Măsuri de securitate
Securitatea Rețelelor și Serviciilor de Comunicații Electronice
Definiție: Securitatea rețelelor și serviciilor se referă la capacitatea acestora de a rezista, la un nivel de încredere, oricărei acțiuni care afectează disponibilitatea, autenticitatea, integritatea sau confidențialitatea acestora, a datelor stocate, transmise ori prelucrate sau a serviciilor aferente oferite de rețelele ori serviciile de comunicații electronice respective sau accesibile prin intermediul lor.
Dimensiunile securității:
- Disponibilitate: proprietatea de a fi accesibil și utilizabil la cerere de către o entitate autorizată.
- Autenticitate: proprietatea potrivit căreia o entitate este ceea ce pretinde a fi.
- Integritate: proprietatea de a fi exact și complet.
- Confidențialitate: proprietatea ca informația să nu fie disponibilă sau divulgată persoanelor, entităților sau proceselor neautorizate.
Securitatea reprezintă o prioritate esențială pentru menținerea funcționării efeciente și în deplină siguranță a infrastructurii de comunicații electronice.
Măsurile de securitate
Măsurile de securitate implică o abordare complexă pentru protejarea rețelelor și serviciilor, având în vedere diversitatea amenințărilor, dar și evoluția continuă a tehnologiilor.
În conformitate cu definiția din Decizie, măsurile de securitate reprezintă mijloace adecvate, obiective și proportionale de management al riscurilor menite să gestioneze în mod corespunzător, să elimine ori să reducă riscurile privind securitatea rețelelor sau a serviciilor de comunicații electronice:
- Natura măsurilor de securitate: pot fi de natură administrativă, managerială, tehnică sau juridică.
- Elemente incluse: politici, acțiuni, planuri, echipamente, facilități, proceduri, procese, practici, tehnici etc.
- Caracteristicile măsurilor de securitate:
- adecvate: potrivite pentru gestionarea specifică a riscurilor.
- obiective: îndreptate către atingerea unui anume scop exact.
- proportionale: raport corect între mărimea măsurii și riscul gestionat.
Măsurile de securitate pe care trebuie să le stabilească şi să le implementeze furnizorii, vor viza cel puțin domeniile și obiectivele identificate în anexa nr. 1, disponibilă aici.
Obiectivele identificate în anexa nr. 1 la Decizie sunt grupate pe opt domenii de securitate, în conformitate cu structura stabilită în OUG nr. 111/2011.
Măsurile luate trebuie să asigure un nivel de securitate corespunzător riscului identificat ținând seama de stadiul actual al tehnologiei și să prevină sau să minimizeze impactul incidentelor de securitate asupra utilizatorilor și asupra altor rețele și servicii.
Prin urmare, într-o primă etapă, furnizorii trebuie să efectueze analize specifice pentru situația lor particulară, pentru a determina ce resurse se află în domeniul de aplicare, iar, ulterior, să efectueze o evaluare a riscurilor pentru a determina măsurile de securitate adecvate.
Domeniul comunicațiilor electronice este divers și complex. Există operatori care furnizează doar rețele prin cablu, pe când alții pun la dispoziție comunicații mobile prin tehnologii 2G, 3G, 4G, 5G, telefonie fixă, comunicații de date, servicii de acces la internet, dar și diverse servicii integrate din sfera IT&C etc. În plus aceștia pot avea colaborare cu diverși subcontractori, terți, prestatori de servicii gestionate, care pot fi pe teritoriul național sau în afară și care de asemenea pot avea proprii colaboratori etc., care la rândul lor implică anumite riscuri. În fiecare scenariu sau combinații de tehnologii, riscurile pot fi diferite și rămâne la latitudinea furnizorilor să evalueze riscurile și să decidă care sunt măsurile de securitate adecvate pe care să le ia pentru a răspunde în mod corespunzător și a îndeplini obiectivele din anexa nr. 1 la Decizie. În acest context Domeniul I. Politica de securitate și managementul riscului din anexa nr. 1 la Decizie abordează tocmai problematica managmentului riscului. Nu în ultimul rând, respectarea standardelor, ghidurilor și bunelor practici este o necesitate (cum sunt cele elaborate de ENISA, ANCOM, 3GPP, ISO/IEC etc.).
Evaluarea și actualizarea măsurilor de securitate
Obligația furnizorilor: de a evalua și, dacă este cazul, de a actualiza măsurile de securitate ori de câte ori este necesar, însă cel puțin o dată la 12 luni.
Rolul ANCOM
- Solicitare informații: atunci când consideră necesar, ANCOM solicită transmiterea, într-un termen stabilit, dar care nu poate depăși 30 de zile de la primirea solicitării, a tuturor informațiilor necesare evaluării securității rețelelor și serviciilor.
- Conținutul solicitării:
-
- toate informațiile necesare evaluării securității rețelelor și serviciilor, inclusiv a documentației ce a stat la baza implementării măsurilor de securitate;
- prezentarea deciziei de excludere a anumitor obiective de securitate în cazul furnizorilor furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere sau în cazul furnizorilor de servicii de comunicații interpersonale bazate pe numere care nu exercită un control efectiv asupra transmiterii semnalului.
-
Raportări ale furnizorilor care au un număr de cel puțin 100.000 de conexiuni
- Obligația de raportare: furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului care au un număr de cel puțin 100.000 de conexiuni trebuie să transmită anual către ANCOM, măsurile de securitate existente la data de 31 decembrie a anului anterior raportării.
- Structura raportului:
-
- pe structura domeniilor și obiectivelor de securitate identificate în anexa nr. 1 la Decizie;
- se vor evidenția totodată evoluțiile față de raportarea anterioară.
-
- Termen limită raportare: 10 februarie a fiecărui an.
- Prima raportare: până la data de 10 februarie 2025 și nu va conține informațiile referitoare la evoluția în timp a măsurilor de securitate.