Pe lîngă Raportul de audit pe care îl furnizează OSE (și la cerere DNSC), auditorii de securitate cibernetică (ASC) trebuie să raporteze anual către DNSC și:

• numărul de zile ale misiunii
• neregulile grave
• vulnerabilitățile

constatate în cazul fiecărui tip de audit. Auditul de securitate se realizează la fiecare doi ani (în cazul OSE înregistrate în ROSE pînă la 31.12.2020) sau înainte de depunerea documentației pentru înregistrarea în ROSE (în cazul OSE care se înregistrează după 31.12.2020)

Managementul OSE acreditează și certifică printr-o decizie formală ”procesul de identificare a riscurilor care afectează securitatea şi modul de implementare a măsurilor necesare pentru protejare şi are valabilitate de cel mult un an. Decizia certifică, de asemenea, faptul că orice risc rezidual a fost identificat şi acceptat la nivel managerial.”

Apoi, ”anual şi ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configuraţia reţelelor şi sistemelor informatice sau a aplicaţiilor, OSE va revizui validarea acreditării de securitate.” (vezi [A12][A13])

Din perspectiva auditului, această acreditare poate fi asimilată cu o ”declarație a managementului” – management assertion.

Atunci cînd a completat documentația pentru înscrierea în ROSE, managementul OSE și-a asumat și ”gradul de perturbare a furnizării serviciului esențial”. Tot managementul OSE are obligația de a raporta către DNSC orice incident de securitate.

Auditorul își începe misiunea solicitînd ”mapa de acreditare” asumată de managementul OSE și va revizui (printre altele) ”analiza riscurilor şi obiectivele de securitate”. Teoretic, orice risc al OSE, indiferent de impact, poate fi acceptat prin decizia managementului. Dacă s-ar întîmpla astfel s-ar intra în conflict cu valorile de prag pe bază cărora s-a făcut înregistrarea în ROSE.

Pentru a certifica ”procesul de identificare a riscurilor ” și apoi validarea anuală a acreditării de securitate, OSE trebuie să aibă și ”inventarul resurselor” ([A19]) dar și ”cartografierea ecosistemului” ([A21]) respectiv ”diagrame de rețea” ( [B11]).

În acest moment, auditorul va privi imaginea de ansamblu și va identifica, de exemplu, un SPOF – single point of failure – risc potențial indus de nefuncționarea sau defectarea unui sistem și care afectează întreaga organizație. De exemplu, va identifica existența unui singur switch/firewall prin care se asigură accesul la infrastructura critică dar în evaluarea riscurilor acest aspect are asumat un impact redus sau poate nici nu a fost evaluat. Dar poate scenariul în care acel switch/firewall nu funcționează este tratat în BCP/DRP ([D11]? Pînă la BCP auditorul va solicita ”raportul de testarea a securității infrastructurii” iar dacă un astfel de raport nu există, va executa cu echipa sa un astfel de test ([A16]). Pentru că în cazul controalelor tehnice de la nivelul rețelelor, ToE = test de penetrare.

Chiar dacă am scris prima dată despre ToE, auditorul va realiza și ToD în cazul controalelor aplicabile acelui echipament considerat SPOF: segmentarea ([B13]), controlul identității și accesului ([B31, 32]) înregistrarea evenimentelor [C12, 13, 21, 22,23]….

Toate cele de mai sus, dacă nu sînt tratate corespunzător, se vor regăsi ȘI în raportarea anuala a auditorului către DNSC: o ”neregulă” majoră sub semnătura managementului OSE.