Cerințe minime de asigurare a securității rețelelor și sistemelor informatice aplicabile OSE – un alt exemplu

/ 14 iulie 2021

Deunăzi am făcut o prezentare pentru OSE din domeniul serviciilor medicale. Am folosit ca element central de discuție schema pe care deja am distribuit-o pe Linkedin.

Exemplific cu cerința A19 – Gestionare activelor avînd la bază următorul argument: pentru a realiza evaluarea riscurilor mai întîi trebuie să știi cu exactitate ce administrezi.

În Norme, cerințele de securitate în cazul A19 sînt prezentate astfel:

[A191]. Inventarierea și gestionarea activelor. OSE stabilește un cadru adecvat pentru identificarea, clasificarea și implementarea unui inventar al proceselor IT, sistemelor și elementelor componente ale rețelelor și sistemelor informatice. În baza gestionării activelor, OSE lansează actualizări și patch-uri și, după caz, stabilește ce elemente din componența rețelelor și sistemelor informatice sunt afectate de noi probleme de securitate.
1. Pentru identificarea amenințărilor, vulnerabilităților și riscurilor sunt identificate activele, sistemele și procesele organizației, care se materializează printr-o listă.
2. OSE elaborează o procedură pentru etichetarea și clasificarea datelor și informațiilor pentru a reflecta sensibilitatea acestora și, în consecință, se asigură că aceasta este respectată, iar datele/informațiile sunt gestionate corespunzător.

Implementare tehnică: instrument/soluție software pentru managementul activelor/asset management – asset inventory. Poate fi de sine stătătoare sau poate fi componenta unei soluții de tip ”service management” cu CMDB la bază. (Pentru o organizație cu sute de active este greu să se justifice că un astfel de inventar realizat în Word sau Excel este utilizabil în practică.)

Implementarea procesului/administrativă:

  1. Toate dispozitivele/echipamentele fizice și sistemele trebuie inventariate cu următoarele informații minimale:
    • număr de identificare (poate fi numărul de inventar din evidența contabilă)
    • denumire
    • număr serial
    • amplasament
  2. Pentru echipamentele conectate la rețea, suplimentar:
    • adresa IP
    • adresa MAC
  3. Responsabilul:
    • nume și prenume
    • informații de contact
    • departament/entitate funcțională
  4. Clasa din care face parte, conform schemei de clasificare/procedură
  5. Software instalat

Probe în timpul auditului:

Inventarul activelor actualizat cu informațiile de la punctele anterioare.

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.