Infrastructuri critice provocări și perspective
INFRASTRUCTURI CRITICE Delimitări conceptuale Infrastructuri Critice (IC) -Parte vitală a infrastructurii naţionale - Reţea de procese şi sisteme care funcţionează sinergic pentru asigurarea continuă de produse şi servicii esenţiale - Perturbarea sau distrugerea acestora afectează securitatea economică, starea de sănătate şi siguranţa publică Infrastructuri Critice Naţionale (ICN) -Element, sistem sau o componentă a acestuia esenţial pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale sau economice a persoanelor - Perturbarea sau distrugerea lor generează un impact semnificativ la nivel naţional Infrastructuri Critice Europene (ICE) - Infrastructuri critice localizate în statele membre UE - Perturbarea sau distrugerea generează un impact semnificativ asupra a cel puţin două state membre Infrastructuri IT&C cu valenţe critice
INFRASTRUCTURI - Delimitări conceptuale INFRASTRUCTURI NAŢIONALE DE INFORMAŢII (INI) INFRASTRUCTURI CRITICE NAŢIONALE (ICN) INFRASTRUCTURI IT&C INFRASTRUCTURI CRITICE EUROPENE (ICE)
Relatia infrastructură IT&C Infrastructură critică Buna funcţionare a sistemelor IT&C asigură/ susţine Disponibilitatea Continuitatea Integritatea La nivelul întregii Infrastructuri Critice
Proiecte de informatizare Infrastructuri IT&C Infrastructuri critice Proiecte de informatizare destinate realizării societăţii informaţionale INFRASTRUCTURI IT&C INFRASTRUCTURI CRITICE INFRASTRUCTURI CRITICE
Infrastructuri critice Cadrul legislativ HG 1154/2011 privind aprobarea pragurilor critice aferente criteriilor intersectoriale Decizia PM 166/2013 privind aprobarea normelor metodologice pentru realizarea PSO şi atribuţiile ofiţerului de legătură la nivelul APR şi POA PSO Plan de Securitate pentru Operator APR Autoritate Publică Responsabilă POA Proprietar/Operator/Administrator Directiva CE 114/2008 privind identificarea şi desemnarea ICE şi evaluarea necesităţii îmbunătăţirii protecţiei Legea 18/2011 pentru aprobarea OUG 98/2010 privind identificarea, desemnarea şi protecţia infrastructurilor critice HG 683/2016 pentru desemnarea ICE şi modificarea HG 301/2012 HG 718/2011 privind Strategia naţională de protecţie a infrastructurilor critice Decizia PM 43/2012 privind aprobarea planului de acţiune pentru implementarea, monitorizarea şi evaluarea obiectivelor Strategiei naţionale de protecţie a infrastructurilor critice
Reţele şi sisteme informatice Cadrul legislativ Directiva UE 1148/2016 (NIS) privind măsuri pentru un nivel comun ridicat de securitate a reţelelor şi a sistemelor informatice în Uniune Stabileşte criteriile în vederea identificării cerinţelor de securitate şi notificare pentru operatorii de servicii esenţiale şi pentru furnizorii de servicii digitale Obligaţia Statelor Membre (SM) de a adopta o strategie naţională privind securitatea reţelelor Crearea unui grup comun menit să sprijine şi faciliteze cooperarea strategică şi schimbul de informaţii între SM Obligaţia pentru SM de a desemna autorităţile competente la nivel naţional, a punctelor unice de contact cu atribuţii legate de securitatea reţelelor şi a sistemelor informatice Până la 9 noiembrie 2018, SM au obligaţia să identifice pentru fiecare sector/ sub-sector critic operatorii de servicii esenţiale care au sediu pe teritoriul lor.
Relaţia Infrastructuri Critice industrii/ sectoare critice
Sectoare critice în care se operează cu SCADA ENERGIE TRANSPORTURI ALIMENTARE CU APA ALTE DOMENII SECTOARE CRITICE IT&C INDUSTRIA CHIMICA ADMINISTRAŢIE Domeniul IT&C este reglementat ca sector critic în plan naţional (Legea 18/2011)
Interdependenţa sectorială
Interdependenţa sectorială
Interdependenţa sectorială Interdependenţa TIC - Energie
Infrastructuri IT&C Riscuri şi vulnerabilităţi Riscuri şi Vulnerabilităţi de ordin fizic Inexistenţa sau insuficienţa măsurilor de protecţie fizică a infrastructurii sistemelor/reţelelor (aspecte legate de acces, protecţie şi monitorizarea spaţiilor unde se află acestea) Riscuri şi Vulnerabilităţi tehnologice şi procedurale Uzura fizică şi morală a echipamentelor Lipsa sau neaplicarea politicilor de securitate (ex. lipsa unui sistem de back-up, interferenţa reţelei Intranet cu cea de Internet) Lipsa serviciilor de suport tehnic şi mentenanţă, în condiţiile inexistenţei resurselor locale Riscuri şi Vulnerabilităţi de personal Lipsa sau încadrarea deficitară cu personal calificat Neglijarea îndatoririlor de serviciu de către personalul desemnat/ administratorii de sistem Abordare superficială sau insulară a problematicii IT&C din partea factorilor decizionali Riscuri şi Vulnerabilităţi generate de condiţii extreme (meteo, calamităţi naturale) Structura precară a construcţiilor/imobilelor în care se află sistemele/reţelele IT&C Lipsa/neactualizarea planurilor în cazuri de calamităţi naturale/situaţii de urgenţă Neefectuarea unor exerciţii/simulări în vederea prevenirii unor situaţii de urgenţă sau de forţă majoră
Necesitatea protecţiei infrastructurilor IT&C ÎN FAZA DE DEZVOLTARE- PROIECTARE conştientizarea factorului decizional asupra necesităţii proiectării şi construcţiei sistemelor IT&C pe baza unei arhitecturi ce prevede din faza iniţială protecţia cibernetică şi înalta disponibilitate a sistemelor ÎN ETAPA DE OPERARE soluţii care să asigure o relaţie optimă cost/beneficiu între resursa internă calificată şi cheltuielile de suport şi mentenanţă ÎN DOMENIUL PROTECŢIEI identificarea pro-activă a disfuncţiilor, vulnerabilităţilor şi riscurilor (în plan fizic, tehnologic, procedural, de personal) operaţionalizarea planului de acţiune privind elementele de intervenţie în situaţii de urgenţă
Protecţia IC parteneriate public-private adoptarea de norme interne/ proceduri de securitate IT&C promovarea culturii de securitate IT&C identificarea unor programe de finanţare implementarea strategiei naţionale privind protecţia IC consolidarea cooperării interinstituţionale
Vă mulţumesc!