NORME din 7 decembrie 2021 privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice
emitent: Comisia Naţională pentru Controlul Activităţilor Nucleare
data vigoare: 22 decembrie 2021
publicat în: Monitorul Oficial nr. 1217 din 22 decembrie 2021
data vigoare: 22 decembrie 2021
publicat în: Monitorul Oficial nr. 1217 din 22 decembrie 2021
Anexa nr. 3la norme
CONȚINUTUL MINIM
al planului de securitate cibernetică pentru o instalație nucleară
Secţiunea 1 Organizare și responsabilități1.1. Scheme organizatorice, inclusiv organigrama organizației titularului de autorizație și a departamentului sau departamentelor cu responsabilități pentru securitatea cibernetică a instalațiilor nucleare;1.2. Persoanele cu responsabilități și autoritate pentru securitatea cibernetică a instalațiilor nucleare; responsabilități pentru elaborare, raportare, avizare și aprobare a procedurilor și documentelor aferente;1.3. Procesul de elaborare, revizie periodică și aprobare a procedurilor și documentelor aferente;1.4. Politica de securitate cibernetică la nivelul organizației.Secţiunea a 2-a Inventarul SCE relevante pentru securitatea cibernetică a instalațiilor nucleare2.1. Lista SCE identificate în conformitate cu cerințele art. 6 din norme, a căror funcționare depinde de computere și programe software;2.2. Lista tuturor aplicațiilor și programelor software legate de SCE identificate în conformitate cu cerințele art. 6 din norme;2.3. Diagramele rețelelor informatice asociate SCE identificate în conformitate cu cerințele art. 6 din norme, inclusiv toate conexiunile către sisteme informatice externe care nu sunt sub controlul titularului de autorizație;2.4. Lista echipamentelor portabile, inclusiv a mediilor de stocare de date, care se conectează la SCE importante pentru securitatea cibernetică;2.5. Analiza, pentru fiecare SCE sau categorie de SCE importante pentru securitatea cibernetică, a mecanismelor și modurilor de defectare relevante din punctul de vedere al securității cibernetice, a efectelor acestora și a măsurilor tehnice și administrative specifice de prevenire, detecție și răspuns la incidente cibernetice;2.6. Metodologia folosită pentru identificarea și clasificarea SCE relevante pentru securitatea cibernetică a instalațiilor nucleare.Secţiunea a 3-a Analiza riscurilor, vulnerabilităților și a conformității cu cerințele aplicabile3.1. Periodicitatea reevaluării și revizuirii planului de securitate cibernetică;3.2. Autoevaluarea eficacității planului și măsurilor de securitate cibernetică, inclusiv testele de penetrare;3.3. Procedurile de audit și de identificare, urmărire și corectare a neconformităților;3.4. Conformitatea cu cerințele din legislația națională și din standardele internaționale aplicabile;3.5. Echipa desemnată pentru evaluarea securității cibernetice.Secţiunea a 4-a Proiectarea sistemului de securitate cibernetică și controlul configurației4.1. Principiile de proiectare și arhitectura de bază a sistemului de securitate cibernetică; nivelurile de securitate cibernetică; descrierea modului în care s-a implementat conceptul de protecție în adâncime;4.2. Cerințele pentru fiecare nivel de securitate cibernetică;4.3. Stabilirea cerințelor de securitate cibernetică pentru furnizorii de produse și servicii destinate instalațiilor nucleare;4.4. Asigurarea securității cibernetice pentru tot ciclul de viață a SCE;4.5. Infrastructura sistemului de protecție antivirus și criteriile de acces pentru personalul responsabil;4.6. Măsurile de verificare a integrității SCE, inclusiv a programelor software, pentru asigurarea controlului configurației.Secţiunea a 5-a Procedurile operaționale de securitate cibernetică5.1. Controlul accesului la SCE; controlul echipamentelor portabile și al mediilor de stocare de date;5.2. Protecția datelor;5.3. Protecția comunicațiilor;5.4. Protecția platformelor și aplicațiilor informatice;5.5. Supravegherea/Monitorizarea sistemelor; controlul configurației; identificarea și detecția condițiilor anormale, vulnerabilităților și incidentelor cibernetice;5.6. Activitățile de întreținere necesare pentru SCE a căror funcționare depinde de computere și programe software;5.7. Managementul incidentelor/Răspunsul la incidente cibernetice; echipa desemnată pentru răspunsul la incidente cibernetice;5.8. Asigurarea continuității funcțiilor de securitate și siguranță nucleară;5.9. Măsuri pentru salvarea datelor - system backup - în caz de incident cibernetic;5.10. Achiziția și transferul de SCE;5.11. Eliminarea din sistem a SCE.Secţiunea a 6-a Managementul personalului6.1. Verificarea/Avizarea personalului;6.2. Pregătirea personalului;6.3. Calificarea personalului;6.4. Terminarea accesului și transferul personalului.
----
CONȚINUTUL MINIM
al planului de securitate cibernetică pentru o instalație nucleară
Secţiunea 1 Organizare și responsabilități1.1. Scheme organizatorice, inclusiv organigrama organizației titularului de autorizație și a departamentului sau departamentelor cu responsabilități pentru securitatea cibernetică a instalațiilor nucleare;1.2. Persoanele cu responsabilități și autoritate pentru securitatea cibernetică a instalațiilor nucleare; responsabilități pentru elaborare, raportare, avizare și aprobare a procedurilor și documentelor aferente;1.3. Procesul de elaborare, revizie periodică și aprobare a procedurilor și documentelor aferente;1.4. Politica de securitate cibernetică la nivelul organizației.Secţiunea a 2-a Inventarul SCE relevante pentru securitatea cibernetică a instalațiilor nucleare2.1. Lista SCE identificate în conformitate cu cerințele art. 6 din norme, a căror funcționare depinde de computere și programe software;2.2. Lista tuturor aplicațiilor și programelor software legate de SCE identificate în conformitate cu cerințele art. 6 din norme;2.3. Diagramele rețelelor informatice asociate SCE identificate în conformitate cu cerințele art. 6 din norme, inclusiv toate conexiunile către sisteme informatice externe care nu sunt sub controlul titularului de autorizație;2.4. Lista echipamentelor portabile, inclusiv a mediilor de stocare de date, care se conectează la SCE importante pentru securitatea cibernetică;2.5. Analiza, pentru fiecare SCE sau categorie de SCE importante pentru securitatea cibernetică, a mecanismelor și modurilor de defectare relevante din punctul de vedere al securității cibernetice, a efectelor acestora și a măsurilor tehnice și administrative specifice de prevenire, detecție și răspuns la incidente cibernetice;2.6. Metodologia folosită pentru identificarea și clasificarea SCE relevante pentru securitatea cibernetică a instalațiilor nucleare.Secţiunea a 3-a Analiza riscurilor, vulnerabilităților și a conformității cu cerințele aplicabile3.1. Periodicitatea reevaluării și revizuirii planului de securitate cibernetică;3.2. Autoevaluarea eficacității planului și măsurilor de securitate cibernetică, inclusiv testele de penetrare;3.3. Procedurile de audit și de identificare, urmărire și corectare a neconformităților;3.4. Conformitatea cu cerințele din legislația națională și din standardele internaționale aplicabile;3.5. Echipa desemnată pentru evaluarea securității cibernetice.Secţiunea a 4-a Proiectarea sistemului de securitate cibernetică și controlul configurației4.1. Principiile de proiectare și arhitectura de bază a sistemului de securitate cibernetică; nivelurile de securitate cibernetică; descrierea modului în care s-a implementat conceptul de protecție în adâncime;4.2. Cerințele pentru fiecare nivel de securitate cibernetică;4.3. Stabilirea cerințelor de securitate cibernetică pentru furnizorii de produse și servicii destinate instalațiilor nucleare;4.4. Asigurarea securității cibernetice pentru tot ciclul de viață a SCE;4.5. Infrastructura sistemului de protecție antivirus și criteriile de acces pentru personalul responsabil;4.6. Măsurile de verificare a integrității SCE, inclusiv a programelor software, pentru asigurarea controlului configurației.Secţiunea a 5-a Procedurile operaționale de securitate cibernetică5.1. Controlul accesului la SCE; controlul echipamentelor portabile și al mediilor de stocare de date;5.2. Protecția datelor;5.3. Protecția comunicațiilor;5.4. Protecția platformelor și aplicațiilor informatice;5.5. Supravegherea/Monitorizarea sistemelor; controlul configurației; identificarea și detecția condițiilor anormale, vulnerabilităților și incidentelor cibernetice;5.6. Activitățile de întreținere necesare pentru SCE a căror funcționare depinde de computere și programe software;5.7. Managementul incidentelor/Răspunsul la incidente cibernetice; echipa desemnată pentru răspunsul la incidente cibernetice;5.8. Asigurarea continuității funcțiilor de securitate și siguranță nucleară;5.9. Măsuri pentru salvarea datelor - system backup - în caz de incident cibernetic;5.10. Achiziția și transferul de SCE;5.11. Eliminarea din sistem a SCE.Secţiunea a 6-a Managementul personalului6.1. Verificarea/Avizarea personalului;6.2. Pregătirea personalului;6.3. Calificarea personalului;6.4. Terminarea accesului și transferul personalului.
----
Ultima actualizare: 05/02/2025
Despre accesul electronic la legislația națională
Sursa datelor: legislatie.just.ro
Conține informații publice în baza legislației privind drepturile de autor, drepturile conexe și legislația privind privind datele deschise și reutilizarea informațiilor din sectorul public
Despre accesul electronic la legislația națională
Sursa datelor: legislatie.just.ro
Conține informații publice în baza legislației privind drepturile de autor, drepturile conexe și legislația privind privind datele deschise și reutilizarea informațiilor din sectorul public