Cerințe minime de asigurare a securității rețelelor și sistemelor informatice aplicabile OSE – un alt exemplu

Deunăzi am făcut o prezentare pentru OSE din domeniul serviciilor medicale. Am folosit ca element central de discuție schema pe care deja am distribuit-o pe Linkedin. În Norme, cerințele de securitate în cazul A19 sînt prezentate astfel: [A191]. Inventarierea și gestionarea activelor. OSE stabilește un cadru adecvat pentru identificarea, clasificarea și implementarea unui inventar al proceselor…

Continuă citirea →

Indicatori de securitate sau indicatori de evaluare a conformității?

Art. 6 din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020 impune: OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS. Indicatorii de securitate se pot referi la: performanțele gestionării riscurilor; menținerea resurselor în condiții sigure;…

Managementul continuității afacerii – ce audităm

Hellen Keller a fost o scriitoare americancă. Oarbă și surdă de la vîrsta de aproape 2 ani. În The Open Door scrie: ”Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright…

”A” din BIA înseamnă ”analiză”

Ghidul EBA/GL/2019/04 (preluat de BNR) precizează: Ca parte a bunei gestionări a continuității activității, instituțiile financiare trebuie să realizeze o analiză de impact asupra activității (BIA), analizând expunerea lor la întreruperi grave ale activității și evaluând, din punct de vedere cantitativ și calitativ, impactul potențial al acestora (inclusiv asupra confidențialității, integrității și disponibilității), folosind date interne și/sau externe…

Răspunsul la incidente de securitate IT

De-a lungul timpului am cititi/revizuit cîteva BCP/DRP/IRP. Am mai și scris unele. Aproape toate aveau și teste documentate, dar majoritatea doar despre componenta IT (DRP). Spun că un astfel de test nu trebuie să fie anunțat iar scenariul trebuie să fie unul cît mai real posibil. Inclusiv exercițiile de evacuare din clădiri în caz de…

Veriga slabă

Omul. Așa a fost dintotdeauna. Angajații, fie din neglijență, fie din naivitate sau din răutate (fără a exclude și cerințele operaționale explicite, care de cele mai multe ori transformă un KPI/target în principalul obiectiv al angajatului), sunt cea mai frecventă cauză a incidentelor de securitate. Ce soluții sînt pentru a rezolva cauza? Pe de o…

Un virus care accelerează schimbarea

Prin comparație cu vremurile de acum 5 sau 10 ani, organizațiile de astăzi nu se mai pot baza pe modelul de securitate cunoscut ca „in depth/layered/castle-and-moat,„. Declanșatorul care le(-a) forțează să se adapteze la complexitatea/realitatea prezentului (forța de muncă mobilă, dispozitive, aplicații și date aflate oriunde/cloud) a fost pandemia de Covid. Securitate IT fără să…

Instrumente pentru testarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice ale OSE

Fie că privim lucrurile din perspectiva auditului fie din perspectivă operațională, „măsuri de securitate„ înseamnă „control„. iar obiectivul oricărui control este să ofere asigurări cu privire la atingerea obiectivelor procesului pentru care au fost proiectate. Pentru a obține aceste asigurări, măsurile de securitate trebuie testate. MITRE ATT&CK MITRE ATT&CK este un cadru deschis și o…

NIS v2.0

Pe 16.12.2020 Comisia Europeană a adoptat propunerea de directivă revizuită privind securitatea rețelelor și a sistemelor informatice (Directiva NIS 2). Propunerea va face obiectul negocierilor dintre colegislatori, în special Consiliul UE și Parlamentul European. Odată ce propunerea este convenită și adoptată în consecință, statele membre vor trebui să transpună Directiva NIS2 în termen de 18…

ADRIAN B. MUNTEANU

audit, guvernare, riscuri, conformitate IT.