Analiză comparativă [627466]

Analiză comparativă
a prevederilor legilor 190/2018 (GDPR) și 362/2018 (Directiva NIS),
raportate la cele ale standardelor ISO 27000 (27000 și 27001)
privind stabilirea nivelului de securitate a datelor în format
electronic

Amenințările tot mai prezent e (în mediul virtual și numai) rezultate
din accesarea și utilizarea nelegitimă și cu scopuri ilicite a unor date
sensibile , a evidențiat necesitatea actualizării legislației în domeniu la
nivel european și, implicit, național .
S-a creat astfel posibilitat ea pe de o parte a cetățenilor de a
verifica modul în care sunt colectate și folosite datele personale, iar pe
de altă parte a autorităților de a putea controla și preveni utilizarea
acestora (precum și a altora considerate critice pentru buna funcționare a
societății ), în mod abuziv sau cu alte scopuri decât cele declarate.
Creșterea volumului de date personale procesate în activitatea
curentă a tot mai multor entități, fie ele private sau statale, precum și
dependența tot mai mare de sistemele informatice în domenii strategice,
a făcut ca asigurarea securității acestora să devină o preocupare
centrală a organizațiilor moderne.
În acest sens, la nivel european, sunt aplicabile în prezent o serie
de reguli menite să asigure protecția datelor colectate și veh iculate prin
intermediul sistemelor informatice, cât și protecția acestor sisteme.
Instrumentele legislative și standardele supuse prezentei analize ,
deși urmăresc în esenț ă scopurile precizate mai sus , se deosebesc în
primul rând prin aceea că GDPR și Dir ectiva NIS reprezintă prevederi
legislative obligatorii pentru organizațiile care vehiculează informații
precum celor menționate anterior, în timp ce standardele ISO din
categoria 27000 (anume 27001), constituie reguli implementate în mod
voluntar de anumi te entități, a căror respectare este dovedită prin
certificarea ISO.
Legea 190/2018 (General Data Protection Regulation) reprezintă
actualizarea prevederilor Directivei de Protecție a Datelor 95/46/EC .
GDPR este un cadru legal care stabilește regulile cu p rivire la colectarea
și procesarea datelor personale provenite de la indivizi care locuiesc în
Uniunea Europeană. Acesta se aplică indiferent de locația organizației

sau site -ului care realizează colectarea, chiar dacă nu oferă
produse/servicii în mod expl icit pentru cetățenii europeni.
De asemenea, GDPR -ul mai face referire la informațiile personale
identificabile, definite ca informații care, deși nu relevă în mod direct
identitatea unei persoane, pot conduce la identificarea acesteia și
pretinde realizar ea unei anonimizări sau pseudonimizări care să facă
imposibilă identificarea persoanei.
Dincolo de cele prezentate, GDPR -ul se extinde și asupra datelor
colectate cu privire la propriul personal în cadrul activităților de resurse
umane.
Datele colectate de o companie nu pot fi transferate altei
companii din afara Uniunii Europene, în cazul în care aceasta din urmă
nu poate garanta același nivel de protecție.
Ca parte a strategiei europene de securitate cibernetică, Comisia
Europeană a adoptat Directiva de S ecuritate a Rețelelor și Informațiilor
(Network and Information Security Directive). Aceasta reprezintă prima
inițiativă europeană de reglementare unitară în domeniu, menită să
sporească securitatea cibernetică la nivelul Uniunii. Transpunerea în
legislați a române ască a fost realizată prin Legea 362/2018.
La nivel european, diferența dintre un Regulament și o Directivă
este reprezentată de aceea că, spre deosebire de Directivă, care permite
adaptarea prevederilor la specificul fiecărei țări, Regulamentul tr ebuie
adoptat și aplicat întocmai.
Directiva NIS tratează trei capitole majore:
Capabilitățile naționale – care reclamă ca statele membre ale
Uniunii Europene să îndeplinească un anumit nivel de capabilități în
domeniul securității cibernetice (ex. de a de ține un CSIRT național –
echipa de răspuns la incidente de securitate informatică la nivel național ,
de a efectua exerciții cyber etc.).
Cooperarea transfrontalieră – cooperarea transfrontalieră între
țările Uniunii Europene (ex. rețeaua operațională a țăr ilor care dețin un
CSIRT, grupul de cooperare strageică NIS).
Supravegherea națională a unor sectoare critice – statele
membre ale Uniunii Europene trebuie să supravegheze securitatea
cibernetică a unor domenii critice (ex. Supravegherea cu caracter
preven tiv în sectoare critice: energie, transporturi, alimentare cu apă,
sănătate, finanțe etc., precum și supravegherea ulterioară a providerilor
critici de servicii digitale: motoare de căutare, piețe on -line, servicii cloud
etc.).

În România, Centrul Național de Răspuns la Incidente de
Securitate Cibernetică ( CERT -RO) are rol de CSIRT național , și este
autoritate competentă la nivel național pentru securitatea rețelelor și a
sistemelor informatice care asigură furnizarea serviciilor esențiale ori
furnizează se rvicii digitale.
În ceea ce privește f amilia de standarde ISO 27000 , acestea
oferă un set de specificații, cod uri de conduită și ghiduri de bună -practică
cu ajutoru l cărora organizațiile pot asigura un management solid al
securității informa țiilor.
În timp ce ISO 27000 oferă o privire de ansamblu a familiei de
standarde conținute precum și definirea termenilor, ISO 27001 reprezintă
standardul de management al securității informațiilor , fără a pune accent
pe tehnologiile utilizate sau pe entitățile care furn izează astfel de servicii,
ci doar oferă o prescripție a caracteristicilor unui sistem eficient de
gestionare a securității informațiilor. Ca specificație, ISO 27001
precizează ce se așteaptă de la un astfel de sistem .
Codul de conduită – îndrumare și cele mai bune practici
recomandate care pot fi utilizate pentru a impune specificația, este oferit
de ISO 27002, care este, practic a doua parte a ISO 27001.
Prezentul standard, în vigoare din anul 2013, reprezintă o
actualizare a celui din anul 2005, când a f ost publicată prima formă a ISO
27001, prin adoptarea în cadrul standardelor BSI 7799 -2 (British
Standards Institution) a ciclului PDCA (Plan -Do-Check -Act, neobligatoriu
în standardele din 2013 ), în vederea alinierii sale la celelalte standarde
europene, î n principal ISO 9001 și ISO 14000.
Paralela între GDPR și Directiva NIS pe de o parte și standardele
ISO 27000 și 27001 indică o oarecare similitudine a acestora, cu unele
excepții, experții în domeniu fiind de acord asupra faptului că alinierea la
standar dul ISO reprezintă o bază solidă de a implementa prevederile
GDPR și Directivei NIS.
GDPR face referire la protecția și vehicularea datelor personale
ale cetățenilor europeni, așa cum sunt acestea definite în textul legislativ
(date referitoare la o persoa nă identificată sau identificabilă), iar Directiva
NIS face referire la asigurarea unui nivel ridicat al rețelelor și sistemelor
informatice prin intermediul cărora se vehiculează informații ale
operatorilor de servicii esențiale sau ale furnizorilor de se rvicii digitale.
Standardele ISO 27001 se preocupă de riscurile informaționale, și
anume managementul securității informațiilor prin care să se diminueze
riscurile considerate drept inacceptabile pentru o organizație. În contextul
GDPR, informațiile person ale fac obiectul unor controale (așa cum sunt

ele menționate în anexa A la Standardul ISO 27001) privitoare la
confidențialitate și protecție.
În ceea ce privește scopul material, GDPR se preocupă de
procesarea în totalitate sau parțială a datelor personal e prin mijloace
automate (sisteme informatice, aplicații, rețele), într -un context
organizațional (nu face referire la uzul personal). Directiva NIS nu se
referă la un anumit tip de date, ci face referire la sisteme și rețele de
comunicații electronice, în să se poate înțelege că privește datele care
asigură funcționarea corectă a organizațiilor vizate, precum și cele a
căror compromitere poate conduce la afectarea indirectă a acestei bune
funcționări.
Standardul ISO 27001 este preocupat de informații în gen eral, nu
doar de cele vehiculate prin intermediul sistemelor informatice, aplicațiilor
și rețelelor. Este un cadrul general, construit în jurul unui sistem de
management și privește riscurile informaționale și controalele menite să
le atenueze, în context organizațional, mergând dincolo de aspectele
referitoare la conformare și confidențialitate.
Ca arie de competență, GDPR face referire la datele personale
ale cetățenilor europeni, fie că acestea sunt procesate pe teritoriul
european sau în altă p arte. Directiva NIS, impune obligații doar pentru
statele membre UE, iar Standard ul ISO 27001 are un scop global .
În timp ce Directiva NIS nu oferă indicații specifice în vederea
asigurării protecției datelor ci doar reguli cu caracter general (detaliate
prin normele tehnice emise de CERT -RO), similar cu modul în care ISO
27000 stabilește cadrul general și definirea termenilor, GDPR -ul face
referire la unele aspecte tehnice clare cum ar fi criptarea datelor,
anonimizarea și reziliența, acoperind astfel subi ecte importante precum
confidențialitatea, integritatea și disponibilitatea datelor , plus testarea
asigurării acestor măsuri și conformarea personalului .
Cu toate acestea, rămân anumite cerințe -cheie care nu sunt
acoperite de ISO 27001, cum ar fi consimțăm ântul, prelucrarea
echitabilă, minimizarea datelor, limitarea stocării, rectificarea, ștergerea
și transferul de date. Pe de altă parte, ISO 27001 se preocupă de
standardele privind riscurile la adresa datelor în general , nu doar cele
existente la nivelul sistemelor informatice.
Atâta timp cât în procesul de definire a bunurilor (assets)
organizației sunt cuprinse și datele personale (atât cele colectate în
relația cu clienții cât și cele ale personalului propriu), implementarea ISO
27001 la nivelul unei or ganizații satisface majoritatea cerințelor prevăzute

de GDPR, lăsând deschise spre dezbatere doar aspectele menționate
anterior.
Formarea unui sistem de management al securității informațiilor
permite organizațiilor care procesează date cu caracter persona l să
demonstreze că riscurile asociate acestora sunt revizuite în mod
continunu, actualizate și îmbunătățite, pe durata întregului ciclu de viață.
Un sistem de management al securității informațiilor este cadrul
perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru
datele personale și pot oferi asigurări din care reiese că organizația
abordează respectarea conformității ISO 27001, GDPR și Directivei NIS
în mod serios.
Unele dintre controalele stabilite prin Anexa A din Standardul ISO
27001 satisfac pe deplin cerințele articolelor GDPR. În alte situații, ele
creează contextul perfect pentru implementarea celorlalte cerințe.
Similar, din punct de vedere al concepției sistemului de
management al securității informațiilor, principiile Dire civei NIS se
regăsesc în prevederile ISO 27001 (stabilirea unor cerințe de securitate,
notificarea incidentelor, instituirea și actualizarea unor mecanisme în
funcție de evoluția amenințărilor, principiul responsabilității și
conștientizării, principiul pr oporționalității ).
Alte puncte comune între GDPR și ISO 27001 sunt reprezentate
de criptarea datelor, care este recomandată de ambele prevederi, drept
una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile
identificate. Având în vedere c ă Anexa A din Standardul ISO 27001
conține 114 controale care pot fi utilizate pentru a reduce riscurile de
securitate a informațiilor, organizația va putea identifica acele active care
sunt supuse riscului și care necesită criptare, pentru a le proteja în mod
adecvat.
Conform ISO 27001, pentru o evaluare profundă a riscurilor,
organizațiile trebuie să identifice amenințările și vulnerabilitățile care pot
afecta activitățile de informare ale unei organizații și să ia măsuri pentru
a asigura confidențialitat ea, disponibilitatea și integritatea acestor date.
Principiile disponibilității, integrității și confidențialității sunt vehiculate și
în aplicarea Directivei NIS sau GDPR fiecare tratând în particular datele
care fac obiectul propriei reglementări (date p ersonale sau critice pentru
anumite tipuri de organizații) .
În ceea ce privește controlul implementării și funcționării măsurilor
implementate, Directiva NIS statuează obligația operatorilor de servicii
esențiale și a furnizorilor de servicii digitale de a se supune controalelo r
și auditului autorității naționale competente CERT -RO, în timp ce ISO

27001 face referire la certificarea acestora prin intermediul organismelor
de control acreditate. Suplimentar, ISO 27001 recomandă companiilor
acreditate efectuar ea de teste de vulnerabilitate și teste de penetrare.
Clasificarea informațiilor reprezintă un alt punct important în
implementarea unui sistem de management al securității informațiilor
performant, asigurând, astfel, alături de acordarea drepturilor de ac ces în
funcție de necesități, o protecție by design, deoarece stabilește astfel ce
informații pot fi accesate de anumite persoane în anumite perioade de
timp, în vederea minimizării riscurilor.
Aceste teme sunt tratate oarecum în aceeași notă de Directiva
NIS prin statuarea obligațiilor de a implementa măsuri tehnice și
organizatorice “adecvate și proporționale” pentru îndeplinirea cerințelor
minime de securitate a rețelelor și sistemelor informatice, fapt care
presupune evaluarea și stabilirea tipurilor de resurse la care se acordă
acces în vederea “ adecvării ”, precum și identificarea persoanelor care le
pot accesa, în ce măsură și pentru cât timp.
Similar, GDPR statuează că datele personale nu pot fi accesate
decât de persoanele care au în fișa postului as tfel de atribuții, iar la nivel
organizațional trebuie să existe o persoană anume desemnată care să
se ocupe de implementarea acestor măsuri (DPO).
Obligativitatea notificărilor privind încălcarea (semnalarea
incidentelor de securitate așa cum prevede Dire ctiva NIS), este o altă
obligație regăsită în Standardul ISO 27001 (controlul A 16.1 –
Managementul incidentelor și îmbunătățirilor în materie de securitate a
informațiilor – organizația va asigura o abordare consecventă și eficientă
a gestionării incident elor de securitate a informațiilor, inclusiv a
comunicării privind incidentele de securitate ), precum și în cadrul GDPR ,
care stabilește un termen de 72 de ore pentru informarea Autorității de
supraveghere.
Prin cerințele sale referitoare la gestionarea in cidentelor de
securitate, Standardul ISO 27001 asigură o abordare integrată și
eficientă a oricărui incident de securitate. Managementul incidentelor
trebuie să facă parte din politicile de securitate ale oricărei organizații,
alături de procedurile de bac kup, continuitate în bussiness sau
recuperarea în caz de dezastru.
Toate aceste elemente se regăsesc, similar structurate, și în
Directiva NIS, în vederea asigurării continuității oferirii serviciilor critice.
Securitatea informațiilor face referire la mai multe aspecte înafara
tehnologiei, acoperind aspecte legate de oameni și procese. În afara
controalelor tehnice adoptate, documentației structurate, monitorizării și

împunătățirii continue, implementarea Standardului ISO 27001
promovează conștientizarea i ncidentelor de securitate în cadrul
organizațiilor, o adevărată cultură de securitate.
Cerințele mai includ și alte elemente, precum formarea
personalului, sprijinul și asumarea acestor reguli și practici de
conducerea organizației.
Toate acestea sunt nece sare și în planificarea și implementarea
prevederilor GDPR și Directivei NIS.

BIBLIOGRAFIE
https://eugdpr.org/
https://www.itgovernance.co.uk/infosec
https://en.wikipedia.org/wiki/ISO/IEC_27000 -series
https://ro.wikipedia.org/wiki/ISO/IEC_27001
https://www.investopedia.com/terms/g/general -data-protection –
regulation -gdpr.asp
https://www.enisa.europa.eu/topics/nis -directive
https://cloudmania2013.com/2018/09/12/gdpr -un-status -dupa –
100-de-zile/