Comunica experienta
MonitorulJuridic.ro
────────── Aprobată prin ORDINUL nr. 180 din 21 februarie 2024, publicat în Monitorul Oficial al României, Partea I, nr. 197 din 11 martie 2024.────────── ART. 1 Aplicabilitate (1) Prezenta metodologie stabileşte cadrul legal privind instituirea nivelurilor de alertă cibernetică, modalităţile de acţiune în situaţii de alertă cibernetică, precum şi trecerea de la un nivel de alertă la altul. (2) Nivelurile de alertă cibernetică şi modalităţile de acţiune în situaţii de alertă cibernetică sunt parte componentă a ansamblului de măsuri tehnice şi procedurale destinate prevenirii, descurajării şi combaterii acţiunilor sau inacţiunilor ce se pot constitui în vulnerabilităţi, riscuri sau ameninţări la adresa securităţii cibernetice a României. (3) Nivelurile de alertă cibernetică şi modalităţile de acţiune în situaţii de alertă cibernetică sunt, de asemenea, parte componentă a măsurilor de conştientizare situaţională şi comunicare către public a măsurilor recomandate spre implementare, în vederea facilitării managementului situaţiilor de criză cibernetică la nivel naţional. ART. 2 Nivelurile de alertă cibernetică (1) Nivelurile de alertă cibernetică reflectă gradul de risc cibernetic la nivel naţional şi exprimă impactul potenţial sau materializat al unor vulnerabilităţi, ameninţările, incidente sau atacuri cibernetice identificate de către membrii Consiliului Operativ de Securitate Cibernetică (COSC). (2) La nivel naţional, sunt definite următoarele niveluri de alertă cibernetică:
┌───────┬──────────────────────────────┐
│Nivel │Definiţie │
├───────┼──────────────────────────────┤
│ │Se instituie şi se menţine │
│ │atunci când datele si │
│ │informaţiile disponibile la │
│Scăzut │nivelul membrilor COSC indică │
│ │un grad scăzut de risc de │
│ │securitate cibernetică la │
│ │nivel naţional. │
├───────┼──────────────────────────────┤
│ │Se instituie şi se menţine │
│ │atunci când datele şi │
│ │informaţiile disponibile la │
│ │nivelul membrilor COSC indică │
│ │existenţa unor riscuri de │
│ │securitate cibernetică care │
│ │necesită atenţie şi │
│ │monitorizare continuă din │
│ │partea autorităţilor │
│Moderat│competente conform Legii nr. │
│ │58/2023 privind securitatea şi│
│ │apărarea cibernetică a │
│ │României, precum şi pentru │
│ │modificarea şi completarea │
│ │unor acte normative, fără a fi│
│ │perturbată activitatea │
│ │infrastructurilor informatice │
│ │şi de comunicaţii de interes │
│ │naţional. │
├───────┼──────────────────────────────┤
│ │Se instituie şi se menţine │
│ │atunci când datele şi │
│ │informaţiile disponibile la │
│ │nivelul membrilor COSC indică │
│ │existenţa unor riscuri │
│ │semnificative de producere a │
│ │unor atacuri cibernetice de │
│Ridicat│natură a afecta semnificativ │
│ │securitatea sau activitatea │
│ │infrastructurilor informatice │
│ │şi de comunicaţii de interes │
│ │naţional şi care ar necesita o│
│ │intervenţie sau un răspuns din│
│ │partea autorităţilor │
│ │competente conform Legii nr. │
│ │58/2023. │
├───────┼──────────────────────────────┤
│ │Se instituie şi se menţine │
│ │atunci când datele şi │
│ │informaţiile disponibile la │
│ │nivelul membrilor COSC indică │
│ │existenţa unor riscuri │
│ │iminente de producere a unor │
│ │atacuri cibernetice de natură │
│ │a afecta grav securitatea sau │
│ │activitatea infrastructurilor │
│Critic │informatice şi de comunicaţii │
│ │de interes naţional, precum şi│
│ │disponibilitatea, │
│ │confidenţialitatea, │
│ │integritatea datelor şi │
│ │informaţiilor gestionate de │
│ │acestea şi care necesită un │
│ │răspuns imediat şi coordonat │
│ │din partea autorităţilor │
│ │competente conform Legii nr. │
│ │58/2023. │
└───────┴──────────────────────────────┘
(3) Instituirea unui nivel de alertă sau trecerea de la un nivel la altul se realizează prin decizie a directorului Directoratului Naţional de Securitate Cibernetică (DNSC), în următoarele situaţii: a) la propunerea COSC; b) ca urmare a analizei proprii a Directoratului Naţional de Securitate Cibernetică, cu avizul consultativ şi prealabil al COSC; c) la propunerea uneia din autorităţile competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023, cu avizul consultativ şi prealabil al COSC. (4) După emiterea deciziei privind instituirea unui nivel de alertă cibernetică, comunicarea publică a acestuia se face de către DNSC prin intermediul mijloacelor de comunicare publică aflate la dispoziţie în vederea obţinerii unui nivel cât mai ridicat de conştientizare la nivel naţional. ART. 3 Modalităţi de acţiune în situaţii de alertă cibernetică (1) Persoanele prevăzute la art. 3 alin. (1) din Legea nr. 58/2023 îşi vor elabora planurile proprii de acţiune pentru fiecare nivel de alertă cibernetică conform Ghidului de elaborare a planului de acţiune în caz de alertă cibernetică. (2) La instituirea unui nivel de alertă cibernetică, autorităţile competente prevăzute la art. 10 alin. (1) din Legea nr. 58/2023 stabilesc şi implementează măsuri specifice pentru gestionarea evenimentelor ce au stat la baza deciziei de instituire a nivelului, în conformitate cu planurile de acţiune corespunzătoare, prevăzute de art. 10 alin. (2) lit. a) din Legea nr. 58/2023. (3) Pentru nivelurile de alertă cibernetică ridicat şi critic, autorităţile menţionate la alin. (2) au obligaţia să îşi coordoneze între ele măsurile şi planurile de acţiune corespunzătoare, după caz. (4) Pentru nivelurile de alertă cibernetică ridicat şi critic, măsurile şi planurile de acţiune se menţin pe termenul de valabilitate a nivelului de alertă, chiar dacă au impact asupra desfăşurării activităţii curente. ART. 4 Anexe la metodologie Ghidul de elaborare a planului de acţiune în caz de alertă cibernetică este prevăzut în anexa care face parte integrantă din prezenta metodologie. ANEXA 1 la metodologie GHID de elaborare a planului de acţiune în caz de alertă cibernetică 1. Evaluarea şi înţelegerea situaţiei curente - Identificarea şi inventarierea activelor critice ale organizaţiei: este necesar să fie determinate care sunt activele critice ale organizaţiei, care trebuie protejate cu prioritate (de exemplu: baze de date, servere, terminale de utilizatori) – Identificarea şi evaluarea principalelor tipuri de ameninţări: este necesar să se înţeleagă tipurile de ameninţări cibernetice potenţiale care ar putea afecta organizaţia – Identificarea şi revizuirea mecanismelor de răspuns la incidente de securitate cibernetică, de recuperare în caz de dezastru şi de gestionare a situaţiilor de criză: sunt necesare reevaluarea, testarea şi revizuirea planurilor, procedurilor, sistemelor şi instrumentelor actuale de răspuns la incidente, precum şi a celor aferente asigurării de backup şi redundanţă pentru bazele de date şi sistemele critice ale organizaţiei – Identificarea resurselor (umane şi tehnice) aferente măsurilor de securitate şi rezilienţă cibernetică şi a eventualelor zone neacoperite: este necesară identificarea personalului cu responsabilităţi pentru asigurarea securităţii cibernetice şi sistemelor tehnice utilizate [de exemplu, sisteme de informaţii şi gestionare a evenimentelor de securitate (SIEM), sisteme de detecţie a intruziunilor (IDS) sau platforme de protecţie a terminalelor]. 2. Definirea situaţiilor care pot genera încadrarea în nivelurile de alertă cibernetică - Tipurile de ameninţări: – este necesar să fie stabilite, pentru fiecare nivel de alertă, raportat la specificul organizaţiei, categoriile de ameninţări care trebuie gestionate, cum ar fi cele de tipul: phishing, acces neautorizat, ransomware, exfiltrare de date etc.; – este necesar să fie evaluate vulnerabilităţile organizaţiei din punctul de vedere al lanţului de aprovizionare, pe componenta TIC, precum şi a interconexiunilor cu infrastructuri TIC ale altor organizaţii. – Nivelurile de severitate a impactului incidentelor: este necesar să fie clasificate incidentele, vulnerabilităţile şi ameninţările în niveluri precum „Critic“, „Înalt“, „Mediu“ şi „Scăzut“, în funcţie de efectele preconizate ale acestora la nivelul organizaţiei dumneavoastră, precum şi definirea criteriilor pentru fiecare nivel al impactului. 3. Stabilirea unui protocol de reacţie, adecvat pentru fiecare nivel de alertă, care să conţină următoarele acţiuni: - evaluarea potenţialului de afectare al incidentului sau ameninţării la adresa organizaţiei, în conformitate inclusiv şi cu datele comunicate de autorităţile competente: este necesar să fie determinat procesul de verificare a legitimităţii unei alerte, respectiv de evaluare a impactului ameninţării asupra organizaţiei; – stabilirea atribuţiilor şi responsabilităţilor, precum şi a procesului de escaladare internă şi externă, în funcţie de impactul şi probabilitatea de afectare a organizaţiei: este necesar să fie definite rolurile şi responsabilităţile persoanelor ce vor fi implicate în gestionarea incidentelor de securitate cibernetică pe perioada menţinerii nivelului de alertă, pe toate palierele, cu responsabilităţi pentru toate procesele aferente gestionării situaţiei aferente declanşării fiecărui nivel de alertă cibernetică. Aceasta ar putea include roluri precum răspunsul la incidente, relaţii publice, CISO etc. Se vor stabili fluxurile ce vor fi utilizate pentru derularea activităţilor de gestionare a incidentelor şi alertelor. Vor fi documentate informaţiile legate de datele de contact ale persoanelor din organizaţie şi din afara acesteia implicate în acest proces; – stabilirea procesului de evaluare a impactului asupra altor organizaţii; – elaborarea unei strategii de izolare a incidentului sau de aplicare de măsuri preventive, în cazul unei ameninţări cunoscute: este necesar să fie schiţaţi paşii pentru a limita extinderea incidentului sau pentru a preveni materializarea ameninţării, precum şi pentru minimizarea daunelor; – măsuri de atenuare a impactului şi repunere în funcţiune a echipamentelor şi funcţiilor afectate: este necesar să fie descrisă modalitatea de eliminare a sursei de ameninţare şi de restaurare a operaţiunilor la nivel normal; – plan de comunicare: este necesar să fie revizuite obligaţiile legale de raportare a incidentelor, vulnerabilităţilor sau a informaţiilor legate de ameninţările cibernetice. De asemenea, este necesar a se decide ce tip de date, când şi cum să fie comunicate acestea cu privire la incidentele şi ameninţările, din interiorul organizaţiei şi, eventual, în plan extern (de exemplu, către clienţi, alte părţi interesate sau prin comunicate publice, dacă este cazul). 4. Integrarea planului de acţiune cu sistemele existente Este necesar ca planul de acţiune să fie congruent cu procesele şi procedurile existente în cadrul organizaţiei, prin actualizarea acestora sau integrarea lor în plan. 5. Testarea regulată a planului de acţiune - Sunt necesare realizarea de scenarii de alertă cibernetică şi testarea eficacităţii planului de acţiune şi pregătirea echipei, în conformitate cu fiecare nivel de alertă. – Sunt necesare revizuirea şi analizarea rezultatelor pentru a identifica zonele de îmbunătăţire a planului. 6. Monitorizare continuă a vulnerabilităţilor, alertelor de securitate şi ameninţărilor Este necesar să fie utilizate instrumente de monitorizare continuă pentru a fi la curent cu potenţialele ameninţări şi vulnerabilităţi. 7. Instruire şi conştientizare - Este necesar să fie instruiţi în mod regulat angajaţii şi părţile interesate relevante cu privire la planul acţiune pentru alertă cibernetică. Este necesar să vă asiguraţi că sunt înţelese rolurile şi responsabilităţile de către aceştia şi de către managementul organizaţiei. – Este necesar să fie actualizat materialul de instruire pe măsură ce evoluează peisajul ameninţării. 8. Revizuire şi actualizare - Este necesar să fie revizuit şi actualizat periodic planul de acţiune pentru a ţine cont de schimbările în activele organizaţiei, peisajul ameninţării, tehnologia şi alţi factori relevanţi. – Este necesar să fie încorporate lecţiile învăţate din incidentele anterioare. -----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
