Cerințele minime de securitate

Cred cu tărie că o lege precum cea a securității cibernetice trebuie chibzuită îndelung și nu ar trebui concepută în pripă. Implicațiile și efectele sînt prea importante.

Să luăm ca exemplu cerințele minime de securitate propuse.

Art. 12  din Propunerea de lege a securității cibernetice prevede că

 (1) Pentru infrastructurile cibernetice de interes național, cerințele minime de securitate cibernetică au în vedere următoarele categorii de activități vizând securitatea cibernetică:

a) managementul drepturilor de acces;

b) conștientizarea și instruirea utilizatorilor;

c) jurnalizarea și asigurarea trasabilității activităților în cadrul infrastructurii cibernetice;

d) testarea și evaluarea securității cibernetice;

e) managementul configurațiilor infrastructurii cibernetice;

f) asigurarea disponibilității infrastructurii cibernetice și a continuității funcționării resurselor critice ale acesteia;

g) managementul identificării și autentificării utilizatorilor;

h) răspunsul la incidente de securitate cibernetică;

i) mentenanța infrastructurii cibernetice;

j) managementul suporturilor de memorie externă;

k) asigurarea protecției fizice a infrastructurii cibernetice;

l) realizarea planurilor de securitate;

m) asigurarea securității personalului;

n) analizarea și evaluarea riscurilor de securitate cibernetică;

o) procedurarea activităților de achiziție a sistemelor și serviciilor;

p) asigurarea protecției produselor și serviciilor aferente infrastructurii cibernetice;

q) managementul vulnerabilităților și alertelor de securitate cibernetică.

(2) Cerințele minime de securitate cibernetică pentru infrastructurile cibernetice, altele decât infrastructurile cibernetice de interes național, sunt stabilite de către autoritățile prevăzute la art. 11 în baza următoarelor categorii de activități de asigurare a securității cibernetice

a) managementul accesului la infrastructura cibernetică;

b) conștientizarea și instruirea utilizatorilor;

c) asigurarea protecției la nivel software și hardware a infrastructurii cibernetice;

d) analiza si evaluarea riscurilor de securitate cibernetică;

e) protecția sistemelor de comunicații aferente infrastructurii cibernetice.

Știm tot din lege că:

securitate cibernetică – stare de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, precum şi rezilienţa şi stabilitatea resurselor şi serviciilor publice sau private din spaţiul cibernetic;

Punînd față în față cele de mai sus se pot pune mai multe întrebări. De exemplu:

  • Cerințele minime de securitate enunțate acoperă definiția?
  • Există vreo cerință minimă care să acopere datele/informațiile sau aplicațiile?
  • Ce reprezintă planul de securitate?

Întrebările pot continua. Motivul? Cerințele nu sînt complete sau mai bine zis acoperitoare. Ca să nu o mai lungesc preiau Anexa H din COBIT 5 pentru Securitatea Informațiilor: alinierea între seria ISO/IEC 27000, Standardul de bune practici privind securitatea informațiilor – ISF 2011, Ghidul de evaluare a controalelor de securitate a informațiilor și organizații, NIST—800-53A Revizia 1.

Slide1 Slide2 Slide3 Slide4 Slide5 Slide6 Slide7

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s