🎯 Introducere - De Ce 4 Domenii?
Conform Ordinului DNSC nr. 1.323/2020 și reafirmat în OUG 155/2024, securitatea cibernetică se structurează în 4 domenii interconectate. Fiecare domeniu are rol specific, dar funcționează împreună ca un sistem integrat.
Legătura Între Domenii
Governance (Planning) → Stabilești obiectivele și strategia
↓
Protecție (Prevention) → Implementezi controale pentru a preveni atacurile
↓
Apărare Cibernetică (Detection) → Monitorizezi și detectezi amenințele
↓
Reziliență (Recovery) → Te recuperezi și continui operațiunile
↓
Înapoi la Governance (ciclu continuu)
1️⃣ GOVERNANCE (Conducere și Management)
Ce este Governance?
Domeniul Governance se referă la structurile decizionale, politicile și procesele de management care asigură că securitatea cibernetică este o prioritate la nivel de conducere.
Componentele Principale:
- Responsabilitatea Managementului: Conducerea entității trebuie să aloce resurse și să supravegheze securitatea
- Politici de Securitate (PONIS): Documente care stabilesc regulile, rolurile și responsabilitățile
- Analiza de Risc (RERO): Identificarea sistematică a riscurilor și evaluarea acestora
- Designul Organizației: Structuri care asigură că securitatea este considerată în fiecare decizie
- Comunicare și Coordonare: Fluxuri de informații interne și externe (cu DNSC)
📋 Ce Trebuie Să Documentezi în Governance?
| Element | Descriere | Frecvență Revizuire |
|---|---|---|
| Politica de Securitate (PONIS) | Document general care stabilește obiectivele, principiile și responsabilități | Anual |
| Registru de Riscuri (RERO) | Listă cu riscurile identificate, impact, probabilitate, măsuri de mitigare | Trimestrial |
| Proceduri Operaționale | Cum se implementează politica în practică (ex: procedura de management al parolelor) | Anual |
| Responsabilități (RACI) | Matricea care stabilește cine este responsabil, cine este implicat, cine aproba | Anual |
✓ PONIS: Document care spune "Apărăm datele clienților și controlul calității produselor prin criptare, control de acces și monitorizare"
✓ RERO: "Risc: Spargere bază date clienți | Probabilitate: MEDIE | Impact: RIDICAT | Măsură: Criptare end-to-end"
✓ Responsabilități: "IT Manager - responsabil de implementare | Director - aproba investiții | Responsabil NIS - supraveghează"
2️⃣ PROTECȚIE (Măsuri Preventive)
Ce este Protecția?
Domeniul Protecție se referă la controale tehnice și organizatorice care previne sau limitează accesul neautorizat, modificarea datelor sau alte incidente.
Componentele Principale:
- Managementul Accesului (B31): Cine poate accesa ce - autentificare, autorizare
- Criptare (B21): Protejarea datelor în tranzit și în repaus
- Firewall și Filtrare (B14): Controlul traficului - ce intră și ce iese
- Antivirus și Anti-Malware (B16): Protecția împotriva programelor rău-intenționate
- Protecția Fizică (B51): Controlul accesului la echipamente - clădiri, săli de servere
- Testarea Securității (A16): Teste de penetrare și evaluări de vulnerabilități regulate
🔒 Măsuri de Protecție Specifice
✓ Firewall la intrare în rețea administrativă
✓ Criptare a bazei de date cu formule de producție
✓ Control de acces: doar manageri pot modifica cantități, doar QA poate aproba release-uri
✓ Antivirus pe toate stațiile de lucru
✓ Test de penetrare anual al sistemelor
3️⃣ APĂRARE CIBERNETICĂ (Detectare și Răspuns)
Ce este Apărarea Cibernetică?
Domeniul Apărare se referă la detectarea, analiza și răspunsul la incidente de securitate. Se concentrează pe "ce se întâmplă acum?" și "ce facem?"
Componentele Principale:
- Monitorizare Continuă: Urmărirea activității pe rețele și sisteme în timp real
- Detectarea Alertelor: Identificarea comportamentelor anormale, incidente potențiale
- Plan de Răspuns la Incidente: Proceduri clare: cine face ce, când și cum
- Jurnalizare și Audit (Logging): Înregistrarea tuturor evenimentelor importante
- Comunicare Incidente: Raportarea către DNSC în 24 de ore pentru incidente semnificative
- Formare pe Incidente: După fiecare incident major, analiza post-mortem și îmbunătățiri
🚨 Cum Funcționează Detectarea și Răspunsul?
Ciclul Detectare-Răspuns-Remediere:
1. Monitorizare: SIEM (Security Information Event Management) colectează logs de pe toate sistemele.
2. Detectare: Analist de securitate vede o alertă - ex: "10 tentative de login cu parolă greșită pe servul de bază de date"
3. Analiză Inițială: Se verifică dacă e fals pozitiv (utilizator a uitat parola) sau atac real.
4. Containment (Izolare): Dacă e atac, se blochează IP-ul atacatorului, se resetează parola.
5. Raportare la DNSC: Dacă e "semnificativ", se transmite un raport către DNSC în 24 de ore.
6. Post-Mortem: După incident, echipa analizează ce s-a întâmplat și cum se evită următorii incidente.
✓ SIEM monitorizează rețea 24/7
✓ Alert: "Database SQL a făcut 1000+ conexiuni în 5 minute" - posibil atac
✓ Administrator izolează database, analizează logs
✓ Rezultat: Atac SQL injection de pe o aplicație web neprotejată
✓ Raportare DNSC cu detalii (cât timp a ținut, ce date afectate, măsuri remediere)
✓ Post-mortem: aplicația web necesita patch-uri de securitate
4️⃣ REZILIENȚĂ (Continuitate și Recuperare)
Ce este Reziliența?
Domeniul Reziliență se referă la capacitatea de a-ți continua operațiunile și de a te recupera din incidentele de securitate. Se concentrează pe "cum supraviețuiesc?"
Componentele Principale:
- Backup și Recuperare Datos (B12, B61): Copii de siguranță regulate, testate periodic
- Planul de Continuitate a Afacerii (BCP): Cum funcționezi dacă sistemele principale sunt nefuncționale
- Planul de Recuperare după Dezastru (DRP): Cum te recuperezi și revii la normal
- Redundanță: Sisteme duplicate - dacă unu se cade, altul ia locul
- Disponibilitate (Availability): Sistemele critice trebuie să funcționeze > 99% din timp
- Testare Periodică: Teste de failover și recuperare - cel puțin anual
💾 Backup și Recuperare - Aspecte Practice
| Aspect | Cerințe Minime | Bună Practică |
|---|---|---|
| Frecvență Backup | Cel puțin săptămânal | Zilnic, cu backup incremental |
| Locație Backup | Nu în aceeași locație ca original | Geografie diferită (ex: cloud regional) |
| Testare Recuperare | Cel puțin anual | Trimestrial - restaurare completă pe sistem test |
| Criptare Backup | Recomandată | OBLIGATORIE - backup criptat la destinație |
| Timp de Recuperare (RTO) | Max 24 de ore | Max 4 ore pentru sisteme critice |
✓ Backup zilnic: Bază de date producție, comenzi, date clienți
✓ Locație: Backup local pe NAS + backup cloud la AWS
✓ BCP: Dacă rețeaua se cade, se trece la sistem manual pe hârtie + actualizare la revenire
✓ DRP: Dacă server principal moare, se pornește replica din cloud în < 1 oră
✓ Test: Trimestrial - simulare cădere server, verificare timp recuperare
🔗 Cum Se Conectează Cele 4 Domenii?
1. GOVERNANCE (Planning): Politica spune: "Datele clienților sunt CONFIDENȚIALE și trebuie protejate. Orice acces neautorizat este incident semnificativ."
2. PROTECȚIE (Prevention): Se implementează: criptare, firewall, control de acces. Doar 3 persoane pot accesa baza de date.
3. APĂRARE (Detection): Atacator încearcă să spargă bazei de date. SIEM detectează: "IP nerecunoscut încearcă SQL injection". Alert! Sistemul blochează IP.
4. REZILIENȚĂ (Recovery): Dacă atacul a reușit parțial, backup-ul zilnic de ieri permite restaurarea datelor integre. Sistemul redevine operațional.
Apoi, ciclul se repetă: Governance revizuiește politica, se adaugă noi măsuri de protecție, apărarea se antrenează pentru atacuri similare, etc.
✅ Recap pentru Examen - Întrebări Probabile
1. În conformitate cu Ordinul nr. 1.323/2020 al DNSC, domeniile de securitate se clasifică în:
Răspuns Corect: d) Governance, Protecție, Apărare cibernetică, Reziliență
2. Care este primul pas în procesul de management al securității?
Răspuns Corect: b) Realizarea analizei de risc
3. Care dintre următoarele NU face parte din domeniul Apărare Cibernetică:
Răspuns Corect: c) Sisteme de management (aceasta e Governance)
4. Care dintre cerintele de Securitate nu face parte din domeniul Reziliență:
Răspuns Corect: b) Monitorizarea incidentelor (aceasta e Apărare)