FIŞA DE ACTIVITATE

Săptămâna IV
Sarcini planificate: Cercetarea cadrului de conformitate aplicabil infrastructurilor
informatice critice

Activităţi desfăşurate, observaţii personale

Pe parcursul celei de a patra săptămâni, a fost analizat cadrul general de conformitate
a securității informațiilor, adică standardele de securitate ce pot fi aplicate de organizații în
privința protecției infrastructurilor critice.
Astfel au fost analizate următoarele standarde:
1. ISO:27001 care este un cadru de guvernanță care specifică cerințele pentru
gestionarea securității sistemelor informatice. Se bazează pe conceptul de gestionare a
riscurilor și pe un ciclu continuu de evaluare a riscurilor, nu și reevaluarea
tratamentului. Prin proiectarea unui cadru generic, suficient de flexibil pentru a fi
aplicabil organizațiilor de orice dimensiune și fel.
2. ISO / IEC 15408 - bine stabilite în sectorul militar - au fost dezvoltate pentru a se
asigura că procesul de specificare, dezvoltare și implementare a produselor de
securitate se desfășoară într-un mod responsabil.
3. NIST 800-53 este un cadru de evaluare a riscurilor dezvoltat de NIST - o agenție
federală, deci o parte a ramurii executive - care vizează entitățile guvernamentale
federale și contractanții acestora.
4. NIST Internal or Interagency Report (IR) 7628 Guidelines for Smart Grid Cyber
Security este un raport pe trei volume publicat de Institutul Național de Standarde și
Tehnologie (NIST). Specifică un cadru pentru dezvoltarea strategiilor de securitate
cibernetică pentru organizațiile de rețele inteligente.
5. NERC CIP 001-009 este o serie de nouă documente care se aplică tuturor actorilor din
sector: coordonatori de fiabilitate, autorități de echilibrare, autorități de schimb,
furnizori de servicii de transport, proprietari de transport, operatori de transport,
proprietari de generatoare, operatori de generatoare, entități de deservire a sarcinii,
fiabilitate regională organizații și NERC în sine.
6. Liniile directoare de securitate și resursele utilizatorilor pentru sistemele de
automatizare și control industrial dezvoltate de ANSI (ANSI/ISA99) (o organizație
privată), au fost ulterior transmise către IEC sub denumirea de IEC 62443. Aici sunt
prezente măsurile de conformitate și considerate fundamentale, astfel încât securitatea
sporită poate fi măsurată.
7. IEC 62351 - Managementul sistemelor de alimentare și schimbul de informații
asociate - Securitatea datelor și comunicațiilor este un standard dedicat securității
cibernetice a comunicațiilor de energie. În mod specific, se adresează protocoalelor de
comunicații definite de Comitetul tehnic IEC 57.
În urma cercetărilor s-a stabilit că deși standardele contribuie imens la securitatea
infrastructurilor critice, există unele limitări de implementare a standardelor. Majoritatea
standardelor prezintă metode și principii generale, nu specifice fiecărei infrastructuri critice
în parte, ceea ce pune în dificultate aplicarea unor standarde de securitate pentru organizațiile
ce dețin diverse infrastructuri informatice critice.
Totodată, s-a stabilit că organismele de standardizare cele mai relevante pentru
protecția infrastructurilor critice sunt Institutul Național de Standarde și Tehnologie (NIST) și
North American Electric Reliability Corporation (NERC).