Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania - Dumitrescu, Marius

Descriere - Securitatea retelelor si a sistemelor informatice. Implementarea directivei NIS in Romania

Autor: Marius Dumitrescu, Daniela Simionovici 

Despre autori  /  5 

Cuvant inainte /  15 

Multumiri  / 19 

Introducere  /  23 

Capitolul I. Consideratii generale  /  27 

I.1. Ce este Directiva NIS si de ce este importanta?  / 29 

I.1.1. Directiva 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora  /  30 

I.1.1.1. Studiu de evaluare a Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora  / 32 

I.2. De ce este importanta Legea nr. 362/2018 de transpunere a Directivei NIS in Romania?  /  41 

I.2.1. Transpunerea Directivei in Romania  / 42 

I.3. Cine este vizat de Legea nr. 362/2018 de transpunere in Romania a Directivei NIS?  /  46 

Capitolul II. Directoratul National de Securitate Cibernetica - DNSC  / 49 

II.1. Responsabilitati si principii ale Directoratului National de Securitate Cibernetica  / 52 

II.1.1. Responsabilitatile DNSC / ... 52 

II.1.2. Principiile DNSC  / 53 

II.2. Obiectivele Directoratului National de Securitate Cibernetica / 54 

II.3. Functiile si atributiile Directoratului National de Securitate Cibernetic  / 55 

II.3.a. Strategie si planificare  / 55 

II.3.b. Functia de autoritate competenta la nivel national de reglementare, supraveghere si control  /  56 

II.3.c. Functia de CSIRT national / 56 

II.3.d. Functia de CSIRT guvernamental / 57 

II.3.e. Functia de coordonare, implementare, indrumare si sprijin a CSIRT-urilor sectoriale  / ..... 58 

II.3.f. Functia de echipa de raspuns la incidente de securitate cibernetica pentru produse si servicii informatice utilizate in cadrul sectorului guvernamental  /  58 

II.3.g. Functia de alertare, prevenire, constientizare si instruire  / 58 

II.3.h. Functia de cooperare si colaborare / 59 

II.3.i. Functia de autoritate nationala de certificare privind securitatea cibernetica  /  60 

II.3.j. Functia de asigurare a conformitatii si abordarii unitare a securitatii cibernetice in cadrul infrastructurilor cibernetice  / 60 

II.3.k. Functia de reprezentare  /  61 

II.3.l. Functia de cercetare-dezvoltare / 61 

II.3.m. Functia de analiza si prognoza / 61 

II.3.n. Functia de identificare, evaluare, monitorizare si atenuare a riscurilor cibernetice la nivel national  / 61 

II.3.o. Functia de centru national de gestionare a crizelor de natura cibernetica pe timp de pace  / .. 62 

II.3.p. Functia de evaluare a securitatii cibernetice a noilor tehnologii / 62 

II.3.q. Functia de evaluare si certificare  / 62 

II.3.r. Functia de educatie si pregatire in domeniul securitatii cibernetice / 63 

II.3.s. Functia de management al proiectelor si serviciilor / 63 

II.4. Atributiile conducerii Directoratului National de Securitate Cibernetic / 63 

II.4.1. Atributii ale conducerii DNSC / 64

II.4.1.1. Atributiile directorului DNSC / 64 

II.4.2. Comitetul director al DNSC / 64 

II.4.2.1. Atributiile si competentele Comitetului director al DNSC / 65 

II.4.3. Comitetul de reglementare  /  65 

II.4.4. Finantare  /  66 

II.4.5. Autorizarea laboratoarelor civile  / 67 

II.4.5.1. Activitatea de verificare a laboratoarelor civile / 67 

II.5. Organizarea Registrului operatorilor de servicii esentiale  / 69 

II.5.1. Constituirea registrului  / 69 

II.5.2. Utilizarea registrului  / 69 

II.5.2.1. Reguli generale privind inscrierea in ROSE, modificarea, radierea si protectia informatiilor inscrise  / 70 

Capitolul III. Operatorii de servicii esentiale si furnizorii de servicii digitale / 71 

III.1. Operatorii de servicii esentiale / 73 

III.1.1. Inscrierea in Registrul operatorilor de servicii esentiale  / 74 

III.1.2. Radierea din Registrul operatorilor de servicii esentiale  / 75 

III.1.3. Atributiile Responsabilului NIS - OSE / 75 

III.1.4. Obligatiile operatorilor de servicii esentiale  / 76 

III.2. Furnizorii de servicii digitale  / 77 

III.2.1. Obligatiile furnizorilor de servicii digitale / 77 

III.2.2. Atributiile Responsabilului NIS - FSD  / 79 

III.3. Echipele de interventie in caz de incidente de securitate informatica  79 

III.3.1. Obligatiile echipelor de interventie in caz de incidente de securitate informatica  / 79 

Capitolul IV. Etapele implementarii prevederilor Legii nr. 362/2018  / 81 

IV.1. Principiile Legii nr. 362/2018  / 83 

IV.2. Procesul de identificare a operatorilor de servicii esentiale (OSE)  / 83 

IV.2.1. Etapa 1. Identificarea serviciilor esentiale  / 85 

IV.2.1.1. Pasul 1 - Catalogarea importantei serviciului  / 86 

IV.2.1.2. Pasul 2 - Identificarea modului de furnizare a serviciului / 87 

IV.2.1.3. Pasul 3 - Stabilirea efectului de perturbare a serviciului in cazul producerii unui incident  /  88 

Faza 1. Evaluarea in functie de criteriile intersectoriale  / 90 

Concluzii privind evaluarea gradului de perturbare in functie de criteriile intersectoriale  /  96 

Faza a 2-a. Evaluarea in functie de criteriile sectoriale si valorile de prag / 96 

Concluzii privind evaluarea gradului de perturbare in functie de criteriile sectoriale specifice  /  107 

IV.2.2. Etapa 2. Notificarea DNSC de catre operatorii de servicii esentiale  / 107 

IV.2.3. Etapa 3. Evaluarea si inscrierea operatorilor de servicii esentiale / 108 

IV.3. Procesul de identificare a furnizorilor de servicii digitale (FSD) / 109 

IV.3.1. Etapa 1. Identificarea serviciilor digitale furnizate  / 111 

IV.3.1.1. Pasul 1 - Stabilirea categoriei organizationale  / 111 

IV.3.1.2. Pasul 2 - Identificarea serviciului digital furnizat  / 112 

IV.3.1.3. Pasul 3 - Stabilirea categoriei serviciului digital furnizat / 113 

IV.3.2. Etapa 2. Comunicarea datelor furnizorului de servicii digitale la DNSC  / 114 

IV.3.3. Etapa 3. Evidenta furnizorilor de servicii digitale  / 114 

IV.3.3.1. Modificari si completari privind evidenta furnizori de servicii digitale/ 115 

IV.3.3.2. Radierea furnizorilor de servicii digitale din evidenta / 115

Capitolul V.  Masuri tehnice si organizatoricce de securitate / 117 

V.1. Cerintele minime de securitate pentru asigurarea securitatii retelelor si sistemelor informatice / 199 

V.1.1. Notificarea incidentelor de securitate / 119

V.1.1.1. Termenele de notificare / 120

V.1.2. Managementul incidentelor de securitate / 120

V.1.3. Auditul de securitate a retelelor si sistemelor informatice apartinand operatorilor de servicii esentiale sau furnizorilor de servicii digitale / 121

V.1.4. Autorizarea echipelor CSIRT ce deservesc retele si sisteme informatice din categoria serviciilor esentiale si serviciilor digitale / 122

V.2. Intocmirea si gestionarea procedurilor documentate / 123

V.2.1. Gestionarea procedurilor documentate / 123

V.2.2. De ce avem nevoie de proceduri documentate? / 126

V.2.3. Cum se realizeaza o procedura documentata? / 126

V.2.4. Stabilirea activitatilor procedurale / 127

V.2.5. Elaborarea procedurilor documentate / 128

V.2.5.1. Continutul propriu-zis al procedurii / 128

V.2.5.2. Descrierea procedurii / 129

V.2.5.2.1. Recomandari privind descrierea corecta a procedurii / 129

Capitolul VI. Controlul indeplinirii obligatiilor de securitate si aplicarea sanctiunilor / 133

VI.1. Cerintele minime de asigurare a securitatii retelelor si sistemelor informatice / 135

VI.1.1. Guvernanta / 135

VI.1.2. Protectie / 139

VI.1.3. Aparare cibernetica / 143

VI.1.4. Rezilienta / 145

VI.2. Aplicarea sanctiunilor / 148

Capitolul VII. Propunerea de Directiva NIS 2.0 si implicatiile ei majore / 169

VII.1. Obligatia de independenta institutionala a DNSC fata de entitatile stabilite prin Directiva NIS 2.0 / 171

VII.2. Modificarile aduse de Directiva NIS 2.0 / 172

VII.2.1. Directiva NIS 2.0 si Legea nr. 362/2018 se vor aplica si administratiei publice / 173

Capitolul VIII. Planul de raspuns la incidente de securitate / 177

VIII.1. Consideratii generale / 179

VIII.2. Etapele unui plan de raspuns la incidente de securitate / 179

VIII.2.1. Cum recunoastem un incident de securitate? / 180

VIII.2.2. Echipa de management a incidentelor de securitate / 180

VIII.2.3. Cronologia evenimentelor in cazul unui incident de securitate / 181

VIII.2.4. Descoperirea si raportarea unui incident de securitate / 182

VII.2.4.1. Cand se considera ca operatorul "a luat la cunostinta” despre producerea unui incident de securitate? / 182

VIII.2.5. Tipuri de incidente care ar trebui raportate / 183

VIII.2.6. Identificarea incidentelor de securitate / 185

VIII.2.7. Implicarea departamentelor de management si IT / conformitate / 185

VIII.2.8. Notificarile in regim de urgenta / 188

VIII.2.9. Activitati initiale / 188

VIII.2.9.1. Izolarea incidentului de securitate / 189

VIII.2.9.2. Cyber Asigurari si externalizarea serviciilor de raspuns la incidente de securitate / 190

VIII.2.9.3. Documentarea si deschiderea rapoartelor de incident de securitate / 190

VIII.2.9.4. Infiintarea echipei de management a incidentului si analiza planurilor alternative  / 190 

VIII.2.10. Activitatile post incident / 191 

VIII.2.10.1. Analiza si planificarea  / 191 

VIII.2.10.2. Investigatia  / 192 

VIII.2.10.3. Reducerea riscurilor si adoptarea masurilor corective  / 193 

VIII.2.10.4. Notificarea  /  194 

VIII.2.10.5. Inchiderea dosarului deschis pentru incidentul de securitate  / 194 

VIII.2.10.6. Raportarea  / 195 

Capitolul IX Studiu de caz - Identificarea ca OSE si SE conform Legii NIS / 197 

IX.1. Consideratii generale  / 199 

IX.1.1. Entitatea activeaza intr-unul sau mai multe dintre sectoarele/subsectoarele prevazute in Anexa la Legea NIS?  / 199 

Lista sectoarelor si subsectoarelor care intra sub incidenta Legii NIS / 199 

Fisa de evaluare primara  /  200 

Lista tipurilor de entitati care intra sub incidenta Legii NIS / 200 

IX.1.2. Este aplicabila o lege speciala (lex specialis)? / 207 

Inventar legislativ / 207 

Inventar legislativ special  / 207 

IX.1.3. Furnizeaza operatorul un "serviciu esential” in sensul Directivei NIS?  / 208 

Analiza interna a importantei serviciului oferit / 210 

IX.1.4. Depinde serviciul de o retea si de sisteme informatice? / 212 

Analiza interna a dependentei serviciilor de o retea si de sisteme informatice / 212 

IX.1.5. Un incident de securitate ar avea un efect perturbator semnificativ?  / 214 

IX.1.5.1. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile intersectoriale  / 214 

Numarul de utilizatori care se bazeaza pe servicii  / 215 

Dependenta altor sectoare de serviciul furnizat / 217 

Impactul pe care l-ar putea avea incidentele asupra activitatilor economice si societale sau a sigurantei publice  /  222 

Cota de piata  /  224 

Distributia geografica in ceea ce priveste zona care ar putea fi afectata de un incident  / 226 

Importanta entitatii pentru mentinerea unui nivel suficient al serviciului, tinand cont de disponibilitatea unor mijloace alternative pentru furnizarea serviciului  / 228 

IX.1.5.2. Evaluarea gradului de perturbare a furnizarii SENIS in functie de criteriile sectoriale si valorile de prag  / 229 

Sectorul Energie – A÷C  / 230 

In tabelul de mai jos am inclus doar codurile sectoriale pentru care sunt prevazute valori de prag explicite:  / 230 

Sectorul Transport – D÷G  /  232 

Sectorul Bancar – H  / 236 

Sectorul Infrastructuri ale pietei financiare – I  / 237 

Sectorul Sanatatii – J / 238 

Sectorul furnizarea si distribuirea de apa potabila – K / 238 

Sectorul Infrastructura digitala – L / 240 

ANEXE  / 243 

Anexa 1. Sectoare de activitate si tipuri de entitati / 245 

Anexa 2. Diagrama Procesului de identificare a operatorilor de servicii esentiale / 249 

Anexa 3. Lista Serviciilor Esentiale aprobata prin Hotarare nr. 963 din 5 noiembrie 2020  / 251 

Anexa 4. Criterii si valori de prag, intersectoriale si sectoriale . / 259

Valorile de prag corespunzatoare criteriilor intersectoriale / 260 

Criterii si valori de prag sectoriale / 261 

Sector: Energie. Subsector: Electricitate. Cod sectorial/subsectorial: A / 261 

Sector: Energie. Subsector: Petrol. Cod sectorial/subsectorial: B / 262 

Sector: Energie. Subsector: Gaze naturale. Cod sectorial/subsectorial: C / 263 

Sector: Transport. Subsector: Transport aerian. Cod sectorial/subsectorial: D / 265 

Sector: Transport. Subsector: Transport feroviar. Cod sectorial/subsectorial: E / 266 

Sector: Transport. Subsector: Transport pe apa. Cod sectorial/subsectorial: F / 267 

Sector: Transport. Subsector: Transport rutier. Cod sectorial/subsectorial: G / 269 

Sector: Bancar. Subsector: -. Cod sectorial/subsectorial: H/ 270 

Sector: Infrastructuri ale pietei financiare. Subsector: -. Cod sectorial/subsectorial: I  / 271 

Sector: Sanatate. Subsector: Institutii de asistenta medicala (inclusiv spitale si clinici private). Cod sectorial/subsectorial: J / 271 

Sector: Furnizare si distribuire de apa potabila. Subsector: -. Cod sectorial/subsectorial: K  / 272 

Sector: Infrastructura digitala. Subsector: -. Cod sectorial/subsectorial: L / 273 

Anexa 5. Lista orientativa OSE / SE pentru valori de prag "0” / 275 

Anexa 6. Lista celor mai frecvente amenintari la securitatea cibernetica / 319 

Anexa 7. Lista tipurilor de entitati care intra sub incidenta Legii NIS / 322 

Anexa 8. Formulare utilizate in relatia cu DNSC / 329 

ANEXA nr. 2 la norme: Formular de asistenta pentru identificarea operatorilor de servicii esentiale  / 330 

ANEXA nr. 3 la norme: Formular de asistenta pentru procesul de radiere a operatorului de servicii esentiale  /  332 

ANEXA nr. 4 la norme: Notificare privind inscrierea in Registrul operatorilor de servicii esentiale  / 333 

ANEXA nr. 5 la norme: Notificare privind modificarea/completarea datelor din Registrul operatorilor de servicii esentiale / 335 

ANEXA nr. 6 la norme: Notificare privind radierea din Registrul operatorilor de servicii esentiale  / 337 

ANEXA nr. 7 la norme: Declaratie pe propria raspundere privind indeplinirea cerintelor minime de securitate pentru inscrierea in Registrul operatorilor de servicii esentiale  / 339 

ANEXA nr. 11 la norme: Comunicare privind datele furnizorului de servicii digitale si lista responsabili NIS  / 340 

ANEXA nr. 12 la norme: Comunicare privind modificarea/completarea datelor furnizorilor de servicii digitale  / 342 

ANEXA nr. 13 la norme: Comunicare privind radierea furnizorului de servicii digitale   / 344 

DAICMS (Documentatia de autoevaluare a indeplinirii cerintelor minime de securitate)  / 346 

Anexa 9. Lista orientativa a procedurilor privind securitatea informatica / 350 

Anexa 10. Model de "Procedura de raspuns in cazul unui incident de securitate” / 354 

Anexa 11. Cele mai frecvente riscuri privind securitatea cibernetica / 368 

Anexa 12. Indicii privind o posibila infectare a calculatorului / laptopului / 374 

Anexa 13. Model - Analiza de risc pentru autoevaluarea indeplinirii cerintelor minime de securitate  /376 

Anexa 14. Model - Decizie de numire Responsabil NIS / 384 

Anexa 15. Check-list de autoevaluare initiala a entitatilor sub aspect NIS  / 385 

Glosar de termeni si abrevieri  /  405 

Bibliografie  / 441