După lecturarea si analizarea legii de mai multe ori pot spune că este stufoasă, neclară ca terminologie și….pe ici pe colo incompletă. Doar două argumente: majoritatea intră sub incidența GDPR și acolo există o terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA)

Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al tehnologiei„, „securitate implicită și din momentul proiectării„ sau „responsabilitatea managementului„,. Mi s-ar fi părut mai simplu: managementul este răspunzător de securitate și trebuie să pună în practică măsuri de protecție adaptate stadiului actual al dezvoltării, în urma unei evaluări a riscurilor. Auditorul evaluează și raportează. Și cam atît 🙂

Dacă prin GDPR se impune existența DPO în anumite circumstanțe, de ce nu s-a propus/impus în cazul infrastructurilor critice rolul CISO? Sau de ce nu s- a menționat responsabilitatea explicită a managementului?

Art. 10 din lege precizează că „în scopul asigurării securității rețelelor și sistemelor informatice, operatorii de servicii esențiale au următoarele obligații:

a) implementează măsurile tehnice și organizatorice adecvate și proporționale pentru îndeplinirea cerințelor minime de securitate stabilite în temeiul prevederilor art. 25 alin. 3

Articolul 25 zice:

„(1) În vederea asigurării unui nivel comun de securitate a rețelelor și sistemelor informatice, operatorii de servicii esențiale și furnizorii de servicii digitale au obligația de a respecta normele tehnice elaborate de CERT-RO în temeiul prevederilor art. 20 lit. b.

(2) CERT-RO elaborează, cu consultarea autorităților care reglementează sectoarele și subsectoarele prevăzute în anexă, ghiduri în sprijinul implementării măsurilor minime de securitate pentru operatorii și furnizorii prevăzuți în prezenta lege.

(3) Normele tehnice prevăzute la alin.1 aplicabile operatorilor de servicii esențiale se stabilesc în baza cel puțin a următoarelor categorii de activități de asigurare a securității rețelelor și sistemelor informatice:

a) managementul drepturilor de acces;

b) conștientizarea și instruirea utilizatorilor;

c) jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;

d) testarea și evaluarea securității rețelelor și sistemelor informatice;

e) managementul configurațiilor rețelelor și sistemelor informatice;

f) asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;

g) managementul continuității funcționării serviciului esențial;

h) managementul identificării și autentificării utilizatorilor;

i) răspunsul la incidente;

j) mentenanța rețelelor și sistemelor informatice;

k) managementul suporturilor de memorie externă;

l) asigurarea protecției fizice a rețelelor și sistemelor informatice;

m) realizarea planurilor de securitate;

n) asigurarea securității personalului;

o) analizarea și evaluarea riscurilor;

p) asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;

q) managementul vulnerabilităților și alertelor de securitate.

Lista de mai sus pare inspirată din ISO 27001, dar ceva mai ….împrăștiată. Așa cum s-a spus sînt „categorii„ de activități și pentru acestea vor fi elaborate „norme tehnice„. Dar sînt și „cerințe minime de securitate„. Aștept cu mult interes „normele tehnice„. Sînt curios, de exemplu, care vor fi diferențele dintre punctul p) și restul….Bănuiesc/sper că „ realizarea planurilor de securitate„ va avea în vedere componenta procedural/documentară….

Două vorbe și despre audit.
Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale se realizează prin decizia directorului general al CERT-RO care se comunică operatorului de servicii esențiale în urma depunerii unui raport de audit care atestă îndeplinirea cerințelor minime de securitate și notificare.

Dar….. auditor de securitate a rețelelor și sistemelor informatice persoana fizică sau persoana juridică ce realizează audit de securitate a rețelelor și sistemelor informatice, adică desfășoară acea activitate prin care se realizează o evaluare sistematică a TUTUROR politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora.

Cred că lipsește cuvîntul „tehnice„ după „măsurilor„. Nu de alta. dar „politica„ sau „procedura„ tot o măsură de protecție este. Așa scrie la carte despre „security in depth„. Fără acel „tehnic„ iar se vor audita…..„planuri„ 🙂