553 views
| Actul publicat în Monitorul Oficial | Sumar |
|
Ordinul secretarului general al Guvernului (OSGG) nr. 559/2021 privind aprobarea Regulamentului pentru atestarea şi verificarea auditorilor de securitate cibernetică (M. Of. nr. 387 din 14 aprilie 2021)
|
Se aprobă Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică. |
În M. Of. nr. 387 din 14 aprilie 2021 s-a publicat Ordinul secretarului general al Guvernului (OSGG) nr. 559/2021 privind aprobarea Regulamentului pentru atestarea şi verificarea auditorilor de securitate cibernetică.
Vă prezentăm, în cele ce urmează, o parte dintre dispozițiile regăsite în respectivul regulament.
Astfel, regulamentul este structurat în felul următor:
CAPITOLUL I: Dispoziţii generale
CAPITOLUL II: Atestarea auditorilor de securitate cibernetică
SECŢIUNEA 1: Noţiuni generale
SECŢIUNEA 2: Eliberarea atestatului de auditor de securitate cibernetică
SECŢIUNEA 3: Revocarea atestatului de auditor de securitate cibernetică
SECŢIUNEA 4: Reînnoirea atestatului de auditor
SECŢIUNEA 5: Suspendarea atestatului de auditor de securitate cibernetică
SECŢIUNEA 6: Registrul naţional al auditorilor de securitate cibernetică
CAPITOLUL III: Condiţii şi cerinţe pentru auditorii de securitate cibernetică
SECŢIUNEA 1: Norme generale
SECŢIUNEA 2: Cerinţe pentru auditorii de securitate cibernetică
SECŢIUNEA 3: Condiţii pentru auditorii de securitate cibernetică
CAPITOLUL IV: Condiţii aplicabile activităţii de audit de securitate
SECŢIUNEA 1: Auditul de securitate
SECŢIUNEA 2: Documente de audit de securitate
SECŢIUNEA 3: Cerinţe referitoare la desfăşurarea unui audit de securitate
CAPITOLUL V: Verificarea activităţii auditorilor de securitate cibernetică
CAPITOLUL VI: Dispoziţii finale
Potrivit art. 1:
„Art. 1: Aplicabilitate
(1) Prezentul regulament pentru atestarea şi verificarea auditorilor de securitate cibernetică, denumit în continuare regulament, stabileşte cadrul legal pentru atestarea auditorilor de securitate cibernetică pentru auditarea reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori furnizează servicii digitale în condiţiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, denumită în continuare Legea NIS.
(2) În înţelesul prezentului regulament, auditorii de securitate cibernetică pot fi persoane fizice atestate cetăţeni români, precum şi cetăţeni ai altui stat membru al Uniunii Europene ori al Spaţiului Economic European sau persoane juridice cu personal atestat, care îndeplinesc cerinţele prevăzute în prezentul regulament şi care doresc să desfăşoare o activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul reţelelor şi sistemelor informatice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora, activitate pe care să o exercite în România în mod independent sau ca angajaţi ai unor persoane juridice.
(3) Prezentul regulament nu se aplică la nivelul instituţiilor din sistemul de apărare, ordine publică şi securitate naţională, din domeniul protecţiei infrastructurilor critice şi nici la nivelul infrastructurilor cibernetice care vehiculează informaţii clasificate.”
Art. 5 menționează faptul că:
„Art. 5: Activităţi de audit de securitate
(1) Activităţile de audit de securitate tratate în prezentul regulament sunt:
a) auditul arhitecturii [AS1] – constă în verificarea conformităţii măsurilor de securitate legate de alegerea, poziţionarea şi implementarea dispozitivelor hardware/software în reţelele şi sistemele informatice, cerinţele minime de securitate şi politicile interne ale operatorului economic. Auditul poate fi extins la interconectările cu reţele terţe, inclusiv internetul;
b) auditul de configurare [AS2] – constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerinţele minime de securitate şi politicile de securitate în ceea ce priveşte configuraţia dispozitivelor hardware/software componente ale reţelelor şi sistemelor informatice. Aceste dispozitive pot fi în special echipamente de reţea, sisteme de operare (server sau staţie de lucru), aplicaţii sau produse de securitate;
c) auditul codului sursă [AS3] – constă în analiza totală sau parţială a codului sursă sau a condiţiilor de compilare ale unei aplicaţii pentru a descoperi vulnerabilităţile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securităţii reţelelor şi sistemelor informatice;
d) auditul de penetrare sau testarea de penetrare [AS4] – constă în identificarea vulnerabilităţilor din reţelele şi sistemele informatice şi verificarea posibilităţilor de exploatare a acestora, precum şi a impactului exploatării acestora asupra reţelei, în condiţiile reale ale unui atac cibernetic asupra reţelelor şi sistemelor informatice. Activitatea de audit poate fi desfăşurată fie din afara reţelei (în special din internet sau din reţeaua interconectată a unei terţe părţi), fie din interiorul reţelei şi reprezintă o activitate care trebuie efectuată în complementaritate cu alte activităţi de audit pentru a le îmbunătăţi eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităţilor descoperite;
e) auditul securităţii organizaţiei [AS5] – constă în auditul organizaţiei cu privire la securitatea logică şi fizică şi urmăreşte să se asigure că politicile şi procedurile de securitate definite de operatorul economic (operatorul de servicii esenţiale sau furnizorul de servicii digitale):
(i) sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic şi standardele în vigoare;
(ii) completează corect măsurile tehnice implementate;
(iii) sunt puse efectiv în practică.
De asemenea, auditorul de securitate cibernetică trebuie să se asigure că aspectele fizice ale securităţii reţelelor şi sistemelor informatice sunt acoperite corespunzător. Această activitate trebuie efectuată în complementaritate cu alte activităţi de audit pentru a le îmbunătăţi eficacitatea;
f) auditul sistemelor de control industrial [AS6] – constă în evaluarea nivelului de securitate al unui sistem de control industrial şi a dispozitivelor de control asociate. Evaluarea de securitate presupune aplicarea activităţilor de audit de la lit. a) la lit. e) din prezentul articol.
(2) Activităţile de audit de securitate se împart în:
a) activităţi speciale: [AS3] şi [AS4];
b) activităţi comune: [AS1], [AS2] şi [AS5];
c) activităţi mixte: [AS6].
(3) Activităţile mixte cuprind activităţile speciale şi normale/comune. În acest context, activitatea de audit a sistemelor de control industrial presupune desfăşurarea tuturor activităţilor, respectiv speciale şi comune.
(4) Corespondenţa dintre activităţile de audit şi evaluarea cerinţelor minime de securitate poate fi consultată în anexa nr. 14.
(5) Pentru fiecare activitate de audit, auditorul de securitate cibernetică furnizează un raport de audit cuprinzând recomandări.”
Un alt articol important este art. 18 care prezintă următoarele aspecte:
„Art. 18: Norme privind activitatea auditorilor
(1) Constituie incompatibilităţi următoarele activităţi desfăşurate de către un auditor de securitate cibernetică:
a) efectuarea auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale pentru care auditorul atestat asigură în mod curent servicii de management, de securitate cibernetică ori de tip SOC/CSIRT sau la care este angajat printr-o altă relaţie contractuală ce nu este de tip audit;
b) efectuarea auditului de securitate pentru reţelele şi sistemele informatice pentru care auditorul atestat are contract de prestări servicii la momentul la care se efectuează auditul sau într-un termen mai mic de un an;
c) efectuarea auditului de securitate, ca cerinţă minimă de securitate în condiţiile Legii NIS (cel puţin odată la 2 ani), la un operator de servicii esenţiale sau furnizor de servicii digitale de 3 ori consecutiv;
d) efectuarea auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale în care deţine o participare la capitalul social al acestuia.
(2) Auditul de securitate se realizează numai de auditori de securitate cibernetică, atestaţi de CERT-RO, în calitate de autoritate competentă la nivel naţional, potrivit standardelor şi specificaţiilor europene şi internaţionale aplicabile în domeniu, în baza unor tematici de audit stabilite în conformitate cu normele tehnice în vigoare privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale, respectiv furnizorilor de servicii digitale şi după încheierea unui contract de audit.
(3) Auditul de securitate realizat în conformitate cu prevederile alin. (2) este un audit de securitate care se poate realiza şi la solicitarea autorităţii competente la nivel naţional şi reprezintă un audit de securitate în condiţiile Legii NIS.
(4) Pentru desfăşurarea auditului de securitate, auditorii de securitate cibernetică se pot organiza şi pot funcţiona şi în echipe de audit de securitate.
(5) În cazul efectuării auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale de către un auditor care nu deţine atestat sau care are atestatul suspendat/revocat, auditul este considerat ca fiind efectuat în afara condiţiilor Legii NIS, iar raportul de audit de securitate nu este acceptat de către autoritatea competentă la nivel naţional.”
Art. 30 are următorul conținut:
„Art. 30: Contractul de audit de securitate
(1) Auditul de securitate a reţelelor şi sistemelor informatice se desfăşoară de auditorul de securitate cibernetică în baza unui contract de audit de securitate, încheiat cu operatorul economic înaintea începerii auditului.
(2) Contractul de audit de securitate trebuie semnat de reprezentantul legal al operatorului economic şi de auditorul de securitate cibernetică contractant.
(3) Termenii serviciului. Contractul de audit:
a) descrie domeniul de aplicare a auditului, abordarea generală a auditului de securitate a reţelelor şi sistemelor informatice, activităţile de audit şi termenii auditului (obiective, locuri şi criterii ale auditului, etape, livrabile aşteptate ca input, condiţii prealabile etc.);
b) specifică dacă serviciul de audit este calificat sau nu;
c) specifică rezultatele aşteptate la finalizarea auditului, şedinţele de deschidere şi de închidere, publicul-ţintă, nivelul de confidenţialitate şi metodele asociate;
d) descrie mijloacele tehnice (echipamente şi instrumente) şi organizaţionale implementate de auditorul de securitate cibernetică ca parte a auditului;
e) descrie metodele de comunicare care vor fi utilizate în timpul auditului între auditorul de securitate cibernetică şi operatorul economic;
f) prevede ce mijloace logistice vor fi puse la dispoziţia auditorului de securitate cibernetică de către operatorul economic (resurse materiale, umane, tehnice etc.);
g) defineşte regulile de proprietate asupra elementelor protejate de proprietatea intelectuală, cum ar fi instrumentele dezvoltate special de auditorul de securitate cibernetică ca parte a auditului, indicatorii de compromis sau raportul de audit;
h) specifică acţiunile care nu pot fi efectuate asupra reţelelor şi sistemelor informatice şi/sau informaţiilor colectate fără autorizarea expresă a operatorului economic şi, eventual, acordul sau prezenţa personalului operatorului economic, precum şi modalităţile asociate (implementare, persoane prezente, durată, interval program, planificări, descrierea datelor sensibile şi a acţiunilor autorizate etc.);
i) defineşte mijloacele care asigură trasabilitatea între operatorul economic şi auditorul de securitate a informaţiilor şi suporturilor materiale prezentate pentru analiză.
(4) Organizare. Contractul de audit trebuie:
a) să specifice numele responsabilului de legătură din partea operatorului economic cu auditorul de securitate cibernetică, precum şi pentru punerea în legătură a auditorului de securitate cu diferite persoane/furnizori implicaţi;
b) să specifice numele, rolurile, responsabilităţile, precum şi drepturile şi nevoile de cunoaştere a persoanelor-cheie desemnate de auditorul de securitate cibernetică şi de operatorul economic;
c) să stipuleze că auditorul de securitate cibernetică trebuie, acolo unde este cazul, să colaboreze cu furnizori de servicii terţi care lucrează în numele operatorului economic şi care au fost desemnaţi în mod specific de către operatorul economic şi să distingă clar responsabilităţile furnizorului de servicii terţ. Această cerinţă trebuie să permită în special auditorului de securitate cibernetică să colaboreze cu un furnizor de servicii de detectare a incidentelor de securitate;
d) să stipuleze că auditorul de securitate cibernetică nu implică alţi auditori care nu au nicio relaţie contractuală cu acesta, care nu au semnat Codul etic al auditorului de securitate cibernetică, care nu au un atestat de auditor de securitate cibernetică valabil eliberat de ANSRSI sau care sunt sub efectul unor sancţiuni, respectiv suspendare sau retragere atestat.
(5) Responsabilităţi. Contractul de audit:
a) stipulează că auditorul de securitate cibernetică va efectua auditul numai după o autorizare formală (scrisă) din partea operatorului economic;
b) stipulează că auditorul de securitate cibernetică informează operatorul economic în cazul încălcării contractului/acordului;
c) stipulează că auditorul de securitate cibernetică se angajează ca acţiunile întreprinse ca parte a auditului de securitate să rămână strict conforme cu obiectivele auditului;
d) stipulează că operatorul economic garantează că are toate drepturile de proprietate şi accesul la domeniul de aplicare a auditului (reţele şi sisteme informatice, suporturi materiale etc.) sau că a obţinut acordul oricărui terţ şi, în special, al furnizorilor sau partenerilor săi de servicii, ale căror reţele şi sisteme informatice ar intra în sfera de aplicare;
e) stipulează că operatorul economic şi auditorul de securitate cibernetică îndeplinesc toate obligaţiile legale şi de reglementare necesare desfăşurării auditului;
f) stipulează că operatorul economic autorizează temporar auditorul de securitate cibernetică, cu scopul unic de a efectua auditul, să acceseze şi să efectueze prelucrarea datelor accesate, indiferent de natura acestor date;
g) stipulează că operatorul economic autorizează temporar auditorul de securitate cibernetică să reproducă, să colecteze şi să analizeze, în scopul efectuării auditului, date aparţinând reţelelor şi sistemelor informatice auditate;
h) defineşte responsabilităţile şi măsurile de precauţie obişnuite care trebuie respectate de către toate părţile cu privire la riscurile potenţiale asociate auditului, în ceea ce priveşte confidenţialitatea informaţiilor colectate şi analizate, precum şi în ceea ce priveşte disponibilitatea (de exemplu, refuzul de serviciu în timpul testării de penetrare, scanarea vulnerabilităţilor privind un sistem informatic sau a unui server) şi integritatea reţelelor şi sistemelor informatice vizate;
i) stabileşte dacă auditorul de securitate cibernetică are nevoie de o asigurare de practică profesională care acoperă daunele cauzate în timpul desfăşurării auditului şi, dacă este cazul, specifică acoperirea acestora şi include certificatul de asigurare.
(6) Confidenţialitate. Contractul de audit:
a) prevede regimul de distribuţie a raportului de audit (de exemplu, public, confidenţial etc.);
b) prevede o clauză explicită prin care raportul de audit poate fi transmis către ANSRSI, pe baza autorizaţiei scrise din partea operatorului economic;
c) stipulează că auditorul de securitate cibernetică poate, cu excepţia unui refuz formal şi scris din partea operatorului economic, să păstreze anumite tipuri de informaţii legate de audit odată ce acesta a fost finalizat. Auditorul de securitate cibernetică trebuie să identifice aceste tipuri de informaţii în contract (de exemplu: livrabile, informaţii, documente etc.);
d) stipulează că auditorul de securitate cibernetică anonimizează şi decontextualizează (ştergerea oricăror informaţii care identifică operatorul economic, orice informaţii cu caracter personal etc.) toate informaţiile pe care operatorul economic le autorizează să le păstreze;
e) stipulează că auditorul de securitate cibernetică distruge toate informaţiile referitoare la operatorul economic, cu excepţia celor pentru care a primit o autorizaţie de păstrare/stocare de la operatorul economic;
f) specifică metodele (conţinutul, forma, domeniul de aplicare etc.) pentru elaborarea recomandărilor;
g) prevede o procedură pentru obţinerea consimţământului personalului operatorului economic auditat şi al oricărui partener terţ pentru efectuarea auditului de securitate.
(7) Reglementări. Contractul de audit:
a) este scris în limba română;
b) stipulează că legea aplicabilă este legea română;
c) prevede cerinţele care trebuie îndeplinite de auditorul de securitate cibernetică în contextul unui caz judiciar, civil sau de arbitraj;
d) defineşte perioada de păstrare a informaţiilor legate de audit şi, în special, a evenimentelor colectate şi a incidentelor de securitate detectate. Dacă este necesar, se poate face o distincţie privind perioada de păstrare în funcţie de tipurile de informaţii. Perioada minimă de păstrare este de 6 luni, sub rezerva legislaţiei şi reglementărilor române actuale.
(8) Subcontractare. Contractul trebuie să specifice că auditorul de securitate cibernetică contractant nu poate subcontracta o parte sau în întregime activitatea de audit de securitate cibernetică executată în baza acestui regulament şi a Legii NIS.
(9) Participare experţi. Contractul trebuie să specifice că auditorul de securitate cibernetică contractant poate implica alţi experţi în activităţile de audit de securitate executate în baza acestui regulament şi a Legii NIS, cu condiţia ca implicarea experţilor să nu depăşească 10% din volumul total al activităţii de audit executate.
(10) Livrabile. Contractul trebuie să precizeze că toate livrabilele produse de auditorul de securitate cibernetică contractant sunt furnizate/emise în limba română, cu excepţia cazului în care operatorul economic auditat solicită utilizarea unei alte limbi. În cazul în care livrabilele produse de auditorul de securitate cibernetică sunt produse atât în română, cât şi în alte limbi, versiunea în limba română prevalează.
(11) Conformitate. Contractul de audit:
a) indică faptul că auditul de securitate furnizat este:
(i)un serviciu de audit executat în condiţiile Legii NIS. În acest caz, auditorul de securitate cibernetică informează operatorul economic despre faptul că atât el, cât şi orice subcontractant deţin atestate de auditor de securitate cibernetică valabile eliberate de autoritatea competentă la nivel naţional;
(ii)un serviciu de audit executat în afara condiţiilor Legii NIS. În acest caz, auditorul de securitate cibernetică trebuie să informeze operatorul economic cu privire la riscurile ce decurg din furnizarea unui astfel de serviciu;
b) indică faptul că auditorii de securitate cibernetică deţin un atestat de auditor de securitate cibernetică individual pentru fiecare dintre activităţile de audit pentru care se efectuează misiunea de audit, inclusiv aceste atestate.”
