După cum spuneam și în articolul precedent, nevoia este reală dar nu trebuie exagerate efectele. Dacă legea încalcă sau nu libertățile individului nu sînt în măsură să mă pronunț. Mă interesează însă dacă prin prevederile sale legea va avea ca rezultat asigurarea securității informațiilor.

„Legea securității cibernetice„ ar fi trebuit, în opinia mea, să fie mult mai clară, coerentă și consistentă cu realitățile vremurilor. Poate Normele de aplicare vor acoperi subiectele despre care scriu în continuare.

Cînd vorbim de „securitate cibernetică„ avem în vedere protejarea informațiilor/serviciilor. Dacă în urma accesării/divulgării/modificării/indisponibilizării unor informații nu ar exista pierderi înseamnă că nu ar trebui să ne agităm prea mult.

Legea definește:

„infrastructuri cibernetice de interes naţional (ICIN)  – infrastructurile cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare poate aduce atingere securităţii naţionale, sau prejudicii grave statului român ori cetăţenilor acestuia, denumite în continuare ICIN„

Tot legea precizează că în termen de 60 sau 90 de zile de la aprobare:

(3) Identificarea ICIN se realizeazăpe baza criteriilor de selecţie cuprinse în metodologia elaboratăde Serviciul Român de Informaţii şi Ministerul pentru Societatea Informaţională şi aprobată, în termen de 60 de zile de la intrarea în vigoare a prezentei legi, prin hotărâre de Guvern.

Art. 19. – (1) La nivel naţional se constituie Catalogul ICIN, care se aprobăîn termen de 90 de zile de la intrarea în vigoare a prezentei legi, prin hotărâre a Guvernului.

Poate legea ar fi trebuit să nominalizeze explicit cel puțin 2 roluri care ar trebui să existe în structurile organizatorice din cadrul ICIN: CISO – Chief Information Security Officer/Information Systems Security Officer (ISSO), respectiv DPO – Data Privcy Oficer.

Poate legea ar fi trebuit să fie ceva mai concretă cînd se face referire la „politica de securitate„, respectiv „planul de securitate„ avînd în vedere că aceste sînt…documente emanate și asumate de management. Aceste două documente nici măcar nu sînt definite în lege! Ar fi fost interesant de știut dacă se are în vedere un document – ceea ce înseamnă un singur responsabil, sau mai multe documente logic structurate – ceea ce înseamnă responsabilități multiple.

Poate ar fi trebuit definite de la bun început „controalele comune„ la nivel de ICIN. Pentru că așa se va întîmpla: vor fi controale comune și controale specifice. Controale ar putea fi grupate în 3 categorii: management (de exemplu achizițiile), operațional (de exemplu integritatea informațiilor) și tehnic (de exemplu controlul accesului).

Poate nu ar fi o idee foarte năstrușnică ca, pe modelul Service Catalog să existe…..Security Controls Catalog, asumat de managementul ICIN!

Dacă tot s-au achiziționat SIEM și există CERT-Ro, poate și procesul de notificare a incidentelor ar fi bine să fie revizuit.

În final, cerința:

„c) să efectueze anual auditări de securitate ciberneticăsau să permită efectuarea unor astfel de auditări la solicitarea motivată a
autorităţilor competente potrivit prezentei legi; „

ar fi mult mai clară și sînt convins că ar avea rezultate reale în practică.

În cazul deținătorilor de ICIN ar fi trebuit precizate clar termene limită pînă la care să se asigure conformitatea cu prevederile legii.

Cred că în lipsa viziunii/abordării întregului, legea va ajuta doar la analize post-factum fără rezultate notabile.