Art. 6 din Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, din 09.11.2020 impune:
OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS.
Indicatorii de securitate se pot referi la: performanțele gestionării riscurilor; menținerea resurselor în condiții sigure; drepturile de acces ale utilizatorilor; autentificarea accesului la resurse; administrarea resurselor.
(…) OSE specifică pentru fiecare indicator metoda de evaluare folosită și, dacă este cazul, marja de incertitudine în evaluarea sa.
(PONIS – politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale
IEC – indicatori de evaluare, pe baza cărora OSE își evaluează conformitatea cu PONIS)
Cînd am citit anul trecut Normele, eram convins că este vorba de KPI sau de indicatori de maturitate și nu vedem nimic complicat în atingerea conformității. De curînd mi-am dat seama că am greșit: în timp ce KPI măsoară/evaluează performanța unei organizații într-un domeniu, IEC din norme se referă la măsurarea…conformității cu politica de securitate.
Putem considera că este vorba de același lucru? Putem considera că în politica de securitate (PONIS) regăsim nivelul maxim de maturitate a securității? Nu cred. Într-o lege/norme semnificația cuvintelor este foarte importantă și așa cum înțeleg eu definiția, IEC se referă doar la conformitate și nu la maturitatea securității Asta nu înseamnă că nu aș putea folosi și KPI pentru evaluarea conformității.
Conformitatea cu PONIS începe cu……managementul riscurilor! Cum PONIS înseamnă ”politică” rezultă, în înțelegerea mea, că indicatorii de evaluare a conformității au în vedere respectarea/încălcarea specificațiilor din PONIS. Cum spune textul Normelor, indicatorii vor trebui să acopere cel puțin exemplele citate mai sus. În fapt însă, IEC trebuie să acopere tot:
- cum s-au implementat în general cerințele
- managementul incidentelor și evenimentelor
- managementul vulnerabilităților
- managementul configurațiilor
- instruirea utilizatorilor
- controlul accesului
- procesul de management al riscurilor
- managementul continuității activităților
- mediul de lucru și securitatea fizică
- …..
Un exemplu acum:
| Descriptor IEC | Descriere |
| IdIEC | Definit de organizație, poate fi alfanumeric (de ex. IEC_01) sau mnemonic (de ex. IEC_PolSec) |
| Descriere | Evaluarea revizuirii documentelor menționate în Norme la intervale regulate sau ori de cîte ori apar modificări semnificative |
| Formula/Calcul | Procentul (sau numărul) de revizuiri calculat după formula: Număr politici revizuite/total politici*100 |
| Valoare țintă: | >=80% |
| Dovadă implementare | Documente (liste, memos, semnături, versionare etc) care dovedesc revizuirea |
| Frecvența | Anual |
| Responsabilități | – Emitentul documentului execută (R) – Auditul intern este informat (I) – CISO/Responsabil NIS reste responsabil (A) |
| Date de intrare | Documentele menționate în normele NIS |
| Format raportare | Tabel centralizator cu documentele revizuite și grafic care să prezinte evoluția. |
ADRIAN B. MUNTEANU 