Managementul Securitatii Informatiei

Step

Analizarea şi evaluarea riscurilor

Analiza riscurilor de securitate. OSE efectuează şi actualizează periodic o analiză a riscurilor de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale, identificând sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esenţial şi principalele riscuri.

Step

Analizarea şi evaluarea riscurilor

Gestionarea riscurilor de securitate. Pentru aplicarea procesului de analiză şi evaluare a riscurilor, OSE stabileşte o metodologie de gestionare a riscurilor furnizării serviciilor esenţiale care va reflecta procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare şi de reducere a riscurilor.

Step

Analizarea şi evaluarea riscurilor

Evaluarea riscurilor de securitate. Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizaţional.

Step

Realizarea planurilor de securitate. Politica de securitate

Politica de securitate. Pornind de la ARNIS, OSE elaborează, menţine şi implementează o politică de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi un sistem de management al securităţii informaţiilor.

Step

Realizarea planurilor de securitate. Politica de securitate

Implementarea politicii de securitate. OSE întocmeşte în beneficiul managementului său, cel puţin anual, un raport privind implementarea PONIS şi a documentelor de aplicare a acesteia.

Step

Acreditarea de securitate

Acreditarea reţelelor şi sistemelor informatice. În baza ARNIS şi în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează reţelele şi sistemele informatice, inclusiv componentele de administrare.

Step

Acreditarea de securitate

Revizuirea validării acreditării de securitate. Anual şi ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configuraţia reţelelor şi sistemelor informatice sau a aplicaţiilor, OSE va revizui validarea acreditării de securitate. OSE are obligaţia reînnoirii aprobării imediat ce nu mai este valabilă.

Step

Indicatori de securitate

Indicatori de securitate. OSE stabileşte o serie de indicatori de evaluare, pe baza cărora îşi evaluează conformitatea cu PONIS.

Step

Indicatori de securitate

Metode de evaluare a securităţii. OSE specifică pentru fiecare indicator metoda de evaluare folosită şi, dacă este cazul, marja de incertitudine în evaluarea sa.

Step

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Evaluarea conformităţii. În baza ARNIS, OSE stabileşte şi actualizează periodic procedura privind evaluarea conformităţii SNIS şi efectuarea auditului de securitate a reţelelor şi sistemelor informatice.

Step

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Auditul de securitate. OSE va efectua audit de securitate, cel puţin o dată la 2 ani, şi are ca rezultat un raport de audit de securitate a reţelelor şi sistemelor informatice.

Step

Testarea şi evaluarea securităţii reţelelor şi sistemelor informatice

Testare şi evaluare securitate. Procesul de testare şi evaluare va implica verificarea sistemelor operaţionale pe baza unei planificări atente astfel încât riscul întreruperii furnizării serviciului esenţial să fie minim şi se finalizează cu un raport de testare şi evaluare a securităţii reţelelor şi sistemelor informatice.

Step

Asigurarea securităţii personalului

Asigurarea securităţii personalului. OSE elaborează un program de asigurare a securităţii personalului prin care identifică obiective şi stabileşte cerinţe de securitate pentru fiecare etapă a relaţiei avute de către angajaţi.

Step

Asigurarea securităţii personalului

Verificarea înţelegerii responsabilităţilor. OSE se asigură că angajaţii înţeleg responsabilităţile şi sunt potriviţi pentru rolurile stabilite, iar contractanţii şi furnizorii îşi asumă şi angajează întreaga responsabilitate.

Step

Conştientizarea şi instruirea utilizatorilor

Instrumente de conştientizare. OSE pune la dispoziţia angajaţilor instrumente necesare pentru conştientizarea şi educarea acestora cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie corespunzătoare.

Step

Conştientizarea şi instruirea utilizatorilor

Instruirea şi prezentarea securităţii. OSE instituie un program de prezentare a securităţii pentru tot personalul, precum şi un program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sisteme informatice.

Step

Gestionarea activelor

Inventarierea şi gestionarea activelor. OSE stabileşte un cadru adecvat pentru identificarea, clasificarea şi implementarea unui inventar al proceselor IT, sistemelor şi elementelor componente ale reţelelor şi sistemelor informatice. În baza gestionării activelor, OSE lansează actualizări şi patch-uri şi, după caz, stabileşte ce elemente din componenţa reţelelor şi sistemelor informatice sunt afectate de noi probleme de securitate.