NIST 800-18 Guide for Developing Security Plans for Federal Information Systems

 

“The protection of a system must be documented in a system security plan.”

“The system security plan should be viewed as documentation of the structured process of  planning adequate, cost-effective security protection for a system.”

“System security plans are living documents that require periodic review, modification, and plans of action and milestones for implementing security controls. “

“System Security Plan -  Formal document that provides an overview of the security requirements for the information system and describes the security controls in place or planned for meeting those requirements.  “

” The information system owner  is the agency official responsible for the overall  procurement, development, integration, modification, or operation and maintenance of  the information  system.”

 

“Information System Security Plan Template

1. Information System Name/Title:

2. Information System Categorization:

3. Information System Owner:

4. Authorizing Official:

5. Other Designated Contacts:

6. Assignment of Security Responsibility:

7. Information System Operational Status:

8. Information System Type:

9. General System Description/Purpose

10. System Environment

11. System Interconnections/Information Sharing

12. Related Laws/Regulations/Policies

13. Minimum Security Controls

14. Information System Security Plan Completion Date:

15. Information System Security Plan Approval Date:”

 

 

OMCTI 389/2007

 

“plan de securitate – documentul ce descrie totalitatea masurilor tehnice si administrative
care sunt  luate de catre emitent pentru utilizarea  în conditii de siguranta a  instrumentului
de plata cu acces la distanta;”

 

"Art. 8

1. Informatii de identificare:
a) emitentul instrumentului de plata cu acces la distanta;
b) denumirea instrumentului de plata cu acces la distanta;
c) provenienta instrumentului de plata cu acces la distanta;
d) categoria (internet, nome sau mobile-banking);
e) statutul operational al sistemului prin intermediul caruia este oferit instrumentul de plata cu acces la distanta si anul intrarii în productie;
f) descrierea generala a solutiei tehnice;
g) consideratiile specifice;
h) interconectarea sistemului;
i) aria geografica în care instrumentul de plata cu acces la distanta poate fi utilizat;
j) datele de contact ale persoanelor responsabile.
2. Senzitivitatea sistemului:
a) legislatia aplicabila;
b) descrierea generala a senzitivitatii informatiilor gestionate de catre sistem.
3. Masuri pentru securitatea sistemului:
a) evaluarea si managementul riscurilor potentiale;
b) codurile de conduita/conditiile de utilizare/contractul prin care este oferit instrumentul de
plata cu acces la distanta;
c) rapoartele de testare;
d) masurile tehnice de securitate implementate;
e) procedurile operationale de exploatare;
f) masurile aplicate pentru asigurarea securitatii fizice;
g)  instruirea  personalului  propriu  al  emitentului  în  legatura  cu  administrarea  sistemului
informatic;  
h)  instructiunile  de  utilizare  a  instrumentului  de  plata  cu  acces  la  distanta  (manual  de
utilizare oferit clientilor);
i) suportul  tehnic oferit de catre emitent clientilor care utilizeaza  instrumentul de plata cu
acces la distanta.