Infrastructuri critice – provocă i...
Transcript of Infrastructuri critice – provocă i...
Infrastructuri critice – provocări și perspective
Infrastructuri Critice (IC) -Parte vitală a infrastructurii naţionale
- Reţea de procese şi sisteme care funcţionează sinergic pentru asigurarea continuă de produse şi servicii esenţiale
- Perturbarea sau distrugerea acestora afectează securitatea economică, starea de sănătate şi siguranţa publică
Infrastructuri Critice Naţionale (ICN) -Element, sistem sau o componentă a acestuia esenţial pentru menţinerea funcţiilor vitale ale societăţii, a sănătăţii, siguranţei, securităţii, bunăstării sociale sau economice a persoanelor
- Perturbarea sau distrugerea lor generează un impact semnificativ la nivel naţional
Infrastructuri Critice Europene (ICE) - Infrastructuri critice localizate în statele membre UE
- Perturbarea sau distrugerea generează un impact semnificativ asupra a cel puţin două state membre
Infrastructuri IT&C cu valenţe critice
INFRASTRUCTURI CRITICEDelimitări conceptuale
INFRASTRUCTURI IT&C
INFRASTRUCTURI CRITICE
NAŢIONALE (ICN)
INFRASTRUCTURI - Delimitări conceptuale
INFRASTRUCTURI CRITICE
EUROPENE (ICE)
INFRASTRUCTURI NAŢIONALE
DE INFORMAŢII (INI)
Disponibilitatea
Continuitatea
Integritatea
Buna funcţionare a
sistemelor IT&C asigură/
susţine
La nivelul întregii
Infrastructuri Critice
Relatia infrastructură IT&C –Infrastructură critică
Proiecte de informatizare destinate realizării
societăţii informaţionale
INFRASTRUCTURI IT&C
INFRASTRUCTURICRITICE
INFRASTRUCTURICRITICE
Proiecte de informatizare – Infrastructuri IT&C – Infrastructuri critice
Legea 18/2011 pentru aprobarea
OUG 98/2010privind
identificarea, desemnarea şi
protecţia infrastructurilor
critice
Infrastructuri critice Cadrul legislativ
Directiva CE 114/2008
privindidentificarea şi
desemnarea ICE şi evaluarea necesităţii
îmbunătăţirii protecţiei
HG 1154/2011privind
aprobareapragurilor critice
aferente criteriilor intersectoriale
Decizia PM166/2013privind
aprobarea normelor metodologice pentru
realizarea PSO şi atribuţiile ofiţerului de legătură la nivelul APR
şi POA
Decizia PM 43/2012privind
aprobarea planului de acţiune pentru
implementarea, monitorizarea şi
evaluarea obiectivelor Strategiei naţionale de
protecţie a infrastructurilor critice
HG 718/2011privind
Strategia naţională de protecţie a
infrastructurilor critice
PSO – Plan de Securitate pentru OperatorAPR – Autoritate Publică ResponsabilăPOA – Proprietar/Operator/Administrator
HG 683/2016pentru
desemnarea ICE şi
modificarea HG 301/2012
Directiva UE 1148/2016 (NIS)
privindmăsuri pentru un
nivel comun ridicat de securitate a reţelelor
şi a sistemelor informatice în Uniune
Obligaţia Statelor Membre (SM) de aadopta o strategie naţională privindsecuritatea reţelelor
Crearea unui grup comun menit săsprijine şi faciliteze cooperareastrategică şi schimbul de informaţiiîntre SM
Obligaţia pentru SM de a desemnaautorităţile competente la nivelnaţional, a punctelor unice decontact cu atribuţii legate desecuritatea reţelelor şi a sistemelorinformatice
Până la 9 noiembrie 2018, SM auobligaţia să identifice pentru fiecaresector/ sub-sector critic operatoriide servicii esenţiale care au sediupe teritoriul lor.
Stabileşte criteriile în vederea identificării
cerinţelor de securitate şi notificare pentru operatorii
de servicii esenţiale şi pentru furnizorii de servicii
digitale
Reţele şi sisteme informaticeCadrul legislativ
Relaţia Infrastructuri Critice – industrii/ sectoare critice
SECTOARECRITICE
ENERGIE
IT&CALTE
DOMENII
ALIMENTARE CU APA
INDUSTRIA CHIMICA ADMINISTRAŢIE
TRANSPORTURI
Sectoare critice în care se operează cu SCADA
Domeniul IT&C este reglementat ca sector critic în plan naţional (Legea
18/2011)
Interdependenţa sectorială
Interdependenţa sectorială
Interdependenţa sectorială
Interdependenţa TIC - Energie
• Inexistenţa sau insuficienţa măsurilor de protecţie fizică a infrastructurii sistemelor/reţelelor (aspecte legate de acces, protecţie şi monitorizarea spaţiilor unde se află acestea)
Riscuri şi Vulnerabilităţide ordin fizic
• Lipsa sau încadrarea deficitară cu personal calificat
• Neglijarea îndatoririlor de serviciu de către personalul desemnat/ administratorii de sistem
• Abordare superficială sau insulară a problematicii IT&C din partea factorilor decizionali
Riscuri şi Vulnerabilităţi
de personal
• Uzura fizică şi morală a echipamentelor
• Lipsa sau neaplicarea politicilor de securitate (ex. lipsa unui sistem de back-up, interferenţa reţelei Intranet cu cea de Internet)
• Lipsa serviciilor de suport tehnic şi mentenanţă, în condiţiile inexistenţei resurselor locale
Riscuri şi Vulnerabilităţitehnologice şi procedurale
• Structura precară a construcţiilor/imobilelor în care se află sistemele/reţelele IT&C
• Lipsa/neactualizarea planurilor în cazuri de calamităţi naturale/situaţii de urgenţă
• Neefectuarea unor exerciţii/simulări în vederea prevenirii unor situaţii de urgenţă sau de forţă majoră
Riscuri şi Vulnerabilităţi
generate de condiţii extreme
(meteo, calamităţi naturale)
Infrastructuri IT&CRiscuri şi vulnerabilităţi
Necesitatea protecţiei infrastructurilor IT&C
ÎN ETAPA DE OPERAREsoluţii care să asigure o
relaţie optimă cost/beneficiu între
resursa internă calificată şi cheltuielile de suport şi
mentenanţă
ÎN DOMENIUL PROTECŢIEIidentificarea pro-activă a disfuncţiilor,
vulnerabilităţilor şi riscurilor (în plan fizic, tehnologic, procedural, de personal)operaţionalizarea planului de acţiune
privind elementele de intervenţie în situaţii de urgenţă
ÎN FAZA DE DEZVOLTARE-PROIECTARE
conştientizarea factorului decizional asupra necesităţii
proiectării şi construcţiei sistemelor IT&C pe baza unei
arhitecturi ce prevede din faza iniţială protecţia cibernetică şi
înalta disponibilitate a sistemelor
implementarea strategiei naţionale privind protecţia IC
adoptarea de norme interne/ proceduri de
securitate IT&C
consolidarea cooperării
interinstituţionale
parteneriate public-private
promovarea culturii de securitate
IT&C
Protecţia IC
identificarea unor programe de finanţare
Vă mulţumesc!