Auditorul nu oferă certificate de bună purtare

În timp ce USA este țara tuturor posibilităților, România este țara tuturor lucrurilor posibile.

Un regulament al UE poate să menționeze un stadard, dar legislația noastră nu.

A fost publicat  Ordinul MSI nr. 141/2014 – Normele metodologice privind elementele tehnice si de securitate ale sistemului de colectare online a declaratiilor de sustinere a propunerilor de initiativa cetateneasca.

Pentru că nu este prima dată, este deja grav (cred eu) să reglementezi greșit sau să nu înțelegi implicațiile pe care le au cuvintele greșit folosite în acte cu putere juridică.

d) sistem de colectare online – sistem informational constand in programe, echipamente, mediu de gazduire, procese operationale si personal, destinat colectarii online a declaratiilor de sustinere;

(NB: Este copy paste din Regulamentul UE. Acesta este motivul pentru care este clară definiția)

e) plan de securitate – documentul ce descrie totalitatea masurilor tehnice si administrative care sunt luate de catre organizator pentru utilizarea in conditii de siguranta a sistemului de colectare online a declaratiilor de sustinere;

(…)
Art. 6. – Sistemul de colectare online trebuie sa indeplineasca conditiile tehnice stabilite prin Regulamentul (UE) nr. 211/2011 si Regulamentul de punere in aplicare (UE) nr. 1.179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificatii tehnice pentru sistemele de colectare online in conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European si al Consiliului privind initiativa cetateneasca (…)

Citind Regulamentele UE menționate constatăm că sînt cît se poate de clare și exacte.

De exemplu:

Organizatorii furnizează documentație care să precizeze că îndeplinesc cerințele standardului ISO/IEC 27001, fără obligația adoptării acestuia.

Sau:

Pe baza analizei de risc de la punctul 2.1 litera (a), organizatorii aleg măsuri de securitate din cadrul standardelor  următoare:
1. ISO/IEC 27002; sau
2. „Standard of Good Practice”, publicat deInformation Security Forum

Sînt prezentate Normele de siguranță a informațiilor, Cerințele funcționale, Securitatea la nivelul aplicației informatice, Securitatea bazei de date și integritatea datelor, Siguranța infrastructurilor,

Ordinul nostru însă e mai tare:

Art. 7. – Cerintele minime de securitate pe care trebuie sa le indeplineasca sistemul de colectare online a declaratiilor de sustinere sunt:
a) asigurarea confidentialitatii si integritatii comunicatiilor electronice;
b) asigurarea securitatii bazei de date si a integritatii datelor;
c) asigurarea autenticitatii datelor;
d) asigurarea protectiei datelor cu caracter personal;
e) detectarea, monitorizarea si impiedicarea accesului neautorizat in sistem;
f) restaurarea informatiilor gestionate de sistem in cazul unor calamitati naturale si evenimente imprevizibile;
g) gestionarea si administrarea sistemului informatic;
h) orice alte activitati sau masuri tehnice intreprinse pentru operarea in siguranta a sistemului.

Dacă este obligatorie respecatarea celor două Regulamente UE, la ce sînt bune cerințele minimale de la Art. 7?  Ca să ne aflăm în treabă?

Nu este suficient însă că organizatorii trebuie să furnizeze documentația care ”să precizeze că îndeplinesc cerințele standardului ISO/IEC 27001, fără obligația adoptării acestuia”. Era prea simplu și prea clar. Vine în ajutor Art. 8 din normele autohtone:

Art. 8. – Organizatorul are obligatia intocmirii unui plan de securitate care va avea urmatoarea structura:(…)

Ajungem în viteză și la Eliberarea certificatului de confirmare a conformitatii. Printre documentele cerute apare de acum și celebra:

f) opinia de audit asupra planului de securitate prevazut la art. 8 si a solutiei informatice prin intermediul careia este oferit sistemul de colectare online a declaratiilor de sustinere;

 

Parcă era vorba despre un ”sistem de colectare on line” și nu despre o ”soluție informatică prin intermediul căreia”….

 

 

 

2 gânduri despre “Auditorul nu oferă certificate de bună purtare

    • Este mai mult decît îngrijorătoare lipsa de înțelegere elementară, de înțelege a noțiunilor fundamentale la care faci referire cînd te joci de-a reglementarea (la cei care emit norme/instrucțiuni/legi, mă refer..)
      Un copy paste prost, după un alt copy-paste prost, după o traducere trunchiată.
      Cred că în stadiul în care ne aflăm, mai mult nu putem produce😛

      Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s