NORME TEHNICE din 9 noiembrie 2020

Notă …

Aprobate prin ORDINUL nr. 1.323 din 9 noiembrie 2020, publicat în Monitorul Oficial, Partea I, nr. 1142 din 26 noiembrie 2020. + 
Capitolul IDispoziții generale + 
Articolul 1AplicabilitatePrezentele norme tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice, denumite în continuare norme, sunt aplicabile operatorilor de servicii esențiale și au ca obiect asigurarea unui nivel comun de securitate a rețelelor și sistemelor informatice. + 
Articolul 2Termeni, abrevieri și domenii de securitate(1)În stabilirea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice se utilizează următoarele domenii de securitate:1.guvernanță – obiectivele domeniului sunt: elaborarea și implementarea politicilor de securitate la nivelul organizațional; angajamentul managementului de nivel înalt al organizației în asigurarea sistemului de management al securității informației; gestionarea managementului riscurilor privind amenințările, vulnerabilitățile și riscurile identificate; … 2.protecție – obiectivele domeniului sunt: asigurarea securității rețelelor și sistemelor informatice, securitatea fizică și a persoanei; administrarea și mentenanța resurselor rețelelor și sistemelor informatice; controlul accesului la elementele/ componentele rețelelor și sistemelor informatice; … 3.apărare cibernetică – obiectivele domeniului sunt: asigurarea managementului incidentelor de securitate; detectarea și tratarea incidentelor de securitate care afectează securitatea rețelelor și sistemelor informatice; … 4.reziliență – obiectivele domeniului sunt: managementul continuității serviciilor esențiale furnizate; gestionarea situațiilor de criză, în special a incidentelor de securitate care au un impact major asupra serviciilor esențiale. … (2)Termenii și abrevierile utilizate în prezentele norme tehnice sunt prevăzute în anexa nr. 1.(3)Domeniile de securitate se împart, la rândul lor, în categorii de activități de securitate, iar pentru fiecare dintre acestea sunt stabilite măsuri de securitate cu una sau mai multe cerințe de securitate, care, la rândul lor, conțin indicatori de control.(4)În procesul de implementare a cerințelor de securitate, OSE identifică riscurile privind neimplementarea, planifică activitățile care stau la baza implementării și stabilește responsabilii pentru realizarea acestora. + 
Capitolul IIGuvernanță [A] + 
Secţiunea 1Managementul securității informației [A1] + 
Articolul 3Analizarea și evaluarea riscurilor [A11](1)Cerințe de securitate[A111].Analiza riscurilor de securitate. OSE efectuează și actualizează periodic o analiză a riscurilor de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale, identificând sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esențial și principalele riscuri. … [A112].Gestionarea riscurilor de securitate. Pentru aplicarea procesului de analiză și evaluare a riscurilor, OSE stabilește o metodologie de gestionare a riscurilor furnizării serviciilor esențiale care va reflecta procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare și de reducere a riscurilor. … [A113].Evaluarea riscurilor de securitate. Rezultatul evaluării riscurilor va fi documentat în registrul de risc organizațional.1.În procesul de evaluare a riscurilor, OSE va avea în vedere cel puțin:– noile amenințări în domeniul securității cibernetice; … – punctele slabe descoperite recent; … – pierderea eficacității măsurilor de securitate; … – modificările situației de risc cauzate de modificările arhitecturii rețelelor și sistemelor informatice; … – orice alte modificări ale situației de risc. …  …  … (2)Indicatori de control. ARNIS; MEGRE; RERO. + 
Articolul 4Realizarea planurilor de securitate. Politica de securitate [A12](1)Cerințe de securitate[A121].Politica de securitate. Pornind de la ARNIS, OSE elaborează, menține și implementează o politică de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale și un sistem de management al securității informațiilor.1.PONIS stabilește obiectivele strategice de securitate, descrie guvernanța securității și reflectă toate politicile specifice de securitate ale SMSI (procesul de acreditare de securitate, audit de securitate, criptografie, întreținere securitate, manipulare incidente etc.). …  … [A122].Implementarea politicii de securitate. OSE întocmește în beneficiul managementului său, cel puțin anual, un raport privind implementarea PONIS și a documentelor de aplicare a acesteia.1.Raportul specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și acțiunile de securitate planificate și realizate. …  … (2)Indicatori de control. PONIS; SMSI; RAIPOD. + 
Articolul 5Acreditarea de securitate [A13](1)Cerințe de securitate[A131].Acreditarea rețelelor și sistemelor informatice. În baza ARNIS și în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează rețelele și sistemele informatice, inclusiv componentele de administrare.1.Acreditarea de securitate este o decizie formală luată de managementul de nivel înalt al OSE prin care se certifică procesul de identificare a riscurilor care afectează securitatea și modul de implementare a măsurilor necesare pentru protejare și are valabilitate de cel mult un an. Decizia certifică, de asemenea, faptul că orice risc rezidual a fost identificat și acceptat la nivel managerial. … 2.Decizia de acreditare de securitate are la bază mapa de acreditare de securitate care cuprinde următoarele documente/mijloace:– analiză riscuri și obiective de securitate; … – proceduri și măsuri de securitate aplicate; … – rapoarte de audit de securitate; … – rapoarte de evaluare a conformității; … – riscuri reziduale și motive care justifică acceptarea acestora. …  …  … [A132].Revizuirea validării acreditării de securitate. Anual și ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configurația rețelelor și sistemelor informatice sau a aplicațiilor, OSE va revizui validarea acreditării de securitate. OSE are obligația reînnoirii aprobării imediat ce nu mai este valabilă. … (2)Indicatori de control. PEANIS; DANIS; MANIS. + 
Articolul 6Indicatori de securitate [A14](1)Cerințe de securitate[A141].Indicatori de securitate. OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS.1.Indicatorii de securitate se pot referi la: performanțele gestionării riscurilor; menținerea resurselor în condiții sigure; drepturile de acces ale utilizatorilor; autentificarea accesului la resurse; administrarea resurselor. …  … [A142].Metode de evaluare a securității. OSE specifică pentru fiecare indicator metoda de evaluare folosită și, dacă este cazul, marja de incertitudine în evaluarea sa.1.Dacă un indicator se schimbă semnificativ în comparație cu evaluarea anterioară, operatorul identifică și specifică motivele. …  … (2)Indicatori de control. IEC; MEIEC. + 
Articolul 7Verificarea conformității cu privire la securitatea informației. Audit de securitate [A15](1)Cerințe de securitate[A151].Evaluarea conformității. În baza ARNIS, OSE stabilește și actualizează periodic procedura privind evaluarea conformității SNIS și efectuarea auditului de securitate a rețelelor și sistemelor informatice.1.Activitatea se efectuează anual la nivelul OSE de către structura de securitate sau de o echipă complexă stabilită de managementul de cel mai înalt nivel. Ea se finalizează cu un raport de evaluare a conformității. …  … [A152].Auditul de securitate. OSE va efectua audit de securitate, cel puțin o dată la 2 ani, și are ca rezultat un raport de audit de securitate a rețelelor și sistemelor informatice.1.Auditul se efectuează numai de auditori de securitate informatică pentru auditarea rețelelor și sistemelor informatice, atestați de ANSRSI și cu atestat valabil la data finalizării RASNIS. … 2.RASNIS va cuprinde auditarea cerințelor minime specificate la [A16]. …  … (2)Indicatori de control. PRECAS; RAEC; RASNIS. + 
Articolul 8Testarea și evaluarea securității rețelelor și sistemelor informatice [A16](1)Cerințe de securitate[A161].Testare și evaluare securitate. Procesul de testare și evaluare va implica verificarea sistemelor operaționale pe baza unei planificări atente astfel încât riscul întreruperii furnizării serviciului esențial să fie minim și se finalizează cu un raport de testare și evaluare a securității rețelelor și sistemelor informatice.1.Testarea și evaluarea rețelelor și sistemelor informatice presupun identificarea și prevenirea vulnerabilităților software și hardware, respectiv:– testarea securității aplicațiilor; … – testarea securității infrastructurii rețelelor și sistemelor informatice. …  … 2.Testarea și evaluarea securității rețelelor și sistemelor informatice vor fi efectuate numai de personal specializat, atestat de către ANSRSI. … 3.Rezultatele analizelor tehnice cu privire la compromiterea securității efectuate pe parcursul auditărilor pot fi prezentate numai persoanelor care au nevoie de aceste informații pentru a-și îndeplini atribuțiile ce le revin. …  … (2)Indicatori de control. RATES; ATECNIS. + 
Articolul 9Asigurarea securității personalului [A17](1)Cerințe de securitate[A171].Asigurarea securității personalului. OSE elaborează un program de asigurare a securității personalului prin care identifică obiective și stabilește cerințe de securitate pentru fiecare etapă a relației avute de către angajați.1.PGASP se materializează prin: fișa postului (FP); contract individual de muncă (CIM); contract colectiv de muncă (CCM). …  … [A172].Verificarea înțelegerii responsabilităților. OSE se asigură că angajații înțeleg responsabilitățile și sunt potriviți pentru rolurile stabilite, iar contractanții și furnizorii își asumă și angajează întreaga responsabilitate.1.Materializat prin: instructaje de securitate pentru angajați (ISA); verificări privind cunoștințele de securitate ale angajaților (VCSA). … 2.În contractele de servicii sau furnizare servicii externe, OSE se asigură că au fost prevăzute clauze privind asigurarea securității personalului. …  … (2)Indicatori de control. PGASP; FP; CIM; CCM; ISA; VCSA; COSE. + 
Articolul 10Conștientizarea și instruirea utilizatorilor [A18](1)Cerințe de securitate[A181].Instrumente de conștientizare. OSE pune la dispoziția angajaților instrumente necesare pentru conștientizarea și educarea acestora cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare. … [A182].Instruirea și prezentarea securității. OSE instituie un program de prezentare a securității pentru tot personalul, precum și un program de instruire în domeniul securității pentru angajații care utilizează rețelele și sisteme informatice. … (2)Indicatori de control. INCEA; PRASA; PRISA. + 
Articolul 11Gestionarea activelor [A19](1)Cerințe de securitate[A191].Inventarierea și gestionarea activelor. OSE stabilește un cadru adecvat pentru identificarea, clasificarea și implementarea unui inventar al proceselor IT, sistemelor și elementelor componente ale rețelelor și sistemelor informatice. În baza gestionării activelor, OSE lansează actualizări și patch-uri și, după caz, stabilește ce elemente din componența rețelelor și sistemelor informatice sunt afectate de noi probleme de securitate.1.Pentru identificarea amenințărilor, vulnerabilităților și riscurilor sunt identificate activele, sistemele și procesele organizației, care se materializează printr-o listă. … 2.OSE elaborează o procedură pentru etichetarea și clasificarea datelor și informațiilor pentru a reflecta sensibilitatea acestora și, în consecință, se asigură că aceasta este respectată, iar datele/informațiile sunt gestionate corespunzător. …  … (2)Indicatori de control. LASPO; PRECDI. + 
Secţiunea a 2-aManagementul ecosistemului [A2] + 
Articolul 12Cartografierea ecosistemului [A21](1)Cerințe de securitate[A211].Descrierea ecosistemului. OSE stabilește o cartografiere a ecosistemului, inclusiv a părților interesate interne și externe, incluzând, dar fără a se limita la furnizori, în special a celor cu acces la sau gestionarea activelor critice ale operatorului.1.Cartografierea ecosistemului este materializată printr-o situație cartografică a ecosistemului. … 2.Scopul cartografierii este identificarea și evaluarea riscurilor potențiale reprezentate de relațiile cu părțile interesate ale ecosistemului și identificată printr-o listă a riscurilor potențiale identificate și evaluarea efectului acestora asupra furnizării serviciilor esențiale. … 3.Pentru elaborarea LIRIE, OSE va avea în vedere 4 parametri majori:– maturitatea. Care sunt capacitățile tehnice ale părților interesate cu privire la securitatea cibernetică? … – încrederea. Pot presupune că intențiile părților interesate față de mine sunt fiabile? … – nivelul de acces. Care sunt drepturile de acces ale părților interesate la rețelele și sistemele informatice? … – dependența. În ce măsură relația cu părțile interesate este critică pentru activitatea mea? …  …  … (2)Indicatori de control. SICAE; LIRIE. + 
Articolul 13Relațiile ecosistemului [A22](1)Cerințe de securitate[A221].Stabilirea relațiilor ecosistemului. OSE elaborează și implementează o procedură de stabilire a relațiilor ecosistemului, care include interconexiunile (relațiile externe) între rețelele și sisteme informatice și terți. În general, cerințele de securitate trebuie luate în considerare pentru componentele rețelelor și sistemelor informatice operate de terți. … [A222].Acorduri la nivel de serviciu. OSE se asigură, prin acorduri la nivel de serviciu și/sau mecanisme de audit, că furnizorii săi stabilesc, de asemenea, măsuri de securitate adecvate. În acest sens elaborează și păstrează o listă cu acorduri la nivel de serviciu și/sau mecanisme de audit. … (2)Indicatori de control. PROSRE; LASMA. + 
Capitolul IIIProtecție [B] + 
Secţiunea 1Managementul arhitecturii [B1] + 
Articolul 14Managementul configurației rețelelor și sistemelor informatice [B11](1)Cerințe de securitate[B111].Arhitectura NIS. OSE elaborează și actualizează permanent o schemă a arhitecturii rețelelor și sistemelor informatice. … [B112].Instalarea echipamentelor și serviciilor. OSE instalează numai servicii și funcționalități sau conectează echipamente care sunt esențiale pentru funcționarea și securitatea rețelelor și sistemelor informatice. Evidența serviciilor, funcționalităților și echipamentelor este evidențiată în ARNIS.1.Dacă componentele suplimentare sunt inevitabile (de exemplu, din motive economice), acestea trebuie evaluate în funcție de analiza riscurilor. Va fi materializat în MANIS. … 2.ARNIS va fi actualizată permanent în funcție de componentele suplimentare implementate la nivelul securității rețelelor și sistemelor informatice. … 3.Elementele componente ale rețelelor și sistemelor informatice trebuie utilizate numai atunci când este nevoie și cu măsuri de securitate adecvate. …  … (2)Indicatori de control. SANIS; MANIS; ARNIS. + 
Articolul 15Managementul suporților de memorie externă [B12](1)Cerințe de securitate[B121].Suporți de memorie externă. OSE va adopta o procedură privind utilizarea suporților de memorie externă. Aceasta va cuprinde modul de utilizare, principii și măsuri de securitate atât pentru dispozitive mobile, cât și pentru suporturi de memorie externă.1.Suporturile de scris amovibile conectate la rețelele și sistemele informatice sunt utilizate exclusiv pentru operațiuni legate de furnizarea serviciului esențial și/sau funcționarea rețelelor și sistemelor informatice, inclusiv pentru întreținerea, administrarea și asigurarea securității rețelelor și sistemelor informatice. … 2.La NIS vor fi conectate numai suporturi amovibile înregistrate, în registre de evidență a suporților de memorie externă, fiind monitorizat accesul în rețelele și sistemele informatice. …  … (2)Indicatori de control. PRUSME; RESME. + 
Articolul 16Segregarea și segmentarea rețelelor și sistemelor informatice [B13](1)Cerințe de securitate[B131].Segregarea și segmentarea. În vederea limitării propagării incidentelor de securitate cibernetică, OSE aplică o procedură privind segregarea și segmentarea NIS.1.OSE separă fizic sau logic rețelele și sistemele informatice de alte sisteme informatice proprii sau de la terți. În cazul în care rețelele și sistemele informatice sunt compuse din subsisteme, OSE le separă din punct de vedere fizic sau logic. … 2.OSE stabilește și pune în aplicare măsuri de securitate adecvate pentru interconectări ale rețelelor și sistemelor informatice. …  … (2)Indicatori de control. PROSES; SANIS. + 
Articolul 17Filtrarea traficului [B14](1)Cerințe de securitate[B141].Filtrarea fluxurilor. OSE definește, implementează și actualizează permanent procedura privind filtrarea traficului, prin care stabilește reguli de filtrare a traficului (pe baza adresei de rețea, după numărul portului, pe bază de protocoale de comunicații etc.) pentru restrângea fluxurilor de trafic.1.OSE interzice fluxurile de trafic care nu sunt necesare pentru funcționarea rețelelor și sistemelor informatice și care ar putea facilita un atac cibernetic. … 2.OSE filtrează fluxurile de intrare, cele existente și fluxurile între subsistemele rețelelor și sistemelor informatice la nivelul interconectării lor, limitând astfel fluxurile numai la cele strict necesare funcționării și asigurării securității rețelelor și sistemelor informatice. …  … (2)Indicatori de control. PROFIT; ARNIS. + 
Articolul 18Asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice [B15](1)Cerințe de securitate[B151].Asigurarea protecției criptografice. Pentru a asigura confidențialitatea, integritatea și autenticitatea datelor procesate, stocate sau tranzitate prin rețelele și sistemele informatice, OSE va stabili, implementa și menține o procedură pentru asigurarea protecției criptografice pentru informații și resurse.1.Măsurile criptografice se aplică în toate etapele ciclului de viață a informației și au ca obiect de aplicare aplicațiile, sistemele informatice, echipamentele de rețea și canalele de comunicare. …  … [B152].Managementul cheilor de criptare. OSE va avea în vedere utilizarea, protejarea și gestionarea cheilor criptografice de-a lungul întregului ciclu de viață a acestora. … (2)Indicatori de control. PRAPC; MACC. + 
Articolul 19Protecția împotriva malware [B16](1)Cerințe de securitate[B161].Protecție malware. OSE va stabili măsuri de protecție malware și va implementa mijloace de control pentru detecția, prevenirea și recuperarea informației în scopul protecției împotriva atacurilor malware.1.În acest sens va elabora și implementa o procedură pentru asigurarea protecției malware, în conformitate cu PONIS. … 2.Echipamentele hardware, sistemele de operare, aplicațiile software și subsistemele rețelelor și sistemelor informatice trebuie configurate și protejate corespunzător atât împotriva atacurilor fizice, cât și logice. …  … (2)Indicatori de control. PRAPMA. + 
Secţiunea a 2-aManagementul administrării [B2] + 
Articolul 20Administrarea conturilor [B21](1)Cerințe de securitate[B211].Conturi de administrare. OSE stabilește conturi de administrare destinate numai persoanelor responsabile de efectuarea operațiunilor de administrare (instalare, configurare, întreținere, supraveghere etc.) a resurselor rețelelor și sistemelor informatice. Lista conturilor de administrare va fi actualizată permanent.1.Permisiunile administratorilor sunt individualizate și restricționate la perimetrul funcțional și tehnic al fiecărui administrator. … 2.Conturile de administrator sunt utilizate numai pentru conectarea la SIA. … 3.Operațiunile de administrare a rețelelor și sistemelor informatice sunt realizate exclusiv de pe conturile de administrator. …  … (2)Indicatori de control. LICA. + 
Articolul 21Administrarea rețelelor și sistemelor informatice [B22](1)Cerințe de securitate[B221].Utilizarea sistemelor de administrare. OSE stabilește și aplică procedura privind utilizarea sistemelor informatice de administrare utilizate pentru operațiuni de administrare a NIS, respectând cel puțin regulile:1.Resursele hardware și software ale SIA sunt utilizate exclusiv pentru efectuarea operațiunilor de administrare.– Când motivele tehnice sau organizaționale o justifică, SIA poate fi utilizată pentru a efectua alte operațiuni decât cele administrative. În acest caz, trebuie să fie puse în aplicare mecanismele de protecție a sistemului de operare și a compartimentării mediilor de lucru, pentru a permite izolarea mediului „utilizator“ față de „administrator“. …  … 2.Mediul de lucru „administrator“ folosit pentru operațiuni de administrare nu trebuie utilizat și în alte scopuri, cum ar fi accesarea site-urilor web sau a serverelor de e-mail. … 3.Un utilizator nu trebuie să se conecteze la SIA prin intermediul unui mediu de lucru „utilizator“ pentru alte funcții decât operațiuni de administrare a rețelelor și sistemelor informatice. … 4.Fluxurile de date asociate cu alte operațiuni și fluxurile de administrare trebuie să fie separate prin mecanisme de criptare și autentificare, în conformitate cu MS-B15. … 5.SIA sunt conectate la resursele rețelelor și sistemelor informatice printr-o legătură de rețea fizică folosită exclusiv pentru operațiunile de administrare. Resursele rețelelor și sistemelor informatice sunt administrate prin interfața lor de administrare fizică.– Când motivele tehnice împiedică administrarea unei resurse a rețelelor și sistemelor informatice printr-o legătură de rețea fizică sau prin interfața de administrare fizică, operatorul pune în aplicare măsuri de reducere a riscurilor, cum ar fi măsuri logice de securitate. În acest caz, descrie aceste măsuri și justificările acestora în MANIS. …  … 6.Fluxurile de administrare a rețelelor și sistemelor informatice sunt protejate de mecanisme de criptare și autentificare, în conformitate cu MS-B15.– Dacă criptarea și autentificarea acestor fluxuri nu sunt posibile din motive tehnice, operatorul pune în aplicare măsuri pentru a proteja confidențialitatea și integritatea acestor fluxuri și pentru a consolida controlul și trasabilitatea operațiunilor de administrare. În acest caz, descrie aceste măsuri și justificările acestora în MANIS. …  … 7.Jurnalele care înregistrează evenimentele generate de resursele SIA nu conțin nicio parolă sau alt element secret de autentificare în text simplu sau sub forma unei amprente criptografice. …  … [B222].Parole administrare. Nicio parolă, sub formă de text simplu sau hash, nu este scrisă în jurnalele de înregistrare a evenimentelor produse de resursele utilizate pentru administrare și nu este stocată sub această formă în niciun moment.1.Evidența parolelor de administrare se păstrează, în plic închis și sigilat [PPSIA], la componenta de securitate sau administrare a rețelelor și sistemelor informatice. …  … (2)Indicatori de control. PRUSIA; PONIS; JIERU; PPSIA. + 
Articolul 22Managementul accesului de la distanță [B23](1)Cerințe de securitate[B231].Lucrul la distanță. OSE adoptă o procedură privind lucrul la distanță, în baza PONIS.1.PROLD va cuprinde modurile de realizare, măsurile de securitate aferente pentru protejarea resurselor și a informațiilor accesate, prelucrate și stocate din și în locațiile în care se lucrează la distanță. … 2.Când furnizarea serviciului esențial necesită ca rețelele și sistemele informatice să fie accesibile printr-o rețea publică, operatorul protejează accesul prin intermediul unor mecanisme criptografice, în conformitate cu MS-B15. …  … (2)Indicatori de control. PROLD; PRAPC. + 
Secţiunea a 3-aManagementul identității și accesului [B3] + 
Articolul 23Managementul identificării și autentificării utilizatorilor [B31](1)Cerințe de securitate[B311].Identificarea utilizatorilor. Pentru identificare, OSE stabilește și ține evidența conturilor unice pentru utilizatori sau pentru procesele automatizate care trebuie să acceseze resursele rețelelor și sistemelor informatice.1.Conturile neutilizate sau care nu mai sunt necesare trebuie să fie dezactivate. … 2.Se instituie un proces permanent de revizuire și actualizare a evidenței conturilor pentru utilizatori și pentru procesele automatizate. … 3.Atunci când acest lucru nu este posibil din motive tehnice sau operaționale, OSE dezvoltă un set de măsuri de trasabilitate și reducere a riscurilor și le descrie în MANIS. …  … [B312].Autentificarea utilizatorilor. Pentru autentificare, OSE protejează accesul la resursele NIS pentru utilizatori sau procese automatizate, folosind un mecanism de autentificare. OSE definește regulile de gestionare a certificatelor de autentificare la rețelele și sistemele informatice.1.Pentru procesele critice, OSE va stabili un mecanism de autentificare în cel puțin doi pași. … 2.OSE trebuie să schimbe datele de autentificare implicite instalate de producătorul/furnizorul unei resurse înainte ca acea resursă să intre în funcțiune. Neglijarea acestui aspect prezintă un risc ridicat pentru securitatea oricărei infrastructuri din care face parte o astfel de resursă sau cu care interacționează. …  … (2)Indicatori de control. ECUPA; MANIS; ARNIS; MEAUP. + 
Articolul 24Managementul drepturilor de acces [B32](1)Cerințe de securitate[B321].Acordarea drepturilor de acces. În baza regulilor stabilite în PONIS, OSE acordă drepturi de acces unui utilizator sau unui proces automat doar atunci când accesul este strict necesar pentru ca utilizatorul să își îndeplinească atribuțiile, iar procesul automatizat să își desfășoare operațiunile tehnice.1.În acordarea drepturilor de acces, OSE aplică principiul necesității de a cunoaște și principiul celui mai mic privilegiu. … 2.OSE definește drepturile de acces la multiplele funcționalități ale rețelelor și sistemelor informatice și alocă aceste drepturi de acces strict utilizatorilor/proceselor automatizate care au o necesitate clară. … 3.Cel puțin o dată pe an, OSE examinează atribuirea drepturilor de acces, identificând legăturile dintre conturi, drepturile de acces asociate și resursele sau funcționalitățile care sunt accesate prin drepturile de acces, și păstrează actualizată o listă a conturilor privilegiate pe nivele de acces și funcționalități accesabile. …  … [B322].Verificarea conturilor privilegiate. OSE implementează un sistem de verificare a potențialelor modificări ale unui cont privilegiat, pentru a identifica dacă drepturile de acces la resurse și funcționalități sunt alocate pe baza principiului celui mai mic privilegiu (sunt acordate doar drepturile strict necesare) și sunt adecvate cu utilizarea contului. … (2)Indicatori de control. PONIS; LICPA; LICA; SIVMOC. + 
Secţiunea a 4-aManagementul mentenanței [B4] + 
Articolul 25Mentenanța rețelelor și sistemelor informatice [B41](1)Cerințe de securitate[B411].Menținere securitate. OSE elaborează și implementează o procedură pentru menținerea securității rețelelor și sistemelor informatice, în conformitate cu PONIS.1.În acest scop, procedura:– definește condițiile care permit menținerea unui nivel minim de securitate a resurselor; … – descrie politica de instalare a oricărei noi versiuni sau măsuri corective pentru o resursă desemnată; … – obligă informarea cu privire la informații despre vulnerabilități și măsuri corective de securitate care privesc resursele rețelelor și sistemelor informatice (hardware și software). …  …  … [B412].Actualizare resurse. OSE instalează și menține doar versiuni ale resurselor hardware și software care sunt acceptate de furnizorii sau producătorii lor și sunt actualizate din punctul de vedere al securității.1.OSE verifică originea și integritatea versiunii înainte de instalarea acesteia (conform calendarului definit în PROMNIS) și analizează impactul tehnic și operațional al versiunii respective asupra securității rețelelor și sistemelor informatice. … 2.În unele cazuri justificate, din motive tehnice sau operaționale, OSE decide ca pentru anumite resurse să nu instaleze o versiune acceptată de furnizor sau producător. În aceste cazuri, OSE aplică procedura pentru reducerea riscurilor legate de utilizarea unei versiuni învechite, elaborată conform PONIS, și descrie în MANIS măsurile luate, precum și motivele care au justificat să nu instaleze versiunea acceptată. …  … [B413].Protejare resurse. OSE protejează accesul la resursele rețelelor și sistemelor informatice atunci când accesul se face din rețele terțe.1.În acest caz, OSE protejează prin criptare și mecanisme de autentificare accesul la rețelele și sistemele informatice, ține evidența echipamentelor utilizate pentru accesarea rețelelor și sistemelor informatice și, de asemenea, gestionează și configurează aceste echipamente. …  … (2)Indicatori de control. PROMNIS; PRORUVI; PONIS; MANIS; PRAPC. + 
Articolul 26Sisteme de control industrial. SCADA – Monitorizare, control și achiziții de date [B42](1)Cerințe de securitate[B421].Sisteme de control industriale. Multe servicii esențiale depind de sisteme de control industriale, funcționale și sigure. Dacă este cazul, OSE ia în considerare cerințele de securitate specifice pentru ISC.1.Abordarea clasică a tehnologiei informației (axată pe transferul și accesul de/la informații) ar putea fi înlocuită cu o abordare tehnologică operațională (hardware și software – utilizate pentru detectarea modificării unui proces fizic). …  … [B422].Limitarea accesului. Sistemele SCADA folosesc diferite conexiuni combinate, radio, seriale sau modem în funcție de necesități. Pentru amplasamente mari sunt folosite, de asemenea, conexiuni Ethernet și IP/Sonet.1.În aceste condiții, OSE trebuie să identifice și analizeze riscurile de securitate și să implementeze măsuri de securitate pentru limitarea accesului neautorizat. …  … (2)Indicatori de control. CEISC; ANISMS. + 
Secţiunea a 5-aManagementul securității fizice [B5] + 
Articolul 27Asigurarea protecției fizice a rețelelor și sistemelor informatice [B51](1)Cerințe de securitate[B511].Acces la resurse. OSE previne accesul fizic neautorizat, deteriorarea și interferența la informațiile și facilitățile de procesare a informațiilor în rețelele și sistemele informatice.1.În acest sens, OSE elaborează și aplică o procedură privind accesul și securitatea resurselor și informațiilor. …  … (2)Indicatori de control. PRASI + 
Capitolul IVApărare cibernetică [C] + 
Secţiunea 1Managementul detecției [C1] + 
Articolul 28Managementul vulnerabilităților și alertelor de securitate [C11](1)Cerințe de securitate[C111].Fluxul alertelor de securitate. OSE elaborează, actualizează și implementează, în conformitate cu PONIS, o procedură pentru detectarea alertelor și incidentelor de securitate care afectează rețelele și sistemele informatice.1.PRODAIS prevede măsuri organizatorice și tehnice destinate detectării alertelor și incidentelor de securitate care afectează rețelele și sistemele informatice.– Măsurile organizatorice includ procedurile de operare pentru dispozitivele de detectare și descriu lanțul de procesare pentru evenimentele de securitate identificate de aceste dispozitive. … – Măsurile tehnice specifică natura și poziționarea dispozitivelor de detectare. …  … 2.OSE instituie un sistem de detectare a incidentelor și alertelor de securitate.– Dispozitivele de detecție analizează fluxurile de date care tranzitează rețelele și sistemele informatice pentru a identifica evenimente care ar putea afecta rețelele și sistemele informatice. … – Atunci când acest lucru nu este posibil din motive tehnice, operatorul descrie în MANIS motivele tehnice care au împiedicat utilizarea dispozitivelor de detecție. …  …  … [C112].Evaluarea și monitorizarea vulnerabilităților. OSE dezvoltă un proces de identificare, clasificare, remediere și eliminare a vulnerabilităților, în special în software și firmware.1.Pentru limitarea riscurilor de securitate și corectarea vulnerabilităților, OSE va implementa un program pentru managementul vulnerabilităților, care poate include, fără a se limita la acestea:– instalarea unui patch; … – modificări în PONIS; … – reconfigurarea unui software (de exemplu, Firewall); … – educarea utilizatorilor despre social engineering. …  …  … (2)Indicatori de control. PRODAIS; SIENIS; MANIS; PEIREV; PGMAVU; ARNIS. + 
Articolul 29Înregistrarea evenimentelor [C12](1)Cerințe de securitate[C121].Monitorizare evenimente. OSE pune în aplicare un sistem de înregistrare evenimente la nivelul rețelelor și sistemelor informatice pentru evenimente legate de autentificarea utilizatorului, conturilor și gestionării drepturilor de acces, accesului la resurse, modificărilor regulilor NIS și funcționării rețelelor și sistemelor informatice.1.SIENIS ajută la detectarea incidentelor de securitate prin colectarea datelor de înregistrare. … 2.Evenimentele înregistrate de SIENIS sunt timbrate cu ajutorul surselor de timp sincronizate, centralizate și arhivate pentru o perioadă de cel puțin șase luni. … 3.Formatul de arhivare a evenimentelor permite cercetarea automată a acestor evenimente. …  … [C122].Sisteme de management. În vederea apărării cibernetice a securității rețelelor și sistemelor informatice, OSE dezvoltă și implementează un SIEM (Security Information and Event Management) ca un set de instrumente care combină SEM (gestionarea evenimentelor de securitate) și SIM (gestionarea informațiilor de securitate). … (2)Indicatori de control. SIENIS; SIEM. + 
Articolul 30Jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice [C13](1)Cerințe de securitate[C131].Jurnalizare și trasabilitate. OSE pune în aplicare un sistem de corelație și analiză de jurnal care exploatează evenimentele înregistrate de SIENIS, pentru a detecta evenimente susceptibile care afectează securitatea rețelelor și sistemelor informatice. SCAJ ajută la detectarea incidentelor de securitate prin analizarea datelor de jurnal.1.SCAJ este instalat și funcționează pe un sistem informatic dedicat exclusiv în scopul detectării evenimentelor care ar putea afecta securitatea rețelelor și sistemelor informatice. …  … (2)Indicatori de control. SCAJ. + 
Secţiunea a 2-aManagementul incidentelor de securitate [C2] + 
Articolul 31Răspuns la incidente de securitate [C21](1)Cerințe de securitate[C211].Fluxul incidentelor. OSE creează, actualizează și pune în aplicare o procedură pentru gestionarea, răspunsul și analiza incidentelor care afectează funcționarea sau securitatea rețelelor și sistemelor informatice, în conformitate cu PONIS. … [C212].Monitorizarea incidentelor. OSE trebuie să implementeze un sistem de monitorizare și management al evenimentelor și incidentelor de securitate, bazat cel puțin pe un senzor de detectare a intruziunilor la nivel de rețea care beneficiază de o sursă perpetuă de indicatori de compromitere și pe analiza logurilor de pe echipamentele sau stațiile de lucru critice pentru desfășurarea activității, în vederea identificării abaterilor de la politicile de securitate și a intruziunilor. … [C213].Gestionarea incidentelor. OSE pune în aplicare un sistem informatic dedicat pentru gestionarea incidentelor, pentru a depozita, printre altele, evidența tehnică a analizei incidentelor.1.OSE separă SIDGI de rețelele și sistemele informatice afectate de incident și păstrează registrele tehnice aferente pentru o perioadă de cel puțin o jumătate de an. … 2.OSE ia în considerare, la proiectarea sistemului, nivelul de confidențialitate al documentelor stocate. …  … (2)Indicatori de control. PRORAI; SMMEIS; SIDGI. + 
Articolul 32Raport incidente [C22](1)Cerințe de securitate[C221].Raportarea incidentelor. OSE creează, actualizează și implementează o procedură pentru raportarea incidentelor de securitate. … (2)Indicatori de control. PRORIS. + 
Articolul 33Comunicarea cu ANSRSI și CSIRT Național [C23](1)Cerințe de securitate[C231].Interconectare națională. OSE se interconectează la serviciul de alertare și cooperare al CERT-RO care îi permite să ia notă, fără întârziere, de informațiile transmise de CERT-RO, ca CSIRT Național, cu privire la incidente, vulnerabilități, amenințări și informări relevante.1.OSE elaborează și implementează o procedură de interconectare la serviciul de alertare și cooperare al CERT-RO. … 2.OSE asigură monitorizarea permanentă a alertelor și solicitărilor primite prin acest serviciu ori prin celelalte modalități de contact. …  … [C232].Responsabili NIS. OSE nominalizează responsabili cu securitatea rețelelor și sistemelor informatice însărcinați cu monitorizarea mijloacelor de contact (responsabili NIS) și furnizează către CERT-RO, ANSRSI, datele de contact la zi ale acestora (numele și prenumele, funcțiile și departamentele din care fac parte, numere de telefon, adrese de e-mail etc.).1.OSE elaborează și actualizează permanent lista responsabililor NIS. …  … [C233].Gestionare informații primite de la CERT-RO. OSE implementează o procedură pentru gestionarea informațiilor primite și, după caz, a măsurilor de securitate adoptate pentru protejarea rețelelor și sistemelor informatice. … (2)Indicatori de control. PISAC; LIRNIS; PRIMSA. + 
Capitolul VReziliență [D] + 
Secţiunea 1Managementul continuității afacerii [D1] + 
Articolul 34Asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice [D11](1)Cerințe de securitate[D111].Asigurarea disponibilității. În conformitate cu PONIS, OSE definește o procedură privind managementul asigurării disponibilității serviciului esențial, în caz de incident de securitate cibernetică. … (2)Indicatori de control. PRADE. + 
Articolul 35Managementul recuperării datelor în caz de dezastre [D12](1)Cerințe de securitate[D121].Recuperarea datelor. În conformitate cu PONIS, OSE definește o procedură privind managementul recuperării datelor în caz de dezastre, precum și în caz de incidente severe de securitate cibernetică. … (2)Indicatori de control. PROMRE. + 
Secţiunea a 2-aManagementul crizelor [D2] + 
Articolul 36Organizarea gestionării crizelor [D21](1)Cerințe de securitate[D211].Organizarea gestionării crizelor cibernetice. OSE definește în PONIS sau separat o procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale. … (2)Indicatori de control. PROCIS. + 
Articolul 37Procesul de gestionare a crizelor [D22](1)Cerințe de securitate[D221].Gestionarea crizelor cibernetice. OSE definește în PONIS sau separat procesele de gestionare a crizelor pe care le va implementa în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționale. … (2)Indicatori de control. PEGEC. + 
Capitolul VIDispoziții finale + 
Articolul 38Obligații privind implementarea cerințelor minime de securitate(1)OSE are obligația de a stabili obiective, de a elabora strategii, planuri și scheme și de a implementa măsurile minime de securitate stabilite în aceste norme.(2)După implementarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice și intrarea în conformitate, OSE va informa ANSRSI, prin canalele de comunicare cunoscute (NIS@cert.ro). + 
Articolul 39Aplicarea legilor speciale(1)În cazul în care există legi speciale mai restrictive din punctul de vedere al cerințelor minime de securitate, se aplică acestea.(2)Aplicarea legilor speciale nu exclude obligația operatorului economic în identificarea ca OSE și nici îndeplinirea celorlalte obligații ce îi revin conform Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare. + 
Articolul 40Solicitările autorității naționaleOSE va pune la dispoziția ANSRSI, la solicitarea acesteia, documentele care au stat la baza implementării cerințelor minime de securitate. + 
Articolul 41Corespondență privind implementarea și auditarea cerințelor minime de securitateGrila de corespondență privind implementarea și auditarea cerințelor minime de securitate este prevăzută în anexa nr. 2. + 
Articolul 42Anexe la normele tehniceAnexele nr. 1 și 2 fac parte integrantă din prezentele norme tehnice. + 
Anexa nr. 1la Normele tehnice
GLOSAR + 
Termeni și abrevieriANSRSI – autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informaticeARNIS – analiza riscurilor de securitate a rețelelor și sistemelor informatice, document elaborat la nivelul OSE, prin care sunt identificate elementele critice care stau la baza furnizării serviciului esențial și sunt identificate principalele riscuri în vederea gestionării și diminuării acestoraANISMS – analiza riscurilor de securitate și implementarea măsurilor de securitate pentru limitarea accesului neautorizatATECNIS – analiză tehnică cu privire la compromiterea securității rețelelor și sistemelor informaticeCEISC – cerințe de securitate specifice pentru sistemele de control industrialCOSE – contractele de servicii sau furnizare servicii externeDANIS – decizia de acreditare; decizie formală luată de managementul de nivel înalt al OSE ECUPA – evidența conturilor pentru utilizatori și pentru procesele automatizateIEC – indicatori de evaluare, pe baza cărora OSE își evaluează conformitatea cu PONISINCEA – instrumente necesare pentru conștientizarea și educarea angajaților cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare în vederea limitării incidentelorISC – sisteme de control industrialeJIERUA – jurnalele de înregistrare a evenimentelor produse de resursele utilizate pentru administrare. Jurnalele sunt constituite și ținute sub formă electronică sau pe hârtie.LASMA – listă cu acorduri la nivel de serviciu și/sau mecanisme de audit a rețelelor și sistemelor informaticeLASPO – lista activelor, sistemelor și proceselor organizațieiLICA – lista conturilor de administrareLICPA – lista conturilor privilegiate pe nivele de acces și funcționalități accesabileLIRIE – lista riscurilor potențiale identificate și evaluarea acestora în furnizarea serviciilor esențiale. Riscurile sunt reprezentate de relațiile cu părțile interesate ale ecosistemuluiLIRNIS – lista responsabililor NISMACC – managementul cheilor de criptare; proces prin care se asigură producerea, utilizarea și evidența materialului criptografic, inclusiv cheile de criptareMANIS – mapa de acreditare de securitate; document în baza căruia se emite DANISMEAUP – mecanism de autentificare pentru utilizatori și procese automatizate la resursele rețelelor și sistemelor informaticeMEGRE – metodologie de gestionare a riscurilor furnizării serviciilor esențiale, document prin care este prezentat procesul de evaluare a riscurilor operatorului economic, criteriile de analiză, de acceptare și de reducere a riscurilorMEIEC – metoda de evaluare a indicatorilor de conformitateNIS – rețele și sisteme informaticeOSE – operator de servicii esențialePEANIS – procesul de acreditare stabilit în PONIS prin care OSE acreditează NIS utilizate în furnizarea serviciilor esențiale, inclusiv componentele de administrarePEGEC – procese de gestionare a crizelor; documente prin care OSE stabilește procesele și modurile de implementare în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționalePEIREV – proces de identificare, clasificare, remediere și eliminare a vulnerabilităților, în special în software și firmware, la nivelul rețelelor și sistemelor informaticePGMAVU – program pentru managementul vulnerabilităților în rețelele și sistemele informaticePONIS – politica de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențialePPSIA – plicul cu parole utilizate pentru sisteme informatice de administrare a rețelelor și sistemelor informaticePRADE – procedură privind managementul asigurării disponibilității serviciului esențial, în caz de incident de securitate ciberneticăPRAPC – procedură pentru asigurarea protecției criptografice pentru informații și resursePRAPMA – procedură pentru asigurarea protecției malwarePRASA – program de prezentare a securității pentru tot personalulPRASI – procedură privind accesul și securitatea resurselor și informațiilorPGASP – program de asigurare a securității personalului; document prin care OSE identifică obiective și stabilește cerințe de securitate pentru fiecare etapă a relației avute de către angajațiPRECAS – procedură privind evaluarea conformității NIS și efectuarea auditului de securitate a rețelelor și sistemelor informaticePRECDI – procedură privind etichetarea și clasificarea datelor și informațiilorPRIMSA – procedură pentru gestionarea informațiilor primite și, după caz, a măsurilor de securitate adoptate pentru protejarea NISPRISA – program de instruire în domeniul securității pentru angajații care utilizează rețelele și sistemele informatice care stau la baza furnizării serviciilor esențialePRISAC – procedură de interconectare la serviciul de alertare și cooperare al CERT-ROPROCIS – procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuității activităților organizaționalePRODAIS – procedură pentru detectarea incidentelor de securitate care afectează rețelele și sistemele informaticePROFIT – procedură privind filtrarea traficuluiPROLD – procedură privind lucrul la distanțăPROMNIS – procedură pentru menținerea securității rețelelor și sistemelor informaticePROMRE – procedură privind managementul recuperării datelor în caz de dezastre, precum și în caz de incidente severe de securitate ciberneticăPRORAI – procedură pentru gestionarea, răspunsul și analiza incidentelor care afectează funcționarea sau securitatea rețelelor și sistemelor informaticePRORIS – procedură pentru raportarea incidentelor de securitatePRORUVI – procedură pentru reducea riscurilor legate de utilizarea unei versiuni învechitePROSES – procedură privind segregarea și segmentarea rețelelor și sistemelor informatice utilizate pentru furnizarea serviciilor esențialePROSRE – procedură de stabilire a relațiilor ecosistemului; documentul include interconexiunile (relațiile externe) între rețelele și sistemele informatice și terțiPRUSIA – procedură privind utilizarea sistemelor informatice de administrarePRUSME – procedură privind utilizarea suporților de memorie externăRAEC – raport de evaluare a conformitățiiRAIPOD – raport privind implementarea politicii de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale și a documentelor de aplicare a acesteiaRASNIS – raport de audit de securitate a rețelelor și sistemelor informatice RATES – raport de testare și evaluare a securității rețelelor și sistemelor informaticeRERO – registrul de risc organizaționalRESME – registre de evidență a suporților de memorie externăSACNIS – serviciul de alertare și cooperare al CERT-ROSANIS – schema arhitecturii rețelelor și sistemelor informatice folosite la furnizarea serviciilor esențialeSCAJ – sistem de corelație și analiză de jurnalSIA – sisteme informatice de administrare a rețelelor și sistemelor informaticeSICAE – situația cartografică a ecosistemului; document prin care se realizează stabilirea și identificarea ecosistemului care stă la baza furnizării serviciului esențial atât NIS, cât și alte componente. De asemenea include, dar fără a se limita la acestea, părți interesate, interne și externe, și furnizori, în special cei cu acces la NIS sau la gestionarea activelor critice ale operatorului economic.SIDGI – sistem informatic dedicat pentru gestionarea incidentelorSIEM – managementul monitorizării, cercetării și identificării rapide a principalelor cauze de afectare a securității, precum și ale încălcării politicilor de securitateSIENIS – sistem de înregistrare evenimente la nivelul rețelelor și sistemelor informaticeSIVMOC – sistem de verificare a potențialelor modificări ale unui cont privilegiatSMMEIS – sistem de monitorizare și management al evenimentelor și incidentelor de securitateSMSI – sistemul de management al securității informațieiSNIS – securitatea rețelelor și sistemelor informatice + 
Anexa nr. 2la Normele tehnice
GRILA DE CORESPONDENȚĂ
privind implementarea și auditarea cerințelor minime de securitate

––

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește