Consultanta pentru Directiva NIS

Asigurarea conformarii cu prevederile Directivei NIS a fost al doilea use-case de succes prin care ne-am propus sa demonstram fiabilitatea conceptului de delivery al InnoNexus, pentru entitati esentiale ale statului.

Directiva NIS. Informatii esentiale.

Definitie
Scop
Este obligatie legala

Timing

6 luni
30 zile
2 luni
12 ore
ec.png
2000px-EUR-Lex_logo.svg.png
CERT-RO_banner.png
mcsi.png

Ce am gasit

Cerintele impuse foarte avansate de management al securitatii 

Timp foarte scurt de conformare cu legea

Elementele comune intre cerintele Directivei NIS si o implementare reala a GDPR

Ce am facut

Am asigurat o imagine coerenta si completa pentru conformarea cu legea 362/2018 (Directiva NIS).

Am elaborat un ghid de măsuri tehnice și administrative necesare pentru asigurarea conformității cu GDPR si Directiva NIS.

Am implementat consistent si integrat elementele tehnice specifice GDPR si ale Directivei NIS.

Flexibilitate
De ce clientii au facut-o?
De ce cu noi? 
Care au fost prioritatile ?

De ce au facut-o cu InnoNexus?

Relevanta

Eficienta

  • Am integram toate aspectecte legate de conformitatea GDPR, de la primul pas pana la optimizarea continua, la o fractiune din costurile marilor case de consultanta.

Integralitate

  • Am avut o abordare integrata juridic, procedural si tehnic.

  • Am asigurat un pachet unitar de servicii sub forma de abonament lunar, de la auditul initial, pana la crearea si mentenanta unui sistem viu de management.

Flexibilitate

  • Oamenii nostri au un nivel de maturitate foarte ridicata, deci se pot mula stilului Dumneavoastra de lucru.

  • Avem alocare dinamica de lucru si ne putem mula pe posibilitatea Dumneavoastra de a raspunde. 

Relevanta

  • Oamenii nostri ai zeci de ani de experienta in medii foarte complexe.

  • Veti primi suport si solutii optimizate din practica,

  • Veti primi recomandari aliniate cu businessul Dumneavoastra,

Consistenta

  • Oamenii nostri au certificari recunoscute international in materie de GDPR si de Data Privacy.

  • Recomandarile venite din experienta, dar aliniate la cele mai bune practici internationale asigura un sistem coerent

Siguranta

  • Cu noi clientii selectati au avut  un partener sigur si validat de industrie.

Cine ne sunt oamenii?

Oameni de experienta de minim 5 ani, in organizatii de complexitate ridicata  (multinationale), cu experienta vasta in management si proiecte complexe.

Majoritatea sunt lideri de opinie, profesionisti respectati.

​Mai jos sunt cateva tipare comune.

26
experti
424 ani experienta

CIO / IT Director

  • 20- 25 ani experienta in management IT

  • ​Mentoring si management oameni

  • Administration and Strategic Planning

  • Analiza si planificare de proiecte complexe

  • Programe / Sisteme de continuitate a afacerii

  • IT Governance

  • Management SLA si KPI versus ITIL / Cobit

  • FMGC, Utilitati, Productie, Banking

CISO / Auditor IT

  • 15 - 20 ani in managementul securitatii in medii multinationale

  • 10 ani experienta in evaluarea si implementarea de solutii complexe de securitate

  • Mentoring si management oameni

  • Coordonare echipa SOC

  • Managementul securitatii informatiei

  • Analiza de risc 

  • Audituri IT Versus Cobit

DPO

  • Specialist in Securitatea Informatiilor/ Protectia Datelor

  • Intre 15 - 20 ani experienta in

  • Managementul Riscurilor aferente
    Securitatii Informatiilor si Protectiei Datelor

  • Experienta practica ca si DPO in medii foarte complexe multinationale

  • Implementare si guvernanta Program Data Privacy​

Executive Architect

  • 20 ani experienta ca arhitect de solutii

  • Distinguished Architect, The Open Group

  • Proiecte de complexitate nationale si internationale

  • Design si implementare Enterprise Architecture

  • Lead technical solution design pentru proiecte critice din domeniul bancar

  • Evaluarea conformitatii solutiilor tehnice cu Enterprise Architecture

  • Lider la nivel European pentru solutii complexe

Care sunt certificarile lor?

Daca iti plac elementele concrete, si doresti sa verifici daca am respectat o practica sanatoasa, iti recomandam sa citesti elementele de mai jos.

 

"Power breakfast" -  Faza 1. Audit integrat (tehnic, juridic) si Implementarea elementelor primare.

Luni

8:30 am

GDPR

  • Definierea Registrului Procesărilor de date cu caracter personal

    • Identificarea in mod corect “proprietarii” de sisteme si de informatii;

    • Audit de detaliu a documentelor operationale interne: regulament intern; organigrama; ISO 9001 și alte certificări; procesele operaționale existente utilizate în activitatea zilnică.

    • Identificarea si descrierea in mod relevant a proceselor de business prin care se prelucreaza date cu caracter personal

    • Identificarea calitatii in care organizatia prelucreaza date cu caracter personal (operaror asociat, imputernicit)

    • Identificarea datele cu caracter personal prelucrate in fiecare proces de business, temeiul legal al prelucrării, cât şi categoriile  de date prelucrate in fiecare proces (generale sau speciale)

    • Daca s-a facut o evaluare consistenta a interesului legitim, unde e cazul.

  • Constructia elementelor primare de interactiune cu persoanele vizate (clientii).

    • Politica de confidentialitate website si la locatie

    • Politica de cookies pe site

    • Notele de informare persoane vizate

    • Recomandari de ajustare imediata a siteului web, in vederea asigurarii conformitatii cu GDPR.

  • Juridic

    • Identificarea si interpretarea implicațiilor juridice ale prelucrării acestor date, din punct de vedere al relațiilor cu terțe parți si cu persoanele vizate, inclusiv temeiul legal al prelucrării, precum si modalitatea in care se utilizeaza consimțământul prelucrării datelor de la terțe părți.

    • Audit al continutului contractului/acordului de prelucrare date cu caracter personal, in relatia organizatiei cu partenerii de business, dupa caz.

  • Evaluarea impactului asupra vieții private in ceea ce privește activitatea de procesare (Privacy Impact Analysis)

  • Auditul sistemic

    • Auditul politicilor şi procedurilor existente în cadrul Organizaţiei şi identificarea schimbărilor / completărilor necesare pentru a respecta cerinţele GDPR;

    • Auditul documentaţiilor ca probă pentru a demonstra conformitatea/ responsabilitatea – şi identificarea documentaţiilor insuficiente/ incorecte/ incomplete sau lipsa documentaţiilor;

    • Identificarea şi evaluarea prelucrărilor care nu întrunesc cerinţele GDPR (ex. legalitatea prelucrării, cerinţele de acordare a consimţământului, transferurile de date cu caracter personal, măsuri de securitate, stocarea/distrugerea sau anonimizarea  datelor);

    • Auditul modului în care persoanele vizate îşi pot exercita drepturile – inclusiv gestionarea cererilor de acces la date (SAR);

    • Auditul modului în care este obţinut şi înregistrat consimţământul şi identificarea potenţialelor cauze care ar duce la un consimţământ invalid; managementul consimţământului şi al retragerii acestuia;

    • Auditul “Notificărilor privind protecţia datelor” transmise subiecţilor de date (atât interni: angajaţi – cât şi externi: clienţi, colaboratori etc.);

    • Auditul gestionării riscurilor cu terţii (furnizori/persoane împuternicite) => procedura due diligence înainte de contractare; existenţa clauzelor specifice protecţiei datelor şi a măsurilor de securitate în template-urile de contractele;

    • Auditul cerinţelor de securitate privind monitorizarea (inclusiv în spaţii de supraveghere şi/sau monitorizarea web), preudonimizarea, anonimizarea, criptarea etc.;

  • Testarea personalului in interactiunile cu persoanele vizate in urmatoarele scenarii

    • Simulare solicitare persoana vizata (pe email) pentru:

      • Cerere confirmare a faptului că se prelucrează sau nu date cu caracter personal și, în caz afirmativ, cerere de acces la datele respective și informații cu privire la acestea.

      • Cerere furnizare o copie a datelor personale pe care le operatorul le detine (art. 15 din GDPR);

      • Cerere de retragere a consimtamantului

      • Cerere de confirmare a stergerii datelor personale a persoanei vizate ne puteți cere să ștergem datele personale pe care le deținem despre dvs. (art. 17 din GDPR);

      • Cerere de informare despre modificarea datelor personale a persoanei vizate si de corectie a acestora (art. 16 din GDPR);

      • Cerere de exercitare a dreptului la portabilitatea datelor

    • Cerere de exercitare a dreptului “de a fi uitat”.

GDPR & NIS

  • Evaluarea de risc a sistemului informatic - Consistenta, corectitudine si completitudine pentru conformarea cu GDPR si conform cu cerințele aplicabile ale Legii 362 / 2018

    • Analiza sau constructia arhitecturii a sistemului informațional care susține procesarea datelor cu caracter personal si cum a fost facuta

      • Model atat fizic, cât şi cel logic al acestei arhitecturi.

      • Inventarierea de detaliu asupra configuratiilor sistemelor informatice (componenta, versiune, interactiuni intre elemente)

    • Analiza fluxurilor de circulație a datelor cu caracter personal în sistemul informațional

    • Analiza configurarii tehnice, dpdv securitate ale sistemelor informatice relevante

    • Analiza de gap versus elementele cheie din managementul securitatii informatiei (existenta de masuri organizatorice, responsabilitati, politici si proceduri specifice, din domeniile esentiale), pentru domeniile:

      • Managementul securitatii informatiei

      • Managementul continuitatii afacerii

      • Securitatea informatiilor in cadrul resurselor umane

      • Securitatea Operatiunilor

      • Securitatea sistemelor IT

      • Achizitia, dezvoltarea si mentenanta sistemelor IT

      • Managementul accesului

      • Clasificarea informatiilor

      • Securitatea fizica

    • Analiza de vulnerabilități multidimensionala (testare de securitate, analiza configurării infrastructurii IT din punct de vedere al securității cibernetice, analiza de neconformităţi faţă de cele mai bune practici),

    • Modelarea amenințărilor, calculul probabilitatii si impactului

    • Matrice de riscuri asociata prelucrarilor de date.

NIS

  • Auditul suplimentar pentru nivelului de conformare cu prevederile Legii 362 / 2018, din punct de vedere al îndeplinirii cerințelor minime de securitate, peste elementele din GDPR (pentru conformitatea cu cerintele minime de securitate, conform SECȚIUNEA 1 - Cerințele minime de securitate, CAPITOLUL IV - Asigurarea securității rețelelor și sistemelor informatice din Lege.

    • managementul drepturilor de acces

    • conștientizarea și instruirea utilizatorilor;

    • jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;

    • testarea și evaluarea securității rețelelor și sistemelor informatice;

    • managementul configurațiilor rețelelor și sistemelor informatice;

    • asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice

    • managementul continuității funcționării serviciului esențial

    • managementul identificării și autentificării utilizatorilor;

    • mentenanța rețelelor și sistemelor informatice;

    • managementul suporturilor de memorie externă;

    • asigurarea protecției fizice a rețelelor și sistemelor informatice;

    • realizarea planurilor de securitate;

    • asigurarea securității personalului

    • asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;

    • cum se realizeaza managementul incidentelor care afectează securitatea rețelelor și sistemelor informatice;

  • Evaluarea posibilitatilor existente de interfatare cu CERT.ro si care sunt optiunile tehnologice, procedurale si umane necesare pentru indeplinirea cerintei

  • Evaluarea capabilitatilor existente pentru notificarea incidentelor in termen de 12 ore si care sunt optiunile tehnologice, procedurale si umane necesare pentru indeplinirea cerintei

  • Evaluarea nivelului de maturitate pentru constituirea Echipelor CSIRT

    • identificarea reţelelor şi sistemelor informatice care susţin furnizarea de servicii esenţiale – asigura conformarea cu legea 362/2018 (Art 25. (5) a) se identifică reţelele şi sistemele informatice care susţin furnizarea de servicii esenţiale;)

"Power lunch" - Faza 2. Implementarea si intretinerea unui Sistem integrat de Management al Securitatii (GDPR&NIS).

Luni

1:00 pm

  • Definierea de linii directoare de implementare si documente ajustate in functie de speficificul de business  a unui Sistem integrat de Management al Securitatii cu adaptari si selectii specifice de proceduri si procese specifice in functie de specificul Dumneavoastra si prima (selectia finala de documente si proceduri va fi validata dupa finalizarea Fazei 1 - Audit)

  • Elaborarea, actualizarea si adaptarea politicilor si procedurilor sistemului de management

  • Explicarea, monitorizarea regulata a implementarii acestora in organizatie

  • Consultanta in selectia si implementarea elementelor tehnice identificate in Analiza de risc

  • Consultanta in selectia, implementarea elementelor de organizare interna rezultate din Raportul de audit

  • Consultanta catre DPO sau managementul societatii

  • Ajustarea elementelor esentiale din sistem

  • Linie de consultanta de la distanta in timpul orelor normale de lucru cu SLA diferentiat.timp de raspuns initial 12 ore, raspuns complet 3 zile, pentru

  • Furnizarea de expertiză și consultanță personalului Companiei privind obligația acestora de respectare a prevederilor GDPR și ale legilor și reglementărilor locale în cadrul activității de prelucrare a datelor cu caracter personal, cat si pentru diverse solicitari din partea personalului legate de GDPR dar si Directiva NIS.

  • Furnizarea de expertiză și consultanță în ceea ce privește evaluarea  protecției datelor (DPIA), inclusiv desfășurarea sau monitorizarea desfășurării DPIA-urilor conform cerințelor Art. 35 din GDPR, dar si Directiva NIS.

  • Consultarea Companiei în ceea ce privește notificările de confidențialitate transmise persoanelor vizate la momentul colectării datelor cu caracter personal ale acestora, conform prevederilor Art. 13 – 15, dar si Directiva NIS.

  • timp de raspuns initial 6 ore, pentru

  • Furnizarea de expertiză și consultanță personalului Companiei privind solicitarile persoanelor vizate, interactiunea cu autoritatile si cu persoanele vizate in cazul breselor de securitate

  • Livrabile principale pentru GDPR.Cadrul de reglementare al politicii privind datele cu caracter personal ajustat

  • Politica generală de protecția datelor cu caracter personal, Articolul 24 (2) din GDPR

  • Politica de protecția datelor cu caracter personal ale angajaților, Articolul 24 (2) din GDPR

  • Notificarea generală privind protecția datelor, Articolele 12, 13 și 14 din GDPR

  • Registrul Notificărilor generale privind protecția datelor

  • Politica de retenție a datelor, Articolele 5(1)(e), 13(1), 17, 30 din GDPR

  • Registrul de evidenta a prelucrarilor de date, Articolul 30 din GDPR

  • Prelucrarea in comun cu terti a anumitor categorii de date, Articolul 26 din GDPR; acordul de prelucrare date, Articolul 28 din GDPR, dupa caz.

  • Inventarul Activităților de prelucrare

  • Linii directoare privind inventarierea activităților de prelucrare

  • Administrarea drepturilor Persoanelor vizate

  • Formular de consimțământ al persoanei vizate, Articolele 6(1)(a), 7(1), 9(2) din GDPR

  • Formular de retragere a consimțământului persoanei vizate, Articolul 7 (3) din GDPR

  • Formular de consimțământ parental, Articolul 8 din GDPR

  • Formular de retragere a consimțământului parental, Articolul 8 din GDPR

  •  Procedură de solicitare a accesului de   către persoanele vizate, Articolele 7(3), 15, 16, 17,18, 20, 21, 22 din GDPR

  • Formular de solicitare a accesării de către persoanele vizate

  • Formular de divulgare date de către persoana vizate

  • Nota de informare angajati, canditati

  • Transferuri de date cu caracter personal

  • Procedură adaptata  de transferul datelor cu caracter personal peste graniță, Articolele 1(3), 44, 45, 46, 47, 49

  • Anexa 1 - Clauze contractuale adaptate  pentru transferul datelor cu caracter personal către operatori, Articolul 46 (5)

  • Anexa 2 - Clauze contractuale adaptate  pentru transferul datelor cu caracter personal către persoanele împuterniciteDocumentație/ Procedura pentru protecția datelor cu caracter personal

  • Conformitate terți

  • Chestionar de conformitate cu prevederile GDPR pentru persoanele împuternicite

  • Acorduri pentru prelucrare a datelor adaptate  , Articolele 28, 32, 82 din GDPR

  • Securitatea datelor cu caracter personal - Documente ajustate si particularizate pe specificul societatii.

  • Politica de securitate IT

  • Politica de controlul accesului

  • Proceduri de securitate pentru Departamentul IT

  • Politica „Bring Your Own Device” (BYOD - Adu-ți Propriul Dispozitiv)

  • Politica privind dispozitivele mobile și lucrul de la distanță (teleworking)

  • Politica de ordine pe birou și monitor

  • Politica de clasificare a informațiilor

  • Politica de anonimizare și pseudonimizare

  • Politica privind utilizarea criptării

  • Plan de recuperare în caz de catastrofă

  • Procedura de audit intern

  • Anexă - Listă de verificări audit intern

  • Încălcarea securității datelor cu caracter personal - Documente ajustate si particularizate pe specificul societatii.

  • Procedura de răspuns și notificare privind securitatea datelor cu caracter personal. Articolele 4(12), 33, 34 din GDPR

  • Registrul situațiilor de încălcare a securității datelor, Articolul 33 (5) din GDPR

  • Formular de notificare a situațiilor de încălcare a datelor către autoritatea de supraveghere, Articolul 33 din GDPR

  • Formular de notificare a situațiilor de încălcare a datelor către persoanele vizate, Articolul 34 din GDPR

  • Livrabile suplimentare principale pentru Directiva NIS.

  • identificarea reţelelor şi sistemelor informatice care susţin furnizarea de servicii esenţiale – asigura conformarea cu legea 362/2018 (Art 25. (5) a) se identifică reţelele şi sistemele informatice care susţin furnizarea de servicii esenţiale;)

  • Politica de controlul accesului, al identificării și autentificării utilizatorilor;

  • Plan de training securitate pentru utilizatorii finali si sesiuni de training planificate

  • Raport de consultanta pentru selectia solutiilor de

  • monitorizare de securitate,

  • de management al activităților si configuratiilor rețelelor și sistemelor informatice.

  • Rapoarte trimestriale de evaluare a vulnerabilitatilor de securitate si recomandari pentru prioritizarea activitatilor de remediere

  • Raport anuale de testare de securitate si recomandari pentru prioritizarea activitatilor de remediere

  • Planificare de mentenanta reactiva, preventiva si evolutiva

  • Document de optimizare al proceselor si al furnizorilor de mentenanta

  • Politica de management al suporturilor de memorie externă

  • Politica de securitate fizica

  • Raport de consultanta pentru selectia tehnologiilor, a proceselor operationale pentru asigurarea capabilitatilor de monitorizare de securitate si pentru constituirea Echipelor CSIRT dupa cum urmeaza

  • Evaluarea posibilitatilor existente de interfatare cu CERT.ro si care sunt optiunile tehnologice, procedurale si umane necesare pentru indeplinirea cerintei

  • Evaluarea capabilitatilor existente pentru notificarea incidentelor in termen de 12 ore si care sunt optiunile tehnologice, procedurale si umane necesare pentru indeplinirea cerintei

INNONEXUS S.R.L.,  18334569, J40/1426/2006, Iosif Hodos, 1, Sector 3, 032511, Bucuresti, Romania,

office@innonexus.commadalinbratu@innonexus.com, +4 0784 230 497

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram