În acest
caz, se face
referire adesea la
phishing (prima
utilizare) sau la
pharming.
Detection of a website or
service with at least 25 %
forged pages
Detectarea unui site
sau a unui serviciu
cu cel puțin 25
pagini forjate
Frecventa :
Frecventa adesea
ridicata (companii
cu publicul larg ca
clienti)
Producția
semiautomată este
posibilă (detectarea
utilizând
instrumente de
recunoaștere care
caută pe Web
pentru conținut
identic cu cel al
companiei sau al
organizației, prin
intermediul unui
crawler pe Internet
utilizat
împreună cu un
motor de imagine
anal-ysis)
Nivelul de detecție:
2 (rata de detecție
poate fi de până la
40% pentru
falsificarea afacerii
și 60% pentru
phishing) Evaluare
fundamentală :
data
evenimentului
Evaluarea 1 :
umărul de
evenimente
detectate în
ultimele 30 de
zile
Evaluarea 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de
zile la umărul
site-urilor expuse
ale companiei
sau ale
organizației
Valoarea
indicatorului :
Raportul
măsurării 2 la
Media pe lună
pentru ultimele 90
de zile
Valoare finală : nu
se poate aplica
(prea dependentă
de companii sau
organizații, de
reputația lor sau
de natura publică
generală sau nu
a activităților lor).
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 4. Indicatori de securitate din categoria IEX_SPM – Spam
Nr.
Crt. Indicator Descriere Evenimente Evaluare
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 46 din 138 Site-uri web
complet sau
parțial
falsificate (cu
excepția
paginilor de
parcare) a
imaginii sau
afacerii
companiei
răpitoare
IEX_FGY.2 Spamurile sunt
mesaje recepționate
în sistemele de
mesagerie ale
companiei sau ale
organizației, în cadrul
campaniilor de
informare în masă și
nu individualizate,
ademenindu -se
făcând clic pe URL -uri
periculoase (eventual
troian încărcate) sau
încercând să ducă la
atingere acțiunilor
individuale vizate .. Primirea unui Mesaj
Spam, care nu este
detectat și nu este
blocat de filtrarea
prin intrare a
sistemelor de
mesagerie frecventă
Frecvența: Frecvență
foarte mare (situație
care duce la
pierderea eficienței
schimburilor pentru
utilizatorii tuturor
companiilor sau
organizațiilor)
Severitatea: 3
Detectare a
înseamnă: Producția
manuală (cifrele din
sistemul de
mesagerie colectat –
A se vedea mesajele
filtrate prin
instrumentele
antispam la intrarea
în sistem a
mesageriei instituției)
și mesajele
"nedorite" de către
utilizatori înșiși – A se
vedea manualul
lunar manual bazat
pe un eșantion din
utilizatori) Nivel de
detecție: 3 (rata de
detecție poate atinge
100%) Evaluarea
fundamentală : data
evenimentului
Evaluarea 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluarea 2:
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la umărul site –
urilor expuse ale
companiei sau ale
organizației
Valoarea
indicatorului:
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală: Nu
se aplică (prea
dependente de
companii sau
organizații, de
reputația lor sau de
natura publică
generală sau nu a
activităților lor). Cu
toate acestea, un
sfert din IEX_FGY.1
pare să conducă la
IEX_FGY.2
Prelucrat după ETSI GS ISI 002 Information Security Ind icators (ISI), 2015
Tabel 5. Indicatori de Securitate din categoria IEX_PHI – Phishing
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Phishing
vizează
stațiile de Phishing implică un
număr tot mai mare
de sectoare de Raportarea de către
client a unei încercări
de phishing. Evaluare
fundamentală : data
evenimentului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 47 din 138 lucru ale
clienților
companiei,
afectând
imaginea sau
afacerea
companiei
IEX_PHI.1
afaceri (instituții
financiare, site -uri de
comerț electronic,
jocuri online, site -uri
sociale etc.). Acesta
include atacuri prin e –
mail cu mesaje care
conțin fie link -uri de
URL rău intenționate
(către site -uri forjate),
fie link -uri URL
minuțioase (către
site-uri autentice
malware încărcate). Frecvență : Impact
puternic și puternic
asupra imaginii
Severitatea : 2
Detectare : Producția
manuală (prin teste
periodice ale clienților
sau utilizatorilor)
Nivelul de detecție : 2
sau 3 (rata de detecție
poate fi de până la
80%) Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
umărul de
campanii unice
detectate în ultimele
30 de zile. O
campanie unică
constă într -o serie
de atacuri phishing –
pilot coordonate
provenind dintr -o
singură origine într –
un anumit interval
de timp, cu o medie
de 6 atacuri pe
campanie.
Valoar ea
indicatorului :
Raportul măsurării
2 la expunerea
media (măsurarea
comunicării
specifice fiecărui
sector profesional)
Valoare finală :
(Evaluare 2 ) 20 de
campanii pe lună în
limba engleză (o
rată de împrăștiere
relativ ridicată între
companiile dintr -un
anumit sector de
afaceri, în primul
rând în funcție de
expunerea
mediatică)
Nr.
Crt. Indicator Descriere Evenimente Evaluare
2 Atacurile
phishing se
efectuează
prin Atacul de phishingul
reprezintă falsificarea
mesajelor și
personalizarea, Recepționarea
mesajelor "falsificate"
și personalizate care
arata ca o relație Evaluarea
Fundamentală : data
evenimen tului
Evaluarea 1 :
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 48 din 138 folosirea
unor
utilizatori
înregistrați
sau prin
atragerea
unor
utilizatori
specifici
EX_PHI.2 arătând ca o relație
profesională uzuală
care solicită
accesarea unor
linkuri periculoase de
adrese URL, precum
și atașamente
periculoase (încărcat
malware) obișnuită sau o
autoritate și solicitând
accesul pentru
deschiderea anumitor
linkuri, URL
periculoase sau
atașamente
periculoase
Frecvența: Frecvența
înaltă în unele
sectoare d e activitate
și organizații și un
indicator timpuriu
posibil al succeselor
succesive ulterioare
Severitatea: 3
Detectarea înseamnă:
Este posibilă
producția automată
(utilizarea CERT -urilor
pentru a detecta
scenarii de atac mai
mult sau mai puțin
repetitive care vizează
diferite organizații și
personalități,
detectarea internă
prin intermediul
utilizatorilor înșiși,
dacă scenariile
moderate sunt
executate)
Nivelul de detecție: 1
(rata de detecție
poate fi de până la
30%) umărul de
evenimente
detectate în ultimele
30 de zile;
Evaluarea 2:
umărul de
evenimente
detectate în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul numărului
de evenimente
detectate în ultimele
30 de zile la
umărul de mesaje
primite în sistem de
mesagerie în
ultimele 30 de zile.
Valoarea finală : nu
este apli cabilă
(prea dependentă
de companii sau
Instituții, de
reputația lor sau de
tipul sensibil al
afacerii lor)
3 Indicator Descriere Evenimente Evaluare
Intrusion
attempts on
externally
accessible
servers
IEX_INT.1 Încercările sunt în
acest caz scanări
sistematice
(excluzând
recunoașterea
rețelei) și re -quest -uri
ab-normale și
suspecte pe servere
accesibile extern,
detectate de un IDS /
IPS sau nu. Detectarea
tentativelor de
intruziune (scanări
sistematice
(excluzând
reconnaissance -ul de
rețea) și cereri
anormale și suspecte
pe servere accesibile
externa.
Frecvență: frecvență Evaluare
fundamentală : data
evenimentului
Evaluarea 1:
umărul de
evenimente unice
detectate în ultimele
30 de zile (un
eveniment unic
include toate
încercările de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 49 din 138 înaltă și informații
despre posibile
intruziuni reușite
Severitatea: 2 sau 3
(în funcție de tipul –
scanarea descoperirii
defectelor vs. atac în
desfășurare)
Detectarea înseamnă:
Posibilă producție
automată (jurnale de
servere Web și / sau
IDS / IPS și / sau
Deep Packet
Dispozitiv de inspecție
și instrument foarte
util SIEM)
Nivelul de detecție : 2
(rata de detecție
poate fi de până la 60
până la 70 ) intruziune care
provin dintr -o
singură origi ne într –
o perioadă de o zi)
Evaluarea 2 :
Evaluare 1
Valoarea
indicatorului :
Raportul numărului
de evenimente
detectate în ultimele
30 de zile la
numărul de servere
accesibile extern
Valoarea finală:
(Evaluare 1 ) 400 de
incidente pe server
extern accesibil
(dispersie relativ
scăzută între
organizații)
4 Indicator Descriere Evenimente Evaluare
Intruziuni pe
servere
interne
IEX_INT.3: Acest tip de incident
apare în mod
obișnuit după
instalarea unui
program de malware
pe PC sau printr -o
intruziune pe un
server accesibil în
exterior, adesea
urmat de o mișcare
laterală. Acest
indicator nu include
cifrele din indicatorul
Misappro -priation,
care poate începe
totuși cu o intruziune
pe un server intern.
Acest indicator
include așa -numitul
APT (amenințări
persistente
avansate), care
constituie totuși doar
o mică parte a
acestui indicator.
APT-urile sunt Detectarea intruziunii
Frecventa: Frecventa
medie
Severitatea : 4
Detectarea înseamnă :
este posibilă producția
automată (jurnalele
serverului OS și / sau
ale platformelor HTTP
și / sau ale Web -ului
aplicații, sarcini server
și / sau de rețea și
instrumentul SIEM)
Nivelul de detecție : 1
(rata de detecție
poate fi de până la
15%, rata foarte
scăzută estimată
pentru furturile
numărului cărților de
credit – 70
% rata post -mortem
după descoperiri de Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente unice
detectate în ultimele
30 de zile (un
eveniment unic
include toate
intruziunile
provenind de la
acelaș i atacator)
Evaluare 2 :
Raportul dintre
numărul de
evenimente
detectate în ultimele
30 de zile și
numărul de
evenimente externe
accesibile servere
Valoarea
indicatorului :
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 50 din 138 incidente de lungă
durată și de stealth,
cu compromisuri mari
de date prin
legăturile de ieșire,
ceea ce nu este
cazul majorității
incidente lor de tip
IEX_INT.3. Acest tip
de incident este
adesea rezultatul
atacurilor țintite. fraudă și investigații
intensive) Raportul măsurării
2 la Media pe lună
pentru ultimele 90
de zile
Valoarea finală:
(Evaluare 2 ) 0,05
incident pe server
intern (rata de
împrăștiere ridicată
între
organizații din
cauza țintirii)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 6. Indicatori de Securitate din categoria IEX_INT – Deteriorarea siteurilor web
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Deteriorarea
siteurilor
web
IEX_DFC.1 Defecțiunile
evidente
măsoară
deteriorarea
paginilor inițiale
și a celor mai
consultate
pagini ale site –
urilor. Frecvență: frecvență
relativ ridicată
Severitatea : 3
Detecție: este posibilă
producția automată
(software de verificare a
integrității tip Tripwire și /
sau software -ul de
monitorizare în amonte
pentru anomalii în fluxurile
HTTP și / sau software
pentru a simula tranzacțiile
și pentru a verifica
răspunsuri și instrumentul
SIEM pentru consolidarea
tuturor mijloacelor de
detectare)
Nivelul de detecție: 3 (rata
de detecție poate fi de
până la 90 ) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Masura derivata 2 :
Raportul dintre
numarul de
evenimente
detectate in ultimele
30 de zile la
numarul de
companii sau site –
urile organizației;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 0,2
incident pe site (rata
de dispersie ridicată
între organizații,
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 51 din 138 în funcție de
reputația site -ului și
de dezvoltarea
sigură sau nu a
aplicațiilor Web)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 7. Indicatori de Securitate – Distrugerea resurselor serverului de către atacuri externe
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Distrugerea
resurselor de
servere de
către
atacatori
externi
EX_MIS.1 Acest indicator
măsoară
cantitatea de
resurse servere
greșite de un
atacator extern
după o
intruziune
reușită (pe un
server extern
accesibil sau un
server intern). Detection of a new
server affected by a
misappropriation
Frequenc y:
Significant frequency
Severity: 2
Detection means:
Semi -automatic
production possible
(logs of server OS
and/or of HTTP
platforms and/or of
Web applications,
logs of IDS/IPS, load
data from system
administration tools,
and SIEM tool)
Detection level: 1
(detection rate can
be up to 15 % –
same as IEX_INT.2
intrusions)
Detectarea unui nou
server afectat de o
deturnare
Frecvență: Frecvență
semnificativă
Severitatea : 2
Detectare: Este
posibilă producția
semiautomată
(jurnalele serverului
OS și / sau a
platformelor HTTP și Evaluare fundamentală :
data evenimentului
Evaluare 1: umărul de
evenimente detectate în
ultimele 30 de zile;
Evaluare 2: umărul de
evenimente detectate în
ultimele 30 de zile;
Valoarea indicatorului :
Raportul dintre măsura 2
derivată și media pe lună
pentru ultimele 90 de zile;
Valoarea finală : (Evaluare
2) 2 incidente pentru o
organizație stand -ard
(rata de dispersie ridicată
între organizații, în funcție
de faptul dacă există sau
nu o abordare SIEM cu
atenție acordată
comportamentelor
deviante)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 52 din 138 / sau a platformelor
HTTP)
Aplicații web, jurnale
de IDS / IPS, date de
încărcare din
instrumentele de
administrare a
sistemului și
instrumentul SIEM)
Nivelul de detecție : 1
(rata de detecție
poate fi de până la
15% – același cu
intruziunile
IEX_INT.2)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 8. Indicatori de securitate – IEX_DOS.1: Atacuri de tipul DOS asupra siteurilor
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Atacuri de
tipul DOS
asupra
siteurilor
IEX_DOS.1 Acest indicator
măsoară atacurile
de respingere a
serviciului împotriva
site-urilor web,
efectuate fie prin
trimiterea de cereri
dăunătoare (DoS),
fie prin trimiterea
unui flux masiv
provenit de la mai
multe site -uri
distribuite (DDoS)
sau prin alte tehnici.
Datorită stării
actuale a detecției
atacurilor, indicatorul
este limitat la
atacurile DDoS. Detectarea unui atac
asupra unui anumit
site care provine de la
aceeași origine într –
un interval de timp
limitat continuu și
un incident
semnificativ definit ca
o perturbare
semnificativă de
utilizator și scădere a
performanței în
accesarea site -ului
web
Frecvență: frecvență
relativ ridicată, deși
foarte neuniformă în
timp
Severitatea: 4 (dacă
este completă de
blocare a serverului
sau a rețelei)
Detectare înseamnă:
Posibilă producție
automată pentru Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
dintre numarul de
evenimente detectate
in ultimele 30 de zile
la numarul de
companii sau
site-urile organizației;
Valoarea
indicatorului : Raportul
dintre numarul de
evenimente detectate
in ultimele 30 de zile
la numarul de
companii sau
site-urile organizației;
Valoarea finală :
(Evalua re 2 ) 0,006
(0,1 x 0,06) incidență
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 53 din 138 atacuri DoS (jurnale
de baze de date și
aplicații Web,
instrumente de
administrare a
sistemului și
instrumentul SIEM) și
pentru atacurile DDoS
(instrumente de
administrare a r ețelei
pentru perimetru
zone)
Nivelul de detecție : 3
(rata de detecție poate
fi de până la 100 ) pe site -ul internet
(nivel ridicat de
dispersare între
organizații în funcție
de vizibilitatea
acestora pe Internet,
precum și inegalități
considerabile.
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 9. Indicatori de securitate Categoria IEX_MLW – Malware
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Încercările de
instalare a
programelor
malware pe
stațiile de
lucru
IEX_MLW.1 Acest indicator
măsoară atacurile
de respingere a
serviciului împotriva
site-urilor web,
efectuate fie prin
trimiterea de cereri
dăunătoare (DoS),
fie prin trimiterea
unui flux masiv
provenit de la mai
multe site -uri
distribuite (DDoS)
sau prin alte tehnici.
Datorită stării
actuale a detecției
atacurilor,
indicatorul este
limitat la atacurile
DDoS.
Detectarea unui
malware pe stații de
lucru de către
organizațiile Antivirus
și IPS
Frecvență: Frecvență
foarte mare
Severitatea : 1
Detectare: Este
posibilă producția
automată (detectarea
de către antivirusul
existent și baza IPS la
rețea
intrare sau AV în stații
de lucru, cu software
de administrare
centralizată AV)
Nivelul de detecție : 3
(rata de detecție poate
fi de până la 100 ) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de instalări unice de
programe malware
(sau numărul de
tipuri diferite de
programe malware
detectate)
Valoarea
indicatorului :
umărul de instalări
unice de programe
malware (sau
numărul de tipuri
diferite de programe
malware detectate)
Valoarea finalp:
(Evaluare 2 ) 1 600
de alarme pentru o
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 54 din 138 organizație standard
cu 100 000 de stații
de lucru bazate pe
Windows (destul de
scăzută împrăștiere
în funcție de
organizații, cu
excepția deficienței
cu activarea sau
actualizarea AV și
bazei IPS)
2 Încercările de
instalare a
programelor
malware pe
servere
IEX_MLW.2 Procesele de
instalare a malware –
ului sunt detectate
prin mijloace
convenționale
(antivirus și baze de
date IPS) și blocate
prin aceleași
mijloace. Acest
indicator oferă o
vizibilitate
aproximativă în
presiunea externă
minusculă suferită
în această privință.
Acest indicator ar
trebui să fie asociat
cu un indicator al
instalării malware
reușite, pentru a
evalua eficiența
efectivă a
mijloacelor de
detectare și blocare
convenționale în
lupta împotriva
programelor
malware. Detectarea unui
malware pe servere
de către organizația
AV și baza IPS
Frecvență: Frecvență
foarte mare
Severitatea : 1
Detectare înseamnă:
Este posibilă producția
automată (detectarea
de către antivirusul
existent și baza IPS la
rețea
intrare sau AV în
servere, cu soft -ware
de administrare
centrală AV)
Nivelul de detecție : 3
(rata de detecție poate
fi de până la 100 ) Evaluare
fundamentală : data
evenimentului
Evalu are 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de instalări unice de
programe malware
la distanță (sau
numărul diferitelor
tipuri de programe
malware
care au fost
detectate)
Valoarea
indicatorului :
umărul de instalări
unice de programe
malware la distanță
(sau numărul
diferitelor tipuri de
programe malware
care au fost
detectate)
Valoarea finală :
(Evaluare 2 ) 110 de
alarme pentru 10
000 de servere
(destul de scăzută
împrăștiere în
conformitate cu
organizații, cu
excepția cazului în
care există
deficiențe cu
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 55 din 138 activarea sau
actualizarea AV și
bazei IPS)
3 Malware
instalat pe
stații de
lucru
IEX_MLW.3 Malware -ul nu ar
putea fi detectat
prin mijloace
convenționale (lipsa
activării sau
actualizarea
adecvată) sau
incidentele
neinventate și / sau
specifice, foarte
nesigure, cele mai
multe ori
nedetectabile prin
mijloace
convenționale (AV
și IPS standard), în
consecință care
necesită alte
mijloace de
detectare
suplimentară
(încărcare în rețea
sau WS, legături de
ieșire, dispozit ive de
rețea îmbunătățite
ca instrumente DPI,
utilizatori înșiși care
raportează pentru a
ajuta birourile).
Acest indicator
(care include
stații de lucru
desktop și laptop
Windows, dar nu
include diferite tipuri
de alte stații de
lucru și dispozitive
inteligente mobile),
prin urmare, se
aplică atât virusilor
clasici și viermilor,
cât și tuturor noilor
programe malware,
cum ar fi
cai cai troieni (care
sunt definiți ca Detectarea unui
malware pe stații de
lucru prin mijloace
neconvenționale
(altele decât AV și
standardul IPS)
Frecvență: frecvență
relativ ridicată
Severitatea : de la 2 la
4 (în funcție de nivelul
creșterii încărcării
sistemului de PC -uri
sau de absența
existenței sau nu a
cailor troieni sau a
boților)
Detectare: Posibilă
producție automată
(detecție prin
monitorizarea
încărcărilor
neobișnuite ale
sistemului – de obicei
se mărește după ce
PC-urile sunt adormite
și / sau prin
intermediul legăturilor
HTTP de ieșire
suspecte către proxy –
caz de cai troieni sau
boți și / sau de IDS la
perimetrul rețelei de
ieșire și / sau de către
utilizatori Instrumente
de administrare a
sistemului PC și / sau
jurnale de proxy și /
sau firewall -uri și
instrumentul SIEM);
Nivelul de detecție : de
la 1 la 3 (în funcție de
tipul și stealth -ul de
malware – detectarea
cailor Tro -jan și a
boților practic Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate î n ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 40 de
incidente pentru o
organizație standard
(rată destul de
ridicată de
împrăștiere între
organizații, în funcție
de sensibilitatea
acestora și de
mijloacele lor de
detecție – de
exemplu, pot apărea
până la 80 de
incidente în unele
sensibile societăți
sau organizații).
Cifrele estimative
privind parcul actual
de stații de luc ru
infectate – fie că
sunt sau nu curățate
– sunt de la 3 la 10%
pentru companiile
mari, 20% pentru
profesioniști și IMM –
uri și 35 pentru
publicul larg. Cifra
estimată în ceea ce
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 56 din 138 programe malware
destinate furtului de
date sau
tranzacțiilor
malițioase) sau bots
(care su nt de –
amendate aici ca
vectori pentru
atacuri spam sau
DDoS). imposibilă fără unelte
SIEM, acest caz
furnizând rate de
detecție p osibile
atingând 50% pentru
cele mai bune, rata cel
mai adesea mult mai
mică și chiar
inexistentă, în special
pentru cele mai
sophisticate atacuri
sponsorizate de stat) privește parcul
actual de
antreprenori încă
încadrat (toate
categoriile luat e
împreună) este de
0,7%
4 Malware instalat
pe stații de lucru
IEX_MLW.4 Malware -ul nu ar
putea fi detectat
prin mijloace
convenționale (lipsa
activării sau
actualizarea
adecvată) sau
incidentele
neinventate și / sau
specifice, foarte
nesigure, cele mai
multe ori
nedetectabile prin
mijloace
convenționale (AV
și IPS standard), în
consecință care
necesită alte
mijloace de
detectare
suplimentară
(încărcare în rețea
sau WS, legături de
ieșire, dispozitive de
rețea îmbunătățite
ca instrumente DPI,
utilizatori înșiși care
raportează pentru a
ajuta birourile).
Acest indicator
(care include
stații de lucru
desktop și laptop
Windows, dar nu
include diferite tipuri
de alte stații de
lucru și dispozitive
inteligente mobile), Detectarea unui
malware pe stații de
lucru prin mijloace
neconvenționale
(altele decât AV și
standardul IPS)
Frecvență: frecvență
relativ ridicată
Severitatea : de la 2 la
4 (în funcție de nivelul
creșterii încărcării
sistemului de PC -uri
sau de absența
existenței sau nu a
cailor troieni sau a
boților)
Detectare: Posibilă
producție automată
(detecție prin
monitorizarea
încărcărilor
neobișnuite ale
sistemului – de obicei
se mărește după ce
PC-urile sunt adormite
și / sau prin
intermediul legăturilor
HTTP de ieșire
suspecte către proxy –
caz de cai troieni sau
boți și / sau de IDS la
perimetrul rețelei de
ieșire și / sau de către
utilizatori Instrumente
de administrare a
sistemului PC și / sau
jurnale de proxy și / Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 40 de
incidente pentru o
organizație standard
(rată destul de
ridicată de
împrăștiere între
organizații, în funcție
de sensibilitatea
acestora și de
mijloacele lor de
detecție – de
exemplu, pot apărea
până la 80 de
incidente în unele
sensibile societăți
sau organizații).
Cifrele estimative
privind parcul actual
de stații de lucru
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 57 din 138 prin urmare, se
aplică atât virusilor
clasici și viermilor,
cât și tuturor noilor
programe malware,
cum ar fi
cai cai troieni (care
sunt definiți ca
programe malware
destinate furtului de
date sau
tranzacțiilor
malițioase) sau bots
(care sunt de –
amendate aici ca
vectori pentru
atacuri spam sau
DDoS). sau firewall -uri și
instrumentul SIEM);
Nivelul de detecție : de
la 1 la 3 (în funcție de
tipul și stealth -ul de
malware – detectarea
cailor Tro -jan și a
boților practic
imposibilă fără unelte
SIEM, acest caz
furnizând rate de
detecție posibile
atingând 50% pentru
cele mai bune, rata cel
mai adesea m ult mai
mică și chiar
inexistentă, în special
pentru cele mai
sophisticate atacuri
sponsorizate de stat) infectate – fie că
sunt sau nu curățate
– sunt de la 3 la 10%
pentru companiile
mari, 20% pentru
profesioniști și IMM –
uri și 35 pentru
publicul larg. Cifra
estimată în ceea ce
privește parcul
actual de
antreprenori încă
încadrat (toate
categoriile luate
împreună) este de
0,7%
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 10. Indicatori de securitate – Categoria IEX_PHY – Intruziunea sau acțiunea fizică
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Intruziunea
umană în
perimetrul
organizației
IEX_PHY.1 Acest indicator
măsoară
enunțul ilicit al
persoanelor în
perimetrul de
securitate. Detectarea unei
încălcări a controlului
accesului fizic
Frecvență : Este
probabil destul de
înaltă frecvență în
unele cazuri (nu
organizații critice și de
bază)
Severitatea : 3
Detectarea înseamnă:
Detectarea și
producția manuală
(detecția
randamentului este
posibilă)
Nivelul de detecție : 1
(rata de detecție poate
fi de până la 15 ,
dacă politica care
necesită purtarea Evaluare fundamentală :
data evenimentului
Evaluare 1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2: umărul de
evenimente detectate în
ultimele 30 de zile
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pent ru ultimele 90
de zile;
Valoarea finală :
(Evaluare 2 ) 50 de
incidente pentru o
organizație standard
(rata ridicată a
dispersiei între
organizații, în funcție de
sensibilitatea acestora).
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 58 din 138 insignelor de
identificare este strict
executată)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI) , 2015
2. Categoria FMI (Defecțiuni)
Indicatorii din această categorie oferă informații despre apariția unor incidente cauzate de
defecțiuni, defalcări sau erori umane.
Tabel 11. Indicatori de securitate Family IMF_BRE – Accidente sau defecțiuni întâmplătoare
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Starea de
funcționare a
defecțiunilor
accidentale
IMF_BRE.1 Defectele sau
funcțiile
malware se
aplică atât
hardware -ului,
cât și software –
ului, cauzate
de erorile de
sistem (eșecul
comenzilor
sau bug -uri). Detectarea unei
defecțiuni sau a unei
defecțiuni a stației de
lucru
Frecvență: Frecvență
ridicată
Severitatea: o parte din
definiția sensibilității
disponibilității
informațiilor găzduite de
PC-uri și, de asemenea,
identică cu criticile
incidentelor (cu politica
de clasificare a
disponibilității activelor,
luând în considerare
gravitatea incidentelor
prin constatarea
sensibilității as -seturile în
funcție de durata lor de
nefuncționare)
Detectare înseamnă :
posibilitate de producție
semiautomată
(instrumente de
administrare PC)
Nivelul de detecție : 3
(rata de detecție poate fi
de până la 100 ) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de evenimente
detectate în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare de vârf :
Cifrele nu sunt
uniforme în funcție
de companii sau
organizații (definirea
indicatorului est e
foarte variabilă, în
ceea ce privește
examinarea sau nu
a unor tipuri de erori)
2 Starea de
funcționare a
defecțiunilor Defectele sau
funcțiile
malware se Detectarea unei
defecțiuni sau a unei
defecțiuni a stației de Evaluare
fundamentală : data
evenimentului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 59 din 138 sau
defecțiunilor
accidentale
IMF_BRE.2 aplică atât
hardware -ului,
cât și software –
ului, cauzate
de erorile de
sistem (eșecul
comenzilor
sau bug -uri). lucru
Frecvență: Frecvență
ridicată
Severitatea: o parte din
definiția sensibilității
disponibilității
informațiilor găzduite de
PC-uri și, de asemenea,
identică cu criticile
incidentelor (cu politica
de clasificare a
disponibilității activelor,
luând în considerare
gravitatea incidentelor
prin constatarea
sensibilității as -seturile în
funcție de durata lor de
nefuncționare)
Detectare înseamnă :
posibilitate de producție
semiautomată
(instrumente de
administrare PC)
Nivelul de detecție : 3
(rata de detecție poate fi
de până la 100 ) Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de evenimente
detectate în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare de vârf :
Cifrele nu sunt
uniforme în funcție
de companii sau
organizații (defi nirea
indicatorului este
foarte variabilă, în
ceea ce privește
examinarea sau nu
a unor tipuri de erori)
3 Functionarea
stațiilor de
lucru cu
defecțiuni sau
defecțiuni
accidentale
IMF_BRE.3 Defectele sau
funcțiile
malware se
aplică atât
hardware -ului,
cât și software –
ului, cauzate
de erorile de
sistem (eșecul
comenzilor
sau bug -uri). Detectarea unei
defecțiuni sau a unei
defecțiuni a stației de
lucru
Frecvență: Frecvență
ridicată
Severitatea: o parte din
definiția sensibilității
disponibilității
informațiilor găzduite de
PC-uri și, de asemenea,
identică cu criticile
incidentelor (cu politica
de clasificare a
disponibilității activelor,
luând în considerare
gravitatea incidentelor
prin constatarea
sensibilității as -seturile în
funcție de durata lor de
nefuncționare) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de evenimente
detectate în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare de vârf :
Cifrele nu sunt
uniforme în funcție
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 60 din 138 Detectare înseamnă :
posibilitate de producție
semiautomată
(instrumente de
administrare PC)
Nivelul de detecție : 3
(rata de detecție poate fi
de până la 100 ) de companii sau
organizații (definirea
indicatorului este
foarte variabilă, în
ceea ce privește
examinarea sau nu
a unor tipuri de erori)
4 Functionarea
stațiilor de
lucru cu
defecțiuni sau
defecțiuni
accidentale
IMF_BRE.4 Defectele sau
funcțiile
malware se
aplică atât
hardware -ului,
cât și software –
ului, cauzate
de erorile de
sistem (eșecul
comenzilor
sau bug -uri). Detectarea unei
defecțiuni sau a unei
defecțiuni a stației de
lucru
Frecvență: Frecvență
ridicată
Severitatea: o parte din
definiția sensibilității
disponibilității
informațiilor găzduite de
PC-uri și, de asemenea,
identică cu criticile
incidentelor (cu politica
de clasificare a
disponibilității activelor,
luând în considerare
gravitatea incidentelor
prin constatarea
sensibilității as -seturile în
funcție de durata lor de
nefuncționare)
Detectare înseamnă :
posibilitate de producție
semiautomată
(instrumente de
administrare PC)
Nivelul de detecție : 3
(rata de detecție poate fi
de până la 100 ) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: umărul
de evenimente
detectate în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare de vârf :
Cifrele nu sunt
uniforme în funcție
de companii sau
organizații (definirea
indicatorului este
foarte variabilă, în
ceea ce privește
examinarea sau nu
a unor tipuri de erori)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 12. Indicatori de securitate – Categoria IMF_MDL – Furnizarea necorespunzătoare a conținutului
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Livrarea e –
mailului
către Acest indicator măsoară
erorile din partea
expeditorului atunci când Detectarea unui
astfel de inciden t Evaluare
fundamentală : data
evenimentului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 61 din 138 destinatarul
greșit
MF_MDL.1 selectați sau tastați
adrese de e -mail care
duc la incidente de
defecțiune. Consecințele
pot fi foarte grave atunci
când confidențialitatea
este critică. Frecvență : Mai
degrabă
frecvență redusă
Severitatea : de la
1 la 4 (în funcție
de conținut și de
recipiente)
Detectare :
Producția
manuală (prin
notificarea
spontană a
utilizatorului
intern sau prin
consecințele
detectate)
Nivelul de
detecție : 1 (rata
de detecție este
în general
scăzută, adică
mai mică de 15 ,
angajații fiind
reticenți în a
notifica acest tip
de eroare Evaluare 1: numărul
de utilizatori implicați
detectat în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente
detectate în ultimele
30 de zile la numărul
de utilizatori ai
companiei sau ai
organizației
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 0,2%
(nivel extrem de
redus de împrăștiere
în funcție de
companii sau
organizații, datorită
naturii eronate
umane a acestui tip
de incident)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 13. Indicatori de securitate – Categoria IMF_LOM – Pierderea sau furtul de dispozitive mobile
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Pierdere (sau
furtul) a
dispozitivelor
mobile
aparținând
organizației
IMF_LOM.1 Acest indicator măsoară
pierderea tuturor tipurilor
de sisteme care conțin
informații sensibile sau
nedorite ale organizației,
fie ele criptate sau nu
(calculatoare laptop,
jetoane USB, CD -ROM –
uri, dischete, casete
magnetice, smartphone –
uri, tablete etc. ) . În
unele cazuri, ar putea fi Pierderea
dispozitivului și
furtul au fost
degradate la un
nivel central și,
prin urmare, pot fi
consolidate
Frecvență:
frecvență relativ
ridicată
Severitatea: 3 Evaluare
fundamentală :
data evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 62 din 138 dificil să se diferențieze
pierderile de furturi. Detectare
înseamnă:
Producție
manuală
ivelul detecției:
3 (rata de
detecție poate fi
de până la 100 ,
în special pentru
laptopurile
înregistrate și
gestionate la
nivel central) detectate în
ultimele 30 de zile
la numărul
dispozitivelor
companiei sau ale
organizației
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 )
0,08 (aplicabilă
numai
computerelor
laptop) (relativ
scăzută
nivelul de dispersie
în funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 14. Indicatori de securitate – Categoria IMF_LOG – Erori de logare
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Întrerupere sau
defecțiune a
funcției de
producție a
jurnalului cu
posibil impact
juridic
IMF_LOG.1 Acest tip de
eveniment ar putea
avea două cauze
principale: o
funcționare
defectuoasă a
sistemului sau o
eroare de manipulare
a sistemului de către
un administrator. Log –
urile luate în
considerare aici sunt
jurnale de sistem și
jurnale de aplicații ale
tuturor serverelor. Detectarea unei
întreruperi a
jurnalului sau a
unei funcționări
defectuoase
(inclusiv pierderea
integrității logurilor)
Frecventa : atat la
importanta cat si la
frecventa
semnificativa
(productia de
busteni considerata
deseori ca
limitatoare si de o
importanta relativa
de catre Evaluare
fundamentală :
data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de
zile;
Evaluare 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de zile
la umărul
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 63 din 138 administratori si,
prin urmare, cu o
atentie mai mica,
cu exceptia unei
monitorizari stricte
a securitatii si a
unei reactii
puternice).
Severitatea : 3 sau
4 (în funcție de
cauză)
Detecție înseamnă:
Este posibilă
producția automată
(buștenii sisteme lor
monitorizate și
instrumentul SIEM)
Nivel de detecție :
2, dat fiind că este
imposibil să se
monitorizeze toate
aplicațiile software
(rata de detecție
poate fi de până la
60%) sistemelor
întreprinderii sau
ale organizației;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ult imele 90
de zile;
Valoare finală :
Cifrele nu sunt
uniforme în
funcție de
companii sau
organizații
(definiția
indicatorului foarte
variabilă, în ceea
ce privește
considerarea sau
nu a incidentelor,
altele decât
întreruperile).
2 Absența unei
urmăriri posib ile
a persoanei
implicate într -un
eveniment de
securitate cu
posibil impact
Juridic
IMF_LOG.2 Se referă la date
unice legate de un
furnizor și cunoscut
de utilizator
(identificator legat de
aplicația sau
directorul de
aplicație). Acest
indicator este un sub-
set de indicator IMF
LOG.1. Detectarea unui
server de producție
sau a unui software
de aplicație de
producție afectat
de incidentele de
acest tip;
Frecventa :
Frecventa relativ
ridicata (datorita
erorilor in
configurarea si
formarea
bustenilor);
Severit ate: 1 sau 2
(în funcție de
gravitatea
evenimentului)
Detecție înseamnă :
Este posibilă
producția automată
(buștenii sistemelor
monitorizate și Evaluare
fundamentală :
data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de
zile;
Evaluare 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de zile
la numărul
sistemelor
organizației sau
ale organizației;
Valoarea
indicatorului :
Raportul dintre
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 64 din 138 instrumentul SIEM)
Nivelul de detecție :
1 sau 2 (rata de
detecție poate fi de
până la 60 ) măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile;
Valoarea finală :
(Evaluare 2 ) 10%
(cu un nivel relativ
scăzut de
împrăștiere în
funcție de
companii sau
organizații)
3 Întreruperi sau
funcționare
defectuoasă a
funcției de
producție, a
jurnalului pentru
înregistrări cu
valoare
probatorie
pentru accesul
sau manipularea
informațiilor
care, la acest
nivel, sunt
supuse legii sau
cerințelor de
reglementare
IMF_LOG.3 Acest indicator se
referă în primul rând
la informațiile cu
caracter personal
protejate de legile
privind
confidențialitatea, la
informațiile care intră
sub incidența
Regulamentului PCI –
DSS, la informațiile
care intră sub
incidența
reglementărilor
europene în domeniul
notificării încălcărilor
(pentru început
Telcos și ISP) ,
precum și la informații
despre schimburile
electronice între
angajați
și exterior (mesageria
electronică și
conexiunea la
Internet). Acest
indicator nu include
posibilele dificultăți
legate de
transmiterea dovezilor
de la operațiunile de
teren până la
guvernare (de ultimă
generație
indispensabilă). Acest
indicator este un sub –
set de indicator Detectarea unei
întreruperi a
jurnalului sau a
unei funcționări
defectuoase
(inclu siv pierderea
integrității logurilor)
Frecvență : Atât
frecvența
importantă, cât și
cea semnificativă
(producția și
înregistrarea de
bușteni, adesea
văzute ca
limitatoare și de o
importanță relativă
de către
administratori și,
prin urmare,
manipulate cu o
atenție mai mică,
cu excepția cazului
în care a
monitorizarea
strictă a securității
și o reacție
puternică).
Severitatea : 3 sau
4 (în funcție de
cauză)
Detecție înseamnă:
Este posibilă
producția automată
(buștenii sistemelor
monitorizate și Evaluare
fundamentală :
data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de zile
la umărul
companiei sau
sistemele
organizației care
fac obiectul
reglementărilor
sau legislațiilor
care necesită
înregistrări cu
valoare
probato rie;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile;
Valoare finală :
Cifrele nu sunt
uniforme în
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 65 din 138 IMF_LOG.1, dar
poate fi identic cu
acesta în cazul orga –
nizațiilor avansate. instrumentul SIE M)
Nivelul de detecție :
3, dat fiind că este
posibil să se
monitorizeze toate
produsele software
care fac obiectul
reglementărilor
(rata de detecție
poate fi de până la
100%) funcție de
companii sau
organizații
(definiția
indicatorului foarte
variabilă, în ceea
ce privește
consi derarea sau
nu a incidentelor,
altele decât
întreruperile);
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
3. Categoria IDB ( Internal deviant behaviours )
Indicatorii din această categorie oferă informații despre apariția incidentelor privind
comportamentele deviant interne (inclusiv în special uzurparea drepturilor sau a identității).
Tabel 15. Indicatori de securitate – IDB_UID – Uzurparea identității
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Asumarea
utilizatorilor
IDB_UID.1 O persoană din cadrul
organizației își asumă
un utilizator înregistrat
(angajat, partener,
contractant, furnizor
de servicii externi)
folosind identificatorul,
parolele sau
dispozitivele de
autentificare care au
fost obținute anterior
într-un mod ilicit
(utilizând o tehnică de
inginerie socială sau
nu). Aceasta măsoară
cazurile de uzurpare în
scopuri dăunătoare, și
nu cele care se referă
la utilizarea
prietenoasă a
utilizatorilor. Mai mult
decât atât, se
presupune că ID /
Parola este principala
modalitate d e Detectarea
uzurpării identității
Frecvență :
Frecvență ridicată
Severitate: 4 (rău
pură)
Detectare
înseamnă: este
posibilă producția
automată (jurnale
pentru controlul
accesului la
servere și / sau
aplicații și
instrumentul
SIEM)
Nivelul de
detecție : 1 (rata de
detecție poate fi
de până la 10 ,
cu condiția ca
instrumentul SIEM
contorizat cu reguli
de corelare bogate Evaluarea
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele 30
de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 20 de
incidente pentru o
organizație standard
cu 50 000 de acces
VPN (nu nivelul de
dispersie ridicat în
funcție de companii
sau organizații, cu
excepția celor cu
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 66 din 138 autentificare. și diversificate să
fie utilizat.
Incidentul dintre
cele mai dificil de
detectat) inițiative SIEM
avansate și reacții
privind personalul în
cazul în care această
figură este în panta
descendentă)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 16. Indicatori de securitate – Categoria Drepturi (sau privilegii) – abuz pe servere sau aplicații
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Creșterea
privilegiilor prin
exploatarea
software -ului
sau a
vulnerabilității
de configurare
pe un server
accesibil extern.
IDB_RGH.1 Exploatările
vulnerabile sunt în
general legate de
sistemul de operare
care suportă
aplicația Web,
exploatat în special
prin injectarea de
caractere
suplimentare în
legăturile URL.
Acest comportament
implică în mod
specific furnizorii
externi de servicii
și partenerii de
afaceri ai companiei
care doresc să
acceseze informații
suplimentare sau să
lanseze acțiuni
ilegale (de exemplu,
furnizorii de servicii
care caută informații
despre concurenții
lor). Acest tip de
comportament este
mai puțin frecvent în
rândul angajaților,
deoarece este
adesea mai ușor să
obțineți aceleași
rezultate prin
metode de inginerie
socială. Detectare a unei
escaladări a
privilegiilor prin
exploatarea
vulnerabilității
sistemului
Frecvență:
Frecvența care
poate fi ridicată (de
ex. În rețele
Extranet mari)
Severitatea : 3
Detectare
înseamnă :
Posibilitatea de
producție
semiautomată
(jurnale de operare
server și / sau de
platforme HTTP și /
sau de aplicații
Web, și
instrumentul SIEM)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
30 , cu condiția
ca un instrument
SIEM cu detecție
bogată și variată
regulile sunt
utilizate) Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile;
Evaluare 2 :
Evaluare 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile;
Valoarea finală :
(Evaluare 2 ) 20 de
inciden te pentru o
organizație
standard cu o rețea
netă de 50 000
utilizatorii de
parteneri de afaceri
(nivelul de
împrăștiere nu
foarte ridicat în
funcție de companii
sau organizații –
comportamentul dat
de furnizorii externi
de servicii sau de
partenerii de afa ceri
este determinat de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 67 din 138 curiozitatea similară
în toate companiile
și a rețelelor, cu
excepția celor cu
inițiative avansate
ale SIEM și reacții
puternice față de
partenerii de afaceri
sau furnizorii de
servicii în cauză,
unde această cifră
este în mod evide nt
mai mică)
2 Privire de
explorare pe un
server sau
aplicație
centrală de
către ingineria
socială
IDB_RGH.2 Este adesea mai
ușor să obțineți
aceleași rezultate
prin metode de
inginerie socială
decât prin mijloace
tehnice. Echipele de
asistență sunt
adese a implicate în
acest tip de
comportament. Detectarea unei
escaladări a
privilegiilor prin
mijloace de
inginerie socială
Frecventa :
Frecventa care
poate fi
semnificativa
Severitatea : 3
Detecție înseamnă :
Posibilitatea de
producție
semiautomată
(bușteni de HIDS)
Nivelul de detecție :
1 sau 2 (rata de
detecție poate fi de
până la 50 ) Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
Evaluare 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 2
incidente pentru o
organizație
standard (nu nivelul
ridicat de dispersie
în funcție de
companii sau
organizații, cu
excepția celor cu
inițiative SIEM
îmbunătățite și
reacții privind
personalul din
întrebare, unde
această cifră se află
în panta
descendentă)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 68 din 138 3 Utilizarea pe
server sau
aplicarea
centrală a
drepturilor de
administrator
acordate ilicit
de un
administrator
IDB_RGH.3 Acordarea, în mod
ilicit, a privilegiilor
admiratorului, în
general, rezultă din
simple erori sau din
neglijență mai
îngrijorătoare din
partea
administratorilor
(acțiunea
răuvoitoare este mai
rară). Cazul
drepturilor temporare
uitate (a se vedea
următorul indicator)
nu este inclus în
acest indicat or. Detectarea utilizării
drepturilor de
administrator ilicite
Frecvență :
Frecvență
semnificativă
Severitatea : 3
Detectarea
înseamnă: Este
posibilă
producerea
automată (jurnalele
de control al
accesului la
servere, jurnalele
bazei de date de
referință a
drepturilor și
instrumentul SIEM)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
100 , cu condiția
să fie utilizat un
instrument SIEM
care are o bază de
date de referință a
drepturilor
administratorului
oficial) Evaluare
fundamentală : data
even imentului
Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
Evaluare 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 13
utilizatori pentru o
organizație stand –
ard (nivel scăzut de
împrăștiere în
conformitate cu la
companii sau
organizații, cu
excepția celor cu
inițiative avansate
SI-EM și reacție față
de aceste situații,
unde această cifră
este în mod evident
mai mică)
4 Utilizarea pe
server a
drepturilor
acordate în
funcție de timp
după perioada
planificată
IDB_RGH.4 Acest indicator
măsoară situațiile în
care conturile de
utilizator cu o durată
limitată (create
pentru instruire,
rezolvarea
problemelor, accesul
în caz de urgență,
teste etc.) su nt încă
în uz după perioada
planificată inițial. Detectarea utilizării
drepturilor
acordate în funcție
de timp după
perioada
planificată
(înregistrată o
singură dată în
cazul unor
incidente diferite
care implică
aceeași persoană)
Frecvență :
Frecvență
semnificativă Evaluarea
fundamentală : data
evenimentului
Evaluarea 1 :
umărul de
evenimente
detectate în ultimele
30 de zile;
Evaluarea 2 :
umărul de
evenimente
detectate în ultimele
30 de zile;
Valoarea
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 69 din 138 Severitatea: 2
Detecție înseamnă:
Este posibilă
producția automată
(jurnale pentru
controlul accesului
la servere și
instrumentul SIEM)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
50 , cu condiția
să fie utilizat un
instrumen t SIEM
care are o bază de
date ulterioară cu
privire la drepturile
acordate în timp și
la timpul acordat) indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile;
Valoare finală : 2
incidente pentru o
organizație
standard (nivel
redus de dispersare
conform
organizațiilor, cu
excepț ia celor cu
inițiative SIEM
avansate și reacție
la aceste situații,
unde această cifră
se apropie de mai
puțin de unul)
5 Abuzarea
privilegiilor de
către un
administrator
pe un server
sau o aplicație
centrală
IDB_RGH.5 Motivația de
uzurpare a
drepturilor de către
un administrator este
deseori dorința de a
încălca
confidențialitatea
datelor sensibile (de
exemplu, datele
privind resursele
umane). Acest
indicator este similar
cu indicatorul
IDB_RGH.6 (dar cu
consecințe care pot
fi totuși din zece
potențial ma i grave). Detectarea unui
abuz de privilegii
de către un
administrator;
Frecvență :
Frecvență
semnificativă
Severitatea: 3 sau
4 (în funcție de
motivația de bază);
Detectare : Este
posibilă producția
automată (jurnalele
HIDS conectate la
server);
Nivelul de detecție :
1 sau 2 (nivelul de
detectare poate fi
de până la 40 , cu
condiția să fie
utilizate
instrumentele
HIDS) Evaluarea
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile;
Evaluare 2 :
umărul de
administ ratori cu
astfel de
comportamente în
ultimele 30 de zile
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile;
Valoarea finală :
(Evaluare 2 ) 6
administratori
pentru o organizație
standard (nivel
scăzut de dispersie
în funcție de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 70 din 138 companii sau
organizații, cu
excepția celor cu
inițiative SIEM
admise și reacție
puternică la
personal, în cazul în
care această cifră
este în mod evident
mai mică).
6 Abuzul de
privilegii de
către un
operator sau un
utilizator simplu
pe un server
sau o aplicație
centrală
IDB_RGH.6 Acest indicator este
valabil, de exemplu,
pentru utilizatorii
autorizați care au
acces la informații
personale
identificabile despre
celebrități care nu au
nevoie reală de
slujba lor (încălcând
astfel dreptul de a
ști). Detectarea unui
abuz de privilegii
asupra unei
aplicații (sistem
central) de către un
operator sau un
utilizator simplu;
Frecvență :
Frecvență
semnificativă
Severitatea: 1
Detecție :
Posibilitatea de
producție
semiautomată
(jurnale de acces și
comenzi pentru
aplicații);
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
90 , cu condiția
să fie utilizat un
software dedicat
bazei de date și un
instrument SIEM
care s e
concentrează pe
ratele medii de
acces la
înregistrări) Evaluare
fundamentală : data
evenimentului;
Evaluare 1 :
umărul de
evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în ultimele
30 de zile la
numărul de cereri;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile;
Valoarea finală :
(Evaluare 2 ) 2
incidente per
aplicație (nivel
scăzut de dispersie
conform
organizațiilor, cu
excepția celor cu
inițiative ava nsate
SIEM și reacție
puternică față de
personalul deviant,
unde această cifră
se află o tendință
descendentă)
7 Utilizarea illicită
pe un server Acest indicator ia în
considerare, de Detectarea unei
utilizări ilicite a Evaluarea
fundamentală : data
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 71 din 138 sau aplicarea
centrală a
drepturilor care
nu au fost
eliminate după
departare sau
schimbare de
poziție în cadrul
organizației
IDB_RGH.7 asemenea,
problema conturilor
generice (a căror
parolă ar fi putut fi
modificată de fiecare
dată când un
utilizator cunoaște
această parolă este
o organizație care
abandonează). drepturilor care nu
au fost repuse
după plecare sau
după o schimbare
de poziție în cadrul
organizației;
Frecvență :
Frecvență
semnificativă
Severitatea: 3
Detectare : Este
posibilă
producerea
automată (bușteni
de control al
accesulu i la
servere, jurnale ale
bazei de date de
referință a
drepturilor și
instrumentul
SIEM);
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
30 , cu condiția
ca un instrument
SIEM să fie utilizat
și conectat la o
bază de date de
referință a
drept urilor
organizației); evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu astfel
de comportament
descifrat în ultimele
30 de zile
Evaluare 2 :
umărul de
utilizatori cu astfel
de comportament
descifrat în ultimele
30 de zile
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare de vârf : nu
este aplicabilă,
deoarece este prea
variabilă în funcție
de companii sau
organizații (în
principiul, totuși,
cifra de scădere
bruscă cu realizările
IAM avansate)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 17. Indicatori de securitate – Categoria IDB_MIS – Însușirea ilegală a resurselor
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Distrugerea
resurselor
serverului de
către o sursă
internă
IDB_MIS.1 Acești indicatori
măsoară
aprecierea
greșită a
resurselor
informatice on –
line pentru
propria utilizare Detectarea unei erori
de server pentru uz
personal (personal,
asociere etc.);
Frecvență: Frecvență
semnificativă;
Severitatea : 3 Evaluare fundamentală :
data evenimentului,
identitatea utilizatorului;
Evaluare 1: umărul de
utilizatori cu astfel de
comportament descifrat
în ultimele 30 de zile;
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 72 din 138 (personal,
asociație etc.). Detectare :
Posibilitatea de
producție
semiautomată
(detectare prin
monitorizarea
încărcărilor
neobișnuite ale
sistemului, de o bicei o
creștere de 25 -30%,
bazată pe sistemul de
administrare a
serverelor)
Nivelul de detecție : 1
sau 2 (rata de detecție
poate fi de până la
40 , cu condiția ca un
instrument SIEM să fie
utilizat și cuplat cu
administrarea
sistemului care oferă
informaț ii exacte
privind încărcarea
sistemului) Evaluare 2: umărul de
utilizatori cu astfel de
comportament descifrat
în ultimele 30 de zile;
Valoarea indicatorului :
Raportul dintre măsura 2
derivată și media pe
lună pentru ultimele 90
de zile;
Valoarea finală:
(Evaluare 2 ) 2 utilizatori
pentru o organizație
standard (nivel scăzut
de dispersie confor m
organizațiilor, cu
excepția celor care
declanșează o reacție
puternică la utilizatorul în
cauză, unde această
cifră se află într -o
tendință descendentă)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 18. Indicatori de securitate – Categoria IMF_LOG – Erori de logare
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Distrugerea
resurselor
serverului de
către o sursă
internă
IDB_MIS.1 Acești indicatori
măsoară
aprecierea
greșită a
resurselor
informatice on –
line pentru
propria utilizare
(personal,
asociație etc.). Detectarea unei erori
de server pentru uz
personal (personal,
asociere etc.)
Frecvență: Frecvență
semnificativă
Severitatea: 3
Detectare :
Posibilitatea de
producție
semiautomată
(detectare prin
monitorizarea
încărcărilor
neobișnuite ale
sistemului, de obicei o
creștere de 25 -30%, Evaluare fundamentală :
data evenimentului,
identitatea utilizatorului;
Evaluare 1: umărul de
utilizatori cu astfel de
comportament descifrat
în ultimele 30 de zile;
Evaluare 2: umărul de
utilizatori cu astfel de
comportament descifrat
în ultimele 30 de zile;
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile;
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 73 din 138 bazată pe sistemul de
administrare a
serverelor)
Nivelul de detecție : 1
sau 2 (rata de detecție
poate fi de până la
40 , cu condiția ca un
instrument SIEM să fie
utilizat și cuplat cu
administrarea
sistemului care oferă
informații exacte
privind încărcarea
sistemului) Valoarea finală :
(Evalu are 2 ) 2 utilizatori
pentru o organizație
standard (nivel redus de
împrăștiere în funcție de
organizații, cu excepția
celor care declanșează
o reacție puternică la
utilizatorul în cauză,
unde această cifră se
află într – Ward Trend)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 19. Indicatori de securitate – Categoria IDB_IAC – Accesul ilicit la Internet
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Acces la
site-ul de
hacking
IDB_IAC.1 Acest indicator
măsoară accesul
neautorizat la un
site de hacking
de pe o stație de
lucru internă Detectarea accesului la
siteuri de Hacking
Frecvență : severitate
mare simultană și,
uneori, frecvență
semnificativă
Severitatea : 4
Detectarea înseamnă :
Este posibilă producția
automată (jurnalele
dispozitivelor de ieșire
pe Internet și ale
software -ului de filtrare
a URL -urilor și
instrumentul SIEM)
Nivelul de detecție : 2
(rata de detecție poate fi
de până la 60 ) Evaluare fundamentală :
data evenimentului
Evaluare 1: umărul de
incidente detectate în
ultimele 30 de zile;
Evaluare 2: umărul de
incidente detectate în
ultimele 30 de zile;
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile;
Valoarea finală :
(Evalu are 2 ) 100 de
incidente pentru o
organizație standard
(nivel scăzut de
scatalizare în funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 74 din 138 Tabel 20. Indicatori de securitate – Categoria IDB_LOG – Dezactivarea înregistrării jurnalelor
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Dezactivarea
înregistrărilor
de jurnal de
către un
administrator
IDB_LOG Acest eveniment este
în general stabilit și
desfășurat de un
administrator pentru
a îmbunătăți
performanța
sistemului aflat sub
responsabilitatea
acestuia (oprire
voluntară ilicită).
Acest indicator este
un subset restrâns de
indicatorul
IUS_RGH.5. Detectarea
dezactivării
înregistrărilor de
jurnal de către un
admin istrator
Frecventa : atat la
importanta, cat si
la frecventa
semnificativa
(productia de
busteni
considerata
deseori ca
limitatoare si de o
importanta relativa
de catre
administratori si
care, prin urmare,
se ocupa cu o
atentie mai mica,
cu exceptia unei
monitorizari stricte
a securitatii si a
unei reactii
puternice).
Severitatea : 2 sau
3
Detectarea
înseamnă: Este
posibilă producția
automată (jurnalele
de control al
accesului la
servere,
instrumentul SIEM)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
80%)
Evaluarea
fundamentală : data
evenimentului,
identitatea
administratorului;
Evaluare 1: umărul
de administratori cu
astfel de
comportament
detectat în ultimele
30 de zile;
Evaluarea 2:
umărul de
administratori cu
astfel de
comportament
detectat în ultimele
30 de zile;
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile;
Valoarea finală :
(Evaluare 2 ) 1
administrator pentru
100 de servere (nivel
scăzut de îngrășare
conform
organizațiilor, c u
excepția celor cu
reacție puternică față
de personalul în
cauză, unde această
cifră este în o
tendință
descendentă)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 75 din 138 4. Categoria IWH (categoriile întregilor incidente)
Indicatorii acestei categorii sunt indicatori care se referă la toate categoriile de incidente.
Tabel 21. Indicatori de securitate -Categoria – Operațiunea de vulnerabilitate securizată
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Exploatarea
unei
vulnerabilități
software fără
patch -uri
disponibile
IWH_VNP.1
Acești indicatori
măsoară incidentele
de securitate care
sunt rezultatul
exploatării unei
vulnerabilități
software dezvăluite
care nu are un patch
disponibil (cu sau fără
o măsură de
soluționare aplicată).
Acesta este folosit
pentru a evalua
intensitatea
exploatării
vulnerabilităților de
software recent
dezvăluite (zero zi
sau nu). Patch -ul aici
se aplică numai
software -ului
standard (cu excepția
software -ului
individualizat), i ar
domeniul de aplicare
este limitat la stațiile
de lucru (OS,
browsere și diverse
add-on-uri și plug -in-
uri, software standard
pentru automatizarea
birourilor). Detectarea unui
incident datorită
exploatării unei
vulnerabilități a
software -ului fără
a avea patch -uri
disponibile
Frecvență : Cheia
pentru a ști care
este starea de
vulnerabilități
software care pot
fi exploatate
pentru generare
incidente
Severitatea : 3
Detectarea
înseamnă:
Producția
semiautomată
(necesitatea de a
analiza manual și
de a consolida
incidentele)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la 50 ,
cu completarea
nedetectată
corespunzând
unor incidente
puțin calificate) Evaluarea
fundamentală : data
evenimentului;
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile;
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la umărul tuturor
incidentelor de
securitate
descoperite și
clasificate
Valoarea
indicatorului : Raportul
dintre Evaluare 2 și
Media pe lună pentru
ultimele 60 de zile;
Valoare finală :
(Evaluare 2 ) 10%
pentru o organizație
standard (nivel scăzut
de împrăștiere în
funcție de companii
sau organizații)
2 Exploatarea
unei
vulnerabilități
software
neprotejate
IWH_VNP.2 Acești indicatori
măsoară incidentele
de securitate care
sunt rezultatul
exploatării unei
vulnerabilități de
software neprotejate, Detectarea unui
incident cauzat de
exploatarea unei
vulnerabilități
software
neprotejate
Frecventa: cheia Evaluarea
Fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile;
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 76 din 138 deși există un patch.
Acesta este utilizat
pentru a evalua
eficiența sau
aplicarea organizației
și proceselor legate
de patch -uri și
instrumente
(patching -ul nu a fost
lansat). Ea este
legată de indicatorul
VOR_VNP.2 care
este destinat să
evalueze problemele
de depășire a "limitei
de timp pentru
fereastra de expunere
la riscuri". Are
aceleași limitări ca
IWH_VNP.1 cu privire
la domeniul de
aplicare pentru a afla care
este starea
vulnerabilitatilor
software care pot
fi exploatate
pentru a genera
incidente
Severitatea: 3
Detect area
înseamnă:
Producția
semiautomată
(necesitatea de a
analiza manual și
de a consolida
incidentele)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la 50 ,
cu completarea
nedetectată
corespunzând
unor incidente
puțin calificate) Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la umărul tuturor
incidentelor de
securitate
descoperite și
clasificate;
Valoarea
indicatorului : Raportul
dintre Evaluare 2 și
Media pe lună pentru
ultimele 60 de zile;
Valoarea finală :
(Evaluare 2 ) 15%
pentru o organizație
standard (nivel redus
de împrăștiere în
funcție de companii
sau organizații, cu
excepția celor cu
procese foarte
eficiente de
gestionare a patch –
urilor, unde această
cifră poate fi redusă
la jumătate). Cu toate
acestea, nu ar trebui
să se considere că
este contrară
considerentelor
economice și
eficienței de a patch –
urilor, având în
vedere nivelul scăzut
de gr avitate a
severității multor
vulnerabilități care nu
o justifică
3 Exploatarea
unei
vulnerabilități
software slab
corelate
IWH_VNP.3 Acest indicator
măsoară incidentele
de securitate care
sunt rezultatul
exploatării unei
vulnerabilități
software slab
corelate. Se utilizează
pentru a evalua Detectarea unui
incident datorită
exploatării u nei
vulnerabilități
software slab
corelate
Frecventa: cheia
pentru a afla care Evaluarea
fundamentală : data
evenimentului;
Evaluarea 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluarea 2 : Raportul
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 77 din 138 eficacitatea
organizației și a
proceselor și
instrumentelor legate
de patch -uri (procesul
a fost l ansat, dar
patch -ul nu este
operațional – a se
vedea nu reboot etc.).
Acesta este legat de
indicatorii
VOR_VNP.1,
IWH_V P.1 și
IWH_VNP.2. Are
aceleași limitări ca
IWH_VNP.1 cu privire
la domeniul de
aplicare. este starea
vulnerabilitatilor
software care pot
fi exploatate
pentru a genera
incidente
Severitatea : 3
Detectarea :
Producția
semiautomată
(necesitatea de a
analiza manual și
de a consolida
incidentele)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la 50 ,
cu completarea
nedetectată
corespunzând
unor incidente
puțin calificate) numărului de
evenimente detectate
în ultimele 30 de zile
la numărul total de
cazuri detectate și a
clasificat incidentele
de securitate;
Valoarea
indicatorului : Raportul
dintre Evaluare 2 și
Media pe lună pentru
ultimele 60 de zile
Valoarea finală :
(Evaluare 2 ) 5%
pentru un standard
de orga nizație (nivel
redus de împrăștiere
conform companiilor
sau organizațiilor, cu
excepția celor cu
procese de
gestionare a patch –
urilor foarte eficiente,
figura poate fi tăiată
în jumătate)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 22. Indicatori de securitate – Categoria IWH_VCN – Configurarea exploatării vulnerabilităților
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Exploatarea
unui defect
de
configurare
IWH_VCN.1 Acest indicator
măsoară incidentele
de securitate care
sunt rezultatul
exploatării unui
defect de configurare
pe servere sau stații
de lucru. Un defect
de configurare ar
trebui considerat ca
neconformitate cu
politica de securitate
de ultimă oră. Detectarea unui
incident datorită
exploatării unei
vulnerabilități
configurative
Frecventa: cheie
pentru a sti
incidentele facute
posibile prin
defectele de con
figuratie
Severitatea: 3
Detectarea
înseamnă:
Producția
semiautomată
(necesitatea de a Evaluare fundamentală :
data evenimentului
Evaluare 1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate în
ultimele 30 de zile la
numărul total de cazuri
detectate și
a clasificat incidentele de
securitate
Valoarea indicatorului :
Raportul dintre Evaluare
2 și Media pe lună
pentru ultimele 60 de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 78 din 138 analiza manual și
de a consolida
incidentele)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la
50%, cu
completarea
nedetectată
corespunzând
unor incidente
puțin calificate) Valoare finală : (Evaluare
2) 30% pentru o
organizație standard
(nivel ridicat de dispersie
în funcție de companii
sau organizații, în funcție
de nivelul lor de
maturitate, de existența
unor politici de securitate
tehnice la un nivel scăzut
și de o verificare
continuă a
neconformităților)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 23. Indicatori de securitate – Categoria IWH_UKN – Incidente necunoscute
Nr.
Crt. Indicator Descriere Evenimente Evaluare
Incidente de
securitate
neclasificate
IWH_UKN.1 Acest indicator
măsoară toate
tipurile de
incidente noi și /
sau o combinație
complexă de
incidente de bază
și nu poate fi
complet calificată
și, prin urmare,
categorizată cu
precizie. Detectarea unui
incident de
securitate care nu
a fost inventariat
Frecvență: cheia
cunoașterii unor
astfel de incidente,
deoarece acestea
corespund, în
general, exploatării
noilor vulnerabilități
sau puncte slabe și
/ sau abilităților
SOC slabe
Severitatea: 3 sau
4 (în funcție de
criticile
incidentelor)
Detectare
înseamnă:
Producție manuală
Nivelul de detecție :
2 (rata de detenție
poate fi de până la
70%) Evaluare fundamental ă:
data evenimentului
Evaluare 1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2 : Raportul
numărului de evenimente
detectate în ultimele 30
de zile la umărul tuturor
incidentelor de securitate
descoperite și clasificate
Valoarea indicat orului :
Raportul dintre măsura 2
derivată și media pe lună
pentru ultimele 90 de zile
Valoare finală : (Evaluare
2) 4% pentru un
standard de orga nizare
(nivel semnificativ de
împrăștiere în funcție de
companii sau organizații,
în funcție de nivelul lor
de maturitate în utilizarea
instrumentelor de
monitorizare și de
detectare și cu privire la
dedicația lor față de
abordările SIEM)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 79 din 138
II. Indicatori de vulnerabilități
Indicatorii operaționali recomandați (cu comportament, software, configurație,
vulnerabilități tehnice și organizaționale de securitate generală) sunt următorii:
1. Categoria VBH (vulnerabilități comportamentale)
Indicatorii din această categorie se aplică existenței uno r comportamente anormale care ar
putea conduce la incidente de securitate
Tabel 24. Indicatori de securitate – Categoria VBH_PRC – Protocoale periculoase utilizate
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Server
accesat de un
administrator
cu protocoale
nesigure
VBH_PRC.1 Acest indicator
măsoară utilizarea
protocoalelor
nesigure instalate de
un administrator
pentru a obține acces
la serverele
accesibile din
exterior, bazate pe
orga nizare, făcând
posibilă o intruziune
externă. Protocolul
nesigură înseamnă
unen -criptat, fără
timp de expirare, cu
mijloace slabe de
autentificare etc.
(pentru Telnet ex –
ample). Detectarea proto –
cols-urilor
neasigurate utilizate
de administratori
pentru a avea acces
la servere externe
Frecven ța:
severitate mare
(orice posibila deriva
trebuie monitorizata
indeaproape)
Severitatea: 2 sau 3
(în funcție de
existența sau nu a
unui timp de
expirare a
protocolului folosit,
de la exploatarea în
sistem
de către un intrus
este posibil dacă
administrator ul
lipsește)
Detectare: Posibilă
producție automată
(bușteni de sisteme
sau echipamente
perimetrice în
cauză, precum și un
instrument SIEM)
Nivelul de detecție : Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente
detectate în ultimele
30 de zile la
numărul de sistem
administratori
Valoarea
indicatoru lui:
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) de
două ori pe
administrator (nivel
considerabil de
împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 80 din 138 2 (rata de detecție
poate fi de până la
50 , deci limitată,
deoarece este
imposibilă
monitoriza rea
completă) abordări SIEM și de
o reacție la
administratorii în
cauză )
2 Client P2P
într-o stație
de lucru
VBH_PRC.2 Acest indicator
măsoară instalarea
clienților P2P stabiliți
de un utilizator pe
stația sa profesională
de lucru, cu riscul de
scindare parțială sau
completă a
conținutului stației de
lucru. Se aplică
stațiilor de lucru care
sunt fie conectate la
rețeaua organizației
din interiorul
organizației, fie
conectate direct la
rețeaua publică din
exterior (mai ales
acasă). Există un risc
ridicat de împărtășire
acci dentară (într -un
sfert din toate
cazurile) a dosarelor
care pot găzdui date
confidențiale ale
companiei. Acesta
este cel mai adesea
realizat prin
intermediul canalului
HTTP (pro -posed pe
toate aceste servicii). Detectarea unui
client P2P instalat
într-o stație de lucru
Frecvență :
Securitate simultană
și frecvență ridicată
(în prezent, unul
dintre cele mai
frecvente defecțiuni
de securitate din
cadrul organizațiilor,
chiar și în cazul
filtrării celor mai
frecvent utilizate
prototipuri P2P la
nivelul perimetrului –
vezi utilizarea
HTTP)
Severitatea: 2 până
la 4 (în funcție de
nivelul de partajare)
Detectarea
înseamnă: este
posibilă producția
automată (jurnale
ale instrumentelor
centrale de
gestionare a
software -ului
proactiv de protecție
PC – a se ved ea în
special jurnalele
privind încercările de
instalare a
dispozitivelor
ActiveX, jurnalele
dispozitivelor de
rețea de ieșire și
instrumentul SIEM)
Nivelul de detecție :
2 (nivelul de Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului care a
efectuat instalarea
Evaluare 1: umărul
de utilizatori care au
efectuat această
instalare detectat în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 30 de
utilizatori pentru o
organizație standard
(nivel semnificativ
de împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de
o reacție individuală
la utilizatorii defecți)
. 10 din această
cifră conduce la o
exploatare externă a
schimburilor de
fișiere neconforme
cu PC -urile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 81 din 138 detectare atingând,
eventual, 50%,
limitat prin urmare
prin configurația im-
perfectă a software –
ului și prin limitele
de încărcare a
procesului SIEM)
3 Clienți VoIP
într-o stație
de lucru
VBH_PRC.3 Acest indicator
măsoară clienții VoIP
instalați de un
utilizator pe propriul
post de lucru pentru
a utiliza un serviciu
peer-to-peer. Se
aplică stațiilor de
lucru conectate la
rețeaua unei
organizații din cadrul
organizației sau
direct
conectat la rețeaua
publică din afara (în
special acasă).
Riscul asociat este
schimbul de
documente
periculoase ale
biroului. Acesta este
cel mai adesea
realizat prin canalul
HTTP (propus pentru
toate aceste servicii). Detec tarea unui
client VoIP instalat
într-o stație de lucru
Frecventa :
Securitate simultana
si frecventa medie
(aceste zile, una
dintre cele mai
frecvente securizate
defecte în cadrul
organizațiilor, chiar
și în cazul filtrării
celor mai utilizate
protocoale VoIP la
nivel perimetral –
Cf. utilizarea HTTP)
Severitatea: 3
Detectarea : este
posibilă o producție
automată (jurnale
ale instrumentelor
centralizate de
gestionare a
software -ului
proactiv de protecție
PC – A se vedea, în
special, jurnalele
privind încerc ările de
instalare ActiveX,
jurnalele
dispozitivelor de
rețea de ieșire și
instrumentul SIEM)
ivel de detecție: 2
(nivel de detecție
care poate atinge
50%, prin urmare
limitat datorită
limitelor de
încărcare a Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului care a
efectuat instalarea
Evaluare 1: umărul
de utilizatori care au
efectuat această
instalare detectat în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivat ă și
media pe lună
pentru ultimele 90
de zile
Valoarea finală :
(Evaluare 2 ) 20 de
utilizatori pentru o
organizație standard
(nivel semnificativ
de împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de
o reacție individuală
la defecțiunea ne –
ERS)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 82 din 138 procesului SIEM)
4 Configurare
de ieșire
nesigură
VBH_PRC.4 Acest indicator
măsoară conexiunea
la ieșire din punct de
vedere al pericolului
pentru a obține
accesul de la distanță
la rețeaua internă a
companiei fără a
utiliza o legătură VP
de intrare și un punct
de acces focalizat, cu
posibilă exploatare
de către un intruder
extern. Metoda de
conectare exterioară
constă, de exemplu,
în utilizarea unui
program soft
GoToMyPC sau a
unui software
LogMeIn sau a unui
calculator la
conectarea la
calculator în modul
tunel. Detectarea unei
conexiuni de ieșire
instalată de la o
stație de lucru
internă
Frecventa :
Frecventa este inca
relativ ridicata
(situatie nota -bly
datorita unei senzatii
de libertate dorite,
unei dorinte de
accesul de l a
distanță la mediul lor
profesionist de către
utilizatorii care nu au
acces la VPN etc.)
Severitatea: 2 sau 3
(în funcție de
software -ul utilizat)
Detectare: Este
posibilă producerea
automată (jurnalele
dispozitivelor de
ieșire din proxy -ul
Web și instrum entul
SIEM)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
60 , deci limitată,
deoarece există
multe posibilități de
a realiza acest lucru
acțiune) Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului care a
efectuat instalarea
Evaluare 1: umărul
de utilizatori care au
efectuat această
instalare detectat în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare fina lă:
(Evaluare 2 ) 40 de
utilizatori pentru o
organizație standard
(nivel semnificativ
de împrăștiere
conform companiilor
sau organizațiilor, în
funcție de mărimea
populației
utilizatorilor cu
drepturi de acces de
la distanță
existența sau nu a
unei abordări SIEM
și o reacție
individuală la
administratorii
defecți)
5 Calculator
portabil
neconform
pentru a
stabili o
conexiune
VBH_PRC.5 Acest indicator
măsoară conexiunea
la distanță sau locală
la rețeaua internă a
organizației de la un
laptop portabil care
este deținut de Detectarea
computerelor
computerizate care
nu sunt compatibile
pentru a stabili o
conexiune
Frecventa: Atat Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului
Evaluare 1: umărul
de utilizatori care au
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 83 din 138 organizație și este
configurat cu
parametri slabi. În
această situație și în
cazul existenței unui
program soft pentru a
verifica complianța
calculatoarelor de
roaming, un alt
software asociat
blochează
conexiunea în
principiu și împiedică
continuarea acestuia. seve ritatea inalta cat
si frecventa inalta
(mai multe cauze
posibile, incluzand
prezenta software –
ului personal, AV
sau firewall -ul
dezactivat etc.)
Severitatea: 3 (mai
serioasă pentru
laptopurile în
roaming decât
pentru PC -uri
desktop)
Detectarea : Este
posibilă producția
automată (jurnale
ale software -ului de
verificare a
conformității și
instrumentul SIEM)
Nivelul de detecție :
1 sau 2 (rata de
detecție care poate
atinge 40%, cu
condiția ca
instrumentul SIEM
să fie în strânsă
legătură cu
instrume ntul utilizat
pentru a verifica
conformitatea PC –
urilor – a se vedea
lista laptopurilor în
roaming) efectuat această
conexiune detectat
în ulti mele 30 de zile
Evaluare 2 : Raportul
numărului de
evenimente
detectate în ultimele
30 de zile la
numărul de
computere de top
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 1%
pentru o organizație
standard cu ipoteza
de 10 000 de acces
VP autorizați (nivel
de dispersie
apreciabil în funcție
de companii sau
organizații, în
funcție de existența
sau nu a unei
abordări SIEM și a
unei reacții
individuale la
utilizatorii defecți)
6 Utilizarea
altor
protocoale
nesigure
VBH_PRC.6 Acest indicator
măsoară alte
protocoale
nesancurabile sau
periculoase,
configurate cu
comportamente
similare. Celelalte
cazuri sunt celelalte
decât cele 5
precedente
(VBH_PRC.1 până la
VBH_PRC.5).
Aceasta se referă la Detectarea
prototipurilor
neasigurate utilizate
(altele decât cele 5
anterioare)
Frecvența : Mai
degrabă frecventa
ridicata (in special in
Win-dows si in
lumea deschisa)
Severitatea: 2 (nivel
global, dar variații
apreciabile în cazuri) Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună
pentru ultimele 90
de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 84 din 138 utilizări periculoase
sau abuzive, adică
situații în care
uzanțele nu sunt
solicitate și unde
există alte soluții mai
sigure. Detecție înseamnă:
Posibilitatea de
producție
semiautomată
(buștenii sistemelor
în cauză și
instrumentul SIEM)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
50 , deci limitată de
la completarea
imposibilă a
monitorizării) Valoarea finală :
(Evaluare 2 ) 100 de
evenimente pentru o
organizație stand –
ard (nivel apreciabil
scattering în funcție
de companii sau
organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de
o persoană fizică
reacția față de
administratorii
defectuoși)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 25. Indicatori de securitate – Categoria VBH_IAC – Acces ilicit la serviciul de internet
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Controalele
de ieșire au
fost ocolite
pentru a
accesa
Internetul
VBH_IAC.1 Acest indicator
măsoară detectarea
accesului la Internet
din rețeaua internă de
lucru, prin eliminarea
dispozitivelor de
securitate la ieșire.
Se referă în principal
la accesul la Internet
dintr-o zonă periferică
sau la tuneling (portul
SSL 443) sau la
accesuri directe (prin
intermediul unei
legături ADSL sau
puncte publice de
acces Wi -Fi și prin
rețeaua telefonică)
sau accesând prin
intermediul
telefoanelor
inteligente conectat la
stația de lucru.
Motivația principală
de a nu derula este
de a împiedica
urmărirea Detectarea
contoriilor de
ieșire a fost
ocolită pentru a
accesa In -ternet
din rețeaua
internă de rețea
Frecvență:
Frecvență
semnificativă
Severitatea: 2
până la 4 (în
funcție de nivelul
de pericol al site –
urilor accesate
sau în funcție de
sensibilitatea
site-ului
rețeaua la care
este conectat
PC-ul – Cf.
posibilitatea de a
accesa PC -ul din
exterior)
Detectarea : Este
posibilă producția Evaluare
fundamentală : data
evenimentului,
identitatea utilizatorului
Evaluare 1 : umărul
de utilizatori care au
efectuat acest tip de
conexiune detectat în
timpul ultimulu i
30 de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 50 de
utilizatori pentru o
organizație standard
(nivel ridicat de
împrăștiere în fu ncție
de companii sau
organizații, în
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 85 din 138 utilizatorilor. automată
(bușteni de
instrumente de
gestionare a PC –
urilor și de
software HIDS
bazat pe PC,
și i nstrumentul
SIEM)
Nivelul de
detecție : 1 (rata
de detecție poate
fi de până la
30%) așteptarea
restricționării sau nu a
stațiilor de lucru și a
existenței sau absenței
unui SIEM abordare
asociată cu o reacție
individuală la utilizatorii
defecți)
2 Site-ul de
anonimizare
utilizat pentru
a accesa
Internetul Acest indicator
măsoară detectarea
accesului anonim la
Internet de la o stație
de lucru internă printr –
un site de
anonimizare. Scopul
este de a menține
accesul liber și de a
evita filtrarea de către
organizații a
accesului la site -urile
interzis e. Detectarea unui
site de anonimat
utilizat pentru a
accesa Internetul
Frecvență:
Uneori frecventă
semnificativă
Severitatea : 3
Detectarea
înseamnă: Este
posibilă producția
automată
(jurnalele
dispozitivelor de
ieșire pe Internet
și ale software –
ului de f iltrare a
URL-urilor și
instrumentul
SIEM)
Nivelul de
detecție : 3 (rata
de detecție poate
fi de până la
80%) Evaluare
fundamentală : data
evenimentului
Evaluare 1 : umărul
de utilizatori unici care
au efectuat acest tip de
conexiune detectați în
timpul ultimului
30 de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 200 de
utilizatori pentru o
organizație stand -ard
(lev-el scăzut
împrăștiat în funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 86 din 138 Tabel 26. Indicatori de securitate – Categoria VBH_FTR – Transmiterea neautorizată către exterior
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Fișierele au
fost
descărcate
din greșeală
VBH_FTR.1 Acest indicator
măsoară încărcarea
în jos a fișierelor
dintr-un site web
extern care nu este
cunoscut (fără
reputație) în cadrul
profesiei la o stație
de lucru internă.
" icio reputație" nu
poate fi evaluată prin
informațiile furnizate
de dispozitivele de
filtrare de ieșire din
adresele URL. Detectarea
fișierelor
descărcate de pe
un site web
necunoscut
Frecvență:
Frecvență
ridicată
Severitatea : 2
Detectare
înseamnă: Este
posibilă
producerea
automată
(jurnalele
dispozitivelor de
ieșire din proxy –
ul Web și
instrumentul
SIEM)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la
60%, deci
limitată deoarece
dificultățile de
evaluare a site –
urilor de
încredere) Evaluare fundamentală :
data evenimentului
Evaluare 1: umărul de
evenimente detectate
în ultimele 30 de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoarea de vârf:
(Evaluare 2 ) 350 de
evenimente pentru o
organizație stand -ard
(nivel ridicat de
împrăștiere în funcție
de companii sau
organizații, în funcție de
existența sau nu a unei
abordări SIEM și de o
reacție individuală la
utilizatorii defecți)
2 Contul public
de mesagerie
publică
utilizat pentru
schimburile
comerciale de
fișiere Acest indicator
măsoară utilizarea
mesajelor publice
personale de
mesagerie pentru
schimburile de
afaceri cu cele din
afara. Această
metodă de schimbare
ex-fișier trebuie
evitată datorită
ocolării software -ului
de rețea și identificării
eficienței mai mici a Detectarea
conturilor
personale de
mesaje
instantanee
personale
utilizate pentru
schimbările ex –
fișierului de
afaceri
Frecvență:
severitate medie
și destul d e Evaluare fundamentală :
data evenimentului,
identitatea utilizatorului
Evaluare 1: umărul de
utilizatori cu acest
comportament detectat
în ultimele 30 de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 87 din 138 software -ului AV. înaltă frecvență
Severitatea: 3
Detectarea
înseamnă: Este
posibilă
producția
automată
(bușteni de
administrare
centralizată
pentru protecția
PC-ului pro -activ
unelte și
instrumentul
SIEM)
Nivelul de
detecție : 2 (rata
de detecție poate
fi de până la
50%) de zile
Valoare finală :
(Evaluare 2 ) 300 de
utilizatori pentru o
organizație stand -ard
(nivel relativ ridicat de
împrăștiere în funcție
de companii sau
organizații, în funcție de
matur itatea
organizațiilor în ceea ce
privește securitatea și
calitatea și
privind o reacție
individuală la utilizatorii
defecți)
3 Cont personal
de mesagerie
publică folosit
pentru
schimburile
de fișiere
comerciale
VBH_FTR.3 Acest indicator
măsoară utilizarea
conturilor publice de
mesagerie publică
pentru modificările
ex-fișierului de
afaceri cu exteriorul.
Riscul este de a
expune informații
atacatorilor externi. Detectarea
conturilor de
mesagerie
publică
personale
utilizate pentru
schimburile de
fișiere
comer ciale
Frecvență:
severitatea
medie și
frecvența destul
de semnificativă
Severitatea: 2
Detectarea: Este
posibilă
producția
automată
(bușteni de
administrare
centralizată
pentru protecția
PC-ului pro -activ
unelte și
instrumentul
SIEM) Evaluare fundamentală :
data evenimentului,
identitatea utilizatorului
Evaluare 1: umărul de
utilizatori cu acest
comportament detectat
în ultimele 30 de zile
Evaluare 2 : Evaluare
de la 1
Valoarea indicator ului:
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 400 de
utilizatori pentru o
organizație stand -ard
(nivel relativ ridicat de
împrăștiere în funcție
de companii sau
organizații, în funcție de
maturitatea
organizațiilor în ceea ce
privește securitatea și
calitatea, și reacția
individuală la utilizatorii
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 88 din 138 Nivelul de
detecție : 1 sau 2
(rata de detecție
poate fi de până
la 40%) defecți)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 27. Indicatori de Securitate – Categoria VBH_WTI: Stație de lucru folosită fără nivel de securitate
relevant
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Stațiile de lucru
accesate în
modul
administrator
VBH_WTI.1 Acest indicator
măsoară accesul la
stațiile de lucru în
modul
administrator fără
autorizare.
Detectarea stațiilor
de lucru accesate
în modul
Administrator
Frecvență:
severitate ridicată
și, uneori, frecvență
frecventa
Severitatea: 2 sau
3 (în funcție de
posibilitățile de
conectare cu WS)
Detectare
înseamnă:
Posibilitate de
producție
semiautomată
(verificare periodică
chiar și în cazul WS
cu verificarea
conformității
instrument care
verifică
configurațiile
neconforme și
instrumentul SIEM
conectat la
managementul
accesului local WS
–
Cf. Active Directory
pentru ex -ample,
dacă există – pentru
monitorizarea
continuă a Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și
Media pe lună
pentru ultimele 60
de zile
Valoare de ultimă
generație:
(Evaluare 2 ) 75 de
utilizatori pentru o
organizație
standard (nivel
foarte mare de
împrăștiere
în funcție de
companii sau
organizații, în
funcție de
asigurarea sau nu
a posturilor de
lucru și de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 89 din 138 accesărilor în
modul de
administrator
neautorizat)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
50%) existența sau nu
a unei abordări
SIEM asociate cu o
reacție individuală
la utilizatorii
defecți)
2 Dispozitive de
stocare
personale
utilizate
VBH_WTI.2 Acest indicator
măsoară utilizarea
dispozitivelor de
stocare personală
pe o stație de lucru
profesională pentru
a introduce sau a
scoate informații
sau produse
software.
Dispozitivele de
stocare personală
mobile sau
reîncărcabile includ
jetoane USB,
smartphone -uri,
tablete etc. Nu se
aplică dispozitivelor
personale
autorizate de
politica de
securitate (vezi
VBH_WTI.3 și
BYOD). Detectarea
dispozitivelor de
stocare personale
utilizate
Frecvență:
Frecvență foarte
mare
Severitatea: 3
Detectarea: Este
posibilă producția
automată
(instrumentul SIEM
conectat la
managementul
accesului local WS
pentru
monitorizarea
continuă a
accesului
dispozitivelor de
stocare)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
10 până la 20 , cu
condiția existenței
unui management
puternic al
accesului local) Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 350
de evenimente
pentru o
organizație stand –
ard (nivel ridicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de
securizarea sau nu
de stații de lucru și
de existența sau nu
a unei abordări
SIEM asociate cu o
reacție individuală
la utilizatorii
defecți)
3 Dispozitive
personale
utilizate fără
compartimentare Acest indicator
măsoară lipsa sau
înlăturarea
măsurilor de Detectarea
dispozitivelor
personale utilizate
pentru activitățile Evaluare
fundamentală : data
evenimentului,
identitatea
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 90 din 138 (BYOD)
VBH_WTI.3 securitate de bază
menite să
compenseze
activitățile
profesionale pe
dispozitive
personale.
Dispozitivele
personale (BYOD)
includ PC -uri,
tablete,
smartphone -uri etc. profesionale și
nepartimentate
Frecvență:
Frecvență foarte
mare
Severitatea: 2
Detectarea: Este
posibilă producția
automată
(instrumentul SIEM
conectat la
dispozitivele BYOD
de gestionare a
accesului)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
10 până la 20 , cu
condiția existenței
unui management
puternic al
accesului local) utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
dispozitive
personale
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 50%
pentru o
organizație
standard (nivel
ridicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM
asociate cu o
reacție individuală
la utilizatorii
defecți)
4 Nu sunt exportate
fișiere sensibile
criptate
VBH_WTI.4 Acest indicator
măsoară lipsa de
criptare a fișierelor
sensibile încărcate
de la o stație de
lucru profesionistă
la dispozitive de
stocare
profesionale mobile
sau amovibile. Detectarea
fișierelor sensibile
care nu au f ost
cipate exportate de
la o stație de lucru
la dispozitive de
stocare
profesionale mobile
sau amovibile
Frecvență: Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 91 din 138 Frecvență
semnificativă
Severitatea: 4
Detecție înseamnă:
Posibilitatea de
producție
semiautomată
(instrumentul SIEM
conectat la
administrar ea
accesului local la
PC)
pentru
monitorizarea
continuă a
accesului
dispozitivelor de
stocare și
clasificarea
sensibilității la
active)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
10 până la 20 , cu
condiția să existe o
puternică
gestionare locală a
accesului și o
clasificare detaliată
a sensibilității la
active) Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 30
evenimente pentru
o organizație
stand -ard (nivel
ridicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de
securizarea sau nu
de stații de lucru și
de existența sau nu
a o abordare SIEM
asociată cu o
reacție individuală
la utilizatorii
defecți)
5 Software
personal folosit
VBH_WTI.5 Acest indicator
măsoară prezența
software -ului
personal într -o
stație de lucru
profesională care
nu respectă politica
de securitate
corporativă. Acesta
corespunde cu
toate tipurile de
software
neautorizat local
(cu o licență de
utilizare sau nu),
cum ar fi software -Detectarea
produselor software
personale utilizate
pe o stație de lucru
profesională
Frecvență: numărul
de utilizatori în
cauză este, în
general,
semnificativ
Severitate: 2 sau 3
(în funcție de tipul
de software)
Detectare
înseamnă:
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 92 din 138 ul personal
personal (jocuri,
automatizări de
birou etc.) sau mai
periculoase
(hacking etc.).
Trebuie adăugat
faptul că
VBH_PRC.2 și
VBH_PRC.3
reprezintă o parte
din acest indicator
și că acest
indicator este un
subset al
VBH_WTI.1. Producția automată
(verificarea
periodică a PC –
urilor cu ajutorul
unui scaner sau al
unui instrument de
verificare a
conformității)
Nivelul de d etecție :
3 (rata de detecție
poate fi de până la
100%)
6 Email sau acces
la Internet cu
modul admin
VBH_WTI.6 Acest indicator se
aplică utilizatorilor
care utilizează
contul de admin pe
o stație de lucru.
Pentru a accesa
propria lor cutie
poștală sau
Internet.
Acest
comportament este
deosebit de
periculos, deoarece
programele
malware (prin
intermediul pieselor
atașate prin e -mail
sau prin
descărcarea prin
intermediul unui
browser web) sunt
mult mai ușor de
instalat pe stația de
lucru în acest caz Detectarea unui
astfel de
comportament
Frecvență: numărul
de utilizatori în
cauză scăzut
Severitatea: 4
Detectarea:
Producția
semiautomată
(instrumentul SIEM
conectat la proxy –
urile web și
software -ul local
pentru
administrarea PC –
urilor și gestionarea
accesului – Cf.
Active Directory ex –
ample, dacă există
– pentru
monitorizarea
continuă a
accesului în modul
administrator)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
100%) Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și
Media pe lună
pentru ultimele 60
de zile
Valoare finală :
(Evaluare 2 ) 15
utilizator i pentru o
organizație
standard (nivel
mediu de
împrăștiere
în funcție de
companii sau
organizații, în
funcție de
maturitatea
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 93 din 138 organizațiilor în
ceea ce privește
securitatea)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 28. Indicatori de Securitate – Categoria VBH_PSW: Parole gestionate în mod ilicit
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Parole simple
VBH_PSW.1 Valoarea necesară
a parolelor
depinde de politica
de securitate a
organizației, dar
recomandările
generale utilizabile
în ISO / IEC
27002. Detectarea unui
cont cu parolă
slabă (parolă
crăpată folosind o
metodă de atac
bazată pe dicționar
timp de 4 ore
pentru fiecare
parolă
(operațiunea
rulează în fiecare
lună))
Frecventa :
simultan frecventa
ridicata si
severitatea ridicata
Severitatea: 3
Detectare
înseamnă: Posibilă
producție
automată (accesul
la fișierele de
parole ale
utilizatorilor pe
sisteme, cu
instrumente de
"crăpare")
Nivelul de detecție :
2 (viteza de
detecție atingând
70%, folosind
instrumentele
actuale de
"crăpare" și
executarea
acestora pentru un
timp fix – 4 ore în
ipoteza selectată
în prezent) Evaluare
fundamentală :
data evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evalua re 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
conturi de utilizator
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 20%
pentru o
organizație
standard (nivel
ridicat de
împrăștiere în
funcție de
companii sau
organizații, în
funcție de
existența sau nu a
unei abordări
SIEM la nivel de
întreprindere și de
o reacție
individuală la
utilizatorii defecți)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 94 din 138 2 Dispozitive de
stocare personale
utilizate
VBH_WTI.2 Acest indicator
măsoară utilizarea
dispozitivelor de
stocare personală
pe o stație de lucru
profesională
pentru a introduce
sau a scoate
informații sau
produse software.
Dispozitivele de
stocare personală
mobile sau
reîncărcabile
includ jetoane
USB, smartphone –
uri, tablete etc. Nu
se aplică
dispozitivelor
personale
autorizate de
politica de
securitate (vezi
VBH_WTI.3 și
BYOD). Detectarea
dispozitivelor de
stocare personale
utilizate
Frecvență:
Frecvență foarte
mare
Severitatea: 3
Detecta rea: Este
posibilă producția
automată
(instrumentul SIEM
conectat la
managementul
accesului local WS
pentru
monitorizarea
continuă a
accesului
dispozitivelor de
stocare)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
10 până la 20 ,
cu condiț ia
existenței unui
management
puternic al
accesului local) Evaluare
fundamentală :
data evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 350
de evenimente
pentru o
organizație stand –
ard (nivel ridicat de
împrăștiere în
funcție de
companii sau
organizații, în
funcție de
securizarea sau nu
de stații de lucru și
de existența sau
nu
a unei abordări
SIEM asociate cu
o reacție
individuală la
utilizatorii defecți)
3 Dispozitive
personale utilizate
fără
compartimentare
(BYOD)
VBH_WTI.3 Acest indicator
măsoară lipsa sau
înlăturarea
măsurilor de
securitate de bază
menite să
compenseze
activitățile
profesionale pe
dispozitive
personale.
Dispozitivele Detectarea
dispozitivelor
personale utilizate
pentru activitățile
profesionale și
nepartimentate
Frecvență:
Frecvență foarte
mare
Severitatea: 2
Detectarea : Este Evaluare
fundamentală :
data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 95 din 138 personale (BYOD)
includ PC -uri,
tablete,
smartphone -uri
etc. posibilă producția
automată
(instrumentul SIEM
conectat la
dispozitivele
BYOD de
gestionare a
accesului)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
10 până la 20 ,
cu condiția
existenței unui
management
puternic al
accesului local) Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
dispozitive
personale
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare fin ală:
(Evaluare 2 ) 50%
pentru o
organizație
standard (nivel
ridicat de
împrăștiere în
funcție de
companii sau
organizații, în
funcție de
existența sau nu a
unei abordări
SIEM asociate cu
o reacție
individuală la
defecțiunea
utilizatori)
4 Nu sunt exportate
fișiere sensibile
criptateVBH_WTI.4 Acest indicator
măsoară lipsa de
criptare a fișierelor
sensibile încărcate
de la o stație de
lucru profesionistă
la dispozitive de
stocare
profesionale
mobile sau
amovibile. Detection of not
ciphered sensitive
files exp orted from
a workstation to
professional
mobile or
removable storage
devices
Frequency:
Significant fre –
quency
Severity: 4
Detection means:
Semi -automatic
production possi –
ble (SIEM tool Evaluare
fundamentală :
data even imentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 96 din 138 connected to PC
local accesses
manage -ment
for continuous
monitoring of
storage devices
accesses, and
asset sensitivity
classifi -cation)
Detection level: 1
(detection rate can
be up to 10 to 20
%, provided strong
local access -es
management and
detailed asset
sensitivity
classification exist) de zile
Valoare finală :
(Evaluare 2 ) 30
evenimente pentr u
o organizație
stand -ard (nivel
ridicat de
împrăștiere în
funcție de
companii sau
organizații, în
funcție de
securizarea sau nu
de stații de lucru și
de existența sau
nu a o abordare
SIEM asociată cu
o reacție
individuală la
utilizatorii defecți)
5 Software personal
folosit
VBH_WTI.5 Acest indicator
măsoară prezența
software -ului
personal într -o
stație de lucru
profesională care
nu respectă
politica de
securitate
corporativă.
Acesta
corespunde cu
toate tipurile de
software
neautorizat local
(cu o licență de
utilizator sau nu),
cum ar f i software –
ul personalizat
personal (jocuri,
automatizări de
birou etc.) sau cele
mai periculoase
(hacking etc.).
Trebuie adăugat
faptul că
VBH_PRC.2 și
VBH_PRC.3
reprezintă o parte
din acest indicator Detectarea
produselor
software personale
utilizate pe o stație
de lucru
profesională
Frecvență:
numărul de
utilizatori în cauză
este, în general,
semnificativ
Severitate: 2 sau 3
(în funcție de tipul
de software)
Detectare
înseamnă:
Producția
automată
(verificarea
periodică a PC –
urilor cu un scaner
sau un instrument
de verificare a
conformității) ivel
de detecție: 3 (rata
de detecție poate fi
de până la 100 ) Evaluare
fundamentală :
data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și
Media pe lună
pentru ultimele 60
de zile
Valoare finală :
(Evaluare 2 ) 65 de
utilizatori pentru o
organizație
standard (nivel
destul de ridicat de
împrăștiere în
funcție de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 97 din 138 și că acest
indicator este un
subset al
VBH_WTI.1. companii sau
organizații, în
funcție de
maturitatea
organizațiilor în
ceea ce privește
securitatea și
calitatea)
6 Email sau acces la
Internet cu modul
adminVBH_WTI.6 Acest indicator se
aplică utilizatorilor
care utilizează
contul de admin pe
o stație de lucru.
Pentru a accesa
propria lor cutie
poștală sau
Internet. Acest
comportament
este deosebit de
periculos,
deoarece
programele
malware (prin
intermediul
pieselor atașate
prin e -mail sa u prin
descărcare prin
intermediul
browserului Web)
sunt mult mai ușor
de instalat pe
stația de lucru în
acest caz. Detectarea unui
astfel de
comportament
Frecvență:
numărul de
utilizatori în cauză
scăzut
Severitatea: 4
Detecție
înseamnă:
Producția
semiautomată
(instrumentul SIEM
conectat la proxy –
urile web și
software -ul local
PC-ului și
gestionarea
accesului – Cf.
Active Directory
pentru ex -ample,
dacă există –
pentru
monitorizarea
continuă a
accesului în modul
administrator)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
100%) Evaluare
fundamentală :
data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori cu acest
comportament
detectat în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și
Media pe lună
pentru ultimele 60
de zile
Valoare finală :
(Evaluare 2 ) 15
utilizatori pentru o
organizație
standard (nivel
mediu de
împrăștiere în
funcție de
companii sau
organizații, în
funcție de
maturitatea
organizațiilor î n
ceea ce privește
securitatea)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 98 din 138 Tabel 29. Indicatori de securitate – Categoria VBH_PSW – Parole gestionate în mod ilicit
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Utilizarea de
parole slabe
VBH_PSW.1 Valoarea necesară a
parolelor depinde de
politica de securitate
a organizației, dar
recomandările
generale utilizabile în
ISO / IEC 27002. Detectarea unui
cont cu parolă
slabă (parola a
fost cracată
folosind o metodă
de atac bazată pe
dicționar timp de
4 ore pentru
fiecare parolă
(funcționează în
fiecare lună))
Frecventa:
simultan
frecventa ridicata
si severitatea
ridicata
Severitatea: 3
Detectare
înseamnă:
Posibilă producție
automată
(accesul la
fișierele de parole
ale utilizatorilor
pe sisteme, cu
instrumente de
"crăpare")
Nivelul de
detecție : 2 (viteza
de detecție
atingând 70%,
folosind
instrumentele
actuale de
"crăpare" și
executarea
acestora pentru
un timp fix – 4 ore
în ipoteza
selectată în
prezent) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul de conturi
de utilizator
Valoarea
indicatorulu i: Raportul
dintre măsura 2
derivată și media pe
lună pentru ultimele
90 de zile
Valoare finală :
(Evaluare 2 ) 20%
pentru o organizație
standard (nivel ridicat
de împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM la nivel
de întreprindere și de
o reacție individuală –
la utilizatorii defecți)
2 Neschimbarea
parolelor de
acces Acești indicatori
măsoară parola care
nu sa modificat în Detectarea unui
cont cu parolă
neschimbată Evaluare
fundamentală : data
evenimentului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 99 din 138 VBH_PSW.2 timp periodic (caz de
modificări care nu au
fost periodic impuse).
Situațiile în care
modificările nu sunt
impuse periodic de
sistemele accesate
rămân destul de
frecvente în cadrul
organizațiilor (în afară
de Active Directory),
cifra fiind în jur de
25% din cazuri în
medie Frecvență:
simultan de înaltă
frecvență și
severitate destul
de mare
Severitatea: 2
Detectarea : Este
posibilă producția
automată
(buștenii de
sisteme în cauză)
Nivelul de
detecție : 2,
deoarece cazurile
îndoielnice –
concediu,
plecare, … (rata
de detecție poate
fi de până la
60%) Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul de conturi
de utilizator
Valoarea
indicatorului : Raportul
dintre măsura 2
derivată și media pe
lună pentru ultimele
90 de zile
Valoare finală :
(Evaluare 2 ) 25%
pentru o organizație
standard (nivel ridicat
de dispersie în funcție
de companii sau
organizații, în funcție
de existența sau nu a
unei abordări SIEM și
de o reacție
individuală la defect
utilizatori)
3 Neschimbarea
parolei de
administrator
VBH_PSW.3 Acest indicator
măsoară o parolă
neschimbată în timp
periodic de către un
administrator
responsabil de un
cont utilizat de
aplicații și procese
automate (caz de
modificări care nu
sunt periodic impuse).
Situațiile în care
modificările nu sunt
impuse period ic de
către sistemele
accesate în sine
rămân destul de
frecvente în cadrul
organizațiilor (în afară
de Active Directory), Detectarea unui
cont de
administrator cu
parolă
neschimbată
Frecventa:
severitate
simult ana ridicata
si frecventa
ridicata
Severitatea: 3
Detectarea : Este
posibilă producția
automată
(buștenii de
sisteme în cauză)
Nivelul de
detecție : 2
deoarece cazurile Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul de
administratori
conturi
Valoarea
indicatorului : Raportul
dintre măsura 2
derivată și media pe
lună pentru ultimele
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 100 din 138 cifra fiind în jur de
25% din cazuri în
medie îndoielnice –
sărbători, etc.
(rata de detecție
poate fi de până
la 60%) 90 de zile
Valoarea de vârf:
(Evaluare 2 ) 20%
pentru o organizație
standard (nivel ridicat
de împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de o
reacție individuală la
defecțiunea
administratori)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 30. Indicatori de securitate – Categoria VBH_RGH – Drepturile de acces acordate
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Utilizarea
parolelor slabe
VBH_PSW.1 Valoarea necesară a
parolelor depinde de
politica de securitate
a organizației, dar
recomandările
generale utilizabile în
ISO / IEC 27002. Detectarea unui
cont cu parolă
slabă (parola a
fost spart folosind
o metodă de atac
bazată pe
dicționarul pentru
4
ore pentru fiecare
parolă
(funcționează în
fiecare lună))
Frecventa:
simultan
frecventa ridicata
si severitatea
ridicata
Severitatea: 3
Detectare
înseamnă:
Posibilă producție
automată
(accesul la
fișierele de parole
ale utilizatorilor
pe sisteme, cu
instrumente de Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
conturi de utilizator
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 20%
pentru o organizație
standard (nivel
ridicat de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 101 din 138 "crăpare")
Nivelul de
detecție : 2 (viteza
de detecție
atingând 70%,
folosind
instrumentele
actuale de
"crăpare" și
executarea
acestora pentru
un timp fix – 4 ore
în ipoteza
selectată în
prezent) împrăștiere în
conformitate cu
societăți sau
organizații, în
așteptarea
existenței sau
absenței unei
abordări SIEM la
nivel de
întreprindere și a
unei reacții
individuale la
utilizatorii defecți)
2 Neschimbarea
parolelor
VBH_PSW.2 Acești indicatori
măsoară parola care
nu sa modificat în
timp periodic (caz de
modificări care nu au
fost periodic impuse).
Situațiile în care
modificările nu sunt
impuse periodic de
sistemele accesate
rămân destul de
frecvente în cadrul
organizațiilor (în
afară de Active
Directory), cifra fiind
în jur de 25% din
cazuri în medie – Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
conturi de utilizator
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoarea de vârf:
(Evaluare 2 ) 25%
pentru o organizație
standard (nivel
ridicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 102 din 138 o reacție individuală
la defecțiunea
utilizatori)
3 Neschimbarea
parolei la nivelul
administratorilor
VBH_PSW.3 Acest indicator
măsoară o parolă
neschimbată în timp
periodic de către un
administrator
responsabil de un
cont utilizat de
aplicații și procese
automate (caz de
modificări care nu
sunt periodic
impuse). Situațiile în
care modificările nu
sunt impuse periodic
de sistemele
accesate în sine
rămân destul de
frecvente în cadrul
organizațiilor (în
afară de Active
Directory), cifra fiind
în jur de 25% din
cazuri în medie. – Evaluare
fundamentală : data
evenimentului
Evaluare 1 :
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
administratori
conturi
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 20%
pentru o organizație
standard (nivel
ridicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a unei
abordări SIEM și de
o reacție individuală
la defect
administratori)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 103 din 138 Tabel 31. Indicatori de securitate – Categoria VBH_RGH – Drepturile de acces acordate ilegal
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Drepturi de
utilizator
neconforme
acordate în
mod ilicit de
către un
administrator
VBH_RGH.1 Acest indicator
măsoară acordarea
de drepturi de
utilizator
neconforme de
către un
administrator în
afara oricărei
proceduri oficiale.
Această
vulnerabilitate
poate proveni dintr –
o eroare, neglijență
sau răutate. Detectarea
drepturilor de
utilizator
neconforme
acordate de un
administrator de
anunțuri
Frecventa:
severitate
simultana ridicata
si frecventa
ridicata
Severi tatea: 3
(deoarece
drepturile
neconforme sunt
exploatate în mod
ilegal de utilizatori
– a se vedea
IUS_RGH.3)
Detecție
înseamnă: este
posibilă producția
automată
(jurnalele de
control al
accesului la
sistemele în
cauză, jurnalele
bazei de date de
referință a
drepturilor și
instrumentul
SIEM)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
100 , cu condiția
ca un instrument
SIEM să fie utilizat
cu o bază de date
de referință
actualizată a
drepturilor de
administrator) Evaluare
fundamentală : data
evenimentului,
identitatea
administratorului
Evaluare1: umărul
de administratori cu
astfel de
comportamente
(evenimente unice) în
ultimele 30 de zile
Evaluare 2: Raportul
numărului de
administratori cu un
astfel de
comportament în
ultimele 30 de zile
către numărul de
administratori
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună în ultimele 90 de
zile
Valoare finală :
(Evaluare 2 ) 0,8%
pentru o organizație
standard (nivel redus
de împrăștiere în
funcție de companii
sau organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 104 din 138 Tabel 32. Indicatori de securitate – Categoria VBH_HUW – Slăbiciuni
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Slăbiciunea
umană exploatată
printr -un mesaj
de tip phishing
care urmărește să
atragă sau să
facă apel la ceva
ce ar putea dăuna
organizației
VBH_HUW.1 Această
vulnerabilitate
include în mod
tipic clic pe o
legătură la Internet
sau deschiderea
unui document
atașat Detectare a
acestor slăbiciuni
umane a fost
exploatată cu
succes
Frecvență:
Frecvență
ridicată
Severitatea: 2
Detectarea :
Producția
manuală (prin
analiza periodică
a unui eșantion
de utilizatori)
Nivelul de
detecție : 1 (rata
de detecție nu
poate depăși
20%) Evaluare
fundamentală :
detectarea unor astfel
de vulnerabilități
Evaluare 1: umărul
de utilizatori cu astfel
de comportament
detectat în ultimele 30
de zile
Masura derivata 2:
Numarul anterior a
fost masurat la
numarul total de
utilizatori
Valoarea indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile
Valoarea de ultimă
oră: ( Evaluare 2 ) 10%
pentru o organizație
standard (nivel ridicat
de împrăștiere în
funcție de companii
sau organizații care se
așteaptă la
intensitatea
camp aniilor de
conștientizare și la
exercițiile periodice de
teren)
2 Human weakness
exploited by
exchanges meant
to entice or
appeal to tell
some secrets to
be used later
VBH_HUW.2: Slăbiciunea
umană exploatată
de schimburi care
intenționează să -și
atragă atenția sau
să facă apel la
niște secrete care
vor fi folosite mai
târziu Detectarea
acestor slăbiciuni
umane a fost
exploatată cu
succes
Frecvență:
Frecvență
ridicată
Severitatea: 2
Detectarea :
Producția Evaluare
fundamentală :
detectarea unor astfel
de vulnerabilități
Evaluare 1: umărul
de utilizatori cu astfel
de comportament
detectat în ultimele 30
de zile
Masura derivata 2:
Numarul anterior a
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 105 din 138 manuală (prin
analiza periodică
a unui eșantion
schimbat de
utilizatori)
Nivelul de
detecție : 1 (rata
de detecție nu
poate fi mai mare
de 30%) fost masurat la
numarul total de
utilizatori
Valoarea indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile
Valoare finală : nu este
aplicabilă (prea
variabilă și prea multe
cazuri diferite)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 33. Indicatori de securitate – Categoria VSW_WSR – Vulnerabilități software specifice serverelor web
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Vulnerabilități
software de
aplicații web
VSW_WSR.1 Acești indicatori
măsoară
vulnerabilitățile
software detectate
în aplicațiile Web
care rulează pe
servere accesibile
externa. Detectarea
vulnerabilităților
software în aplicațiile
web care rulează pe
servere externe
accesibile
Frecventa: Frecventa
de inalta frecventa
(orice posibila
ascensiune
ascendenta trebuie
monitorizata
indeaproape avand in
vedere posibilitatea
unei relatii directe cu
dezvoltarea software –
ului sigur)
Severitate a: 3 sau 4
Detectarea: Producția
semiautomată
(Scanarea
vulnerabilității
software -ului periodic)
Nivelul de detecție : 2
(rata de detecție
poate fi de până la
70%, deoarece
vulnerabilitățile cele Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente
detectate în ultimele
30 de zile la numărul
de aplicații web
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile
Valoare finală :
(Evaluare 2 ) 80
vulnerabilități per
software pentru
aplicații web (nivel
ridicat de scatare în
funcție de companii
sau organizații, în
funcție de existența
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 106 din 138 mai frecvente sunt
bine stabilite și
cunoscute în cadrul
profesiei și
instrumente automate
de scanare sau
servicii) sau nu a dezvoltării
stricte a software –
ului)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 34. Indicatori de securitate – Categoria VSW_OSS – Vulnerabilități software ale sistemului de operare
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Vunerabilități
ale sistemului
de operare
VSW_OSW.1 Acești indicatori
măsoară
vulnerabilitățile
software detectate
în sistemul de
operare care
rulează pe servere
accesibile extern Detectarea
vulnerabilităților
software în sistemele
de operare care
rulează în servere
externe accesibile
Frecventa: Frecventa
de inalta frecventa
(orice posibila
ascensiune
ascendenta trebuie
monitorizata cu
atentie, avand in
vedere risc ul de
exploatare)
Severitatea: de la 1 la
4
Detectarea: Producția
semiautomată
(scanarea periodică a
vulnerabilităților OS cu
instrumente sau
servicii)
Nivelul de detecție : 2
(rata de detecție poate
fi de până la 70 ) Evaluare
fundamentală : data
evenimentu lui
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2:
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la umărul de
vizibilitate externă
servere
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 1
vulnerabilitate pe
sistem de operare
(nivelul de
dispersie apreciabil
acc
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 107 din 138 Tabel 35. Indicatori de securitate – Categoria VSW_WBR – Vulnerabilități software ale browser -ului web
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Vulnerabilități
software
pentru
browsere web
VSW_WBR.1 Acești indicatori
măsoară
vulnerabilitățile
software
detectate în
browserele Web
care rulează Detectarea
vulnerabilităților
software în
browserele web care
rulează în stațiile de
lucru
Frecventa: Frecventa
de inalta frecventa
(orice posibila
ascensiune
ascendenta trebuie
monitorizata cu
atentie, avand in
vedere riscul de
exploatare)
Severitatea: de la 2
la 4
Detectarea :
Producția
semiautomată
(scanarea
vulnerabilității
browser -ului periodic
cu instrumente sau
servicii)
Nivelul de detecție : 2
(rata de detecție
poate fi de până la
70%) Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul de stații de
lucru
Valoarea indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile
Valoare finală :
(Evaluare 2 ) 1
vulnerabilitate per
browser (nivel
semnificativ de
împrăștiere în funcție
de companii sau
organizații, în funcție
de existența sau nu a
unor proceduri stricte
de patch -uri sigure)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
2. Categoria VCF (vulnerabilități de configurare)
Indicatorii din această categorie se referă la existența unor deficiențe în configurația
dispozitivelor IT care ar putea fi exploatate și care ar conduce la incidente de securitate.
Tabel 36. Indicatori de securitate – Categoria VCF_DIS – Servicii periculoase sau ilicite
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Servicii
periculoase
sau ilicite Acest indicator
măsoară
presiunea Detectarea
serviciilor
vulnerabile sau Evaluare fundamentală :
data evenimentului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 108 din 138 VCF_DIS.1 serviciilor de
sistem ilicite și
periculoase care
rulează pe un
server accesibil
extern. inutile care
rulează pe servere
accesibile extern;
Frecvență: mai
degrabă o mare
siguranță
Severitatea: 2 sau
3 (în funcție de
gradul de utilizare
al software -ului de
sistem)
Detectare
înseamnă:
Producție manuală
sau semi –
automată
(verificare
continuă cu
bușteni de sistem
de operare)
Nivelul de
detecție : 2 (rata de
detecție poate fi
de până la 70 ) Evaluare1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2: Raportul
numărului de evenimente
detectate în ultimele 30 de
zile la numărul extern
servere accesibile Valoare
indicator: Raportul dintre
măsura 2 derivată și media
pe lună pentru ultimele 90
de zile
Valoarea de ultimă oră:
(Evaluare 2 ) 1% pentru un
standard de orga nizare (un
nivel foarte ridicat de
împrăștiere în funcție de
companii sau organizații, în
funcție de maturitatea
organizațiilor în ceea ce
privește securitatea și
calitatea)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 37. Indicatori de securitate – Categoria VCF_LOG – Deficiențe de logare
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Dimensiunea
insuficientă a
spațiului
alocat pentru
loguri
VCF_LOG.1 Un astfel de
eveniment ar
putea provoca
o depășire în
cazul unei
serii rapide de
acțiuni
neobișnuite Detectarea unui server
de producție sau a unui
software de aplicație de
producție care are
dimensiuni insuficiente
ale spațiului alocat
bustenilor
Frecventa: Frecventa
semnificativa (productia
de busteni deseori privita
ca limitatoare si de
importanta relativa de
catre administratori si,
prin urmare, m anipulata
cu prioritate secundara
impotriva optimizarii
dimensiunii memoriei si Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul sistemelor
companiei sau al
organizației
Valoarea indicatorului :
Raportul dintre
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 109 din 138 a performantei
sistemului, cu exceptia
cazului in care o politica
precisa cy, o
monitorizare strictă a
securității și o reacție
puternică)
Severitatea: 1
Detectare înseamnă:
Este posibilă producția
automată (administrarea
sistemului și
instrumentul SIEM)
Nivelul de detecție : 2
(rata de detecție poate fi
de până la 50 ) măsura 2 derivată și
media pe lună pentru
ultimele 90 de zile
Valoarea de ultimă
oră: (Evaluare 2 ) 4%
(nivel ridicat de
împrăștiere în funcție
de companii sau
organizații, în funcție
de gradul de
conștientizare a
administratorilor în
materie de securitate
IT)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 38. Indicatori de securitate – Categoria VCF_FWR – Configurație defectă pentru firewall
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Reguli de
filtrare a
firewall -ului
slabe
VCF_FWR.1 Acest indicator
măsoară
discrepanțele
dintre regulile de
filtrare firewall
active și politica
de securitate Detectarea regulilor
de filtrare a firewall –
ului nu respectă
politica de securitate
Frecvență: severitate
relativ mare și
frecvență relativ
înaltă (număr
semnificativ de er ori
datorate modificărilor
continue ale
autorizațiilor de
acces la rețea în
privința partenerilor
și serviciilor
furnizori)
Severitatea: 2
Detectarea : Este
posibilă producția
automată (jurnalele
de instrumente de
verificare a
conformității firewall –
ului, instrumentul Evaluare fundamentală :
data evenimentului
Evaluare1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2 : Raportul
numărului de evenimente
detectate în ultimele 30
de zile la numărul de
firewall
Valoarea indicatorului :
Raportul dintre măsura 2
derivată și media pe lună
pentru ultimele 90 de zile
Valoare finală : (Evaluare
2) 12 evenimente per
firewall (nivel relativ
ridicat de împrăștiere în
funcție de companii sau
organizații, în funcție de
existența sau nu a
instrumente lor de
verificare utilizate înainte
de modificarea sistemului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 110 din 138 SIEM)
Nivelul de detecție : 1
(originea exactă a
tuturor legăturilor
este foarte dificil de
obținut în mod fiabil –
rata de detecție care
poate atinge 30%) existent norme)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 39. Indicatori de securitate – Categoria VCF_WTI – Stații de lucru configurate eronat
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Stație de
lucru cu AV și
/sau FW
dezactivat sau
nefuncțional
VCF_WTI.1 Acest indicator
măsoară utilizarea
unei stații de lucru
cu AV și / sau FW
nefuncțional sau
dezactivat. Lipsa
actualizării include
fișierul de
semnătură mai
vechi de x zile (în
general, cel puțin 6
zile). Detectarea
stațiilor de lucru
cu AV și / sau FW
dezactivate sau
neactualizate
Frecventa: Atat
severitatea medie
cat si frecventa
ridicata
Severitatea: 4
Detecție
înseamnă: Este
posibilă producția
semiautomată
(monitorizare și
management
centralizat AV și
FW)
Nivelul de
detecție : 3 (rata
de detecție care
poate atinge
100%) Evaluare fundamentală :
data evenimentului,
identitatea utilizatorului
Evaluare 1: umărul de
utilizatori cu acest
comportament detectat
în ultimele 30 de zile
Masura derivata 2:
Raportul dintre numarul
de evenimente detectate
in ultimele 30 de zile la
numarul de statii de
lucru din cadrul
organizatiei
Valoarea indicatorului :
Raportul dintre Evalua re
2 și Media pe lună
pentru ultimele 60 de
zile
Valoare finală : (Evaluare
2) 10% pentru o
organizație standard
(nivel ridicat de
împrăștiere în funcție de
companii sau organizații,
în funcție de existența
sau nu a unei politici
stricte de aprovizionare
cu PC și de securitate;
Abordarea SIEM și o
reacție individuală la
utilizatorii defecți)
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 111 din 138 2 Funcția
Autorun este
activată pe
stațiile de
lucru
VCF_WTI.2 Acest indicator
măsoară prezența
funcției Autorun
activată în stațiile
de lucru Detectarea
funcției Autorun
activată pe stațiile
de lucru
Frecventa:
severitate ridicata
si frecventa uneori
destul de mare
Severitatea: de la
2 la 3
Detectare
înseamnă: Este
posibilă producția
automată (bușteni
de instrumente de
management PC,
instrument SIEM)
Nivelul de
detecție : 3 (rata
de detecție care
poate atinge 90%) Evaluare fundamentală :
data evenimentului
Evaluare1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2: Raportul
numărului de
evenimente detectate în
ultimele 30 de zile la
numărul de posturi de
lucru Valoarea
indicatorului : Raportul
dintre Evaluare 2 și
media pe lună pentru
ultimele 60 de zile
Valoare finală : (Evaluare
2) 10% (nivel ridicat de
împrăștiere în funcție de
companii sau organizații,
în funcție de existența
sau nu a stricturii stricte
a posturilor de lucru și a
politicii de securitate și
de verificarea
permanentă a politicii de
securitate a stațiilor de
lucru)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 40. Indicatori de securitate – Categoria VCF_UAC – Stații de lucru configurate eronat
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Configurația
drepturilor de
acces nu este
conformă cu
politica de
securitate
VCF_UAC.1 Acest indicator
măsoară configurația
drepturilor de acces
care nu respectă
politica de securitate
corporativă. Acest
indicator este mai
rezistent în cazul
existenței unei re –
poziții centrale a
drepturilor utilizatorilor
în cadrul organizației
(și a unei realizări
IAM) Detectarea
configurației
drepturilor de acces
care nu respectă
politica de
securitate
Frecventa:
Frecventa frecventa
frecventa, mai ales
cand abordarile
IAM nu exista
(deoarece
drepturile atri buite
care sunt asociate Evaluare
fundamentală : data
evenimentului,
identitatea
utilizatorului
Evaluare 1 :
umărul de
utilizatori unici
detectați în ultimele
30 de zile
Evaluare 2 :
Evaluare de la 1
Valoarea
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 112 din 138 cu identificatori
unici de utilizator nu
sunt foarte dificil si
chiar imposibil de
verificat)
Severitatea: 3
Detectare
înseamnă: Posibilă
producție automată
(jurnalele bazei de
date de referință
pentru drepturile și /
sau controale le de
acces ale
serverelor și a
directorului unic și
instrumentul SIEM
potrivit)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
70%) indicatorului :
Raportul dintre
Evaluare 2 și Media
pe lună pentru
ultimele 60 de zile
Valoare finală :
(Evaluare 2 ) 60
neconformități
pentru o organizație
standard (nivel
relativ r idicat de
împrăștiere în
funcție de companii
sau organizații, în
funcție de existența
sau nu a realizării
IAM mai mult sau
mai puțin finalizată)
2 Drepturi de
acces care nu
sunt
compatibile cu
logourile
VCF_UAC.2 Acest indicator
măsoară drepturile de
acces neconforme la
logări în servii care
sunt sensibili și / sau
supuși
reglementărilor.
Această situație,
reprezentând o
slăbiciune esențială,
deoarece încrederea
mare necesară în
buștenii de producție
a fost redusă la nimic.
Acest indicator este
un subs et al
VCF_UAC.1. Detectarea
configurării
drepturilor de acces
neconforme la
logourile din
servere sensibile și
/ sau supuse
reglementărilor
Frecventa: Deseori
frecventa ridicata
Severitatea: 2 sau
3 (în funcție de
ușurința accesului
la datele din logouri
pentru sistemul în
cauză)
Detectare
înseamnă: Posibilă
producție automată
(jurnalele bazei de
date de referință
pentru drepturile și /
sau controalele de
acces ale
serverelor și a
directorului unic și Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
servere
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și Media
pe lună pentru
ultimele 60 de zile
Valoarea de ultimă
oră: ( Evaluare 2 ) 1
neconformitate pe
server (nivel redus
de împrăștiere în
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 113 din 138 instrumentul SIEM
potrivit)
Nivelul de detecție :
2 sau 3 (rata de
detecție poate fi de
până la 80 ) funcție de companii
sau organizații)
3 Conturi de
administrator
gener ice și
partajate
VCF_UAC.3 Acest indicator
măsoară conturi de
administrare generice
și partajate, care sunt
inutile sau conturi
care sunt necesare,
dar fără patronaj.
Acesta se referă la
sistemele de operare,
bazele de date și
aplicațiile. Detectarea
conturilor de
administrator
generice și
partajate
Frecventa: Mai
degraba o mare
siguranta si adesea
o frecventa
semnificativa
Severitatea: 2 sau
3 (în funcție de
posibilitatea de
urmărire sau nu a
jucătorilor de către
alte sisteme)
Detectare
înseamnă: Posi bilă
producție automată
dacă sunt
accesibile drepturile
de acces
(administrarea
drepturilor de
acces)
Nivelul de detecție :
2 (rata de detecție
poate fi de până la
50 , dacă se
realizează IAM) Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
sisteme de operare,
bază de date și
aplicație
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și Media
pe lună pentru
ultimele 60 de zile
Valoarea de ultimă
oră: ( Evaluare 2 ) 4
de către sistemul
de operare, baza
de date sau
aplicație (nivel
foarte scăzut de
împrăștiere în
funcție de companii
sau organizații)
4 Conturi fără
proprietary
VCF_UAC.4 Acest indicator
măsoară conturile fără
proprietari care nu au
fost șterși. Acestea
sunt conturi care nu
mai au alți utilizatori
(de exemplu, după
transferul intern sau
plecarea utilizatorilor
din organizație). Detectarea
conturilor de
utilizator fără
proprietar
Frecventa: Atat
severitatea ridicata,
cat si frecventa
inalta (existenta
unor astfel de Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 114 din 138 conturi aproape
inevitabila, cu sau
fara realizari IAM)
Severitatea: 3
Detectarea :
Producerea
automată mai
ușoară dacă există
o realizare
avansată a IAM
(jurnale de
gestionare a
drepturilor
utilizatorilor central,
jurnale de servere
și instrumentul
SIEM)
Nivelul de detecție :
2 sau 3 (rata de
detecție poate fi de
până la 80 , dacă
se realizează IAM) de evenimente
detectate în
ultimele 30 de zile
la numărul de
sisteme de operare,
bază de date și
aplicație
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și Media
pe lună pentru
ultimele 6 0 de zile
Valoare finală :
(Evaluare 2 ) 10
pentru fiecare
sistem de operare,
bază de date sau
aplicație (nivel de
împrăștiere
inexistent în funcție
de companii sau
organizații)
5 Conturi
inactive
VCF_UAC.5 Acest indicator
măsoară conturile
inactive timp de cel
puțin 2 luni care nu au
fost dezactivate.
Aceste conturi nu sunt
utilizate de utilizatorii
lor din cauza abținerii
prelungite, dar nu
definitive (de lungă
durată, maternitate
etc.), cu excluderea
conturilor de
mesagerie (care ar
trebui să rămână
acces ibile utilizatorilor
din casa lor). Detectarea
conturilor de
utilizator inactive
timp de cel puțin 2
luni, dar nu și
dezactivarea
acestora
Frecvență: Foarte
frecvent frecvența
semnificativă
(absența prelungită
a utilizatorilor care
nu este luată în
considerare și nu
este gestionată la
nivel de sistem
informatic, în
special atunci când
nu există realizări
ale IAM)
Severitatea: 2
Detectarea :
Producerea
automată mai
ușoară dacă există Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în
ultimel e 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
sisteme de operare,
bază de date și
aplicație
Valoarea
indicatorului :
Raportul dintre
Evaluare 2 și Media
pe lună pentru
ultimele 60 de zile
Valoare fi nală:
(Evaluare 2 ) 11
pentru fiecare
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 115 din 138 o performanță
avansată a IAM
(jurnale de
gestionare a
drepturilor
utilizatorilor centrali,
jurnale ale
directorului unic și
instrumentul SIEM)
Nivelul de detecție :
2 dacă realizarea
IAM (rata de
detectare atingând,
eventual, 50%) sistem de operare,
bază de date sau
aplicație (nivelul de
dispersie foarte
scăzut în funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
3. Categoria VTC (vulnerabilități tehnice de securitate generală)
Indicatorii din această categorie măsoară existența unor deficiențe în arhitectura informatică
și fizică care ar putea fi exploatate și care ar conduce la incidente de securitate.
Tabel 41. Indicatori de securitate – Categoria VTC_BKP – Defecte de back -up
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Defecțiune a
protecției
datelor
sensibile
găzduite de
server
VTC_BKP.1 Pe serverele care
găzduiesc date sensibile
cu privire la
disponibilitate, acestea se
referă la defecțiuni de
garanții datorate lipsei
testelor periodice. Acest
tip de eveniment poate fi
foarte grav, deoarece de
obicei, încrederea este
trădată într -o funcție
critică Detectarea
garanțiilor de
date sensibile,
care nu sunt
susținute
Frecvență:
Frecvență
semnificativă
Severitatea: 3
Detecție
înseamnă:
Producția
semiautomată
(campanii de
testare
periodică)
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 100%) Evaluare
fundamentală : data
evenimentului
Evalu are1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: Raportul
numărului de
evenimente
detectate în ultimele
30 de zile la
numărul de servere
care dispun de
garanții sensibile
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 116 din 138 Valoare finală :
(Evaluare 2 ) 20%
(nivel ridicat de
împrăștiere în
funcție de companii
sau organizații,
datorită soluțiilor
tehnice)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 42. Indicatori de securitate – Categoria VTC_IDS – Nefuncționarea IDS/IPS
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Indisponibilitatea
completă a
IDS/IPS
VTC_IDS.1 Sunt posibile multe
cauze, inclusiv
deconectarea
deliberată de către un
administrator de rețea
(pentru eficientizarea
operațiunilor sau
deoarece ieșirea IDS /
IPS este considerată
prea dificil de utilizat),
dezactivarea
involuntară (eroare de
către un administrator
de rețea) defecțiune,
defecțiuni softwa re etc. Detectarea unei
indisponibilități
depline a IDS /
IPS
Frecventa: Mai
degraba
severitate mare
Severitatea: 3
Detectarea : Este
posibilă
producția
automată
(gestionarea
dispozitivelor de
rețea)
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 100%) Evaluare
fundamentală :
data
evenimentului
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de
zile
Evaluare 2 :
Raportul
numărului de
evenimente
detectate în
ultimele 30 de
zile la numărul
IDS / IPS
Valoarea
indicatorului :
Raportul dintre
măsura 2
derivată și media
pe lună pentru
ultimele 90 de
zile
Valoare finală :
(Evaluare 2 ) 0,01
per IDS sau IPS
(nivel ridicat de
împrăștiere în
funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 20 15
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 117 din 138 Tabel 43. Indicatori de securitate – VTC_WFI – Puncte de acces Wi -Fi ilicit
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Dispozitivele
Wi-Fi instalate
în rețea fără
autorizație
VTC_WFI.1 Există numeroase
cauze, printre care, de
exemplu, deciziile locale
pentru o mai ușoară
acomodare a
utilizatorilor de telefonie
mobilă, comportamente
necinstite ale
utilizatorilor sau stații de
lucru configurate ca
puncte de acces. Detectarea
instalării
dispozitivelor Wi –
Fi în rețea fără
autorizație oficială
Frecvență:
severitate ridicată
și frecvență destul
de semnificativă
Severitatea: 4
Detecție
înseamnă:
Posibilitatea de
producție
semiautomată
(scanarea și
descoperirea
dispozitivelor de
rețea)
Nivelul de
detecție : 3 (rata
de detecție poate
fi de până la
100%) Evaluare
fundamentală : data
evenimentului
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
puncte de acces
autorizate Wi -Fi
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 180
de zile
Valoare de ultimă
generație: nu este
aplicabilă
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 44. Indicatori de securitate – Categoria VTC_RAP – Acces neautorizat la distanță
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Punctele de
acces de la
distanță
folosite
pentru a
obține acces
neautorizat
VTC_RAP.1 Acest indicator
este interesant
pentru a evalua
dacă aceste
accesări sunt
localizate (zone
locale, țări etc.)
sau implică
întreaga
organizație sau
cresc și se Detectarea punctelor
de acces la distanță
utilizate pentru
obținerea accesului
neautorizat
Frecventa: figura
interesanta
Severitatea: 3
Detectare înseamnă: Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2: Raportul
numărului de
evenimente
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 118 din 138 răspândesc în
întreaga
organizație. Posibilă producție
semi -automată
(bazată pe IDB_UID.1
și cele șapte jurnale
IDB_RGH.x + ale
punctelor de acces la
distanță)
Nivelul de detecție : 1
(idem IDB_UID. 1 și
IDB_RGH.x – rata de
detecție poate fi de
până la 30 , cu
condiția ca un
instrument SIEM să fie
utilizat și conectat la o
bază de date de
referință a drepturilor
organizației și la
jurnalele punctelor de
acces la distanță) detectate în ultimele
30 de zile la numărul
de puncte de acces
autorizate
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată și
media pe lună pentru
ultimele 180 de zile
Valoare de ultimă
generație: nu este
aplicabilă, deoarece
este prea variabilă în
funcție de companii
sau organizații (în
principiu, însă, cifra
scade brusc cu
realizările IAM
avansate)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 45. Indicatori de securitate – Categoria VTC_NRG – Conexiuni la rețea ilicite
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Dispozitive sau
servere
conectate la
rețeaua
organizației
fără a fi
înregistrate și
administrate
VTC_NRG.1 Conform unor
studii
convergente,
acest eveniment
poate fi la
originea a
aproximativ 70%
din toate
incidentele de
securitate
asociate răului. Detectarea
dispozitivelo r sau
a servorilor
conectați la
rețeaua
organizației fără a
fi înregistrat și
gestionat
Frecvență:
severitate ridicată
și frecvență
semnificativă
Severitatea: 3
Detecție
înseamnă:
Producția manuală
(gestionarea
activelor și
scanarea și
descoperirea în
rețea) Evaluare fundamentală :
data evenimentului
Evaluare1: umărul de
evenimente detectate în
ultimele 30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate în
ultimele 30 de zile la
numărul de
echipamente autorizate
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 3% (nivel
scazut de scindare
redus în funcție de
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 119 din 138 Nivelul de detecție :
2 sau 3 (rata de
detecție poate fi de
până la 80 ) companii sau
organizații, deoarece
este dificil să se
mențină o calitate egală
și continuă a
managementului și
scanării)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 46. Indicatori de securitate – Categoria VTC_PHY – Controlul a ccesului fizic
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Nu sunt mijloace
operaționale de
control al
accesului
fizicVTC_PHY.1 Acest indicator
include accesul la
zonele interne
protejate. Prima
cauză este lipsa unui
control eficient al
utilizatorilor la
software -ul lev -el.
Cea de -a doua
cauză este
defalcarea hardware
a unei componente
din lanț. Detectarea
mijloacelor de
control fizic
care nu
funcționează
Frecvență:
severitate
ridicată și
uneori
frecvență
semnificativă
Severitatea: 2
sau 3 (în
funcție de
nivelul
sensibilității
zonei)
Detectare
înseamnă: Este
posibilă
producția
automată
(jurnale de
control acces)
Nivelul de
detecție : 3 (rata
de detecție
poate fi de
până la 100 ) Evaluare
fundamentală : data
evenimentului
Evaluare1: umărul
de evenimente
detectate în ultimele
30 de zile
Evaluare 2 : Raportul
numărului de
evenimente detectate
în ultimele 30 de zile
la numărul de zone
protejate Valoarea
indicatorului : Raportul
dintre Evaluare 2 și
Media pe lună în
ultimele 90 de zile
Valoarea de ultimă
oră: ( Evaluare 2 ) 3
evenimente pe zonă
protejată (nivel de
dispersie destul de
ridicat în funcție de
companii sau
organizații)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 120 din 138 Tabel 47. Indicatori de securitate – Categoria VOR_DSC – Descoperirea atacurilor
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Incidente cu
timp excesiv
de
descoperire
VOR_DSC.1 Acest indicator măsoară
incidente stricate de
securitate, dificil de
detectat. După cum
arată cele mai multe
studii, timpul pentru
descoperire este
adesea de câteva luni,
intervalul de timp folosit
în special pentru a fura
date sensibile.
Incidentele luate în
considerare aici sunt
IEX_INT.3, IEX_MLW.3
și IEX_MLW.4. Acest
indiciu ofer ă repere
referitoare la ceea ce
poate fi considerat
excesiv, adică cu o
ipoteză care depășește
o săptămână. Detectarea
incidentelor de
astfel de tipuri și cu
descoperirea târzie
(8 luni după ce au
apărut)
Frecventa:
Frecventa extrem
de ridicata
Severitatea : 4
Detecție înseamnă:
Producția
semiautomată (cu
instrumente
avansate de
monitorizare și
metode de
detectare a
incidentelor în
cauză și de
investigare a
acestora)
Nivelul de detecție :
1 (rata de detecție
poate fi de până la
20%) Evaluare
fundamentală : Dat a
detectării
incidentului
Evaluare 1 :
umărul de astfel
de incidente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de astfel de
incidente detectate
cu întârziere în
ultimele 30 de zile
la numărul de
incidente de
securitate ascunse
detectate
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoarea de ultimă
oră: ( Evaluare 2 )
90% (nivel ridicat
de împrăștiere în
funcție de companii
sau organizații, în
funcție de nivelul de
maturita te)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 48. Indicatori de securitate – Categoria VOR_VNP – Vulnerabilități fără patch
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Timp
excesiv al
ferestrei de Acest indicator măsoară
situațiile în care timpul
expunerii la risc depășește Detectarea unui
caz în care timpul
ferestrei de Evaluare
fundamentală :
Data
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 121 din 138 expunere la
risc
VOR_VNP.1 limita de timp exprimată în
politica de securitate.
Fereastra de expunere a
riscurilor este perioada de
timp dintre dezvăl uirea
publică a unei
vulnerabilități software și
aplicarea reală și verificată
a unui plasture care
corespunde cu remedierea
vulgarității (indiferent de
timpul necesar pentru
furnizorului de a furniza
plasturele). Acest indicator
se aplică numai stațiilor de
lucru (OS, aplicație
software și browsere) și
vulnerabilităților critice
(determinate în mod public
prin intermediul scalei
CVSS) care necesită o
acțiune cât mai repede
posibil. expunere la risc
depășește limita
de timp exprimată
în politica de
securitate
Frecvență: Este
potențial serios și
destul de frecvent
Severitatea: 3 sau
4
Detectare
înseamnă:
Posibilitatea de
producție
semiautomată
(dacă procesul de
gestionare a
patch -urilor este
computerizat)
Nivelul de
detecție : 2 (rata
de detecție
atingând,
eventual, 60%,
dacă procesul
formal de
gestionare a
patch -urilor) evenimentului, ora
ferestrei de
expunere la risc
Evaluare 1: Timp
excesiv al ferestrei
de expunere la
risc pentru
vulnerabilitățile
critice care ar
trebui să fie patch –
uri
Evaluare 2 :
Evaluare de la 1
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
Valoare finală :
(Evaluare 2 ) 3,5
zile în medie (nivel
ridica t de
împrăștiere în
conformitate cu
companii sau
organizații, în
mare măsură în
funcție de nivelul
de maturitate al
procesului de
gestionare a
patch -urilor)
2 Rata
sistemelor
care nu au
fost patch –
uite
VOR_VNP.2 Acest indicator măsoară
rata sistemelor care nu
sunt patch -uri pentru
vulnerabilitățile software
critice detectate (vezi
VOR_VNP.1 pentru
definirea criteriilor). Nu
sunt luate în considerare
sistemele patch -uri care
nu sunt patch -uri după
termenul definit în politica
de securitate. Acest
indicator se aplică numai
stațiilor de lucru (OS, Detectarea
sistemelor care nu
sunt patch -uri
peste limita de
timp definită în
politica de
securitate
Frecvență :
Corespunde unei
rate dest ul de
semnificative în
ceea ce privește
cauzele
incidentelor de –
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 122 din 138 software de aplicație și
browsere). securitate într -o
informație
Sistem (25% în
medie în profesie)
Severitatea : 2,
dacă rata
depășește 15
Detectare :
Producție
manuală
Nivelul de
detecție: 3 (rata
de detecție poate
fi de până la
100%)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 49. Indicatori de securitate – Categoria VOR_VNR – Sisteme care nu au fost reconfigurate
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Rata
sistemelor
neconfigurate
VOR_VNR.1 Acest indicator
măsoară rata
sistemelor
neconfigurate pentru
detectarea
vulnerabilităților de
configurare critică.
Abilitățile de
configurare a
configurației sunt fie
neconformități legate
de o politică de
securitat e de nivel 3,
fie discrepanțe
relativ la o tehnologie
de ultimă generație
disponibilă în cadrul
profesiei (și care poate
corespunde unui
master de configurare
produs de un furnizor
și aplicat în cadrul
organizației). Acest
indicator se aplică
numai la staț iile de Detectarea
sistemelor
neconfigurate
pentru detect area
vulnerabilităților
critice de
configurare
Frecventa:
Corespunzatoare
cu o rata
semnificativa ca
raspunsuri la
cauzele incidentelor
de securitate intr -o
Informatie
Sistem (30% în
medie în profesie)
Severitatea: 2, dacă
rata depășește 20
Detectare
înseamnă:
Producție
semiautomată
posibilă (dacă Evaluare
fundamentală : data
evenimentului
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2 :
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
sisteme care
urmează a fi
reconfigurate
Valoarea
indicatorului :
Raportul dintre
măsura 2 derivată
și media pe lună
pentru ultimele 90
de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 123 din 138 lucru (OS, software de
aplicație și browsere).
Sistemele
reconfigurate care
trebuie luate în
considerare sunt cele
care nu sunt
reconfigurate în
intervalul de timp
definit în politica de
securitate. procesele
automatizate de
configurare și
schimbare)
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
90%) Valoare finală :
(Evaluare 2 ) 35%
(nivel redus de
împrăștiere în
funcție de companii
sau organizații, cu
un scor mai bun în
raport cu nivelul de
maturitate al
proceselor de
gestionare a
schimbării și a
configurației)
Prelucrat după ETSI GS ISI 0 02 Information Security Indicators (ISI), 2015
Tabel 50. Indicatori de securitate – Categoria VOR_RCT – Planuri de reacție
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Planurile de
reacție au fost
lansate fără
feedback
VOR_RCT.1 Acest indicator se
aplică planurilor de
reacție la incidentele
formalizate din politica
de securitate lansate
fără feedback. Detectarea unui
plan de reacție
lansat fără
feedback
Frecvență:
Frecvență
semnificativă
Severitatea : 2
Detectare
înseamnă :
Producție
manuală
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 100%) Evaluare
fundamentală : data
evenimentului
Evaluare 1: umărul de
evenimente detectate
în ultimele 30 de zile
Evaluare 2: Raportul
numărului de
evenimente detectate
în ultimele 30 de zile la
numărul planului de
reacție lansat
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoarea finală :
(măsura derivată 2)
30% (nive l ridicat de
împrăștiere în funcție
de companii sau
organizații, în funcție
de nivelul de
maturitate)
2 Planurile de
reacție au fost Acest indicator
măsoară eșecul în Detectarea unui
plan de reacție Evaluare
fundamentală : data
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 124 din 138 lansate fără
success
VOR_RCT.2 execuția planurilor,
ducând la
nerecuperarea
incidentelor și la
posibila lansare
ulterioara a unei
proceduri de
escaladare. lansat fără
succes
Frecvență:
Frecvență
semnificativă
Severitatea: 4
Detectare
înseamnă:
Producție
manuală
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 80%) evenimentului
Evaluare1: umărul de
evenimente detectate
în ultimele 30 de zile
Evaluare 2: Raportul
numărului de
evenimente detectate
în ultimele 30 de zile la
numărul planului de
reacție lansat
Valoarea indicatorului :
Raportul dintre măsura
2 derivată și media pe
lună pentru ultimele 90
de zile
Valoarea de ultimă oră:
(Evaluare 2 ) 15% (nivel
ridicat de împrăștiere în
funcție de companii sau
organizații, în funcție
de nivelul de
maturitate)
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
Tabel 51. Indicatori de securitate – Categoria VOR_PRT – Securitate în proiectele de IT
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Lansarea de noi
proiecte IT fără
clasificarea
informațiilor
VOR_PRT.1 Acest indicator
măsoară lansarea de
noi proiecte IT fără
clasificarea
informațiilor.
Disponibilitatea unui
model și a unei
scheme de clasificare
în cadrul organizației
ar ușura această
sarcină. Detectarea
lansării de noi
proiecte
informatice fără
clasificarea
informațiilor
Frecvență:
Frecventă în
toate
organizațiile
Severitatea: 3
Detectare
înseamnă:
Producție
manuală
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 100%) Evaluare
fundamentală : data
even imentului
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2:
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
la numărul de
proiecte lansate
Valoarea
indicatorului : Rata
măsurii derivate 2
la Media pe lună în
ultimele 90 de zile
Valoare finală :
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 125 din 138 (Evaluare 2 ) 40%
(nivel redus de
împrăștiere în
funcție de
companii sau
organizații, cu o
rată mai mică
legată de
certificarea ISO /
IEC 27001 sau cu
respectarea unor
reglementări
puternice)
2 Lansarea unor noi
proiecte IT
specifice fără
analiză de risc
VOR_PRT.2 Acest indicator
măsoară lansarea de
noi proiecte IT
specifice fără a
efectua o analiză
completă a riscurilor. Detectarea
lansării unor noi
proiecte IT
specifice fără
analiză de risc
Frecvență:
Frecventă în
anumi te
sectoare de
activitate cu
constrângeri de
reglementare
scăzute
Severitatea: 3
Detectare
înseamnă:
Producție
manuală
Nivelul de
detecție : 3 (rata
de detecție
poate fi de până
la 100%) Detectarea lansării
unor noi proiecte
IT specifice fără
analiză de ris c
Frecvență:
Frecventă în
anumite sectoare
de activitate cu
constrângeri de
reglementare
scăzute
Severitatea: 3
Detectare
înseamnă:
Producție manuală
Nivelul de detecție :
3 (rata de detecție
poate fi de până la
100%)
3 Lansarea de noi
produse IT de tip
standard fără
identificarea
vulnerabilităților
și a amenințărilor
VOR_PRT.3 Acest indicator
măsoară lansarea de
noi proiecte
informatice de tip
standard fără
identificarea
vulnerabilităților și a
amenințărilor și a
măsurilor de securitate
conexe. Pentru ac este
proiecte IT, se poate
aplica o posibilă
implementare a unei Detectarea
lansării de noi
proiecte IT fără
poliție de
securitate
Frecvență:
Frecventă în
anumite
sectoare de
activitate cu
constrângeri de
reglementare
scăzute Evaluare
fundamentală : data
evenimentului
Evaluare 1:
umărul de
evenimente
detectate în
ultimele 30 de zile
Evaluare 2:
Raportul numărului
de evenimente
detectate în
ultimele 30 de zile
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 126 din 138 metode simplificate de
analiză a riscurilor sau
a unor profile de
securitate predefinite. Severitatea: 3
Detectare
înseamnă:
Producție
manuală
Nivelul de
detecție : 2 (rata
de detecție care
poate atinge
60% – Cf.
dificultăți în
identificarea
tuturor
proiectelor
"tipice" noi) la numărul de
proiecte lansate
Valoarea
indicatorului : Rata
măsurii derivate 2
la Media pe lună în
ultimele 90 de zile
Valoarea de ultimă
oră: ( Evaluare 2 )
50% (nivel ridicat
de împrăștiere în
funcție de
companii sau
organizații, în
funcție de
constrângerile de
reglementare mai
mari sau mai mici
care le cântăresc)
Prelucrat după ETS I GS ISI 002 Information Security Indicators (ISI), 2015
III. Indicatori pentru măsurarea impactului
Tabel 52. Indicatori de securitate pentru măsurarea impactului
Nr.
Crt. Indicator Descriere Evenimente Evaluare
1 Costul mediu
pentru a face
față unui
incident critic
de securitate
IMP_COS.1 Costul mediu luat în
considerare include
următoarele tipuri de
cheltuieli generale:
întreruperi ale
operațiunilor de
afaceri (costuri de
exploatare ridicate
etc.), Fraudă (bani
etc.) și costuri de
recuperare în timp
real (timp tehnic
individual, , etc.).
Aceasta nu include
costurile de
notificare a încălcării
posibile (în general
foarte grele) către
clienți și
organismele de
executare (în
conformitate cu
legile și Un incident de
securitate critic
care a fost
detectat și
abordat Evaluare
fundamentală : costul
pentru fiecare incident
de securitate cr itic
detectat și adresat
printr -o reacție
corespunzătoare
Masura derivata 1:
costul tuturor
incidentelor de acest
tip in ultimele 30 de
zile
Măsura 2 derivată:
costul mediu al unui
astfel de incident în
ultimele 30 de zile
Valoarea
indicatorului : raportul
dintre Evaluare 2 și
costul mediu al
incidentelor de acest
tip pentru ultimele 120
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 127 din 138 reglementările din
SUA și recent ale
UE).
Argumentare: poate
fi un instrument
puternic pentru
CISOs și CIO -uri
pentru a face
compromisuri între
investițiile
echipamentelor de
securitate IT și
tratamentul riscurilor de zile
Valoare finală :
(Evaluare 2) 150 k €
(nivel semnificativ de
scatalizare în funcție
de companii sau
organizații, în funcție
de tipurile de
incidente de
securitate cel e mai
multe dintre ele fiind
abordate – a se
vedea, de exemplu,
numite APT -uri și în
ceea ce privește
gradul mai mare sau
mai mic de trafic în
ceea ce privește
răspunsul la
incidentul de
securitate)
2 Durata medie a
perioadelor de
nefuncționare a
site-urilor Web
datorită
atacurilor
malware reușite
IMP_TIM.1 Se aplică tuturor
celor 4 clase, dar
principalele
incidente de
securitate în cauză
sunt defecțiuni sau
defecțiuni (software
sau hardware),
atacuri DoS sau
DDoS și defecțiuni
de pe site
Argumentare: între
toate aplicațiile,
aplicațiile cu care se
confruntă Internetul
sunt cele cu impact
potențial cel mai
amplu (în special
companii sau
organizații adresate
publicului larg) Detectarea
incidentelor de
securitate
cauzând
indisponibilitatea
unui site Web
3 Durata medie a
perioadelor de
nefuncționare a
site-urilor Web
datorită
atacurilor
malware reușite
IMP_TIM.2
4 Durata medie a
perioadelor de
întrerupere a
site-urilor
datorită
defecțiunilor
sau incidentelor
de securitate
neintenționate
IMP_TIM.3
Prelucrat după ETSI GS ISI 002 Information Security Indicators (ISI), 2015
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 128 din 138 3. PROIECTAREA, STRUCTURAREA ȘI REALIZAREA SITE -ULUI
PROIECTULUI
3.1. Arhitectura
În această secțiune este prezentat ă tehnologia folosită la realizarea site -ului web al proiectului
și sunt prezentate principalele pagini ale acestuia .
ASP.NET este o tehnologie Microsoft pentru crearea de aplicații web și servicii web.
ASP.NET este succesorul lui ASP (Active Server Pages) și beneficiază de puterea platformei de
dezvoltare . NET, și de setul de instrumente oferite de mediul de dezvoltarea al aplicației „Visual
Studio .NET”.
Cateva dintre avantajele ASP .NET sunt:
1. ASP .NET are un set larg de componente, bazate pe XML, oferind astfel un model de
programare orientat obiect (OOP).
2. ASP .NET ruleaza cod compilat, ceea ce crește performanțele aplictiei web. Codul sursa
poate fi separat în două fișiere, unul pentru codul executabil, iar un altul pentru continutul
paginii (codul HTML și textul din pagină) .
.NET este compatibil cu peste 20 de limbaje diferite, cele mai utilizate fiind C# si Visual Basic.
Website -ul construit se bazeaza pe tehnilogia ASP.NET Web Forms. Web Forms sunt pagini
construite cu ajutorul tehnologiei ASP.NET care:
Se executa pe server si genereaz a output in brows er
Sunt compatibile cu orice browser si limbaj care suporta .NET
Principalele componente ale ASP.NET sunt prezentate in schema de mai jos:
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 129 din 138
Figură 2. Componente ASP.NET
3.1.1. Ciclul de viață al unei pagini Web
Paginile ASP.NET rulează pe server -ul Web Microsoft IIS (Internet Information Server). In
urma prelucrarii pe server rezulta o pagina web HTML, care este trimisa catre browser.
Ciclul de viata al unei pagini Web ASP.NET are urmatorii pasi:
4. Page request (accesarea paginii) – acest pas se intampla inaintea ciclului de viata, atunci
cand o pagina este ceruta serverului
5. Start – in acest stadiu se incarca proprietatile paginii, cum ar fi requestul si raspunsul si se
identifica tipul acestora (G ET – cerere resurse, POST – trimiterea de informatii catre server)
6. Initialization (initializare) – in acest pas se initializeaza directivele si controalele si se aplica
codul din Master Page
7. Load (incarcarea) – in aceasta faza daca cererea este de tip post back, controalele sunt
incarcate cu informatii
8. Evenimentele Postback – daca cererea este de tip postback se executa codul aferent. Dupa
executia codului se aplica sistemele de validare
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 130 din 138 9. Rendering (ex: afisarea paginii) – in acest pas se construieste pagina finala pe server, care va
fi afisata in browser
10. Unload (eliberarea memoriei) – dupa ce pagina a fost trimisa utilizatorului, resursele alocate
pentru aceasta sunt eliberate.
3.2. Descrierea site -ului Web
Prima pagina descrie obiectivul proiectului î mpreună cu principalele rezultate obț inute
Figură 3. Pagina de start a site -ului proiectului
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 131 din 138 În pagina Indicatori de performanță sunt precizati principalii indicatori KPI
Figură 4. Pagina Indicatori de performanță
Pagina indicatorilor privind incidentele oferă informații asupra listei acestora și a categoriilor
asociate.
Figură 5. Pagina Indicatori de securitate
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 132 din 138 Pagina de recomandări pentru securitatea cibernetică oferă informații utile părților interesate
după cum se poate observa din figura de mai jos.
Figură 6. Pagina de recomandări
Site-ul web al proiectului poate fi accesat la adresa http://cyberstat.ici.ro
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 133 din 138 4. CONCLUZII
Într-un peisaj de securitate cibernetică în continuă schimbare, războiul informațional pare a fi
cea mai importantă componentă în majoritatea conflictelor viitoare, după cum se arată în diferite
studii realizate de agențiile de securitate națională și de asociațiile de apărare.
Multe companii, în încercarea de a ajută angajații să dobândeasc ă o mai bună înțelegere a
amenințărilor în materie de securitate cibernetică și cum să protejeze cel mai bine împot riva
amenințărilor cibernetice au luat inițiativa de a dezvolta programe de securitate cibernetică. Cu toate
acestea, în implementarea acesto r programe, multe companii nu reușesc să -și măsoare succesul în
ceea ce privește eficiența. Mai degrabă decât o singură sarcină unică, securitatea cibernetică ar
trebui privită ca un sistem de formare continuă și ar trebui măsurată în mod consecvent pentru a se
asigura că se implementează cu adevărat.
În ceea ce priveste monitorizarea securi tății cibernetice, din analiza efectuată de echipa de
proiect, indicatorii sunt clasificați în 3 grupe și anume: Indicatori privind incidentele de Securitate,
Indicatori de vulnerabilități, Indicatori pentru măsurarea impactului. În România lipsa unei structuri
de indicatori privind securitatea informatică impune adoptarea și monitorizarea unor indicatori
pentru securitatea ciberneică;
Din analiza metricilor de securitate cibernetică, echipa de proiect a prezentat un set de metrici
care ar trebui urmărite pentru a asigura eficiența securității cinernetice. Aceste metrici fac referire
la: Timpul mediu de detectare și răspuns la incident, Număr de sisteme cu vulnerabilități cunoscute,
Numărul de certificate SSL configurat incorect, Volumul de date transferate utilizând rețeaua
instituțională, Numărul de utilizatori cu nivel ridicat de acces (administrator), Numărul de zile
pentru a dezactiva datele de identificare ale angajat ului, Numărul de porturi de comunicare deschise
într-o perioadă de timp, Frecvența revizuirii accesului terților, Procentul partenerilor de afaceri cu
politici eficiente de securitate cibernetică;
Dinamica evoluției spațiului cibernetic arată faptul că pri ncipalele atacuri depistate pe
teriroriul României fac referire la: Ransomware, Wannacr y, NotPetya, Phishing, Botnets și atacuri
de tip DoS/D doS.
Cel mai afectat de atacuri cibern etice este sistemul de operare L inux, care depășește ușor
ponderea de 40%. În același timp, sistemul de operare windows este afe ctat sub 0,5% din totalul
atacurilor cibernetice înregistrate la noi în țară.
Cea mai bună modalitate de a atenua riscurile este înțelegerea amenințărilor cu care ne
confruntă m:
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 134 din 138 • Complexitatea atacurilor și sofisticarea acțiunilor rău intenționate în spațiul cibernetic
continuă să crească.
• Cyberwarul intră dinamic în spațiul cibernetic, creând preocupări crescute față de operatorii
de infrastructură critică, în special în zonele care suferă un fel de criză c ibernetică.
• Actorii sponsorizați de stat sunt unul dintre cei mai omniprezenți agenți malware din spațiul
cibernetic. Acest lucru reprezintă o preocupare principală a specialiștilor în securitate
cibernetică atât comerciali cât și guvernamentali.
• Infrastructurile malițioase își continuă transformarea către funcții configurabile
multifuncționale, inclusiv anonimizarea, criptarea și evaziunea de detectare.
• Abilitățile și capacitățile sunt principalele preocupări ale organizațiilor. Nevoia de programe
de formare conexe și de programe educaționale rămâne aproape fără răspuns.
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 135 din 138 Anexa 1. Listă de figuri
Figură 1. Ransomware ca procent din incidentele de malware – evoluție ………………………….. …….. 31
Figură 2 . Componente ASP.NET ………………………….. ………………………….. ………………………….. …… 129
Figură 3 . Pagina de start a site -ului proiectului ………………………….. ………………………….. ………….. 130
Figură 4 . Pagina Indicatori de performanță ………………………….. ………………………….. ……………….. 131
Figură 5 . Pagina Indicatori de securitate ………………………….. ………………………….. …………………… 131
Figură 6 . Pagina de recomandări ………………………….. ………………………….. ………………………….. …. 132
Anexa 2. Listă de tabele
Tabel 1. Etape de realizare ………………………….. ………………………….. ………………………….. ……………… 5
Tabel 2. Notificări de incidente ………………………….. ………………………….. ………………………….. ………. 29
Tabel 3. Indicatori de securitate cibernetică din categoria Falsificarea Domeniilor Web ………….. 44
Tabel 4. Indicatori de securitate din ca tegoria IEX_SPM – Spam ………………………….. ……………….. 45
Tabel 5 . Indicatori de Securitate din categoria IEX_PHI – Phishing ………………………….. ……………. 46
Tabel 6 . Indicatori de Securitate din categoria IEX_INT – Deteriorarea siteurilor web …………….. 50
Tabel 7 . Indicatori de Securitate – Distrugerea resurselor serverului de către atacuri externe …….. 51
Tabel 8. Indicatori de securitate – IEX_DOS.1: Atacuri de tipul DOS asupra siteurilor …………….. 52
Tabel 9 . Indicatori de securitate Categoria IEX_MLW – Malware ………………………….. ………………. 53
Tabel 10. Indicatori de securitate – Categoria IEX_PHY – Intruziunea sau acțiunea fizică …………. 57
Tabel 11 . Indicatori de securitate Family IMF_BRE – Accidente sau defecțiuni întâmplătoare ….. 58
Tabel 12 . Indicatori de securitate – Categoria I MF_MDL – Furnizarea necorespunzătoare a
conținutului ………………………….. ………………………….. ………………………….. ………………………….. 60
Tabel 13 . Indicatori de securitate – Categoria IMF_LOM – Pierderea sau furtu l de dispozitive
mobile ………………………….. ………………………….. ………………………….. ………………………….. ……… 61
Tabel 14 . Indicatori de securitate – Categoria IMF_LOG – Erori de logare ………………………….. …. 62
Tabel 15 . Indicatori de securitate – IDB_UID – Uzurparea identității ………………………….. ………… 65
Tabel 16 . Indicatori de securitate – Categoria Drepturi (sau privilegii) – abuz pe servere sau
aplicații ………………………….. ………………………….. ………………………….. ………………………….. …… 66
Tabel 17 . Indicatori de securitate – Categoria IDB_MIS – Însușirea ilegală a resurselor ………….. 71
Tabel 18 . Indicatori de securitate – Categoria IMF_LOG – Erori de logare ………………………….. … 72
Tabel 19 . Indicatori de securitate – Categoria IDB_IAC – Accesul ilicit la Inter net ………………….. 73
Tabel 20 . Indicatori de securitate – Categoria IDB_LOG – Dezactivarea înregistrării jurnalelor . 74
Tabel 21 . Indicatori de securitate -Categoria – Operațiunea de vulnerabilitate securizată ………… 75
Tabel 22 . Indicatori de securitate – Categoria IWH_VCN – Configurarea exploatării
vulnerabilităților ………………………….. ………………………….. ………………………….. …………………… 77
Tabel 23 . Indicatori de securitate – Categoria IWH_UKN – Incidente necunoscute ………………….. 78
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 136 din 138 Tabel 24 . Indicatori de securitate – Categoria VBH_PRC – Protocoale periculoase utilizate …….. 79
Tabel 25 . Indicatori de securitate – Categoria VBH_IAC – Acces ilicit la serviciul de internet …… 84
Tabel 26 . Indicatori de securitate – Categoria VBH_FTR – Transmiterea neautorizată către
exterior ………………………….. ………………………….. ………………………….. ………………………….. ……. 86
Tabel 27 . Indicatori de Securitate – Categoria VBH_WTI : Stație de lucru folosită fără nivel de
securitate relevant ………………………….. ………………………….. ………………………….. …………………. 88
Tabel 28 . Indicatori de Securitate – Categoria VBH_PSW: Parole gesti onate în mod ilicit ………… 93
Tabel 29 . Indicatori de securitate – Categoria VBH_PSW – Parole gestionate în mod ilicit ……….. 98
Tabel 30 . Indicatori de securitate – Categoria VBH_RGH – Drepturile de acces acordate ………. 100
Tabel 31 . Indicatori de securitate – Categoria VBH_RGH – Drepturile de acces acordate ilegal 103
Tabel 32 . Indicatori de securitate – Categoria VBH_HUW – Slăbiciuni ………………………….. …….. 104
Tabel 33 . Indicatori de securitate – Categoria VSW_WSR – Vulnerabilități software specifice
serverelor web ………………………….. ………………………….. ………………………….. …………………….. 105
Tabel 34 . Indicatori de securitate – Categoria VSW_OSS – Vulnerabilități software ale sistemului
de operare ………………………….. ………………………….. ………………………….. ………………………….. 106
Tabel 35. Indicatori de securi tate – Categoria VSW_WBR – Vulnerabilități software ale browser –
ului web ………………………….. ………………………….. ………………………….. ………………………….. …. 107
Tabel 36 . Indicatori de securitate – Categoria VCF_DIS – Servicii periculoase sau ilicite ………. 107
Tabel 37 . Indicatori de securitate – Categoria VCF_LOG – Deficiențe de logare ……………………. 108
Tabel 38 . Indicatori de securitate – Categoria VCF_FWR – Configurație defectă pentru firewall 109
Tabel 39. Indicatori de securitate – Categoria VCF_WTI – Stații de lucru configurate eronat ….. 110
Tabel 40. Indicatori de securitate – Categoria VCF_UAC – Stații de lucru configurate eronat …. 111
Tabel 41 . Indicatori de securitate – Categoria VTC_BKP – Defecte de back -up ……………………… 115
Tabel 42 . Indicatori de securitate – Categoria VTC_IDS – Nefuncționarea IDS/IPS ……………….. 116
Tabel 43 . Indicatori de securitate – VTC_WFI – Puncte de acces Wi -Fi ili cit …………………………. 117
Tabel 44. Indicatori de securitate – Categoria VTC_RAP – Acces neautorizat la distanță ……….. 117
Tabel 45. Indicatori de securitate – Categoria VTC_NRG – Conexiuni la rețea ilicite ……………… 118
Tabel 46 . Indicatori de securitate – Categoria VTC_PHY – Controlul accesului fizic ………………. 119
Tabel 47. Indicatori de securitate – Categoria VOR_DSC – Descoperirea atacurilor ……………… 120
Tabel 48. Indicatori de securitate – Categoria VOR_VNP – Vulnerabilități fără patch ……………. 120
Tabel 49. Indicatori de securitate – Categoria VOR_VNR – Sisteme care nu au fost reconfigurate
………………………….. ………………………….. ………………………….. ………………………….. ……………… 122
Tabel 50. Indicatori de securitate – Categoria VOR_RCT – Planuri de reacție ……………………….. 123
Tabel 51. Indicatori de securitate – Categoria VOR_PRT – Securitate în proie ctele de IT ……….. 124
Tabel 52. Indicatori de securitate pentru măsurarea impactului ………………………….. ……………….. 126
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 137 din 138 Bibliografie
[1]. Security, E. -E. (2014). Standards and tools for exchange and processing of actionable
information . www.enisa.europa.eu.
[2]. IntelMQ. (n.d.). https://github.com/certtools/intelmq.
[3]. Carnegie Mellon University. (2018, March 15). Securitate cibernetică Performance: 8
Indicators . Retrieved from SEI Insights: https://insights.sei.cmu.edu/insider –
threat/2018/03/ securitate cibernetică -performance -8-indicators.html
[4]. Guvernul României. (2013). Strategia României pentru securitate cibernetică, H.G.
271/2013. https://cert.ro/vezi/document/NCSS -Ro:
https://www.cert.ro/vezi/document/strategia -de-securitate -cibernetica.
[5]. U.S. Department of Homeland Security. (201 8). Securitate cibernetică Strategy.
https://www.dhs.gov/sites/default/files/publications/DHS -Securitate cibernetică –
Strategy_1.pdf.
[6]. COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN
PARLIAMENT, T. C. (2016). ICT Standardisation Priorities for the Digital Single
Market. COM(2016) 176 final.
[7]. COUNCIL, J. C. (2017). Resilience, Deterrence and Defence: Building strong securitate
cibernetică for the EU. https://eur -lex.europa.eu/legal –
content/EN/ALL/?uri=CELEX%3A5201.
[8]. Council, E. P. (2016 ). Directive 1148 conce rning measures for a high common level of
security of network and information systems across the Union.
https://publications.europa.eu/en/pub.
[9]. Advisors, H. l. (2017). Securitate cibernetică in the European Digital Single Market.
https://ec.europa.eu/research/sam/pdf/sam_ securitate cibernetică _report.pdf.
[10]. E. Black, K. S. (2008). Cyber security metrics and measures.
[11]. EUROPEAN PARLIAMENT. (2017). Mid-Term Review on the implementation of the
Digital Single Market Strategy. COM(2017) 2 28 final:
https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM -2017 -228-F1-EN-MAIN –
PART -1.PDF.
[12]. PARLIAMENT, C. T. (2017). Report on the evaluation of the European Union Agency for
Network and Information Security (ENISA). COM(2017) 478 final:
https:// ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM -2017 -478-F1-EN-MAIN –
PART -1.PDF.
[13]. COUNCIL, C. T. (2017). Making the most of NIS – towards the effective implementation of
Directive (EU) 2016/1148 concerning measures for a high common level of security of
network and information systems across the Union.
https://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM -2017 -476-F1-EN-MAIN –
PART -1.PDF.
[14]. Security, E. U. (2016). Good Practice Guide on Vulnerability Disclosure. From challenges
to recommendations. https://www.enisa.europa.eu/publications/vulnerability -disclosure.
[15]. Agency, E. A. (2017). Implementation of a European Centre for Cyber Security in
Aviation. EASA Newsletter Issue 14.
[16]. Europeană, C. (2017). Recomandarea Comisiei privind răspunsul coordonat la incidentele
și crizele de securitate cibernetică de mare am . C(2017) 6100 fina:
CCS 387 – Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea
nivelului de securitate cibernetică la nivel național
Pagina 138 din 138 https://ec.europa.eu/transparency/regdoc/rep/3/2017/RO/C -2017 -6100 -F1-RO-MAIN –
PART -1.PDF.
[17]. Comisia Europeană, . (2016). Inițiativa europeană în domeniul cloud computing ului –
Dezvoltarea unei economii competitive bazate pe date și pe cunoaștere în Euro .
COM(2016) 178 final: http://ec.europa.eu/transparency/regdoc/rep/1/2016/RO/1 -2016 –
178-RO-F1-1.PDF.
[18]. High Level Group of Scientific Advisors. (2017). Securitate cibernet ică in the European
Digital Single Market. Scientific Advice Mechanism:
https://ec.europa.eu/research/sam/pdf/sam_ securitate cibernetică _report.pdf.
[19]. Optimity Advisors. (2016). Study on Synergies between the civilian and the defence
securitate cibernetică markets. http://publications.europa.eu/resource/cellar/80ca9f55 –
3dbb -11e6 -a825 -01aa75ed71a1.0002.01/DOC_1.
[20]. Parlamentul European. (2014). REGULATION (EU) No 910/2014 on electronic
identification and trust services for electronic transactions in the internal market.
[21]. (2017). The 2017 state of securitate cibernetică metrics annual report.
https://thycotic.com/.
[22]. ETSI. (2015). ETSI GS ISI 002 Information Security Indicators (ISI).
https://www.etsi.org/deliver/etsi_gs/ISI/001_099/00101.
[23]. (n.d.). ISO IEC 27002.
ttp://bcc.portal.gov.bd/sites/default/files/files/bcc.portal.gov.bd/page/adeaf3e5_cc55_4222
_8767_f26bcaec3f70/ISO_IEC_27002.pdf.
[24]. ETSI. (2013). Information Security Indicators (ISI), Event Model A security event
classification model and taxonomy.
https://www.et si.org/deliver/etsi_gs/ISI/001_099/002/01.01.01_60/gs_ISI002v010101p.pdf
.
[25]. ETSI GS ISI 003. (2018). Information Security Indicators (ISI), Key Performance Security
Indicators (KPSI) to evaluate the maturity of security event detection .
https://www.etsi.org /deliver/etsi_gs/ISI/001_099/008/01.
[26]. Parlamentul European. (2016). Directiva 1148/2016. https://eur -lex.europa.eu/legal –
content/EN/TXT/?toc=OJ:L:2016:194:TOC&uri=uriserv:OJ.L_.2016.194.01.0001.01.EN
G.
[27]. ISO/IEC 27004 . (n.d.). https://www.iso.org/obp/ui/#iso :std:iso -iec:27004:ed -2:v1:en .
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: CCS 387 Studiu privind stabilirea indicatorilor de securitate cibernetică care pot fi luați în calcul pentru măsurarea [618426] (ID: 618426)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.