Identificarea rețelelor și sistemelor informatice

Art. 29 (4) din REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică impune auditorului să verifice

dacă operatorul economic a identificat corect rețelele și sistemele informatice de auditat, precum și interdependențele externe ale rețelelor și sistemelor informatice.

Această cerință ridică o întrebare: ce criterii/referințe va folosi auditorul pentru a realiza această verificare? Ar fi fost bine să fie menționate astfel de criterii pentru a evita situațiile în care auditorul ajunge la altă concluzie față de ce a declarat OSE.

Pentru identificarea serviciilor esențiale, OSE își evaluează toate serviciile furnizate prin prisma prevederilor de la art. 6 alin. (1) din Legea NIS, prevederi care sînt CUMULATIVE:

  1. serviciul este esențial în susținerea unor activități societale și/sau economice de cea mai mare importanță;
  2. furnizarea sa depinde de o rețea sau de un sistem informatic;
  3. furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident. (N.M: chiar dacă nu este scris explicit, este vorba de incident de securitate)

Punctul 2 este cel care, în opinia mea, conduce către referențialul pe care un auditor îl poate folosi pentru a verifica dacă rețelele și sistemele informatice au fost identificate corect: Analiza de Impact asupra Activității/Business Impact Analysis (chiar dacă în Lista standardelor și specificațiilor europene și internaționale ISO 22317 și ISO 22301 nu sînt menționate deși există un domeniu dedicat, ”Reziliență”)

De ce BIA? Pentru că managementul de la cel mai înalt nivel trebuie să acrediteze ”rețelele și sistemele informatice, inclusiv componentele de administrare.” Se înțelege din această cerință că managementul a identificat ”rețelele și sistemele informatice critice”, criticalitate care este dată de serviciile/produsele livrate. Și cum în legislație sînt prevăzute ”serviciile” și ”valori de prag”, înseamnă că managementul a stabilit care este prioritatea serviciilor și produselor.

După implementarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice și intrarea în conformitate, OSE va informa ANSRSI, prin canalele de comunicare cunoscute (NIS@cert.ro)

De ce BIA: Pentru că aici avem ierarhia proceselor, activităților, dependențele și interdependețele acestora precum și resursele implicate (echipamente, aplicații, oameni).

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.