Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică – prezentare generală (OSGG nr. 559/2021)

În M. Of. nr. 387 din 14 aprilie 2021 s-a publicat Ordinul secretarului general al Guvernului (OSGG) nr. 559/2021 privind aprobarea Regulamentului pentru atestarea și verificarea auditorilor de securitate cibernetică.

Vă prezentăm, în cele ce urmează, o parte dintre dispozițiile regăsite în respectivul regulament.

Astfel, regulamentul este structurat în felul următor:

CAPITOLUL I: Dispoziții generale

CAPITOLUL II: Atestarea auditorilor de securitate cibernetică

SECȚIUNEA 1: Noțiuni generale

SECȚIUNEA 2: Eliberarea atestatului de auditor de securitate cibernetică

SECȚIUNEA 3: Revocarea atestatului de auditor de securitate cibernetică

SECȚIUNEA 4: Reînnoirea atestatului de auditor

SECȚIUNEA 5: Suspendarea atestatului de auditor de securitate cibernetică

SECȚIUNEA 6: Registrul național al auditorilor de securitate cibernetică

CAPITOLUL III: Condiții și cerințe pentru auditorii de securitate cibernetică

SECȚIUNEA 1: Norme generale

SECȚIUNEA 2: Cerințe pentru auditorii de securitate cibernetică

SECȚIUNEA 3: Condiții pentru auditorii de securitate cibernetică

CAPITOLUL IV: Condiții aplicabile activității de audit de securitate

SECȚIUNEA 1: Auditul de securitate

SECȚIUNEA 2: Documente de audit de securitate

SECȚIUNEA 3: Cerințe referitoare la desfășurarea unui audit de securitate

CAPITOLUL V: Verificarea activității auditorilor de securitate cibernetică

CAPITOLUL VI: Dispoziții finale

Potrivit art. 1:

„Art. 1: Aplicabilitate

(1) Prezentul regulament pentru atestarea și verificarea auditorilor de securitate cibernetică, denumit în continuare regulament, stabilește cadrul legal pentru atestarea auditorilor de securitate cibernetică pentru auditarea rețelelor și sistemelor informatice ce susțin servicii esențiale ori furnizează servicii digitale în condițiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare, denumită în continuare Legea NIS.

(2) În înțelesul prezentului regulament, auditorii de securitate cibernetică pot fi persoane fizice atestate cetățeni români, precum și cetățeni ai altui stat membru al Uniunii Europene ori al Spațiului Economic European sau persoane juridice cu personal atestat, care îndeplinesc cerințele prevăzute în prezentul regulament și care doresc să desfășoare o activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, în vederea identificării disfuncțiilor și vulnerabilităților și a furnizării unor soluții de remediere a acestora, activitate pe care să o exercite în România în mod independent sau ca angajați ai unor persoane juridice.

(3) Prezentul regulament nu se aplică la nivelul instituțiilor din sistemul de apărare, ordine publică și securitate națională, din domeniul protecției infrastructurilor critice și nici la nivelul infrastructurilor cibernetice care vehiculează informații clasificate.”

Art. 5 menționează faptul că:

„Art. 5: Activități de audit de securitate

(1) Activitățile de audit de securitate tratate în prezentul regulament sunt:

a) auditul arhitecturii [AS1] – constă în verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale operatorului economic. Auditul poate fi extins la interconectările cu rețele terțe, inclusiv internetul;

b) auditul de configurare [AS2] – constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate;

c) auditul codului sursă [AS3] – constă în analiza totală sau parțială a codului sursă sau a condițiilor de compilare ale unei aplicații pentru a descoperi vulnerabilitățile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securității rețelelor și sistemelor informatice;

d) auditul de penetrare sau testarea de penetrare [AS4] – constă în identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice. Activitatea de audit poate fi desfășurată fie din afara rețelei (în special din internet sau din rețeaua interconectată a unei terțe părți), fie din interiorul rețelei și reprezintă o activitate care trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităților descoperite;

e) auditul securității organizației [AS5] – constă în auditul organizației cu privire la securitatea logică și fizică și urmărește să se asigure că politicile și procedurile de securitate definite de operatorul economic (operatorul de servicii esențiale sau furnizorul de servicii digitale):

(i) sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic și standardele în vigoare;

(ii) completează corect măsurile tehnice implementate;

(iii) sunt puse efectiv în practică.

De asemenea, auditorul de securitate cibernetică trebuie să se asigure că aspectele fizice ale securității rețelelor și sistemelor informatice sunt acoperite corespunzător. Această activitate trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea;

f) auditul sistemelor de control industrial [AS6] – constă în evaluarea nivelului de securitate al unui sistem de control industrial și a dispozitivelor de control asociate. Evaluarea de securitate presupune aplicarea activităților de audit de la lit. a) la lit. e) din prezentul articol.

(2) Activitățile de audit de securitate se împart în:

a) activități speciale: [AS3] și [AS4];

b) activități comune: [AS1], [AS2] și [AS5];

c) activități mixte: [AS6].

(3) Activitățile mixte cuprind activitățile speciale și normale/comune. În acest context, activitatea de audit a sistemelor de control industrial presupune desfășurarea tuturor activităților, respectiv speciale și comune.

(4) Corespondența dintre activitățile de audit și evaluarea cerințelor minime de securitate poate fi consultată în anexa nr. 14.

(5) Pentru fiecare activitate de audit, auditorul de securitate cibernetică furnizează un raport de audit cuprinzând recomandări.”

Un alt articol important este art. 18 care prezintă următoarele aspecte:

„Art. 18: Norme privind activitatea auditorilor

(1) Constituie incompatibilități următoarele activități desfășurate de către un auditor de securitate cibernetică:

a) efectuarea auditului de securitate la un operator de servicii esențiale sau furnizor de servicii digitale pentru care auditorul atestat asigură în mod curent servicii de management, de securitate cibernetică ori de tip SOC/CSIRT sau la care este angajat printr-o altă relație contractuală ce nu este de tip audit;

b) efectuarea auditului de securitate pentru rețelele și sistemele informatice pentru care auditorul atestat are contract de prestări servicii la momentul la care se efectuează auditul sau într-un termen mai mic de un an;

c) efectuarea auditului de securitate, ca cerință minimă de securitate în condițiile Legii NIS (cel puțin odată la 2 ani), la un operator de servicii esențiale sau furnizor de servicii digitale de 3 ori consecutiv;

d) efectuarea auditului de securitate la un operator de servicii esențiale sau furnizor de servicii digitale în care deține o participare la capitalul social al acestuia.

(2) Auditul de securitate se realizează numai de auditori de securitate cibernetică, atestați de CERT-RO, în calitate de autoritate competentă la nivel național, potrivit standardelor și specificațiilor europene și internaționale aplicabile în domeniu, în baza unor tematici de audit stabilite în conformitate cu normele tehnice în vigoare privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale, respectiv furnizorilor de servicii digitale și după încheierea unui contract de audit.

(3) Auditul de securitate realizat în conformitate cu prevederile alin. (2) este un audit de securitate care se poate realiza și la solicitarea autorității competente la nivel național și reprezintă un audit de securitate în condițiile Legii NIS.

(4) Pentru desfășurarea auditului de securitate, auditorii de securitate cibernetică se pot organiza și pot funcționa și în echipe de audit de securitate.

(5) În cazul efectuării auditului de securitate la un operator de servicii esențiale sau furnizor de servicii digitale de către un auditor care nu deține atestat sau care are atestatul suspendat/revocat, auditul este considerat ca fiind efectuat în afara condițiilor Legii NIS, iar raportul de audit de securitate nu este acceptat de către autoritatea competentă la nivel național.”

Art. 30 are următorul conținut:

„Art. 30: Contractul de audit de securitate

(1) Auditul de securitate a rețelelor și sistemelor informatice se desfășoară de auditorul de securitate cibernetică în baza unui contract de audit de securitate, încheiat cu operatorul economic înaintea începerii auditului.

(2) Contractul de audit de securitate trebuie semnat de reprezentantul legal al operatorului economic și de auditorul de securitate cibernetică contractant.

(3) Termenii serviciului. Contractul de audit:

a) descrie domeniul de aplicare a auditului, abordarea generală a auditului de securitate a rețelelor și sistemelor informatice, activitățile de audit și termenii auditului (obiective, locuri și criterii ale auditului, etape, livrabile așteptate ca input, condiții prealabile etc.);

b) specifică dacă serviciul de audit este calificat sau nu;

c) specifică rezultatele așteptate la finalizarea auditului, ședințele de deschidere și de închidere, publicul-țintă, nivelul de confidențialitate și metodele asociate;

d) descrie mijloacele tehnice (echipamente și instrumente) și organizaționale implementate de auditorul de securitate cibernetică ca parte a auditului;

e) descrie metodele de comunicare care vor fi utilizate în timpul auditului între auditorul de securitate cibernetică și operatorul economic;

f) prevede ce mijloace logistice vor fi puse la dispoziția auditorului de securitate cibernetică de către operatorul economic (resurse materiale, umane, tehnice etc.);

g) definește regulile de proprietate asupra elementelor protejate de proprietatea intelectuală, cum ar fi instrumentele dezvoltate special de auditorul de securitate cibernetică ca parte a auditului, indicatorii de compromis sau raportul de audit;

h) specifică acțiunile care nu pot fi efectuate asupra rețelelor și sistemelor informatice și/sau informațiilor colectate fără autorizarea expresă a operatorului economic și, eventual, acordul sau prezența personalului operatorului economic, precum și modalitățile asociate (implementare, persoane prezente, durată, interval program, planificări, descrierea datelor sensibile și a acțiunilor autorizate etc.);

i) definește mijloacele care asigură trasabilitatea între operatorul economic și auditorul de securitate a informațiilor și suporturilor materiale prezentate pentru analiză.

(4) Organizare. Contractul de audit trebuie:

a) să specifice numele responsabilului de legătură din partea operatorului economic cu auditorul de securitate cibernetică, precum și pentru punerea în legătură a auditorului de securitate cu diferite persoane/furnizori implicați;

b) să specifice numele, rolurile, responsabilitățile, precum și drepturile și nevoile de cunoaștere a persoanelor-cheie desemnate de auditorul de securitate cibernetică și de operatorul economic;

c) să stipuleze că auditorul de securitate cibernetică trebuie, acolo unde este cazul, să colaboreze cu furnizori de servicii terți care lucrează în numele operatorului economic și care au fost desemnați în mod specific de către operatorul economic și să distingă clar responsabilitățile furnizorului de servicii terț. Această cerință trebuie să permită în special auditorului de securitate cibernetică să colaboreze cu un furnizor de servicii de detectare a incidentelor de securitate;

d) să stipuleze că auditorul de securitate cibernetică nu implică alți auditori care nu au nicio relație contractuală cu acesta, care nu au semnat Codul etic al auditorului de securitate cibernetică, care nu au un atestat de auditor de securitate cibernetică valabil eliberat de ANSRSI sau care sunt sub efectul unor sancțiuni, respectiv suspendare sau retragere atestat.

(5) Responsabilități. Contractul de audit:

a) stipulează că auditorul de securitate cibernetică va efectua auditul numai după o autorizare formală (scrisă) din partea operatorului economic;

b) stipulează că auditorul de securitate cibernetică informează operatorul economic în cazul încălcării contractului/acordului;

c) stipulează că auditorul de securitate cibernetică se angajează ca acțiunile întreprinse ca parte a auditului de securitate să rămână strict conforme cu obiectivele auditului;

d) stipulează că operatorul economic garantează că are toate drepturile de proprietate și accesul la domeniul de aplicare a auditului (rețele și sisteme informatice, suporturi materiale etc.) sau că a obținut acordul oricărui terț și, în special, al furnizorilor sau partenerilor săi de servicii, ale căror rețele și sisteme informatice ar intra în sfera de aplicare;

e) stipulează că operatorul economic și auditorul de securitate cibernetică îndeplinesc toate obligațiile legale și de reglementare necesare desfășurării auditului;

f) stipulează că operatorul economic autorizează temporar auditorul de securitate cibernetică, cu scopul unic de a efectua auditul, să acceseze și să efectueze prelucrarea datelor accesate, indiferent de natura acestor date;

g) stipulează că operatorul economic autorizează temporar auditorul de securitate cibernetică să reproducă, să colecteze și să analizeze, în scopul efectuării auditului, date aparținând rețelelor și sistemelor informatice auditate;

h) definește responsabilitățile și măsurile de precauție obișnuite care trebuie respectate de către toate părțile cu privire la riscurile potențiale asociate auditului, în ceea ce privește confidențialitatea informațiilor colectate și analizate, precum și în ceea ce privește disponibilitatea (de exemplu, refuzul de serviciu în timpul testării de penetrare, scanarea vulnerabilităților privind un sistem informatic sau a unui server) și integritatea rețelelor și sistemelor informatice vizate;

i) stabilește dacă auditorul de securitate cibernetică are nevoie de o asigurare de practică profesională care acoperă daunele cauzate în timpul desfășurării auditului și, dacă este cazul, specifică acoperirea acestora și include certificatul de asigurare.

(6) Confidențialitate. Contractul de audit:

a) prevede regimul de distribuție a raportului de audit (de exemplu, public, confidențial etc.);

b) prevede o clauză explicită prin care raportul de audit poate fi transmis către ANSRSI, pe baza autorizației scrise din partea operatorului economic;

c) stipulează că auditorul de securitate cibernetică poate, cu excepția unui refuz formal și scris din partea operatorului economic, să păstreze anumite tipuri de informații legate de audit odată ce acesta a fost finalizat. Auditorul de securitate cibernetică trebuie să identifice aceste tipuri de informații în contract (de exemplu: livrabile, informații, documente etc.);

d) stipulează că auditorul de securitate cibernetică anonimizează și decontextualizează (ștergerea oricăror informații care identifică operatorul economic, orice informații cu caracter personal etc.) toate informațiile pe care operatorul economic le autorizează să le păstreze;

e) stipulează că auditorul de securitate cibernetică distruge toate informațiile referitoare la operatorul economic, cu excepția celor pentru care a primit o autorizație de păstrare/stocare de la operatorul economic;

f) specifică metodele (conținutul, forma, domeniul de aplicare etc.) pentru elaborarea recomandărilor;

g) prevede o procedură pentru obținerea consimțământului personalului operatorului economic auditat și al oricărui partener terț pentru efectuarea auditului de securitate.

(7) Reglementări. Contractul de audit:

a) este scris în limba română;

b) stipulează că legea aplicabilă este legea română;

c) prevede cerințele care trebuie îndeplinite de auditorul de securitate cibernetică în contextul unui caz judiciar, civil sau de arbitraj;

d) definește perioada de păstrare a informațiilor legate de audit și, în special, a evenimentelor colectate și a incidentelor de securitate detectate. Dacă este necesar, se poate face o distincție privind perioada de păstrare în funcție de tipurile de informații. Perioada minimă de păstrare este de 6 luni, sub rezerva legislației și reglementărilor române actuale.

(8) Subcontractare. Contractul trebuie să specifice că auditorul de securitate cibernetică contractant nu poate subcontracta o parte sau în întregime activitatea de audit de securitate cibernetică executată în baza acestui regulament și a Legii NIS.

(9) Participare experți. Contractul trebuie să specifice că auditorul de securitate cibernetică contractant poate implica alți experți în activitățile de audit de securitate executate în baza acestui regulament și a Legii NIS, cu condiția ca implicarea experților să nu depășească 10% din volumul total al activității de audit executate.

(10) Livrabile. Contractul trebuie să precizeze că toate livrabilele produse de auditorul de securitate cibernetică contractant sunt furnizate/emise în limba română, cu excepția cazului în care operatorul economic auditat solicită utilizarea unei alte limbi. În cazul în care livrabilele produse de auditorul de securitate cibernetică sunt produse atât în română, cât și în alte limbi, versiunea în limba română prevalează.

(11) Conformitate. Contractul de audit:

a) indică faptul că auditul de securitate furnizat este:

(i)un serviciu de audit executat în condițiile Legii NIS. În acest caz, auditorul de securitate cibernetică informează operatorul economic despre faptul că atât el, cât și orice subcontractant dețin atestate de auditor de securitate cibernetică valabile eliberate de autoritatea competentă la nivel național;

(ii)un serviciu de audit executat în afara condițiilor Legii NIS. În acest caz, auditorul de securitate cibernetică trebuie să informeze operatorul economic cu privire la riscurile ce decurg din furnizarea unui astfel de serviciu;

b) indică faptul că auditorii de securitate cibernetică dețin un atestat de auditor de securitate cibernetică individual pentru fiecare dintre activitățile de audit pentru care se efectuează misiunea de audit, inclusiv aceste atestate.”