Autoevaluare Operatori Servicii Esentiale in baza Ordinului 1323/09.11.2020 conform Directivei NIS

Analizarea şi evaluarea riscurilor

Analiza riscurilor de securitate. OSE efectuează şi actualizează periodic o analiză a riscurilor de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale, identificând sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esenţial şi principalele riscuri.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

ARNIS - analiza riscurilor de securitate a rețelelor și sistemelor informatice, document elaborat la nivelul OSE, prin care sunt identificate elementele critice care stau la baza furnizării serviciului esențial și sunt identificate principalele riscuri in vederea gestionării și diminuării acestora

Analizarea şi evaluarea riscurilor

Gestionarea riscurilor de securitate. Pentru aplicarea procesului de analiză şi evaluare a riscurilor, OSE stabileşte o metodologie de gestionare a riscurilor furnizării serviciilor esenţiale care va reflecta procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare şi de reducere a riscurilor.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

MEGRE - metodologie de gestionare a riscurilor furnizării serviciilor esențiale, document prin care este prezentat procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare și de reducere a riscurilor

Analizarea şi evaluarea riscurilor

Evaluarea riscurilor de securitate. Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizaţional.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

RERO - registrul de risc organizațional.

Realizarea planurilor de securitate. Politica de securitate

Politica de securitate. Pornind de la ARNIS, OSE elaborează, menţine şi implementează o politică de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi un sistem de management al securităţii informaţiilor.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

PONIS - politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale

SMSI - sistemul de management al securității informației

RAIPOD - raport privind implementarea politicii de securitate a rețelelor șisistemelor informatice care asigură furnizarea serviciilor esențiale și a documentelor de aplicare a acesteia.

Realizarea planurilor de securitate. Politica de securitate

Implementarea politicii de securitate. OSE întocmeşte în beneficiul managementului său, cel puţin anual, un raport privind implementarea PONIS şi a documentelor de aplicare a acesteia.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

Raportul specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și acțiunile de securitate planificate și realizate.

Acreditarea de securitate

Acreditarea reţelelor şi sistemelor informatice. În baza ARNIS şi în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează reţelele şi sistemele informatice, inclusiv componentele de administrare.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

PEANIS - procesul de acreditare stabilit in PONIS prin care OSE acreditează NIS utilizate in furnizarea serviciilor esențiale, inclusiv componentele de administrare

DANIS - decizia de acreditare; decizie formală luată de managementul de nivel inalt al OSE

MANIS - mapa de acreditare de securitate; document in baza căruia se emite DANIS

Acreditarea de securitate

Revizuirea validării acreditării de securitate. Anual şi ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configuraţia reţelelor şi sistemelor informatice sau a aplicaţiilor, OSE va revizui validarea acreditării de securitate. OSE are obligaţia reînnoirii aprobării imediat ce nu mai este valabilă.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

Indicatori de securitate

Indicatori de securitate. OSE stabileşte o serie de indicatori de evaluare, pe baza cărora îşi evaluează conformitatea cu PONIS.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

IEC - indicatori de evaluare, pe baza cărora OSE și evaluează conformitatea cu PONIS

MEIEC - metoda de evaluare a indicatorilor de conformitate

Indicatori de securitate

Metode de evaluare a securităţii. OSE specifică pentru fiecare indicator metoda de evaluare folosită şi, dacă este cazul, marja de incertitudine în evaluarea sa.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Evaluarea conformităţii. În baza ARNIS, OSE stabileşte şi actualizează periodic procedura privind evaluarea conformităţii SNIS şi efectuarea auditului de securitate a reţelelor şi sistemelor informatice.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

PRECAS - procedură privind evaluarea conformității NIS și efectuarea auditului de securitate a rețelelor și sistemelor informatice

RAEC - raport de evaluare a conformității

RASNIS - raport de audit de securitate a rețelelor și sistemelor informatice

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Auditul de securitate. OSE va efectua audit de securitate, cel puţin o dată la 2 ani, şi are ca rezultat un raport de audit de securitate a reţelelor şi sistemelor informatice.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

Testarea şi evaluarea securităţii reţelelor şi sistemelor informatice

Testare şi evaluare securitate. Procesul de testare şi evaluare va implica verificarea sistemelor operaţionale pe baza unei planificări atente astfel încât riscul întreruperii furnizării serviciului esenţial să fie minim şi se finalizează cu un raport de testare şi evaluare a securităţii reţelelor şi sistemelor informatice.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

RATES - raport de testare și evaluare a securității rețelelor și sistemelor informatice

ATECNIS - analiză tehnică cu privire la compromiterea securității rețelelor și sistemelor informatice

RASNIS - raport de audit de securitate a rețelelor și sistemelor informatice

Asigurarea securităţii personalului

Asigurarea securităţii personalului. OSE elaborează un program de asigurare a securităţii personalului prin care identifică obiective şi stabileşte cerinţe de securitate pentru fiecare etapă a relaţiei avute de către angajaţi.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

PGASP - program de asigurare a securității personalului; document prin care OSE identifică obiective și stabilește cerințe de securitate pentru fiecare etapă a relației avute de către angajați

COSE - contractele de servicii sau furnizare servicii externe

FP - fișa postului;

CIM - contract individual de muncă

CCM - contract colectiv de muncă.

Asigurarea securităţii personalului

Verificarea înţelegerii responsabilităţilor. OSE se asigură că angajaţii înţeleg responsabilităţile şi sunt potriviţi pentru rolurile stabilite, iar contractanţii şi furnizorii îşi asumă şi angajează întreaga responsabilitate.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

VCSA – Verificări privind cunoștințele de securitate ale angajaților

ISA – Instructaje de securitate pentru angajați;

Conştientizarea şi instruirea utilizatorilor

Instrumente de conştientizare. OSE pune la dispoziţia angajaţilor instrumente necesare pentru conştientizarea şi educarea acestora cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie corespunzătoare.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

INCEA - instrumente necesare pentru conștientizarea și educarea angajaților cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare in vederea limitării incidentelor

Conştientizarea şi instruirea utilizatorilor

Instruirea şi prezentarea securităţii. OSE instituie un program de prezentare a securităţii pentru tot personalul, precum şi un program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sisteme informatice.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

PRASA - program de prezentare a securității pentru tot personalul

PRISA - program de instruire in domeniul securității pentru angajații care utilizează rețelele și sistemele informatice care stau la baza furnizării serviciilor esențiale

Gestionarea activelor

Inventarierea şi gestionarea activelor. OSE stabileşte un cadru adecvat pentru identificarea, clasificarea şi implementarea unui inventar al proceselor IT, sistemelor şi elementelor componente ale reţelelor şi sistemelor informatice. În baza gestionării activelor, OSE lansează actualizări şi patch-uri şi, după caz, stabileşte ce elemente din componenţa reţelelor şi sistemelor informatice sunt afectate de noi probleme de securitate.

Neimplementat sau neplanificat

Partial implementat sau partial planificat

Implementat

Nu se aplica

Detalii

LASPO - lista activelor, sistemelor şi proceselor organizației

PRECDI - procedură privind etichetarea și clasificarea datelor și informațiilor

Managementul Securitatii Informatiei

Step

Analizarea şi evaluarea riscurilor

Step

Analizarea şi evaluarea riscurilor

Step

Analizarea şi evaluarea riscurilor

Evaluarea riscurilor de securitate. Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizaţional.

Step

Realizarea planurilor de securitate. Politica de securitate

Politica de securitate. Pornind de la ARNIS, OSE elaborează, menţine şi implementează o politică de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi un sistem de management al securităţii informaţiilor.

Step

Realizarea planurilor de securitate. Politica de securitate

Implementarea politicii de securitate. OSE întocmeşte în beneficiul managementului său, cel puţin anual, un raport privind implementarea PONIS şi a documentelor de aplicare a acesteia.

Step

Acreditarea de securitate

Acreditarea reţelelor şi sistemelor informatice. În baza ARNIS şi în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează reţelele şi sistemele informatice, inclusiv componentele de administrare.

Step

Acreditarea de securitate

Step

Indicatori de securitate

Indicatori de securitate. OSE stabileşte o serie de indicatori de evaluare, pe baza cărora îşi evaluează conformitatea cu PONIS.

Step

Indicatori de securitate

Metode de evaluare a securităţii. OSE specifică pentru fiecare indicator metoda de evaluare folosită şi, dacă este cazul, marja de incertitudine în evaluarea sa.

Step

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Evaluarea conformităţii. În baza ARNIS, OSE stabileşte şi actualizează periodic procedura privind evaluarea conformităţii SNIS şi efectuarea auditului de securitate a reţelelor şi sistemelor informatice.

Step

Verificarea conformităţii cu privire la securitatea informaţiei. Audit de securitate

Auditul de securitate. OSE va efectua audit de securitate, cel puţin o dată la 2 ani, şi are ca rezultat un raport de audit de securitate a reţelelor şi sistemelor informatice.

Step

Testarea şi evaluarea securităţii reţelelor şi sistemelor informatice

Step

Asigurarea securităţii personalului

Asigurarea securităţii personalului. OSE elaborează un program de asigurare a securităţii personalului prin care identifică obiective şi stabileşte cerinţe de securitate pentru fiecare etapă a relaţiei avute de către angajaţi.

Step

Asigurarea securităţii personalului

Verificarea înţelegerii responsabilităţilor. OSE se asigură că angajaţii înţeleg responsabilităţile şi sunt potriviţi pentru rolurile stabilite, iar contractanţii şi furnizorii îşi asumă şi angajează întreaga responsabilitate.

Step

Conştientizarea şi instruirea utilizatorilor

Instrumente de conştientizare. OSE pune la dispoziţia angajaţilor instrumente necesare pentru conştientizarea şi educarea acestora cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie corespunzătoare.

Step

Conştientizarea şi instruirea utilizatorilor

Instruirea şi prezentarea securităţii. OSE instituie un program de prezentare a securităţii pentru tot personalul, precum şi un program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sisteme informatice.

Step

Gestionarea activelor