Art. 3, lit. e
audit de securitate cibernetică – activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unei infrastructuri cibernetice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora;
Art. 19, alin. 2, lit c.
auditarea nivelului de securitate cibernetică a infrastructurilor cibernetice de interes naţional.
Art. 21, alin 2, lit. a
să efectueze auditări de securitate cibernetică, potrivit standardelor și specificațiilor europene sau internaționale, aplicabile în domeniul securității cibernetice;
Am citat pricipalele prevederi legale din propunere.
-
Definiții
Audit și asigurare sînt doi termeni folosiți de multe ori pentru a desemna același lucru (mai există program de audit vs. plan de audit). Există totuși mici diferențe…..
• Asigurare – activități conexe concepute pentru a oferi cititorului/utilizatorului raportului un nivel de asigurare/confort pe un subiect dat.
• Audit – o inspecție și o verificare formale, cu scopul de a verifica dacă un set de standarde/ghiduri/reglementări sînt respectate, dacă înregistrările reflectă realitatea, dacă sînt atinse țintele de eficiență și/sau eficacitate etc. (Sursa: Glosarul de termeni ISACA).
În timp ce funcția de asigurare poate fi realizată de alte funcții ale organizației (management riscuri, managementul calității, investigare fraude, securitate), auditul ar trebui realiizat doar de către auditori. Aceasta deoarece, dincolo de definițiile anterioare, auditul trebuie să fie independent de orice altă funcție operațională. (vezi și Audit: raportare directă sau atestare?)
2. Auditul de conformitate
Ori de cîte ori se solicită o evaluare independentă asupra unui subiect dat prin raportare la criterii identificate de autorități, avem de a face cu un audit de conformitate.
Auditul de conformitate poate acoperi o gamă largă de subiecte (subject matter) și poate fi realizat pentru a oferi atît asigurări rezonabile dar și limitate, folosind criterii, proceduri de obținere a probelor și formate de raportare diferite.
Auditul de conformitate poate îmbrăca atît forma atestării dar și a raportării directe sau ambele.
3. Criterii
1008 Criteria
1008.1 IS audit and assurance professionals shall select criteria, against which the subject matter will be assessed, that are objective, complete, relevant, measureable, understandable, widely recognised, authoritative and understood by, or available to, all readers and users of the report.
1008.2 IS audit and assurance professionals shall consider the source of the criteria and focus on those issued by relevant authoritative bodies before accepting lesser-known criteria.(…)
For example, when dealing with government regulations, criteria based on assertions developed from the legislation and regulations that apply to the subject matter may be most appropriate.
(Sursa: ITAF, ediția 3)
Analizînd propunerea legislativă, apare o mică contradicție:
- pe de o parte, legiuitorul impune ca auditul să fie realizat „potrivit standardelor și specificațiilor europene sau internaționale, aplicabile în domeniul securității cibernetice„;
- pe de altă parte, impune „cerințe minime de securitate„.
Am scris „mică contradicție„ pentru că, așa incoerente cum sînt, „cerințele minime de securitate„ par a fi preluate din ISO27001. Subiectul „criteriilor„ putea fi rezolvat mult mai simplu dacă auditorii tot au la dispoziție selectarea standardelor: publicarea standardelor/practicilor acceptabile și dintre care managementul auditatului este obligat să aleagă ce implementează (acest lucru s-a întîmplat în cazul Agențiilor de plăți în agricultură cu ceva ani în urmă cînd, de la nivel european s-au indicat: ISO 27001, COBIT și manualul/criteriile de securitate ale Germaniei). Iată un exemplu de aliniere între cele mai cunoscute standarde/framework. Managementul ar trebui să decidă ce va folosi iar auditorul va ști exact pe ce criterii își va fundamenta auditul.
4. Dileme
În acest moment legea este doar propunere și nu avem nici Norme de aplicare. Prin raportare la „buchea cărții„ în materie de audit, situația se prezintă astfel:
a. Subiectul auditului: securitate cibernetică a infrastructurilor cibernetice de interes naţional.
b. Obiectivul auditului: (Posibil) asigurarea conformității cu…cerințele legale (????). Sau, combinînd definițiile de la începutul acestui articol, starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, precum şi rezilienţa şi stabilitatea resurselor şi serviciilor publice sau private din spaţiul cibernetic;
c. Scopul auditului: securitatea infrastructurilor cibernetice de interes național
d. Planificarea: sediul fizic și sursele de informații necesare pregătirii testelor (situația în care anumite servicii sînt externalizate nu este acoperită! Cîte din instituțiile publice de la noi au în contractele de achiziție de aplicații dezvoltate la cerere clauză de „software escrow„?)
e. Proceduri de audit și culegere a datelor: politici, proceduri, standarde etc; persoanele ce vor fi intervievate; metode (inclusiv instrumente software) folosite în evaluarea cerințelor minimale….
(Nota bene
Este foarte probabil să am eu o înțelegere greșită asupra domeniului auditului.
Ieri am avut ocazia să susțin o prezentare publică (împreună cu Bogdan Manolea) în cadrul unui eveniment organizat de Romsym. Reformulez concluzia: cînd legea nu este clară, cînd valoarea contravențiilor este mică, organizația se adaptează! Auditorul va fi foarte atent la ce și cum scrie într-un raport de audit.
Chiar dacă au fost preluate sub denumirea „măsuri de securitate„ în fapt discutăm de „controale„. Iar controalele, fiind atributul/responsabilitatea managementului, trebuie să atingă obiective. În cîte din firmele certificate ISO27001, în timpul auditului de certificare, se verifică tehnologiile care susțin afirmațiile din SMSI? )
ADRIAN B. MUNTEANU 