Art. 6. - Activităţile de audit al sistemului informatic al Registrului vizează: - Procedura din 2025 şi cerinţele de auditare a sistemului informatic al Registrului Naţional de Publicitate Mobiliară din punct de vedere tehnic şi al securităţii tehnologiei informaţiei

M.Of. 1085

În vigoare
Versiune de la: 25 Noiembrie 2025
Art. 6
(1)Activităţile de audit al sistemului informatic al Registrului vizează:
a)auditul arhitecturii - constă în verificarea conformităţii măsurilor de securitate legate de alegerea, poziţionarea şi implementarea dispozitivelor hardware/software în reţeaua şi sistemul informatic ale Registrului, cerinţele minime de securitate şi politicile interne ale Autorităţii de Supraveghere şi Corpului Operatorilor, în raport cu atribuţiile prevăzute de lege; auditul poate fi extins la interconectările cu reţele terţe, inclusiv internetul;
b)auditul de configurare - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerinţele minime de securitate şi politicile de securitate în ceea ce priveşte configuraţia dispozitivelor hardware/software componente ale reţelei şi sistemului informatic ale Registrului; aceste dispozitive pot fi în special echipamente de reţea (server sau staţie de lucru), produse de securitate, aplicaţii software şi produse COTS;
c)auditul aplicaţiilor software - constă în analiza condiţiilor de compilare a aplicaţiilor software pentru a descoperi vulnerabilităţile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securităţii reţelei şi sistemului informatic ale Registrului;
d)auditul de penetrare sau testarea de penetrare - constă în identificarea vulnerabilităţilor din reţeaua şi sistemul informatic ale Registrului, verificarea posibilităţilor de exploatare, precum şi a impactului exploatării acestora asupra reţelei, în condiţiile reale ale unui atac cibernetic asupra reţelei şi sistemului informatic; activitatea de audit poate fi desfăşurată fie din afara reţelei (în special din internet sau din reţeaua interconectată a unei terţe părţi), fie din interiorul reţelei;
e)auditul securităţii tehnologice - constă în auditul privind securitatea fizică şi urmăreşte să se asigure că politicile şi procedurile de securitate ale Autorităţii de Supraveghere şi ale Corpului Operatorilor:
(i)sunt conforme cu nevoile de securitate ale acestora, nivelul tehnologic şi standardele în vigoare;
(ii)completează corect măsurile tehnice implementate;
(iii)sunt puse efectiv în practică.
(2)În situaţia prevăzută la alin. (1) lit. e), auditorul trebuie să se asigure că aspectele fizice ale securităţii reţelei şi sistemului informatic ale Registrului sunt acoperite corespunzător.
(3)Autoritatea de Supraveghere stabileşte, prin ordinul prevăzut la art. 2 alin. (1), efectuarea unuia sau mai multor tipuri de audit.