Pe lîngă Raportul de audit pe care îl furnizează OSE (și la cerere DNSC), auditorii de securitate cibernetică (ASC) trebuie să raporteze anual către DNSC și: numărul de zile ale misiunii neregulile grave vulnerabilitățile constatate în cazul fiecărui tip de audit. Auditul de securitate se realizează la fiecare doi ani (în cazul OSE înregistrate în…
Cerințele minime de asigurare a securității OSE publicate în ordinul 1323/2020 sînt ”controale”. Auditorul de securitate cibernetică (sau auditorul intern) trebuie să testeze aceste controale: testarea proiectării (TOD- test of design) – validează că un control care este declarat a fi pus în aplicare de către OSE a fost într-adevăr stabilit și pus în aplicare.…
Deunăzi am făcut o prezentare pentru OSE din domeniul serviciilor medicale. Am folosit ca element central de discuție schema pe care deja am distribuit-o pe Linkedin. În Norme, cerințele de securitate în cazul A19 sînt prezentate astfel: [A191]. Inventarierea și gestionarea activelor. OSE stabilește un cadru adecvat pentru identificarea, clasificarea și implementarea unui inventar al proceselor…
Art. 6 din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020 impune: OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS. Indicatorii de securitate se pot referi la: performanțele gestionării riscurilor; menținerea resurselor în condiții sigure;…
Hellen Keller a fost o scriitoare americancă. Oarbă și surdă de la vîrsta de aproape 2 ani. În The Open Door scrie: ”Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright…
Ghidul EBA/GL/2019/04 (preluat de BNR) precizează: Ca parte a bunei gestionări a continuității activității, instituțiile financiare trebuie să realizeze o analiză de impact asupra activității (BIA), analizând expunerea lor la întreruperi grave ale activității și evaluând, din punct de vedere cantitativ și calitativ, impactul potențial al acestora (inclusiv asupra confidențialității, integrității și disponibilității), folosind date interne și/sau externe…
De-a lungul timpului am cititi/revizuit cîteva BCP/DRP/IRP. Am mai și scris unele. Aproape toate aveau și teste documentate, dar majoritatea doar despre componenta IT (DRP). Spun că un astfel de test nu trebuie să fie anunțat iar scenariul trebuie să fie unul cît mai real posibil. Inclusiv exercițiile de evacuare din clădiri în caz de…
Să încep cu o primă concluzie pe care o dezvolt în continuare: GDPR este o reglementare necesară dar a apărut cînd „pacientul„ era deja în comă. Dată(e)+Semnificație=Informație Teoria despre care tot spun și scriu că este bună dacă, după ce o înțelegi, o aplici corespunzător spune așa:datele sînt niște”chestii” brute fără prea mare însemnătate pentru…
Omul. Așa a fost dintotdeauna. Angajații, fie din neglijență, fie din naivitate sau din răutate (fără a exclude și cerințele operaționale explicite, care de cele mai multe ori transformă un KPI/target în principalul obiectiv al angajatului), sunt cea mai frecventă cauză a incidentelor de securitate. Ce soluții sînt pentru a rezolva cauza? Pe de o…
Prin comparație cu vremurile de acum 5 sau 10 ani, organizațiile de astăzi nu se mai pot baza pe modelul de securitate cunoscut ca „in depth/layered/castle-and-moat,„. Declanșatorul care le(-a) forțează să se adapteze la complexitatea/realitatea prezentului (forța de muncă mobilă, dispozitive, aplicații și date aflate oriunde/cloud) a fost pandemia de Covid. Securitate IT fără să…
ADRIAN B. MUNTEANU 