În prezentarea de la Eset Security Days am pornit de la opinia mea: multe din cele ce se fac sau ar trebui făcute în practică în domeniul securității cibernetice își au rădăcina în zona militară. De ce? Pentru că ”armata” înseamnă rigoare (regulamente/proceduri), ierarhie și disciplină (RACI), management de risc și chiar ”zero trust”, iar…
Pînă la ordinul 1323/2020 emis de DNSC, în legislația noastră nu putea fi identificată nici o definiție cu privire la ce este și care este conținutul unei politici de securitate. Putem constata că, de multe ori, termenii politică, plan, program (de securitate) sînt folosiți chiar incorect.( Și ”economia politică” probabil este o traducere a ”economic…
Răspunsul cel mai scurt: nu înseamnă bife puse în diferite liste de verificare și documente/raport pentru a trece de controlul (formalismul) DNSC, raport în care se scrie că dacă ”X nu există” atunci ”copy-paste din Ordinul 1323”. Auditul impus de DNSC (audit de conformitate) este o cerință legală dar este și instrumentul prin care OSE…
REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică stipulează ca în contractul de audit să fie definită și perioada de păstrare a informațiilor legate de audit și, în special, a evenimentelor colectate șia incidentelor de securitate detectate. Dacă este necesar, se poate face o distincție privind perioada de păstrare în funcție de tipurile de…
Deși legislația poate duce la o astfel de concluzie, abordarea auditorului în misiunile de verificare a conformității pe legea NIS nu va fi una de tip top/down (cascadă) ci mai degrabă ”agilă”: există un punct de început, dar de acolo revizia nu mai ”curge” liniar. Anexa nr. 9 La Regulamentul pentru atestarea și verificarea auditorilor…
ADRIAN B. MUNTEANU 