Regulamentul pentru atestarea auditorilor de securitate cibernetica

Ordinul Secretariatului General al Guvernului (SGG) nr.559/2021 privind aprobarea Regulamentului pentru atestarea si verificarea auditorilor de securitate cibernetica a fost publicat in Monitorul Oficial nr. 387 din data de 14 aprilie 2021.

Prin intermediul acestui document au intrat in vigoare reguli speciale pentru atestarea si verificarea auditorilor de securitate cibernetica, specialisti indicati de Legea securitatii cibernetice – denumita Legea NIS (Legea 362/2018).

Concret, companiile ce sunt operatori de servicii esentiale sau furnizori de servicii digitale (printre altii, transportatorii, furnizorii de utilitati sau unitatile medicale) au nevoie periodic de acesti specialisti pentru a face operatiuni de auditare a sistemelor, ca obligatie de securitate cibernetica.

Este important de precizat faptul ca legea vizeaza, in principal, firmele de transport (aerian, feroviar, rutier sau pe apa), spitalele si clinicile medicale, furnizorii de energie (gaze naturale, curent) si apa potabila sau bancile. Aceste tipuri de companii sunt obligate legal sa ia masuri de securitate, precum auditarea, pentru a preveni atacurile informatice care pot afecta grav mediul de afaceri si populatia.

Astfel, potrivit Ordinului 559/2021, auditorii de securitate cibernetica pot fi persoane fizice atestate cetateni romani, precum si cetateni ai altui stat membru al Uniunii Europene ori al Spatiului Economic European sau persoane juridice cu personal atestat, care indeplinesc cerintele prevazute in prezentul regulament si care doresc sa desfasoare o activitate prin care se realizeaza o evaluare sistematica a tuturor politicilor, procedurilor si masurilor de protectie implementate la nivelul retelelor si sistemelor informatice, in vederea identificarii disfunctiilor si vulnerabilitatilor si a furnizarii unor solutii de remediere a acestora, activitate pe care sa o exercite in Romania in mod independent sau ca angajati ai unor persoane juridice.

Subliniem ca regulamentul mentionat nu se aplica la nivelul institutiilor din sistemul de aparare, ordine publica si securitate nationala, din domeniul protectiei infrastructurilor critice si nici la nivelul infrastructurilor cibernetice care vehiculeaza informatii clasificate.

Autoritatea competenta la nivel national:

Pentru eliberarea, revocarea sau reinnoirea atestatelor auditorilor de securitate cibernetica care pot efectua audit in cadrul retelelor si sistemelor informatice ce sustin servicii esentiale ori furnizeaza servicii digitale, Centrul National de Raspuns la Incidente de Securitate Cibernetica – CERT-RO este autoritatea competenta la nivel national in conformitate cu prevederile art.15 alin. (1) coroborat cu art. 20 lit.p) din Legea NIS.

Autoritatea competenta la nivel national organizeaza si gestioneaza procesul de atestare si verificare a auditorilor de securitate cibernetica.

CERT-RO, in calitate de autoritate competenta la nivel national, asigura:

  1. mentinerea si actualizarea permanenta a Registrului national al auditorilor de securitate cibernetica;
  2. acordarea, prelungirea, suspendarea sau retragerea atestatelor de auditori de securitate cibernetica;
  3. evaluarea riscurilor de securitate cu privire la auditorii de securitate si la activitatile de auditare a retelelor si sistemelor informatice, impreuna cu institutiile din COSC;
  4. participarea la procesul de pregatire/specializare a auditorilor in vederea atestarii ca auditori de securitate cibernetica, atat prin tematicile elaborate, cat si in comisiile de examen/evaluare;
  5. verificarea in urma sesizarilor sau din oficiu a indeplinirii de catre auditorii de securitate cibernetica atestati a obligatiilor legale ce le revin.

Astfel, atestatele auditorilor sunt eliberate, reinnoite sau revocate de catre Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).

Atestarea poate fi generala, speciala sau comuna, in functie de activitatea pe care o va putea desfasura persoana fizica sau juridica ce solicita atestarea la CERT-RO.

Atestatul va fi eliberat la cerere, in urma unui proces detaliat in ordinul citat, iar solicitantii vor trebui sa dovedeasca faptul ca au experienta in domeniul cibernetic si anumite certificari.

Auditorii de securitate cibernetica:

Asa cum am precizat si mai sus, auditor de securitate cibernetica poate fi orice persoana fizica sau persoana juridica ce realizeaza pe teritoriul Romaniei activitatea de audit de securitate a retelelor si sistemelor informatice care asigura furnizarea serviciilor esentiale ori furnizeaza serviciile digitale in vederea identificarii disfunctiilor si vulnerabilitatilor si a furnizarii unor solutii de remediere a acestora.

Auditorul de securitate cibernetica isi desfasoara activitatea individual sau in cadrul unei echipe de audit si realizeaza cel putin una dintre activitatile de audit de securitate, asa cum sunt descrise la art.5, alin.(1) din Odinul 559/2021.

Auditorii de securitate cibernetica sunt atestati de CERT-RO, iar evidenta acestora este tinuta in Registrul national al auditorilor de securitate cibernetica.

Calitatea de auditor de securitate cibernetica se dovedeste prin atestatul de auditor valabil eliberat de catre autoritatea competenta la nivel national pentru securitatea retelelor si sistemelor informatice.

Atestatul de auditor de securitate cibernetica este nominal, netransmisibil si are valabilitate 3 ani de la data emiterii.

Modelul atestatului este prevazut in anexa nr. 1.

 

CENTRUL NATIONAL DE RASPUNS LA INCIDENTE DE SECURITATE CIBERNETICA – CERT-RO

AUTORITATEA COMPETENTA LA NIVEL NATIONAL PENTRU SECURITATEA RETELELOR SI SISTEMELOR INFORMATICE

 

ATESTAT

AUDITOR DE SECURITATE CIBERNETICA

(S/N) ……./…………….. din ……./……………../20……

In aplicarea dispozitiilor art. 20 lit. p) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, cu modificarile si completarile ulterioare,

in temeiul prevederilor art. 11 din Regulamentul pentru atestarea si verificarea auditorilor de securitate cibernetica, aprobat prin Ordinul secretarului general al Guvernului nr. 559/2021,

in baza Raportului final de evaluare nr. ……………. din ……./……/20……, intocmit de Autoritatea competenta la nivel national pentru securitatea retelelor si sistemelor informatice (ANSRSI),

……………………………………………………………………………………………………………………………………,

(denumirea persoanei juridice/numele si prenumele)

cu sediul/domiciliul in localitatea …………………………………………………………….., judetul ……………………………………………., CUI/CNP …………………………………….., seria/nr. inregistrare RC/CI …………………………………., este atestat ca:

AUDITOR DE SECURITATE CIBERNETICA

Inscris in Registrul national al auditorilor de securitate cibernetica/IDASC ………………

Perioada de valabilitate: ………/………/20…….-……../……./20……..

TIP ATESTAT: |_| general/|_| special/|_| comun

Restrictii privind desfasurarea activitatilor de audit speciale: |_| Nu/|_| Da

Activitati de audit speciale calificate:

Audit cod sursa [AS3] |_| Nu/|_| Da | Audit de penetrare [AS4] |_| Nu/|_| Da

Director general, CERT-RO,

……………………………………………………….

(prenumele si numele, semnatura si stampila)

Director, CERT-RO/ANSRSI,

……………………………………………………….

(prenumele si numele, semnatura)

Activitatile de audit de securitate tratate in prezentul regulament sunt:

  1. auditul arhitecturii [AS1] – consta in verificarea conformitatii masurilor de securitate legate de alegerea, pozitionarea si implementarea dispozitivelor hardware/software in retelele si sistemele informatice, cerintele minime de securitate si politicile interne ale operatorului economic. Auditul poate fi extins la interconectarile cu retele terte, inclusiv internetul;
  2. auditul de configurare [AS2] – consta in verificarea implementarii masurilor de securitate in conformitate cu stadiul tehnicii, cerintele minime de securitate si politicile de securitate in ceea ce priveste configuratia dispozitivelor hardware/software componente ale retelelor si sistemelor informatice. Aceste dispozitive pot fi in special echipamente de retea, sisteme de operare (server sau statie de lucru), aplicatii sau produse de securitate;
  3. auditul codului sursa [AS3] – consta in analiza totala sau partiala a codului sursa sau a conditiilor de compilare ale unei aplicatii pentru a descoperi vulnerabilitatile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securitatii retelelor si sistemelor informatice;
  4. auditul de penetrare sau testarea de penetrare [AS4] – consta in identificarea vulnerabilitatilor din retelele si sistemele informatice si verificarea posibilitatilor de exploatare a acestora, precum si a impactului exploatarii acestora asupra retelei, in conditiile reale ale unui atac cibernetic asupra retelelor si sistemelor informatice. Activitatea de audit poate fi desfasurata fie din afara retelei (in special din internet sau din reteaua interconectata a unei terte parti), fie din interiorul retelei si reprezinta o activitate care trebuie efectuata in complementaritate cu alte activitati de audit pentru a le imbunatati eficacitatea sau pentru a demonstra fezabilitatea exploatarii vulnerabilitatilor descoperite;
  5. auditul securitatii organizatiei [AS5] – consta in auditul organizatiei cu privire la securitatea logica si fizica si urmareste sa se asigure ca politicile si procedurile de securitate definite de operatorul economic (operatorul de servicii esentiale sau furnizorul de servicii digitale):

(i)sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic si standardele in vigoare;

(ii)completeaza corect masurile tehnice implementate;

(iii)sunt puse efectiv in practica.

De asemenea, auditorul de securitate cibernetica trebuie sa se asigure ca aspectele fizice ale securitatii retelelor si sistemelor informatice sunt acoperite corespunzator. Aceasta activitate trebuie efectuata in complementaritate cu alte activitati de audit pentru a le imbunatati eficacitatea;

  1. auditul sistemelor de control industrial [AS6] – consta in evaluarea nivelului de securitate al unui sistem de control industrial si a dispozitivelor de control asociate. Evaluarea de securitate presupune aplicarea activitatilor de audit de la lit. a) la lit. e) din prezentul articol.

Activitatile de audit de securitate se impart in:

  1. activitati speciale: [AS3] si [AS4];
  2. activitati comune: [AS1], [AS2] si [AS5];
  3. activitati mixte: [AS6].

Activitatile mixte cuprind activitatile speciale si normale/comune. In acest context, activitatea de audit a sistemelor de control industrial presupune desfasurarea tuturor activitatilor, respectiv speciale si comune.

Pentru fiecare activitate de audit, auditorul de securitate cibernetica furnizeaza un raport de audit cuprinzand recomandari.

Registrul national al auditorilor de securitate cibernetica:

CERT-RO constituie, la nivelul autoritatii competente la nivel national, Registrul national al auditorilor de securitate cibernetica, care este intretinut si actualizat in permanenta.

Registrul se constituie in format electronic pe variantele de atestare prezentate la art. 6 alin. (2) – atestare tip general/special/comun – si cuprinde date si informatii cu privire la auditorii de securitate cibernetica supusi procesului de atestare, revocare sau suspendare a atestatului de securitate cibernetica.

Pentru informarea operatorilor de servicii esentiale, furnizorilor de servicii digitale si autoritatilor de reglementare si administrare a sectoarelor si subsectoarelor, in baza Registrului national al auditorilor de securitate cibernetica, autoritatea competenta la nivel national elaboreaza, actualizeaza in permanenta si publica pe site-ul institutiei lista auditorilor de securitate cibernetica.

Eliberarea, revocarea si reinnoirea atestatelor de auditor de securitate cibernetica se consemneaza de catre autoritatea competenta la nivel national in evidentele/bazele de date proprii.

Baza legala:

  • OSGG 559/2021 privind aprobarea Regulamentului pentru atestarea si verificarea auditorilor de securitate cibernetica;

Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor inform