Indicatori de securitate sau indicatori de evaluare a conformității?

Art. 6 din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020 impune:

OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS.

Indicatorii de securitate se pot referi la: performanțele gestionării riscurilor; menținerea resurselor în condiții sigure; drepturile de acces ale utilizatorilor; autentificarea accesului la resurse; administrarea resurselor.

(…) OSE specifică pentru fiecare indicator metoda de evaluare folosită și, dacă este cazul, marja de incertitudine în evaluarea sa.

(PONIS – politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale

IEC – indicatori de evaluare, pe baza cărora OSE își evaluează conformitatea cu PONIS)

Cînd am citit anul trecut Normele, eram convins că este vorba de KPI sau de indicatori de maturitate și nu vedem nimic complicat în atingerea conformității. De curînd mi-am dat seama că am greșit: în timp ce KPI măsoară/evaluează performanța unei organizații într-un domeniu, IEC din norme se referă la măsurarea…conformității cu politica de securitate.

Putem considera că este vorba de același lucru? Putem considera că în politica de securitate (PONIS) regăsim nivelul maxim de maturitate a securității? Nu cred. Într-o lege/norme semnificația cuvintelor este foarte importantă și așa cum înțeleg eu definiția, IEC se referă doar la conformitate și nu la maturitatea securității Asta nu înseamnă că nu aș putea folosi și KPI pentru evaluarea conformității.

Conformitatea cu PONIS începe cu……managementul riscurilor! Cum PONIS înseamnă ”politică” rezultă, în înțelegerea mea, că indicatorii de evaluare a conformității au în vedere respectarea/încălcarea specificațiilor din PONIS. Cum spune textul Normelor, indicatorii vor trebui să acopere cel puțin exemplele citate mai sus. În fapt însă, IEC trebuie să acopere tot:

  • cum s-au implementat în general cerințele
  • managementul incidentelor și evenimentelor
  • managementul vulnerabilităților
  • managementul configurațiilor
  • instruirea utilizatorilor
  • controlul accesului
  • procesul de management al riscurilor
  • managementul continuității activităților
  • mediul de lucru și securitatea fizică
  • …..

Un exemplu acum:

Descriptor IECDescriere
IdIECDefinit de organizație, poate fi alfanumeric (de ex. IEC_01) sau mnemonic (de ex. IEC_PolSec)
DescriereEvaluarea revizuirii documentelor menționate în Norme la intervale regulate sau ori de cîte ori apar modificări semnificative
Formula/CalculProcentul (sau numărul) de revizuiri calculat după formula: Număr politici revizuite/total politici*100
Valoare țintă:>=80%
Dovadă implementareDocumente (liste, memos, semnături, versionare etc) care dovedesc revizuirea
FrecvențaAnual
Responsabilități– Emitentul documentului execută (R)
– Auditul intern este informat (I)
– CISO/Responsabil NIS reste responsabil (A)
Date de intrareDocumentele menționate în normele NIS
Format raportareTabel centralizator cu documentele revizuite și grafic care să prezinte evoluția.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.