Auditul de securitate din perspectiva Legii NIS

Ce este, cine îl efectuează, cum se desfășoară și cum te poți pregăti?

Așa cum am menționat în cadrul unui alt articol, Legea NIS a impus anumitor categorii de operatori economici implementarea unei serii de cerințe tehnice și procedurale minime, cu scopul de a crește reziliența sistemelor informatice care sunt folosite în vederea furnizării unor servicii esențiale către populație în fața unor atacuri cibernetice.

Una din cele mai importante obligații prevăzute în sarcina entităților vizate de Legea NIS este de a se supune, odată la 2 ani, unui audit de securitate a rețelelor și sistemelor informatice.

                Auditul de securitate reprezintă activitatea prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice în vederea identificării disfuncțiilor și a vulnerabilităților și a furnizării unor soluții de remediere a acestora. Scopul secundar al acestui audit este să se verifice în ce măsură la nivelul operatorilor de servicii esențiale sunt implementate, documentate și puse efectiv în aplicare cerințele minime de securitat, tehnice și procedurale,  prevăzute în legislație.

Activitate de evaluare poate fi efectuată doar de către auditori atestați de către Autoritatea Națională pentru Securitatea Rețelelor și Sistemelor Informatice (ANSRSI – Autoritatea Națională NIS) pentru efectuarea de audituri din perspectiva Legii NIS. Lista auditorilor atestați poate fi consultată aici: https://dnsc.ro/pagini/auditori-de-securitate-cibernetica. Practic, odată la doi ani, operatorii de servicii esențiale vor alege unul sau mai mulți auditori din listele de mai sus, cu care vor încheia un contract de prestări servicii în baza căruia se va realiza auditul. Am menționat unul sau mai mulți auditori întrucât raportat la specificul rețelelor și sistemelor informatice care sunt folosite de către operator în vederea furnizării serviciilor esențiale, legislația distinge între mai multe tipuri de audit care se impun a fi efectuate și anume:

  1. auditul arhitecturii – Constă în verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale operatorului economic.
  2. auditul de configurare – Constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice.
  3. auditul codului sursă – Constă în analiza totală sau parțială a codului sursă sau a condițiilor de compilare ale unei aplicații pentru a descoperi vulnerabilitățile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securității rețelelor și sistemelor informatice;
  4. auditul de penetrare (pen testing) – Constă în identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice.
  5. auditul securității organizației – Constă în auditul organizației cu privire la securitatea logică și fizică și urmărește să se asigure că politicile și procedurile de securitate definite de operatorul economic sunt conforme cu nivelul de securitate ale operatorului economic auditat, nivelul tehnologic și standardele în vigoare, completează corect măsurile tehnice implementate și sunt puse efectiv în practică;
  6. auditul sistemelor de control industrial – Constă în evaluarea nivelului de securitate al unui sistem de control industrial și a dispozitivelor de control asociate. Evaluarea de securitate presupune aplicarea activităților de audit de la lit. a) la lit. e) menționate mai sus.

Este foarte important de reținut faptul că un auditor de securitate cibernetică nu va putea fi contractat de către un operator de servicii esențiale pentru mai mult de două audituri consecutive.

Auditul se va desfășura cu respectarea standardelor și specificațiilor europene și internaționale aplicabile în domeniu, precum și a activității, reputației, personalului, a rețelelor și sistemelor informatice ale operatorului economic. Constatările făcute de auditor în desfășurarea auditului trebuie să fie reale, faptice, obiective și să se bazeze pe dovezile furnizate, datele și informațiile analizate de auditor.

Auditorul va informa imediat operatorul de servicii esențiale cu privire la concluziile inițiale ale activității de audit și este obligat să ia toate măsurile de precauție necesare pentru a proteja confidențialitatea documentelor și informațiilor referitoare la operatorul economic. Fiecare activitate de audit se va materializa în cuprinsul unui raport formal de audit, în cadrul căruia se vor menționa vulnerabilitățile critice (tehnice sau organizaționale) și se vor propune măsuri corective. Vulnerabilitățile se clasifică prin prisma impactului acestora asupra securității rețelelor și sistemelor informatice și a dificultății de exploatare a acestora. Măsurile corective reprezintă soluții pentru rezolvarea temporară sau permanentă a vulnerabilității și îmbunătățirea posturii de securitate a entității supuse auditului. Auditorul are posibilitatea să includă în raportul de audit și recomadări generale de securitate, prin intermediul căruia să consilieze operatorul economic în privința acțiunilor pe care le poate întreprinde pentru a asigura un nivel sporit al securității rețelelor și sistemelor informatice.

Activitatea de audit se încheie în cadrul unei ședințe formale organizate de auditor împreună cu operatorul economic. În ședință se va prezenta rezumatul raportului de audit, concluziile și recomadările auditorului și se vor răspunde întrebărilor formulate de către reprezentanții operatorului economic. Un exemplar al raportului de audit va fi înaintat de către auditor ANSRSI care va decide, în funcție de concuziile raportului de audit, cu privire la aplicarea sancțiunilor prevăzute în cadrul Legii NIS. Astfel, dacă ANSRSI va constata că operatorul economic nu a implementat măsurile tehnice și procedurale minime prevăzute de legislație, va aplica o amendă acestuia. Aceste măsuri pot fi consultate accesând următorul link: https://legislatie.just.ro/Public/DetaliiDocument/233775 .

În concluzie, considerăm că primul pas în vederea pregătirii auditului de securitate cibernetică este efectuarea unei evaluări a stadiului actual de conformare a operatorilor economici vizați cu cerințele expuse mai sus. Scopul acestui demers este acela de conștientizare, urmat de planificarea a resurselor materiale și umane necesare în vederea asigurării unui grad cât mai mare de conformare.

Dacă te afli printre entitățile vizate de Legea NIS și vrei să beneficiezi de o evaluare gratuită.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *