Manual detaliat de implementare a cerintelor directivei NIS in organizatie, plus template-uri adaptabile de politici, proceduri operationale si evidente de audit

 

Guvernanta

• ARNIS - Analiza riscurilor de securitate a reţelelor şi sistemelor informatice

• MEGRE - Metodologie de gestionare a riscurilor furnizării serviciilor esenţiale

  • Decizia de constituire a Comisiei de monitorizare

  • Decizia de numire a Responsabilului cu Securitatea informatiei - Responsabilul NIS

  • Decizia de numire a Responsabilului cu Securitatea informatiei

  • Decizia pentru Toleranta la risc

  • Fişa de identificare şi evaluare a riscului sau Formular „Alerta la risc”

  • Informare privind desfăşurarea procesului de gestionare a riscurilor la nivelul companiei

  • Planul pentru implementarea măsurilor de control şi de urmărire a riscului

  • Raport anual privind desfăşurarea procesului de gestionare a riscurilor

  • Revizuirea profilului de risc și a limitei de toleranță la risc

  • Registrul consolidat al riscurilor

• PONIS - Politica de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale

• RAIPOD - Model de Raport privind implementarea politicii de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi a documentelor de aplicare a acesteia

• DANIS - Procesul de acreditare stabilit în PONIS prin care OSE acreditează NIS utilizate în furnizarea serviciilor esenţiale, inclusiv componentele de administrare

• IEC - Indicatori de evaluare, pe baza cărora OSE îşi evaluează conformitatea cu Politica de securitate a reţelelor şi sistemelor informatice

  • Exemple de ales pentru Key Risk Indicators​

• ​MEIEC - Metoda de evaluare a indicatorilor de conformitate

  • Raport de Neconformitate (Anexa MEIEC 1)

  • Jurnal de neconformitate (Anexa MEIEC 2)

  • Raport de actiune corectiva (Anexa MEIEC 3)

• PGASP - Program de asigurare a securităţii personalului

• ISA - Instructaje de securitate pentru angajati

  • Planificarea campaniei de constientizare si de formare profesionala

  • Planul tematic de instruire in materie de securitatea informatica

  • Templateuri pentru emailuri interne  security awareness

• FP - cerintele de securitate necesare pentru Fisa postului

• PRASA - Program de prezentare a securităţii pentru tot personalul si pentru personalul specializat

• PRISA - Program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sistemele informatice care stau la baza furnizării serviciilor esenţiale

• INCEA - Instrumente necesare pentru conştientizarea şi educarea angajaţilor cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie corespunzătoare în vederea limitării incidentelor
• COSE - Contractele de servicii sau furnizare servicii externe

• LASPO - Lista activelor, sistemelor şi proceselor organizaţiei

  • Ghidaj pentru constructia SANIS​

• PRECDI - Procedură privind etichetarea şi clasificarea datelor şi informaţiilor

• SICAE - Situaţia cartografică a ecosistemului; document prin care se realizează stabilirea şi identificarea ecosistemului care stă la baza furnizării serviciului esenţial atât NIS, cât şi alte componente

• LIRIE - Lista riscurilor potenţiale identificate şi evaluarea acestora în furnizarea serviciilor esenţiale. Riscurile sunt reprezentate de relaţiile cu părţile interesate ale ecosistemului

• PROSRE - Procedură de stabilire a relaţiilor ecosistemului; documentul include interconexiunile (relaţiile externe) între reţelele şi sistemele informatice şi terţi

• LASMA - Listă cu acorduri la nivel de serviciu şi/sau mecanisme de audit a reţelelor şi sistemelor informatice

• SANIS    Schema arhitecturii reţelelor şi sistemelor informatice folosite la furnizarea serviciilor esenţiale

  • Ghidaj pentru constructia SANIS​

 

Protectie

• PRUSME- Procedură privind utilizarea suporţilor de memorie externă

• RESME - Registre de evidenţă a suporţilor de memorie externă

• PROSES - Procedură privind segregarea şi segmentarea reţelelor şi sistemelor informatice utilizate pentru furnizarea serviciilor esenţiale

• PROFIT - Procedură privind filtrarea traficului

• PRAPC - Procedură pentru asigurarea protecţiei criptografice pentru informaţii şi resurse

• MACC - Managementul cheilor de criptare; proces prin care se asigură producerea, utilizarea şi evidenţa materialului criptografic, inclusiv cheile de criptare

• PRAPMA - Procedură pentru asigurarea protecţiei malware

• PRUSIA - Procedură privind utilizarea sistemelor informatice de administrare

• JIERU - Jurnalele de înregistrare a evenimentelor produse de resursele utilizate pentru administrare. Jurnalele sunt constituite şi ţinute sub formă electronică sau pe hârtie.

• PPSIA - Plicul cu parole utilizate pentru sisteme informatice de administrare a reţelelor şi sistemelor informatice

• PROLD - Procedură privind lucrul la distanţă

• ECUPA - Evidenţa conturilor pentru utilizatori şi pentru procesele automatizate

• LICPA - Lista conturilor privilegiate pe nivele de acces şi funcţionalităţi accesabile

• LICA - Lista conturilor de administrare

• MEAUP - Mecanism de autentificare pentru utilizatori şi procese automatizate la resursele reţelelor şi sistemelor informatice

• SIVMOC - Sistem de verificare a potenţialelor modificări ale unui cont privilegiat

• PROMNIS - Procedură pentru menţinerea securităţii reţelelor şi sistemelor informatice

  • Evidenta Implementare Nivel minim de securitate

  • Evidenta Exceptiilor de securitate

  • Evidenta Detectia de vulnerabilitati si aplicarea de Patch-uri

  • Solicitare de acces retragere access la sistem informatic

• PRORUVI - Procedură pentru reducea riscurilor legate de utilizarea unei versiuni învechite

• CEISC - Cerinţe de securitate specifice pentru sistemele de control industrial

• ANISMS - Analiza riscurilor de securitate şi implementarea măsurilor de securitate pentru limitarea accesului neautorizat

• PRASI - Procedură privind accesul şi securitatea resurselor şi informaţiilor

 

Aparare Cibernetica

• PRODAIS - Procedură pentru raportarea incidentelor de securitate

• PEIREV - Proces de identificare, clasificare, remediere şi eliminare a vulnerabilităţilor, în special în software şi firmware, la nivelul reţelelor şi sistemelor informatice

• PRORAI - Procedură pentru gestionarea, răspunsul şi analiza incidentelor care afectează funcţionarea sau securitatea reţelelor şi sistemelor informatice

• PRORIS - Procedură pentru raportarea incidentelor de securitate

• PISAC - Procedură de interconectare la serviciul de alertare și cooperare al CERT-RO.

 

Rezilienta

• Model complet de Plan de continuitate al Afacerii

• PRADE - Procedură privind managementul asigurării disponibilităţii serviciului esenţial, în caz de incident de securitate cibernetică

• PROMRE - Procedură privind managementul recuperării datelor în caz de dezastre, precum şi în caz de incidente severe de securitate cibernetică

• PROCIS - Procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuităţii activităţilor organizaţionale

• PEGEC - Procese de gestionare a crizelor; documente prin care OSE stabileşte procesele şi modurile de implementare în caz de incidente de securitate cibernetică pentru asigurarea continuităţii activităţilor organizaţionale