Astăzi s-au publicat Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale.
De la bun început remarc clarificarea în ceea ce privește responsabilitatea managementului cu privire la guvernanța securității IT (aș fi preferat guvernare ca termen): angajamentul managementului de nivel înalt al organizației în asigurarea sistemului de management al securității informației. Reformulat: managementul este răspunzător!
Raportul de audit va avea doi beneficiari/părți interesate: CERT și operatorul de servicii esențiale. Cum aș redacta astăzi raportul de audit (în lipsa altor instrucțiuni adoptate) astfel încît să răspund nevoilor ambilor beneficiari? Chiar dacă ar trebui să mai ofer și alte detalii, simplific lucrurile pentru acest exemplu.
RAPORTUL AUDITORULUI INDEPENDENT
Către SC…..
Str…..
Vă prezentăm rezultatele auditului nostru asupra securității rețelelor și sistemelor informatice administrate, realizat în perioada [data].
Raportul de audit include opinia noastră cu privire la respectarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale.
Auditul a fost realizat în conformitate cu ITAF – IT Assurance Framework v4 publicat de ISACA și legislația din domeniul securității sistemelor informatice și protecției datelor cu caracter personale.
Considerăm că probele obținute oferă o bază rezonabilă pentru concluziile și constatările noastre prin raportare la obiectivele misiunii.
- Introducere
1.1 Scurtă descriere a operatorului de servicii esențiale
1.2 Scurtă descriere a infrastructurii
(O diagramă de nivel înalt a infrastructurii și aplicațiilor fără detalii tehnice)
2. Rezumat executiv
(Se menționează responsabilitatea managementului OSE și a auditorului)
3. Scopul auditului
4. Obiectivele auditului
(Sînt domeniile din Norme)
5. Metodologia de audit
6. Rezultatele și constatările auditului
(Pentru că în acest tip de misiune trebuie atestată existența și funcționarea măsurilor minime de securitate așa după cum sînt ele publicate în Norme, aș include constatările sub forma de mai jos pentru a fi mai facil de înțeles raportul)
…..
7. Opinia de audit
În opinia noastră, la data de ….., în toate aspectele revizuite, controalele la nivelul rețelelor și sistemului informatic al …sînt (sau ”nu sînt”) proiectate și funcționează eficient (sau „cu excepția….„)
Acest raport al auditorului independent este adresat exclusiv conducerii SC …..și CERTRO.
Auditul nostru a fost efectuat pentru a putea raporta acele aspecte pe care trebuie să le raportăm într-un raport de audit asupra securității sistemelor informaționale conform standardelor ISACA și nu în alte scopuri. În măsura permisă de lege, nu acceptăm și nu ne asumăm responsabilitatea pentru auditul nostru decît față de societatea comercială și CERTRO.
Auditor…..
Înregistrat la CERT cu numărul …
ADRIAN B. MUNTEANU 