Managementul Securitatii Informatiei

Step

Analizarea şi evaluarea riscurilor

Analiza riscurilor de securitate. OSE efectuează şi actualizează periodic o analiză a riscurilor de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale, identificând sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esenţial şi principalele riscuri.

  • ARNIS - analiza riscurilor de securitate a rețelelor și sistemelor informatice, document elaborat la nivelul OSE, prin care sunt identificate elementele critice care stau la baza furnizării serviciului esențial și sunt identificate principalele riscuri in vederea gestionării și diminuării acestora
  • Step

    Analizarea şi evaluarea riscurilor

    Gestionarea riscurilor de securitate. Pentru aplicarea procesului de analiză şi evaluare a riscurilor, OSE stabileşte o metodologie de gestionare a riscurilor furnizării serviciilor esenţiale care va reflecta procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare şi de reducere a riscurilor.

  • MEGRE - metodologie de gestionare a riscurilor furnizării serviciilor esențiale, document prin care este prezentat procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare și de reducere a riscurilor
  • Step

    Analizarea şi evaluarea riscurilor

    Evaluarea riscurilor de securitate. Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizaţional.

  • RERO - registrul de risc organizațional.
  • Step

    Realizarea planurilor de securitate. Politica de securitate

    Politica de securitate. Pornind de la ARNIS, OSE elaborează, menţine şi implementează o politică de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi un sistem de management al securităţii informaţiilor.

  • PONIS - politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale
  • SMSI - sistemul de management al securității informației
  • RAIPOD - raport privind implementarea politicii de securitate a rețelelor șisistemelor informatice care asigură furnizarea serviciilor esențiale și a documentelor de aplicare a acesteia.
  • Step

    Realizarea planurilor de securitate. Politica de securitate

    Implementarea politicii de securitate. OSE întocmeşte în beneficiul managementului său, cel puţin anual, un raport privind implementarea PONIS şi a documentelor de aplicare a acesteia.

    Raportul specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și acțiunile de securitate planificate și realizate.

    Step

    Acreditarea de securitate

    Acreditarea reţelelor şi sistemelor informatice. În baza ARNIS şi în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează reţelele şi sistemele informatice, inclusiv componentele de administrare.

  • PEANIS - procesul de acreditare stabilit  in PONIS prin care OSE acreditează NIS utilizate  in furnizarea serviciilor esențiale, inclusiv componentele de administrare
  • DANIS - decizia de acreditare; decizie formală luată de managementul de nivel inalt al OSE
  • MANIS - mapa de acreditare de securitate; document  in baza căruia se emite DANIS
  • Step

    Acreditarea de securitate

    Revizuirea validării acreditării de securitate. Anual şi ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configuraţia reţelelor şi sistemelor informatice sau a aplicaţiilor, OSE va revizui validarea acreditării de securitate. OSE are obligaţia reînnoirii aprobării imediat ce nu mai este valabilă.

    Step

    Indicatori de securitate

    Indicatori de securitate. OSE stabileşte o serie de indicatori de evaluare, pe baza cărora îşi evaluează conformitatea cu PONIS.

  • IEC - indicatori de evaluare, pe baza cărora OSE  și evaluează conformitatea cu PONIS
  • MEIEC - metoda de evaluare a indicatorilor de conformitate
  • Step

    Indicatori de securitate

    Metode de evaluare a securităţii. OSE specifică pentru fiecare indicator metoda de evaluare folosită şi, dacă este cazul, marja de incertitudine în evaluarea sa.

    Step

    Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

    Evaluarea conformităţii. În baza ARNIS, OSE stabileşte şi actualizează periodic procedura privind evaluarea conformităţii SNIS şi efectuarea auditului de securitate a reţelelor şi sistemelor informatice.

  • PRECAS - procedură privind evaluarea conformității NIS și efectuarea auditului de securitate a rețelelor și sistemelor informatice
  • RAEC - raport de evaluare a conformității
  • RASNIS - raport de audit de securitate a rețelelor și sistemelor informatice
  • Step

    Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

    Auditul de securitate. OSE va efectua audit de securitate, cel puţin o dată la 2 ani, şi are ca rezultat un raport de audit de securitate a reţelelor şi sistemelor informatice.

    Step

    Testarea şi evaluarea securităţii reţelelor şi sistemelor informatice

    Testare şi evaluare securitate. Procesul de testare şi evaluare va implica verificarea sistemelor operaţionale pe baza unei planificări atente astfel încât riscul întreruperii furnizării serviciului esenţial să fie minim şi se finalizează cu un raport de testare şi evaluare a securităţii reţelelor şi sistemelor informatice.

  • RATES - raport de testare și evaluare a securității rețelelor și sistemelor informatice
  • ATECNIS - analiză tehnică cu privire la compromiterea securității rețelelor și sistemelor informatice
  • RASNIS - raport de audit de securitate a rețelelor și sistemelor informatice
  • Step

    Asigurarea securităţii personalului

    Asigurarea securităţii personalului. OSE elaborează un program de asigurare a securităţii personalului prin care identifică obiective şi stabileşte cerinţe de securitate pentru fiecare etapă a relaţiei avute de către angajaţi.

  • PGASP - program de asigurare a securității personalului; document prin care OSE identifică obiective și stabilește cerințe de securitate pentru fiecare etapă a relației avute de către angajați
  • COSE - contractele de servicii sau furnizare servicii externe
  • FP - fișa postului;
  • CIM - contract individual de muncă
  • CCM - contract colectiv de muncă.
  • Step

    Asigurarea securităţii personalului

    Verificarea înţelegerii responsabilităţilor. OSE se asigură că angajaţii înţeleg responsabilităţile şi sunt potriviţi pentru rolurile stabilite, iar contractanţii şi furnizorii îşi asumă şi angajează întreaga responsabilitate.

  • VCSA – Verificări privind cunoștințele de securitate ale angajaților
  • ISA – Instructaje de securitate pentru angajați;
  • Step

    Conştientizarea şi instruirea utilizatorilor

    Instrumente de conştientizare. OSE pune la dispoziţia angajaţilor instrumente necesare pentru conştientizarea şi educarea acestora cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie corespunzătoare.

  • INCEA - instrumente necesare pentru conștientizarea și educarea angajaților cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare in vederea limitării incidentelor
  • Step

    Conştientizarea şi instruirea utilizatorilor

    Instruirea şi prezentarea securităţii. OSE instituie un program de prezentare a securităţii pentru tot personalul, precum şi un program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sisteme informatice.

  • PRASA - program de prezentare a securității pentru tot personalul
  • PRISA - program de instruire in domeniul securității pentru angajații care utilizează rețelele și sistemele informatice care stau la baza furnizării serviciilor esențiale
  • Step

    Gestionarea activelor

    Inventarierea şi gestionarea activelor. OSE stabileşte un cadru adecvat pentru identificarea, clasificarea şi implementarea unui inventar al proceselor IT, sistemelor şi elementelor componente ale reţelelor şi sistemelor informatice. În baza gestionării activelor, OSE lansează actualizări şi patch-uri şi, după caz, stabileşte ce elemente din componenţa reţelelor şi sistemelor informatice sunt afectate de noi probleme de securitate.

  • LASPO - lista activelor, sistemelor şi proceselor organizației
  • PRECDI - procedură privind etichetarea și clasificarea datelor și informațiilor