Upload
sorinbut
View
222
Download
0
Embed Size (px)
DESCRIPTION
0092.pdf
Citation preview
P A R T E A I
LEGI, DECRETE, HOTRRI I ALTE ACTE
Anul 178 (XXII) Nr. 92 Miercuri, 10 februarie 2010
S U M A R
Nr. Pagina
ACTE ALE ORGANELOR DE SPECIALITATE
ALE ADMINISTRAIEI PUBLICE CENTRALE
7. Ordin al directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat pentru
aprobarea Directivei INFOSEC privind Catalogul
naional cu pachete, produse i profile de protecie
INFOSECINFOSEC 5 ............................................ 25
8. Ordin al directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat privind
aprobarea Metodologiei de evaluare i certificare a
pachetelor, produselor i profilelor de protecie
INFOSECINFOSEC 14 .......................................... 516
A C T E A L E O R G A N E L O R D E S P E C I A L I T A T E
A L E A D M I N I S T R A I E I P U B L I C E C E N T R A L E
GUVERNUL ROMNIEI
OFICIUL REGISTRULUI NAIONAL AL INFORMAIILOR SECRETE DE STAT
O R D I N
pentru aprobarea Directivei INFOSEC privind Catalogul naional cu pachete,
produse i profile de protecie INFOSECINFOSEC 5
n temeiul art. 1 alin. (4) lit. b) i al art. 3 alin. (6) din Ordonana de urgen a Guvernului nr. 153/2002 privind organizarea
i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr. 101/2003, cu modificrile i
completrile ulterioare, i al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea
i prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum i a altor documente, n
vederea adoptrii/aprobrii, aprobat prin Hotrrea Guvernului nr. 561/2009,
directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat emite prezentul ordin.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
2
Art. 1. Se aprob Directiva INFOSEC privind Catalogul
naional cu pachete, produse i profile de protecie INFOSEC
INFOSEC 5, prevzut n anexa care face parte integrant din
prezentul ordin.
Art. 2. Pe data intrrii n vigoare a prezentului ordin se
abrog Ordinul directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat nr. 11/2006 pentru
aprobarea Directivei INFOSEC privind Catalogul naional cu
produse, profile i pachete de protecie INFOSECINFOSEC 5,
publicat n Monitorul Oficial al Romniei, Partea I, nr. 135 din
13 februarie 2006.
Art. 3. Oficiul Registrului Naional al Informaiilor Secrete
de Stat va duce la ndeplinire prevederile prezentului ordin.
Directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat,
Marius Petrescu
Bucureti, 2 februarie 2010.
Nr. 7.
ANEX
D I R E C T I V A INFOSEC
privind Catalogul naional cu pachete, produse i profile de protecie INFOSECINFOSEC 5
CAPITOLUL I
Scop
Art. 1. Directiva INFOSEC privind Catalogul naional cu
pachete, produse i profile de protecie INFOSEC INFOSEC 5
este elaborat de ctre Oficiul Registrului Naional al
Informaiilor Secrete de Stat, denumit n continuare ORNISS, caparte a politicii naionale de protecie a informaiilor clasificate.
Art. 2. Directiva stabilete procesul i procedurile de
realizare, actualizare i pstrare a Catalogului naional cu
pachete, produse i profile de protecie INFOSEC, denumit n
continuare Catalog naional.Art. 3. Scopul Catalogului naional este de a furniza
persoanelor juridice de drept public sau privat care au n
administrare sisteme informatice i de comunicaii, denumite n
continuare SIC, care vehiculeaz informaii clasificate i altorentiti care au responsabiliti n domeniul proteciei
informaiilor clasificate o list de pachete, produse i profile de
protecie INFOSEC certificate, care pot fi achiziionate n scopul
ndeplinirii cerinelor operaionale de securitate.
CAPITOLUL II
Definiii
Art. 4. n sensul prezentei directive, urmtorii termeni se
definesc dup cum urmeaz:
a) nivel de evaluare a asigurrii (EAL) un pachet decomponente de asigurare din partea a 3-a a Criteriilor comune,
care reprezint un punct pe scara de asigurare predefinit a
Criteriilor comune;
b) pachet un set reutilizabil de componente fie funcionale,fie de asigurare (de exemplu, un EAL), combinate pentru a
satisface un set de obiective de securitate identificate;
c) pachetele, produsele i profilele de protecie INFOSEC curegim limitat de distribuie i utilizare acele pachete, produsei profile de protecie INFOSEC dezvoltate n serie limitat
destinat strict utilizrii n cadrul uneia sau mai multor autoriti
desemnate de securitate, denumite n continuare ADS;d) produs un pachet de software, firmware i/sau
hardware IT care furnizeaz o funcionalitate destinat utilizrii
sau incorporrii ntr-o multitudine de sisteme;
e) profil de protecie (PP) un set de cerine de securitateindependent de implementare pentru o categorie de inte de
evaluare care satisface cerine specifice ale consumatorilor;
f) int de evaluare (TOE) un produs sau sistem IT idocumentaia aferent de utilizator i administrator care
constituie subiectul unei evaluri;
g) int de securitate (ST) un set de cerine i specificaiide securitate utilizate ca baz pentru evaluarea unei inte de
evaluare identificate;
h) utilizator orice entitate (utilizator uman sau entitate ITextern) din afara TOE care interacioneaz cu TOE.
CAPITOLUL III
Domeniul de aplicabilitate
Art. 5. Prezenta directiv este obligatorie pentru
persoanele juridice care prezint pachete, produse i profile de
protecie INFOSEC pentru a fi incluse n Catalogul naional.
Art. 6. (1) n raport cu destinaia de utilizare, pachetele,
produsele i profilele de protecie INFOSEC se mpart n dou
categorii: cu utilizare la nivel naional i cu regim limitat de
distribuie i utilizare.
(2) Pachetele, produsele i profilele de protecie INFOSEC
cu utilizare la nivel naional se introduc n Catalogul naional.
(3) Pachetele, produsele i profilele de protecie INFOSEC
cu regim limitat de distribuie i utilizare se introduc n registrele
de eviden a pachetelor, produselor i profilelor de protecie
INFOSEC, constituite i pstrate la nivelul ADS cu competene
n coordonarea i controlul msurilor de protecie a informaiilor
clasificate ce vor fi protejate cu acestea.
(4) ADS transmit la ORNISS lista produselor cu regim limitat
de distribuie i utilizare care pot fi puse la dispoziia altor ADS,
preciznd numele, destinaia, modelul, versiunea i nivelul de
clasificare pentru care au fost certificate, precum i eventualele
condiii de utilizare.
CAPITOLUL IV
Responsabiliti
Art. 7. (1) n calitate de autoritate naional de securitate,
ORNISS are responsabilitatea de a asigura implementarea
prezentei directive.
(2) ORNISS este responsabil de coordonarea procesului de
certificare a tuturor pachetelor, produselor, profilelor de protecie
INFOSEC destinate proteciei informaiilor naionale clasificate,
care, dup certificare, se includ n Catalogul naional.
(3) ORNISS este responsabil de elaborarea, actualizarea i
publicarea Catalogului naional.
Art. 8. Persoanele juridice care au pachete, produse sau
profile de protecie INFOSEC certificate i care solicit ORNISS
introducerea acestora n Catalogul naional trebuie s pun la
dispoziie toate informaiile necesare desfurrii acestui
proces, referitoare la:
a) obiectivele de securitate;
b) cerinele funcionale;
c) categoriile de inte de evaluare.
Art. 9. Dac pn la expirarea perioadei de valabilitate a
certificrii elementelor incluse n Catalogul naional nu se ia o
decizie cu privire la recertificarea acestora, pachetul, produsul,
profilul de protecie INFOSEC respectiv este scos de pe list.
Art. 10. (1) ADS care au certificat pachete, produse i
profile de protecie INFOSEC cu regim limitat de distribuie au
obligaia de a actualiza registrele de eviden a acestora ori de
cte ori este necesar.
(2) Pachetele, produsele i profilele de protecie INFOSEC
sunt incluse n registrul de eviden numai dup certificarea lor.
(3) Certificarea pachetelor, produselor i profilelor de
protecie INFOSEC cu regim limitat de distribuie i utilizare se
realizeaz n cadrul ADS, de ctre structura intern INFOSEC
acreditat de ORNISS, ce are competene privind coordonarea
i controlul msurilor de protecie a informaiilor clasificate, pe
baza raportului de evaluare realizat de entitatea evaluatoare
acreditat de ORNISS.
(4) n cazul n care n cadrul ADS nu exist structura
INFOSEC prevzut la alin. (3), certificarea se realizeaz de
ctre ORNISS.
CAPITOLUL V
Coninutul Catalogului naional
Art. 11. Catalogul naional conine urmtoarele categorii
de liste:
a) produse i mecanisme criptografice;
b) dispozitive de ncrcare a cheilor criptografice;
c) produse pentru securitatea emisiilor;
d) produse pentru securitatea tehnologiei informaiei (IT);
e) instrumente de securitate;
f) pachete i profile de protecie.
Art. 12. n cadrul listelor prevzute la art. 11 pot fi incluse
n Catalogul naional urmtoarele tipuri de pachete, produse,
profile de protecie INFOSEC:
a) dezvoltate pe plan naional, evaluate de entiti naionale
acreditate de ORNISS i certificate de ORNISS;
b) certificate ntr-un stat membru NATO sau UE ori de ctre
structuri specializate din cadrul NATO sau UE, particularizate i
certificate pe plan naional;
c) certificate ntr-un stat membru NATO sau UE;
d) certificate de structurile specializate din cadrul NATO sau
UE;
e) certificate conform Criteriilor comune de evaluare de
securitate a tehnologiei informaiei;
f) certificate n alte state dect cele membre ale NATO sau
UE.
Art. 13. Includerea n Catalogul naional a pachetelor,
produselor i profilelor de protecie INFOSEC utilizate la nivel
naional se poate face ca urmare a:
a) certificrii naionale de ctre ORNISS a produselor
dezvoltate integral n Romnia;
b) certificrii de ctre ORNISS a modului de implementare a
acestora n scopul particularizrii naionale a pachetelor,
produselor i profilelor de protecie INFOSEC certificate ntr-un
stat membru NATO sau UE ori de ctre structuri specializate din
cadrul NATO sau UE;
c) recunoaterii naionale de ctre ORNISS a certificrii
produselor NATO i/sau UE;
d) recunoaterii naionale de ctre ORNISS a certificrii
conforme Criteriilor comune de evaluare de securitate a
tehnologiei informaiei;
e) recunoaterii reciproce de ctre ORNISS a certificrilor
naionale, prin nelegeri, acorduri, aranjamente bilaterale,
ncheiate la nivel guvernamental sau departamental.
Art. 14. Certificarea sau recunoaterea certificrii
produselor destinate proteciei informaiilor naionale clasificate
care se includ n Catalogul naional se realizeaz n conformitate
cu normele aprobate prin ordin al directorului general al
ORNISS.
SECIUNEA 1Produse i mecanisme criptografice
Art. 15. Produsele i mecanismele criptografice din
Catalogul naional se utilizeaz n funcie de tipul, clasa i nivelul
informaiilor clasificate, respectiv naionale, NATO, UE ori ale
statelor sau organizaiilor internaionale cu care Romnia a
ncheiat tratate, nelegeri sau acorduri care prevd protecia
informaiilor clasificate, conform certificrii acestora i
meniunilor din Catalogul naional.
Art. 16. Pentru protecia criptografic a informaiilor
naionale clasificate procesate, stocate sau transmise n format
electronic se utilizeaz numai produse i mecanisme
criptografice certificate i incluse n Catalogul naional sau n
registrele de eviden a produselor cu regim limitat de distribuie,
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
3
n urma evalurii acestora de ctre entiti evaluatoare naionale
acreditate de ORNISS.
Art. 17. (1) ORNISS emite un document de aprobare
pentru includerea produselor i mecanismelor criptografice n
lista produselor i a mecanismelor criptografice din cuprinsul
Catalogului naional.
(2) Documentul de aprobare specific:
a) tipul, clasa i nivelul de secretizare a informaiilor
clasificate pentru care sunt destinate produsele;
b) cerinele de utilizare.
SECIUNEA a 2-aDispozitive de ncrcare a cheilor criptografice
Art. 18. (1) Lista dispozitivelor de ncrcare a cheilor
criptografice conine dispozitive care sunt aprobate pentru
stocarea, procesarea sau transmiterea materialului cu chei
criptografice naional, NATO, UE ori care fac obiectul tratatelor,
nelegerilor i acordurilor bilaterale sau multilaterale la care
Romnia este parte.
(2) Dispozitivele sunt grupate n dou categorii, astfel:
a) dispozitive care gestioneaz cheile n form clar;
b) dispozitive care aplic un mecanism criptografic ce
permite stocarea, procesarea i transmiterea cheii n form
criptat.
Art. 19. Sunt eligibile spre a fi incluse n Catalogul naional
numai dispozitivele de ncrcare a cheilor criptografice care sunt
dezvoltate la nivel naional ori ntr-un stat membru NATO sau
UE i care sunt evaluate i aprobate n conformitate cu politica
naional, respectiv NATO sau UE, de protecie a informaiilor
clasificate.
SECIUNEA a 3-aProduse pentru securitatea emisiilor
Art. 20. (1) n cadrul Catalogului naional, lista produselor
pentru securitatea emisiilor cuprinde:
a) lista productorilor naionali, precum i modelele de
produse dezvoltate la nivel naional, produse evaluate de o
entitate naional acreditat de ORNISS i certificate de
ORNISS ca fiind corespunztoare categoriilor de produse
TEMPEST, prevzute de standardele TEMPEST n vigoare;
b) lista productorilor externi, precum i modelele de produse
recomandate de NATO;
c) lista productorilor externi, precum i a modelelor de
produse certificate din punctul de vedere al proteciei TEMPEST
fie de ORNISS, fie de o entitate acreditat la nivel naional n
ara de origine a echipamentelor, cu condiia ca ntre ORNISS i
ara de origine s existe o nelegere n acest sens.
(2) Schimbarea de componente ntre diferite serii de
producie poate schimba profilul de protecie, ceea ce implic
reevaluarea produsului.
SECIUNEA a 4-aProduse de securitate IT
Art. 21. Scopul listei cu produse de securitate IT din cadrul
Catalogului naional este s furnizeze autoritilor operaionale
ale sistemelor informatice i de comunicaii (AOSIC), structurilor
de planificare i implementare a sistemelor informatice i de
comunicaii, personalului implicat n proiect i utilizatorilor
sistemelor informatice i de comunicaii care vehiculeaz
informaii clasificate secret de stat un set de produse certificate
i de informaii de baz referitoare la acestea, set care poate fi
folosit drept ghid n vederea ndeplinirii cerinelor naionale de
securitate privind protecia informaiilor clasificate.
Art. 22. (1) Produsele din lista prevzut la art. 21 sunt
evaluate i certificate n baza Criteriilor comune pentru
evaluarea securitii produselor IT (ISO 15408).
(2) Fiecrui produs i se atribuie un pachet de componente
de asigurare, de exemplu, un nivel de ncredere (EAL sau
echivalent).
(3) n cazul n care un produs a fost evaluat sau propus spre
evaluare n baza unui set de criterii naionale, trebuie s fie
furnizate detalii privind corespondenele dintre criteriile naionale
i Criteriile comune.
Art. 23. (1) Produsele din list pot fi mprite n
urmtoarele categorii, fr a se limita la acestea:
a) dispozitive i sisteme de control al accesului;
b) dispozitive i sisteme de protecie a perimetrului;
c) baze de date;
d) dispozitive i sisteme de detecie a intruziunilor;
e) semntur digital;
f) protecia datelor;
g) circuite integrate, dispozitive i sisteme Smart Card;
h) sisteme de management al cheilor;
i) reele, sisteme i dispozitive de reea;
j) sisteme de operare;
k) alte dispozitive i sisteme.
(2) Produsele cu modul criptografic ncorporat pot fi incluse
n list n mai multe categorii sau sub o alt categorie dect
criptografia (de exemplu, un sistem de operare nu va fi numit
produs criptografic, dei face uz de criptografie).
Art. 24. Informaiile necesare includerii n list a
produselor pentru securitate IT conin cel puin urmtoarele
elemente, dup caz:
a) denumirea i productorul;
b) informaii descriptive privind produsul, care vor include:
funcionalitatea produsului i pachetul componentelor de
siguran (de exemplu, un nivel de ncredere);
c) raport de certificare;
d) acord de recunoatere reciproc;
e) versiunile Criteriilor comune i Metodologiei comune de
evaluare utilizate.
SECIUNEA a 5-a
Instrumente de securitate
Art. 25. Lista instrumentelor de securitate din cadrul
Catalogului naional se adreseaz autoritilor operaionale ale
sistemelor informatice i de comunicaii (AOSIC), structurilor de
planificare i implementare a sistemelor informatice i de
comunicaii i personalului implicat n proiectarea sistemelor
informatice i de comunicaii. Aceasta este o list a
instrumentelor de securitate conforme cu prevederile Directivei
INFOSEC tehnice i de implementare privind cerinele
instrumentelor de securitate, selectarea, aprobarea i
implementarea acestora INFOSEC 9, aprobat prin Ordinul
directorului general al Oficiului Registrului Naional al
Informaiilor Secrete de Stat nr. 390/2004, publicat n Monitorul
Oficial al Romniei, Partea I, nr. 1.081 din 19 noiembrie 2004.
Art. 26. Lista include urmtoarele tipuri de instrumente:
a) instrumente pentru identificarea vulnerabilitilor sistemelor;
b) instrumente pentru mbuntirea securitii sistemului;
c) instrumente pentru detectarea intruziunilor;
d) instrumente pentru raportarea strii sistemului;
e) instrumente pentru monitorizarea traficului din reea;
f) instrumente pentru administrarea sistemului.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
4
Art. 27. Descrierea fiecrui instrument trebuie s includ
urmtoarele informaii:
a) denumirea i productorul;
b) caracteristicile funcionale;
c) beneficiile care vor fi obinute n urma utilizrii
instrumentului;
d) vulnerabilitile, dac este cazul, care apar prin utilizarea
instrumentului;
e) constrngeri privind utilizarea instrumentului;
f) resurse/experiena/suportul/pregtirea necesare operrii.
Art. 28. Lista instrumentelor de securitate nu include
detaliile cu privire la vulnerabiliti. Lista face referire doar la
raportul de evaluare a instrumentului. Informaiile privind
vulnerabilitile sunt puse la dispoziie numai acelor autoriti ale
sistemelor informatice i de comunicaii i de securitate care au
o nevoie de a cunoate corespunztoare.
SECIUNEA a 6-aPachete i profile de protecie
Art. 29. Solicitantul trebuie s furnizeze cel puin
urmtoarele informaii:
a) denumirea pachetului/profilului de protecie i a
productorului;
b) o declaraie din care s reias dac pachetul sau profilul
de protecie este propus ca o nou poziie n list ori ca nlocuire
a unei poziii din list;
c) meniuni speciale, n situaia n care pachetul sau profilul
de protecie conin informaii clasificate, care intr sub incidena
drepturilor de autor/proprietate intelectual sau care nu pot fi
fcute publice.
Art. 30. Informaiile necesare includerii n list a
pachetelor/profilelor de protecie vor trata cel puin aspectele
privitoare la:
a) denumirea pachetului/profilului de protecie;
b) autor;
c) autoritatea de certificare;
d) entitatea care a efectuat evaluarea;
e) nivelul de ncredere;
f) data certificrii;
g) versiunile Criteriilor comune i ale Metodologiei comune
de evaluare utilizate.
CAPITOLUL VI
Gestionarea Catalogului naional
Art. 31. Catalogul naional este actualizat periodic, pe
msura certificrii de noi produse naionale i n conformitate cu
modificrile survenite n listele cu produse recomandate de
NATO sau UE.
Art. 32. Catalogul naional este distribuit de ORNISS
persoanelor juridice de drept public sau privat ndreptite.
Art. 33. ORNISS va conlucra n mod continuu cu
productorii naionali de produse INFOSEC pentru a asigura
informaiile necesare pentru fiecare pachet, produs ori profil de
protecie care urmeaz s fie adugat n catalog sau pentru
orice produs care trebuie s fie ndeprtat din catalog.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
5
GUVERNUL ROMNIEI
OFICIUL REGISTRULUI NAIONAL AL INFORMAIILOR SECRETE DE STAT
O R D I N
privind aprobarea Metodologiei de evaluare i certificare a pachetelor,
produselor i profilelor de protecie INFOSECINFOSEC 14
n temeiul art. 1 alin. (4) lit. b) i al art. 3 alin. (6) din Ordonana de urgen a Guvernului nr. 153/2002 privind organizarea
i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr. 101/2003, cu modificrile i
completrile ulterioare, i al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea
i prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum i a altor documente, n
vederea adoptrii/aprobrii, aprobat prin Hotrrea Guvernului nr. 561/2009,
directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat emite urmtorul ordin:
Art. 1. Se aprob Metodologia de evaluare i certificare a
pachetelor, produselor i profilelor de protecie INFOSEC
INFOSEC 14, prevzut n anexa care face parte integrant din
prezentul ordin.
Art. 2. Pe data intrrii n vigoare a prezentului ordin se
abrog Ordinul directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat nr. 181/2006 pentru
aprobarea Metodologiei de evaluare i certificare a produselor,
profilelor i pachetelor de protecie INFOSECINFOSEC 14,
publicat n Monitorul Oficial al Romniei, Partea I, nr. 444 din 23
mai 2006, cu modificrile ulterioare.
Art. 3. Oficiul Registrului Naional al Informaiilor Secrete
de Stat va duce la ndeplinire prevederile prezentului ordin.
Directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat,
Marius Petrescu
Bucureti, 2 februarie 2010.
Nr. 8.
ANEX
M E T O D O L O G I A
de evaluare i certificare a pachetelor, produselor i profilelor de protecie INFOSECINFOSEC 14
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
6
1. Introducere
1.1. Scop
Art. 1. Prezenta metodologie stabilete activitile aferente
proceselor de evaluare i certificare a pachetelor, produselor i
profilelor de protecie INFOSEC, denumite n continuare
produse INFOSEC, destinate proteciei informaiilor naionaleclasificate, vehiculate n sistemele informatice i de comunicaii
naionale, civile i militare.
Art. 2. Procesele de evaluare i certificare a produselor
INFOSEC au urmtoarele obiective:
a) crearea posibilitii de utilizare a unor produse INFOSEC
n sisteme informatice i de comunicaii care vehiculeaz
informaii clasificate;
b) verificarea i confirmarea nivelului de ncredere ce poate
fi acordat funciilor de securitate ale unui produs INFOSEC;
c) stabilirea unei baze de comparaie ntre diferite produse
INFOSEC;
d) perfecionarea procedurilor naionale de evaluare a
produselor INFOSEC.
1.2. Definiii
Art. 3. n sensul prezentei metodologii, urmtorii termeni
i sintagme se definesc dup cum urmeaz:
a) certificare emiterea unui document oficial, bazat pe oanaliz independent a unei evaluri i a rezultatelor acestei
evaluri, conform cruia produsul evaluat satisface parametrii
de securitate predefinii. Prin certificare se analizeaz rezultatele
evalurii i se stabilete dac criteriile i metodele de evaluare
au fost aplicate n mod corect. Procesul de certificare verific
uniformitatea i corectitudinea procedurilor de evaluare, precum
i consecvena i compatibilitatea rezultatelor evalurii;
b) evaluare examinarea detaliat, din punct de vederetehnic i funcional, a aspectelor de securitate ale produselor
INFOSEC. Prin procesul de evaluare se verific cel puin:
(i) prezena facilitilor/funciilor de securitate cerute;
(ii) absena efectelor secundare compromitoare care
ar putea decurge din implementarea facilitilor de
securitate;
(iii) funcionalitatea global a produsului INFOSEC;
(iv) nivelul de ncredere al produsului INFOSEC;
c) imparialitate principiu conform cruia nu exist factoricare pot influena desfurarea procesului de evaluare i
rezultatele acestui proces;
d) nivel de evaluare a asigurrii (EAL) un pachet decomponente de asigurare din partea a 3-a a Criteriilor comune,
care reprezint un punct pe scara de asigurare predefinit a
Criteriilor comune;
e) obiectivitate principiu conform cruia rezultatele unor
teste de evaluare trebuie s se bazeze pe fapte concrete, nu pe
opiniile subiective ale evaluatorului. Obiectivitatea poate fi
consolidat, prin supunerea produsului la cel puin dou evaluri
realizate de entiti independente (reproductibilitate);
f) pachet un set reutilizabil de componente fie funcionale,
fie de asigurare (de exemplu, un EAL), combinate pentru a
satisface un set de obiective de securitate identificate;
g) produs un pachet de software, firmware i/sau
hardware IT, care furnizeaz o funcionalitate destinat utilizrii
sau incorporrii ntr-o multitudine de sisteme;
h) profil de protecie un set de cerine de securitate
independent de implementare pentru o categorie de TOE care
satisface cerine specifice ale consumatorilor;
i) repetabilitate principiu conform cruia repetarea
evalurii aceluiai produs, n funcie de aceeai int de
securitate, de ctre aceeai entitate evaluatoare, conduce la un
rezultat similar cu cel obinut ca urmare a primei evaluri a
produsului;
j) reproductibilitate principiu conform cruia repetarea
evalurii aceluiai produs, n funcie de aceeai int de
securitate, de ctre o alt entitate evaluatoare, conduce la un
rezultat similar cu cel obinut ca urmare a primei evaluri a
produsului;
k) solicitant persoan juridic de drept public sau privat
care solicit evaluarea, certificarea i aprobarea de includere n
Catalogul naional cu produse, profile i pachete de protecie a
unui produs INFOSEC. Solicitantul poate fi i o alt persoan
juridic diferit de productor (de exemplu, dezvoltator, utilizator,
comerciant, integrator);
l) int de evaluare (TOE) un produs sau sistem IT i
documentaia aferent de utilizator i administrator care
constituie subiectul unei evaluri;
m) int de securitate (ST) un set de cerine i specificaii
de securitate utilizate ca baz pentru evaluarea unei TOE
identificate.
Art. 4. Procesul de evaluare a produselor INFOSEC se
desfoar prin parcurgerea urmtoarelor etape, aa cum sunt
prezentate n figura nr. 1:
Figura nr. 1 Schema procesului de evaluare a securitii produselor INFOSEC utilizate n sistemele informatice
i de comunicaii care vehiculeaz informaii naionale clasificate
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
7
Solicitare adresat ORNISS privind
demararea evalurii
Notificarea entitii/entitilor evaluatoare
Transmiterea concluziilor evalurii ctre
solicitant i ctre ORNISS
ntocmirea raportului tehnic de evaluare
Informare ORNISS i solicitant
Transmiterea TOE i a elementelor necesare
evalurii ctre entitatea evaluatoare
ntocmirea planului privind activitatea
de evaluare
Desfurarea procesului de evaluare
Informare
ORNISS i
solicitant
Entitatea
evaluatoare
Solicitant
ORNISS
NU
DA
Entitatea
evaluatoare
accept
demararea
evalurii.
Entitatea
evaluatoare
Solicitant
Entitatea
evaluatoare
Entitatea
evaluatoare
Entitatea
evaluatoare
Entitatea
evaluatoare
2. Descrierea metodologiei de evaluare
2.1. Etapa 1: Demararea procesului de evaluare
Art. 5. n vederea demarrii procesului de evaluare a unui
produs INFOSEC, persoanele juridice trebuie s adreseze
Oficiului Registrului Naional al Informaiilor Secrete de Stat,
denumit n continuare ORNISS, o solicitare scris n acest sens.Art. 6. Solicitarea de demarare a procesului de evaluare
trebuie s fie nsoit de documentaie care s precizeze cel
puin urmtoarele aspecte:
a) descrierea general a produsului pentru care se solicit
evaluarea;
b) inta de securitate;
c) clasa i, dup caz, nivelul de secretizare pentru care se
dorete a fi utilizat produsul;
d) manualul de administrare i utilizare (hrtie/electronic);
e) numele entitii/entitilor evaluatoare acreditate de
ORNISS, selectat(e) de solicitant pentru realizarea evalurii;
f) copii de pe certificate anterioare, dac este cazul.
Art. 7. (1) n cazul produselor criptografice destinate
proteciei informaiilor naionale clasificate, altele dect cele din
categoria cifrului de stat, se aplic cerinele de evaluare i
certificare prevzute n anexa nr. 1.
(2) n cazul celorlalte produse INFOSEC, altele dect cele
criptografice, ORNISS decide cu privire la certificare n baza
analizei rezultatelor prezentate de o singur entitate evaluatoare
acreditat de ORNISS.
(3) n situaii excepionale, cnd se apreciaz c exist o
ameninare semnificativ la adresa securitii sistemelor
informatice i de comunicaii naionale, astfel nct exist riscul
major de prejudiciere n mod deosebit de grav a intereselor
naionale, ORNISS poate decide asupra necesitii unor evaluri
suplimentare a produselor INFOSEC, altele dect cele
criptografice prevzute la alin. (1).
Art. 8. Agenia de Securitate pentru Informatic i
Comunicaii din cadrul ORNISS analizeaz solicitarea primit.
Art. 9. n cazul n care se constat c datele cuprinse n
cererea de certificare sau n documentaia anexat nu sunt
complete, ORNISS informeaz solicitantul, n vederea furnizrii
informaiilor adiionale necesare.
Art. 10. Dac cererea conine toate datele menionate,
ORNISS notific entitatea/entitile evaluatoare cu privire la
selectarea acesteia/acestora de ctre solicitant pentru
efectuarea evalurii. Notificarea transmis de ORNISS include
toate datele primite de la solicitant.
Art. 11. (1) Dup analiza documentaiei prevzute la art. 6,
entitatea/entitile evaluatoare notific ORNISS cu privire la
acceptarea sau neacceptarea realizrii procesului de evaluare.
(2) ORNISS notific solicitantului cu privire la decizia
comunicat de entitatea/entitile evaluatoare.
Art. 12. (1) n cazul n care entitatea evaluatoare accept
s demareze procesul de evaluare, solicitantul pune la dispoziia
entitii evaluatoare cel puin urmtoarele elemente:
a) produsul de evaluat, incluznd:
(i) componentele hardware, software i firmware;
(ii) eventual alte componente necesare realizrii
infrastructurii de testare;
b) documentaie tehnic, care, n funcie de tipul produsului,
trebuie s includ cel puin:
(i) documentaie tehnic, proceduri operaionale de
securitate;
(ii) descrierea arhitecturii fizice i logice;
(iii) specificaii algoritm, cod surs, mod de lucru, vectori
de test, n cazul produselor criptografice;
(iv) descrierea parametrilor critici de securitate;
c) teste proprii, platforme de testare i documentaie aferent
incluznd rezultatele testelor anterioare;
d) n cazul n care exist certificri anterioare, se vor furniza
i rapoartele tehnice de evaluare.
(2) n funcie de tipul informaiilor care trebuie puse la
dispoziia entitii evaluatoare, ntre solicitant i entitatea
evaluatoare se poate ncheia un acord de confidenialitate, n
baza cruia aceste informaii sunt transmise.
Art. 13. Procesul de evaluare se consider demarat dup
ncheierea unui document de acceptare (contract, acord etc.)
ntre solicitant i entitatea evaluatoare.
Art. 14. Evaluatorul ntocmete lista cu elementele
necesare evalurii i stabilete datele la care acestea trebuie
s i fie puse la dispoziie.
Art. 15. n cazul n care solicitantul evalurii nu este
acelai cu productorul produsului supus evalurii, n vederea
asigurrii proteciei unor informaii specifice, acestea pot fi puse
la dispoziia evaluatorului direct de ctre productor.
Art. 16. Este important ca obiectivele evalurii s fie clar
definite de solicitant, nelese de evaluator i transmise ctre
toate prile implicate n procesul de evaluare a produsului.
Persoana responsabil cu coordonarea procesului de evaluare
trebuie s verifice c toate persoanele implicate n acest proces
cunosc scopul i obiectivele evalurii, precum i
responsabilitile pe care le au n acest proces.
2.2. Etapa 2: Desfurarea procesului de evaluare
2.2.1. Elemente generaleArt. 17. Evaluarea produselor INFOSEC se realizeaz de
ctre entiti evaluatoare acreditate de ORNISS, n conformitate
cu prevederile Metodologiei de acreditare a entitilor pentru
evaluarea produselor de securitate IT i a sistemelor informatice
i de comunicaii INFOSEC 12, aprobate prin Ordinul
directorului general al Oficiului Registrului Naional al
Informaiilor Secrete de Stat nr. 167/2006.
Art. 18. (1) Procesul de evaluare a produselor INFOSEC
se desfoar pe baza a 3 elemente:
a) criterii;
b) metodologie;
c) modul de derulare a proceselor de evaluare i certificare
de securitate.
(2) Criteriile reprezint normele i principiile fa de care
poate fi msurat securitatea unui produs INFOSEC, n vederea
evalurii, dezvoltrii i achiziiei, iar metodologia stabilete
modul n care trebuie realizat evaluarea, n baza criteriilor.
Art. 19. Evaluarea securitii pe care o pot asigura
produsele INFOSEC se realizeaz n conformitate cu standarde
naionale sau standarde internaionale recunoscute pe plan
naional, agreate de statele membre ale NATO sau UE.
2.2.2. Obiectivele evaluriiArt. 20. Obiectivul principal al procesului de evaluare de
securitate const n verificarea faptului c funciile de securitate
ale produsului sunt conforme cu inta de securitate.
Art. 21. Procesul de evaluare de securitate asigur un
anumit nivel de ncredere n faptul c produsul nu prezint
vulnerabiliti care pot fi exploatate.
Art. 22. n contextul evalurii i certificrii produselor
INFOSEC, trebuie acordat o atenie deosebit principiilor
repetabilitii, reproductibilitii, imparialitii i obiectivitii.
Art. 23. Respectarea acestor 4 principii trebuie s fie
verificat de ORNISS n cursul procesului de certificare.
2.2.3. ntocmirea planului de activiti privind evaluareaArt. 24. Pentru a descrie structura unui proces de
evaluare, precum i conexiunile dintre diferitele activiti
aferente procesului, evaluatorul trebuie s ntocmeasc un plan
de activiti privind evaluarea, denumit n continuare PAE.Art. 25. PAE trebuie s descrie modul n care sunt
organizate activitile legate de procesul de evaluare i
interrelaionarea acestor activiti.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
8
Art. 26. PAE trebuie ntocmit astfel nct s fie aplicabil
att pentru evaluarea unei game de produse, ct i pentru
diferite niveluri ale evalurii.
Art. 27. Acest document ofer o prezentare general
asupra modului n care trebuie realizat evaluarea, n
conformitate cu criterii i metodologii de evaluare specifice.
2.2.4. Desfurarea evaluriiArt. 28. Activitatea entitii evaluatoare trebuie s fie
conform cu cerinele standardelor de calitate i cu criteriile
stabilite n Metodologia de acreditare a entitilor pentru
evaluarea produselor de securitate IT i a sistemelor informatice
i de comunicaii INFOSEC 12, aprobate prin Ordinul
directorului general al Oficiului Registrului Naional al
Informaiilor Secrete de Stat nr. 167/2006.
Art. 29. Procesul de evaluare trebuie s includ cel puin
urmtoarele activiti:
a) verificarea faptului c elementele necesare evalurii sunt
conforme cu cerinele criteriilor de evaluare;
b) verificarea faptului c cerinele de securitate specificate n
inta de securitate sunt implementate n mod adecvat;
c) verificarea faptului c produsul operaional nu prezint
vulnerabiliti exploatabile.
Art. 30. Prezenta metodologie stabilete cadrul general al
activitilor legate de procesul de evaluare i certificare, iar la
implementarea sa trebuie inut cont de faptul c pentru fiecare
produs specific pot fi necesare diferite activiti i niveluri de
evaluare.
Art. 31. Lista demonstrativ cu activiti aferente
procesului de evaluare este prevzut n anexa nr. 2.
Art. 32. Observaiile i rezultatele fiecrei activiti din
procesul de evaluare trebuie consemnate ntr-un raport tehnic
de evaluare, denumit n continuare RTE.Art. 33. Pe toat durata procesului de evaluare oricare
dintre prile implicate poate solicita organizarea unor edine
de lucru sau informaii suplimentare pentru clarificarea
aspectelor de natur tehnic.
Art. 34. n situaia n care unele activiti aferente
procesului de evaluare impun efectuarea unor teste la sediul
solicitantului sau dezvoltatorului, productorului sau utilizatorului
produsului, acestea trebuie s se realizeze n baza unor
nelegeri scrise ntre prile implicate i, n cazul unor testri
clasificate secret de stat, notificarea prealabil a ORNISS.
Art. 35. n cazul n care ORNISS consider necesar, poate
participa la testele efectuate la sediul solicitantului sau
dezvoltatorului.
Art. 36. n cazul n care evaluarea este ntrerupt din
diferite cauze (rezilierea contractului/ncetarea acordului),
entitatea evaluatoare trebuie s notifice ORNISS cu privire la
acest lucru.
2.3. Etapa 3: Finalizarea procesului de evaluare
2.3.1. ntocmirea RTEArt. 37. La finalul activitilor de evaluare, evaluatorul are
obligaia s ntocmeasc un RTE.
Art. 38. RTE are urmtoarea structur:
a) descrierea activitilor desfurate n procesul de
evaluare;
b) prezentarea rezultatelor obinute i a concluziilor rezultate
din activitile desfurate.
Art. 39. RTE se adreseaz, n principal:
a) ORNISS, n calitate de certificator;
b) solicitantului evalurii;
c) entitii de evaluare, n vederea pregtirii altor activiti de
evaluare.
Art. 40. n cazul n care dezvoltatorul produsului nu este
totodat i solicitantul evalurii, exist posibilitatea transmiterii
anumitor pri din RTE ctre dezvoltator, dar numai cu acordul
solicitantului evalurii.
Art. 41. Modelul RTE, cu detalierea coninutului fiecrui
capitol sau fiecrei seciuni, este prevzut n anexa nr. 3.
Art. 42. (1) n vederea certificrii produsului INFOSEC,
entitatea evaluatoare transmite la ORNISS un document de
sintez a RTE, care s cuprind cel puin urmtoarele elemente:
a) denumirea i descrierea caracteristicilor funcionale i de
securitate ale produsului evaluat;
b) configuraia i condiiile n care a fost testat produsul;
c) standardele i metodologiile n conformitate cu care s-a
realizat testarea i evaluarea produsului;
d) testele realizate i rezultatele acestora;
e) concluziile finale ale procesului de evaluare;
f) condiii i termene de valabilitate a rezultatelor testrii,
eventuale cerine/condiii/instruciuni de utilizare a produsului,
astfel nct s se asigure pstrarea caracteristicilor de securitate
i funcionale;
g) numrul RTE ntocmit.
(2) Pentru clarificarea unor aspecte specifice, ORNISS poate
solicita entitii evaluatoare s i pun la dispoziie o copie a
RTE.
3. Descrierea metodologiei de certificare
3.1. Demararea procesului de certificare
Art. 43. Principalul obiectiv al certificrii este acela de a
furniza o confirmare independent a faptului c procesul de
evaluare a fost realizat n mod corect, n conformitate cu
criteriile, procedurile i metodologiile recunoscute i rezultatele
evalurii sunt conforme cu elementele constatate. Totodat,
certificarea are rolul de a crea un climat de ncredere i de a
confirma faptul c entitile evaluatoare opereaz n
conformitate cu aceleai standarde i c rezultatele obinute de
oricare dintre entitile evaluatoare sunt demne de ncredere n
egal msur.
Art. 44. ncrederea trebuie s aib la baz respectarea
principiilor imparialitii, obiectivitii, repetabilitii i
reproductibilitii.
Art. 45. O descriere schematic a procesului de certificare
este prezentat n figura nr. 2.
Art. 46. (1) Demararea procesului de certificare se
realizeaz printr-o solicitare adresat ORNISS de ctre
solicitant.
(2) Solicitarea trebuie s fie nsoit de raportul sau, dup
caz, rapoartele tehnic(e) de evaluare a produsului, emis(e) de
entitatea/entitile evaluatoare selectate.
(3) n cazul n care documentaia nu este complet, ORNISS
notific solicitantului, specificnd elementele care trebuie
completate.
Art. 47. n cadrul etapei de certificare de securitate,
ORNISS, prin Agenia de Securitate pentru Informatic i
Comunicaii, realizeaz o analiz independent a rezultatelor
obinute n urma etapei de evaluare, precum i a modalitii n
care s-a desfurat aceast activitate.
Art. 48. Procesul de certificare trebuie s analizeze
urmtoarele aspecte:
a) criteriile, metodologiile i procedurile de lucru utilizate n
procesul de evaluare;
b) resursele folosite n cadrul evalurii de securitate
(echipamente, documentaie, timp etc.);
c) personalul care a realizat evaluarea de securitate
(calificare, obiectivitate, imparialitate etc.);
d) rezultatele testelor de evaluare;
e) RTE.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
9
Figura nr. 2 Schema procesului de certificare a produselor INFOSEC utilizate n sistemele informatice i de comunicaii c
care vehiculeaz informaii naionale clasificate
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
10
Solicitare adresat ORNISS privind
certificarea, anexnd concluziile primite
de la entitatea/entitile evaluatoare
ntocmirea raportului privind certificarea
Emiterea certificatului de conformitate
Includerea produsului n Catalogul naional
Solicitant
ORNISS sau
comisie coordonat
de ORNISS
Solicitant
Furnizare date
suplimentare
Analiza solicitrii
Condiii de
certificare
ndeplinite
Informare
solicitant
ORNISS sau
comisie coordonat
de ORNISS
ORNISS
ORNISS
ORNISS
NU
DA
3.2. ntocmirea raportului privind certificarea
Art. 49. Rezultatele activitii de certificare trebuie s fac
obiectul unui raport privind certificarea.
Art. 50. Raportul privind certificarea trebuie s identifice n
mod clar produsul i s conin recomandri cu privire la decizia
privind certificarea produsului evaluat.
Art. 51. Dac n urma analizei documentaiei puse la
dispoziie n vederea certificrii se constat c att rezultatele
obinute n urma activitii de evaluare, ct i modalitatea n care
aceasta s-a realizat sunt conforme standardelor i normelor n
vigoare, precum i faptul c produsul ndeplinete cerinele de
securitate conform intei de securitate, raportul privind
certificarea include propuneri privind certificarea produsului.
Art. 52. n cazul n care n urma analizei se constat
deficiene n procesul de evaluare a produsului, atunci ORNISS
notific entitii evaluatoare, n vederea remedierii acestor
deficiene.
Art. 53. Pentru desfurarea corespunztoare a etapei de
certificare, Agenia de Securitate pentru Informatic i
Comunicaii poate solicita entitii evaluatoare alte documente
cu relevan pentru aceast activitate.
Art. 54. Raportul privind certificarea va fi elaborat n
termen de maximum 30 de zile de la primirea documentului de
sintez emis de entitatea/entitile evaluatoare pe baza RTE
sau, dup caz, a ultimului document solicitat de Agenia de
Securitate pentru Informatic i Comunicaii entitii evaluatoare.
Art. 55. Un set minim de elemente care trebuie s fie
cuprinse n raportul privind certificarea este prevzut n anexa
nr. 4.
3.3. Luarea deciziei privind certificarea produsului
Art. 56. Dup parcurgerea activitilor necesare lurii unei
decizii privind certificarea unui produs, se desprind dou
variante posibile:
a) certificarea produsului i emiterea Certificatului de
conformitate i aprobarea includerii n Catalogul naional de
pachete, produse i profile de protecie INFOSEC;
b) refuzul certificrii decizie datorat identificrii unor
deficiene grave referitoare la atingerea de ctre produs a
parametrilor de securitate predefinii.
Art. 57. Certificatul de conformitate emis de ORNISS
confirm faptul c produsul ndeplinete standardele de
securitate n baza crora a fost evaluat, pentru inta de
securitate propus.
Art. 58. Produsele certificate vor fi incluse n Catalogul
naional de pachete, produse i profile de protecie INFOSEC,
cu ocazia urmtoarei actualizri a acestuia, n conformitate cu
prevederile Directivei INFOSEC privind Catalogul naional de
pachete, produse i profile de protecie INFOSEC INFOSEC 5,
aprobat prin Ordinul directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat nr. 7/2010.
Art. 59. Anexa nr. 5 cuprinde o bibliografie a unor acte
normative i documente cu relevan n domeniu.
Art. 60. Anexele nr. 15 fac parte integrant din prezenta
metodologie.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
11
ANEXA Nr. 1la metodologie
C E R I N E
de evaluare i certificare a sistemelor criptografice destinate proteciei informaiilor naionale clasificate,
altele dect cele din categoria cifrului de stat
Pentru protecia informaiilor naionale clasificate sunt
utilizate sisteme criptografice evaluate i certificate, dup cum
urmeaz:
A. Sisteme criptografice dezvoltate pe plan naional
a) Pentru protecia informaiilor clasificate SECRET DE
SERVICIU, sistemele criptografice trebuie s fie:
(i) evaluate de o entitate evaluatoare acreditat de
Oficiul Registrului Naional al Informaiilor Secrete
de Stat, denumit n continuare ORNISS; i(ii) certificate de o comisie coordonat de ORNISS.
b) Pentru protecia informaiilor clasificate SECRET,
sistemele criptografice trebuie s fie:
(i) evaluate de o entitate evaluatoare acreditat de
ORNISS; i
(ii) certificate de ORNISS.
c) Pentru protecia informaiilor clasificate STRICT SECRET,
sistemele criptografice trebuie s fie:
(i) evaluate de dou entiti evaluatoare acreditate de
ORNISS; i
(ii) certificate de ORNISS;
(iii) n cazul n care nu exist dou entiti evaluatoare
acreditate care s aib capacitatea de a realiza
evaluarea, sistemele trebuie s fie:
1. evaluate de o entitate evaluatoare acreditat de
ORNISS; i
2. certificate de o comisie coordonat de ORNISS i
format din reprezentani ai tuturor entitilor
evaluatoare acreditate de ORNISS pentru a
desfura activiti de evaluare criptografic.
d) Pentru protecia informaiilor clasificate STRICT SECRET
DE IMPORTAN DEOSEBIT, sistemele criptografice trebuie
s fie:
(i) evaluate de dou entiti evaluatoare acreditate de
ORNISS; i
(ii) certificate de o comisie coordonat de ORNISS i
format din reprezentani ai entitilor evaluatoare
implicate.
B. Sisteme criptografice realizate de productori externi
a) Pentru protecia informaiilor clasificate SECRET DE
SERVICIU pot fi utilizate sistemele aflate n una dintre
urmtoarele situaii:
(i) certificate pentru cel puin nivelul echivalent de
clasificare de ctre una dintre urmtoarele:
1. structuri specializate ale NATO;
2. structuri specializate ale UE;
3. un stat membru NATO sau UE;
4. state cu care Romnia a ncheiat nelegeri,
acorduri, aranjamente bilaterale, la nivel
guvernamental sau departamental;
(ii) evaluate de o entitate evaluatoare acreditat de
ORNISS i certificate de o comisie coordonat de
ORNISS.
b) Pentru protecia informaiilor clasificate SECRET pot fi
utilizate sistemele aflate n una dintre urmtoarele situaii:
(i) certificate pentru un nivel superior de clasificare de
ctre una dintre urmtoarele:
1. structuri specializate ale NATO;
2. structuri specializate ale UE;
(ii) certificate pentru un nivel superior de clasificare de
ctre structuri specializate din state membre NATO
sau UE, evaluate de dou entiti evaluatoare
acreditate de ORNISS i certificate de ORNISS;
(iii) certificate pentru un nivel superior de clasificare de
ctre autoriti competente din state cu care
Romnia a ncheiat aranjamente de securitate
privind recunoaterea reciproc a certificatelor de
conformitate pentru produse de securitate IT,
evaluate de dou entiti evaluatoare acreditate de
ORNISS i certificate de ORNISS.
c) Pentru protecia informaiilor clasificate STRICT SECRET
pot fi utilizate sisteme care ndeplinesc cumulativ urmtoarele
cerine:
(i) sunt modele certificate pentru un nivel echivalent de
clasificare de ctre structuri ale NATO, UE, autoriti
competente din state membre NATO sau UE, state
cu care Romnia a ncheiat aranjamente de
securitate privind recunoaterea reciproc a
certificatelor de conformitate pentru produse de
securitate IT;
(ii) particularizate prin implementarea de algoritmi
criptografici naionali certificai;
(iii) evaluate de dou entiti evaluatoare acreditate de
ORNISS;
(iv) certificate de ORNISS.
d) Pentru protecia informaiilor clasificate STRICT SECRET
DE IMPORTAN DEOSEBIT nu este permis utilizarea de
sisteme criptografice realizate de productori externi.
Prin excepie de la prevederile lit. A i B, sistemele
criptografice utilizate de autoritile desemnate de securitate
(ADS) pentru destinaii specifice se evalueaz de ctre oentitate evaluatoare acreditat de ORNISS i sunt certificate de
ctre structura INFOSEC acreditat de ORNISS n cadrul ADS.
n cazul n care nu exist o structur INFOSEC acreditat,
certificarea produselor se realizeaz de ctre ORNISS.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
12
ANEXA Nr. 2la metodologie
L I S T A D E M O N S T R A T I V
cu activiti aferente procesului de evaluare
1. Prezentm n continuare o list exemplificativ cu activiti
aferente procesului de evaluare:
a) verificarea analizei de conformitate;
b) verificarea analizei caracterului unitar;
c) examinarea eficienei mecanismelor de asigurare a
securitii;
d) examinarea vulnerabilitilor constructive;
e) examinarea uurinei de utilizare;
f) examinarea vulnerabilitilor operaionale;
g) verificarea cerinelor;
h) verificarea proiectului de arhitectur a produsului;
i) verificarea proiectului detaliat;
j) verificarea implementrii mecanismelor de asigurare a
securitii;
k) verificarea mediului de dezvoltare;
l) verificarea documentaiei de operare;
m) verificarea mediului operaional;
n) realizarea de teste de penetrare;
o) ntocmirea raportului de evaluare.
2. Pentru claritate, precizm c termenul verificare implic
analiza elementelor de evaluare, n timp ce termenul
examinarea furnizeaz date de intrare pentru realizarea
testelor de penetrare. Dei testele de penetrare sunt n mod
explicit corelate cu activitile anterioare, acestea au fost
specificate ca activitate distinct din dou motive:
a) pentru a sublinia faptul c analizele anterioare trebuie
consolidate i apoi trebuie concepute testele, pe baza acestor
analize;
b) pentru a indica faptul c, n general, diferitele teste de
penetrare sunt realizate mpreun.
3. Prin activitatea de verificare a analizei de conformitate
evaluatorul verific analiza efectuat de dezvoltatorul
produsului. Verificarea poate pune n eviden unele
vulnerabiliti rezultate, din cauza faptului c anumite funcii de
securitate nu asigur atingerea unuia dintre obiectivele
securitii, n condiiile unei ameninri identificate n inta de
securitate.
4. Activitatea de verificare a analizei caracterului unitar
const n examinarea analizei efectuate de dezvoltatorul
produsului i stabilete dac setul de funcii de securitate
implementate, luate ca ansamblu, asigur n mod adecvat
ndeplinirea obiectivelor securitii.
5. Prin examinarea eficienei mecanismelor de asigurare a
securitii evaluatorul identific eventualele mecanisme care nu
ating eficiena minim cerut prin inta de securitate.
6. n procesul de examinare a vulnerabilitilor rezultate din
procesul de construcie a produsului, evaluatorul trebuie s
identifice eventuale astfel de vulnerabiliti ale acestuia. Erorile
identificate n procesul de evaluare a corectitudinii procesului de
dezvoltare a produsului reprezint o surs de vulnerabiliti
constructive. Aceast activitate presupune examinarea erorilor,
precum i a diferitelor funcionaliti introduse n fiecare etap a
dezvoltrii produsului.
7. Examinarea uurinei de utilizare presupune identificarea
modurilor de operare nesigure ale produsului. Prin urmare,
aceast activitate este strns legat de cerinele operaionale.
8. Activitatea de evaluare a vulnerabilitilor operaionale
presupune ca evaluatorul s examineze modul de operare a
produsului, pentru a identifica eventuale vulnerabiliti aprute n
cursul acestui proces.
9. Vulnerabilitile operaionale trateaz aspecte la limita
dintre msurile de securitate IT i cele non-IT, cum ar fi proceduri
operaionale privind securitatea fizic, modaliti nonelectronice
de management al cheilor, distribuia ecusoanelor de securitate
etc. Msurile de securitate non-IT trebuie s fac obiectul
preocuprilor entitii evaluatoare n urmtoarele situaii:
a) apar ca parte a documentaiei de operare;
b) inta de securitate este formulat pe baza unei politici de
securitate a sistemului;
c) apar ca parte a documentaiei produsului.
10. n procesul de analiz a vulnerabilitilor operaionale ale
produsului, evaluatorii trebuie s analizeze dac msurile de
securitate non-IT implementate contracareaz vulnerabilitile
constructive identificate.
11. Activitatea de verificare a cerinelor presupune ca
evaluatorul s determine dac inta de securitate definete n
mod corect funciile care asigur implementarea securitii. inta
de securitate trebuie s identifice clar aceste funcii, nivelul de
evaluare solicitat, precum i msurile de securitate
implementate i care trebuie avute n vedere n procesul de
evaluare a produsului.
12. Prima etap n procesul de dezvoltare a produsului, de la
faza de cerine la cea de proiect de arhitectur, prezint o
importan deosebit, avndu-se n vedere faptul c asigur
corespondena dintre funciile abstracte i componentele logice
i fizice ale produsului. n acest context, una dintre principalele
activiti din procesul de evaluare este verificarea proiectului de
arhitectur, n urma creia evaluatorul decide dac exist o
separare bine definit ntre funcionalitile care asigur
securitatea i celelalte funcionaliti ale produsului. n acest caz,
activitatea de evaluare poate fi focalizat asupra elementelor
care contribuie la asigurarea securitii, iar inta de securitate
poate fi urmrit cu uurin, pe msur ce proiectul este
analizat mai n detaliu.
13. Activitatea de verificare a proiectului detaliat presupune
analiza modului n care este respectat politica privind
separarea componentelor care asigur securitatea de celelalte
componente, precum i verificarea faptului c toate
componentele care asigur implementarea securitii sunt
corect implementate.
14. Verificarea implementrii presupune analiza modului n
care sunt implementate mecanismele de asigurare a securitii,
ntr-un mod mai detaliat dect n cursul activitii de verificare a
proiectului. Analiza se bazeaz pe concluziile activitii de
verificare a proiectului detaliat, dup care devine posibil
testarea funcional.
15. Prin activitatea de verificare a mediului de dezvoltare se
analizeaz n special standardele conform crora este dezvoltat
produsul. n cursul acestei activiti se analizeaz:
a) controlul configuraiei;
b) limbajele de programare i compilatoarele;
c) msurile de securitate implementate de dezvoltator.
16. Activitatea de verificare a documentaiei de operare
presupune verificarea faptului c produsul poate fi administrat i
utilizat n acord cu obiectivele sale de securitate.
17. Verificarea mediului de operare presupune ca evaluatorul
s analizeze dac produsul operaional este identic cu produsul
rezultat din procesul de dezvoltare i dac acesta poate fi operat
n conformitate cu obiectivele securitii.
18. Testele de penetrare au rolul de a identifica eventuale
vulnerabiliti, care pot fi exploatate n procesul de utilizare a
produsului.
19. Observaiile i rezultatele fiecrei activiti din procesul
de evaluare trebuie consemnate n raportul tehnic de evaluare.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
13
ANEXA Nr. 3la metodologie
M O D E L D E R A P O R T T E H N I C D E E V A L U A R E (RTE)
CAPITOLUL I
Introducere
SECIUNEA 1
Elemente generale
1. Prezenta seciune conine date generale cu privire la
procesul de evaluare i trebuie s prezinte cel puin urmtoarele
elemente:
a) denumirea, numrul de identificare i versiunea/modelul
produsului INFOSEC supus evalurii;
b) date privind dezvoltatorul produsului i, dac este cazul,
date privind subcontractanii care au contribuit la dezvoltarea
produsului;
c) date privind solicitantul evalurii;
d) programarea activitilor aferente procesului de evaluare;
e) date cu privire la entitatea evaluatoare.
SECIUNEA a 2-a
Obiective
2. Prezenta seciune trebuie s prezinte obiectivele RTE.
3. n principal, obiectivele sunt:
a) prezentarea elementelor necesare susinerii unei anumite
concluzii cu privire la produsul supus evalurii;
b) susinerea procesului de reevaluare a produsului, n cazul
n care solicitantul dorete acest lucru.
SECIUNEA a 3-a
Domeniu de aplicabilitate
4. Prezenta seciune trebuie s sublinieze faptul c RTE se
refer la ntreaga activitate desfurat n cursul procesului de
evaluare.
5. n caz contrar, trebuie specificate motivele pentru care
RTE nu acoper ntreaga activitate de evaluare.
SECIUNEA a 4-a
Structur
6. Prezenta seciune trebuie s prezinte structura RTE.
CAPITOLUL II
Sumar
7. Prevederile prezentului capitol furnizeaz date cu privire la
rezultatele evalurii.
8. Dispoziiile prezentului capitol trebuie s conin
informaiile generale necesare introducerii produsului INFOSEC
n Catalogul naional de pachete, produse i profile de protecie
INFOSEC, dup certificare.
9. Prin urmare, sumarul nu trebuie s conin informaii
clasificate.
10. Prezentul capitol trebuie s conin:
a) date cu privire la entitatea evaluatoare;
b) nivelul de evaluare atins efectiv;
c) numrul de identificare i versiunea/modelul produsului
INFOSEC;
d) sumarul principalelor concluzii ale evalurii;
e) date cu privire la solicitantul evalurii;
f) scurt descriere a produsului INFOSEC supus evalurii;
g) scurt descriere a caracteristicilor de securitate ale
produsului INFOSEC supus evalurii.
CAPITOLUL III
Descrierea produsului INFOSEC supus evalurii
SECIUNEA 1Funcionalitatea produsului INFOSEC
11. Prezenta seciune trebuie s conin o prezentare
succint a rolului operaional al produsului, precum i a
funciunilor pentru care a fost proiectat. Descrierea trebuie s
conin cel puin urmtoarele elemente:
a) tipul de date care pot fi procesate utiliznd produsul (nivel
de clasificare etc.);
b) categoriile de utilizatori care vor utiliza produsul (corelat cu
precizrile de la punctul anterior).
SECIUNEA a 2-aEtapele procesului de dezvoltare
12. Prezenta seciune trebuie s prezinte etapele parcurse n
realizarea produsului.
13. De asemenea, trebuie prezentate metodologiile,
tehnicile, instrumentele i standardele relevante pentru
realizarea produsului.
14. Totodat, prezenta seciune trebuie s includ descrierea
elementelor necesare evalurii puse la dispoziia entitii
evaluatoare de ctre solicitant. Descrierea trebuie s includ
data la care au fost puse la dispoziie aceste elemente i
numrul de nregistrare cu care a fost luat n eviden fiecare
element.
SECIUNEA a 3-aArhitectura produsului
15. Prezenta seciune trebuie s conin un sumar al
proiectului general al produsului. Trebuie s se precizeze gradul
de separare ntre componentele care asigur implementarea
securitii i celelalte componente. Seciunea va prezenta i
modul de implementare i distribuia ntre componentele
hardware, firmware i software a elementelor care asigur
implementarea securitii.
16. Toate numerele modelelor/versiunilor acestor
componente trebuie specificate ntr-o anex la RTE (anexa C).
SECIUNEA a 4-aDescrierea componentelor hardware
17. Descrierea componentelor hardware trebuie s prezinte
n detaliu toate componentele relevante pentru procesul de
evaluare, la nivel de arhitectur.
SECIUNEA a 5-aDescrierea componentelor firmware
18. Descrierea componentelor firmware trebuie s prezinte n
detaliu toate componentele relevante pentru procesul de
evaluare.
SECIUNEA a 6-aDescrierea componentelor software
19. Descrierea componentelor software trebuie s prezinte n
detaliu toate componentele relevante pentru procesul de
evaluare. Descrierea trebuie s furnizeze legtura dintre
componentele software i cele hardware i firmware.
CAPITOLUL IV
Caracteristici de securitate ale produsului INFOSEC
20. Trebuie subliniat c nelegerea intei de securitate este
un element esenial pentru nelegerea RTE. De aceea, este
recomandabil ca acest capitol s includ descrierea complet a
intei de securitate.
21. Capitolul trebuie s abordeze cel puin urmtoarele
aspecte:
a) politica de securitate pentru produsul INFOSEC;
b) specificarea funciilor de implementare a securitii;
c) specificarea mecanismelor de securitate;
d) precizarea nivelului minim estimat de eficien a meca-
nismelor de securitate;
e) nivelul de evaluare solicitat.
CAPITOLUL V
Evaluarea
22. Prevederile prezentului capitol detaliaz activitile
efectuate n procesul de evaluare, cu specificarea tuturor
problemelor identificate, att a celor de natur tehnic, ct i a
celor de natur managerial.
23. Capitolul trebuie s conin date care s sprijine
activitatea comisiei de certificare de securitate, n analiza
aspectelor de natur tehnic i managerial. Totodat, datele
cuprinse n acest capitol pot s contribuie i la eficientizarea
activitii entitii evaluatoare.
SECIUNEA 1 Etapele evalurii
24. Aceast seciune este similar celei n care sunt
prezentate etapele procesului de dezvoltare i trebuie s includ
date cu privire la:
a) data la care a fost demarat procesul de evaluare;
b) data la care au fost furnizate elementele necesare
evalurii, inclusiv inta de securitate a produsului;
c) perioada n care au fost realizate testele de penetrare;
d) eventuale vizite efectuate la sediile dezvoltatorului sau ale
utilizatorului final al produsului;
e) data la care s-au ncheiat activitile tehnice.
25. Seciunea trebuie s precizeze toate metodele, tehnicile,
instrumentele i standardele utilizate n procesul de evaluare.
SECIUNEA a 2-aProcedura de evaluare
26. Aceast seciune trebuie s conin un sumar al PAE.
Sumarul trebuie s includ:
a) activitile desfurate de evaluator, conform PAE;
b) totalitatea activitilor desfurate n procesul de evaluare,
cu evidenierea activitilor care nu au fost cuprinse n PAE, dar
au fost efectuate n practic; va fi precizat motivaia existenei
acestor discrepane.
SECIUNEA a 3-aDomeniul de aplicare a evalurii
27. Prezenta seciune trebuie s precizeze componentele
care au fcut obiectul evalurii, precum i ipotezele fcute cu
privire la componentele care nu au fost examinate.
SECIUNEA a 4-aConstrngeri i ipoteze
28. Prezenta seciune trebuie s precizeze eventualele
constrngeri asupra procesului de evaluare i ipotezele fcute
n cursul acestui proces.
CAPITOLUL VI
Sumarul rezultatelor evalurii
29. Prevederile prezentului capitol trebuie s prezinte
sumarul rezultatelor evalurii, pentru toate activitile efectuate
n cursul procesului.
30. Se recomand structurarea pe seciuni care s
corespund fiecreia dintre activitile desfurate.
31. Fiecare seciune trebuie s fie corelat cu setul de
activiti desfurate.
32. Prezentm n continuare, cu titlu de exemplu, o list de
aspecte care fac obiectul acestui capitol:
a) Eficiena constructiv
Aspect 1 Conformitatea funcionalitii
Aspect 2 Interrelaionarea funcionalitilor
Aspect 3 Eficiena mecanismelor
Aspect 4 Evaluarea vulnerabilitilor constructive
b) Eficiena operaional
Aspect 1 Flexibilitatea n utilizare
Aspect 2 Evaluarea vulnerabilitilor operaionale
c) Realizarea produsului Procesul de dezvoltare
Etapa 1 Cerine
Etapa 2 Proiectul arhitecturii
Etapa 3 Proiectul detaliat
Etapa 4 Implementarea
d) Realizarea produsului Mediul de dezvoltare
Aspect 1 Controlul configuraiei
Aspect 2 Limbaje de programare i compilatoare
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
14
Aspect 3 Msurile de securitate implementate de ctre
dezvoltator
e) Operare Documentaia de operare
Aspect 1 Documentaia de utilizare
Aspect 2 Documentaia de administrare
f) Operare Mediul operaional
Aspect 1 Livrarea i configurarea produsului
Aspect 2 Punerea n funciune i operarea.
SECIUNEA 1Teste de penetrare
33. Rezultatele testelor de penetrare au fost analizate
separat deoarece testele de penetrare sunt de cele mai multe ori
realizate ca parte a unei anumite activiti.
34. Prezenta seciune trebuie s prezinte toate opiunile de
configurare folosite n timpul testelor de penetrare.
SECIUNEA a 2-aVulnerabiliti exploatabile identificate
35. Prezenta seciune trebuie s descrie vulnerabilitile ce
pot fi exploatate, care au fost identificate n timpul evalurii,
preciznd:
a) funcia de implementare a securitii la care a fost
identificat vulnerabilitatea;
b) descrierea vulnerabilitii;
c) aciunile ntreprinse de evaluator n momentul identificrii
vulnerabilitii;
d) activitatea n cursul creia a fost identificat
vulnerabilitatea;
e) persoana care a identificat vulnerabilitatea (dezvoltatorul
sau evaluatorul);
f) data la care a fost identificat vulnerabilitatea;
g) dac vulnerabilitatea a fost remediat (se menioneaz
data) sau nu;
h) sursa generatoare a vulnerabilitii (dac este posibil).
SECIUNEA a 3-aObservaii legate de vulnerabiliti ce nu pot fi exploatate
36. Prezenta seciune trebuie s descrie vulnerabilitile ce
nu pot fi exploatate i au fost identificate n cadrul evalurii
(subliniindu-le pe cele rmase n produsul operaional).
SECIUNEA a 4-aErori identificate
37. Prezenta seciune trebuie s precizeze impactul pe care
l pot avea erorile identificate n cadrul procesului de evaluare.
CAPITOLUL VII
Ghid pentru reevaluare i analiz a impactului
38. Prezentul capitol este opional. Poate fi omis dac
solicitantul evalurii a declarat c nu necesit informaii privind
o reevaluare sau analiz a impactului.
39. Dac va fi inclus, acest capitol trebuie s precizeze:
a) includerea fiecrei componente a produsului INFOSEC n
una dintre urmtoarele categorii: componente care asigur
implementarea securitii, componente relevante pentru
securitate sau componente care nu sunt relevante pentru
securitate;
b) identificarea instrumentelor de dezvoltare care sunt
relevante pentru securitate;
c) modalitatea n care constrngerile sau ipotezele fcute n
procesul de evaluare pot avea impact n cazul reevalurii sau
refolosirii produsului;
d) orice concluzii privind tehnici de evaluare sau instrumente
care pot fi utile n cazul unei reevaluri;
e) detalii de arhivare necesare renceperii evalurii;
f) pregtire specific necesar reevaluatorilor pentru
demararea unui proces de reevaluare.
CAPITOLUL VIII
Concluzii i recomandri
40. Prezentul capitol trebuie s cuprind concluziile i
recomandrile evalurii. Concluzia principal va preciza dac
produsul ndeplinete obiectivul de securitate stabilit i dac are
vulnerabiliti ce pot fi exploatate.
41. Trebuie s se specifice faptul c recomandrile se refer
la componentele produsului care au fcut obiectul evalurii i
c pot exista i ali factori de care evaluatorii nu sunt contieni,
iar aceti factori pot influena procesul de certificare a
produsului.
42. Recomandrile pot include sugestii ctre alte entiti,
precum solicitantul evalurii sau dezvoltatorul produsului, pentru
a fi naintate comisiei de certificare de securitate.
43. Trebuie s se specifice faptul c rezultatele evalurii sunt
valabile numai pentru o anumit versiune a produsului
INFOSEC, configurat ntr-un anumit mod, iar comisia de
certificare de securitate trebuie informat despre orice schimbri
aduse produsului.
Anexa A Lista elementelor necesare evalurii
44. Aceast anex trebuie s identifice, cu numerele versiunii
i datele la care au fost recepionate, toate elementele necesare
evalurii sau se face o referire la lista elementelor.
Anexa B Lista de acronime/Glosar de termeni
45. Aceast anex trebuie s explice toate acronimele i
abrevierile folosite n RTE. De asemenea, trebuie s defineasc
termenii specifici utilizai.
Anexa C Configuraia evaluat
46. Configuraiile produsului INFOSEC examinate n cadrul
evalurii (n special configuraii folosite la testele de penetrare,
verificare a fiabilitii) trebuie identificate clar.
47. Trebuie precizate orice presupuneri fcute sau
configuraii care nu au fost luate n considerare.
Descrierea componentelor hardware
48. Descrierea componentelor hardware trebuie s furnizeze
informaii despre configuraie, privind toate componentele la
nivel arhitectural ce sunt relevante pentru evaluare i, n
consecin, pentru implementarea securitii.
Descrierea componentelor firmware
49. Descrierea componentelor firmware trebuie s furnizeze
informaii despre configuraie, despre toate componentele care
sunt relevante pentru procesul de evaluare i, n consecin,
pentru implementarea securitii.
Descrierea componentelor software
50. Descrierea componentelor software trebuie s furnizeze
informaii despre configuraie privind pri ale aplicaiilor
software utilizate de produsul INFOSEC care sunt relevante
pentru procesul de evaluare i, n consecin, pentru
implementarea securitii.
Anexa D Rapoartele activitilor de evaluare
51. Aceast anex nu este necesar dac toate rapoartele
de activitate sunt incluse n cap. 6 al RTE.
52. Dac este prezent, aceast anex trebuie s cuprind
nregistrri ale tuturor activitilor de evaluare (incluznd
rezultatele testelor efectuate, tehnici i instrumente utilizate).
Anexa E Probleme identificate
53. Aceast anex trebuie s cuprind rapoarte cu privire la
toate problemele identificate n cursul procesului de evaluare.
54. Rapoartele pot fi emise i nainte de finalizarea evalurii
i trebuie s conin cel puin urmtoarele elemente:
a) numrul i versiunea produsului supus evalurii;
b) activitatea n cursul creia a fost identificat problema;
c) descrierea problemei identificate.
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
15
ANEXA Nr. 4la metodologie
Elemente ale raportului privind certificarea
MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010
16
Un raport privind certificarea trebuie s includ cel puin
urmtoarele elemente:
a) Introducere:
date generale cu privire la produsul INFOSEC supus
evalurii.
b) Rezumat:
detalii cu privire la entitatea de evaluare;
identificarea complet a produsului INFOSEC supus
evalurii, inclusiv a codului de identificare, versiunii etc.;
sumarul concluziilor formulate de evaluator;
date privind dezvoltatorul i, dac este cazul, date privind
subcontractanii acestuia care au contribuit la dezvoltarea
produsului;
date privind solicitantul certificrii;
nivelul de evaluare atins efectiv.
c) Prezentarea produsului:
descrierea produsului INFOSEC, n configuraia supus
evalurii;
descrierea hardware;
descrierea firmware;
descrierea software;
descrierea documentaiei produsului.
d) Evaluarea:
descrierea sumar a intei de securitate, care s cuprind
i descrierea caracteristicilor de securitate ale produsului
INFOSEC;
elemente de identificare ale RTE;
sumarul principalelor concluzii formulate de entitatea de
evaluare.
e) Certificarea:
propuneri referitoare la luarea unei decizii cu privire la
certificarea produsului INFOSEC;
specificarea eventualelor restricii care trebuie avute n
vedere n procesul de utilizare a produsului (de exemplu:
limitarea nivelului de clasificare a informaiilor, utilizare n medii
operaionale specifice etc.).
ANEXA Nr. 5la metodologie
B I B L I O G R A F I E
1. Standardele naionale de protecie a informaiilor
clasificate n Romnia, aprobate prin Hotrrea Guvernului
nr. 585/2002, publicat n Monitorul Oficial al Romniei, Partea I,
nr. 485 din 5 iulie 2002, cu modificrile i completrile ulterioare.
2. Normele privind protecia informaiilor clasificate ale
Organizaiei Tratatului Atlanticului de Nord n Romnia, aprobate
prin Hotrrea Guvernului nr. 353/2002, publicat n Monitorul
Oficial al Romniei, Partea I, nr. 315 din 13 mai 2002, cu
modificrile ulterioare.
3. Metodologia de acreditare a entitilor pentru evaluarea
produselor de securitate IT i a sistemelor informatice i de
comunicaii INFOSEC 12, aprobat prin Ordinul directorului
general al Oficiului Registrului Naional al Informaiilor Secrete
de Stat nr. 167/2006, publicat n Monitorul Oficial al Romniei,
Partea I, nr. 223 din 10 martie 2006.
4. Guidelines for the Evaluation and Certification of ADP
Systems and Networks and Computer Security (COMPUSEC)
Products, AC/35-N/275.
5. Procedure CER/P/01.1 Certification of the security
provided by IT products and systems, February 9, 2004
Secrtariat Gnral de la Dfense Nationale, France.
6. Information Technology Security Evaluation Manual
(ITSEM), version 1.0, Commission of the European
Communities.
7. Scheme overview, draft 0.3, April 15, 2005 Swedish
Certification Body for IT Security.
8. Evaluation and Certification, draft 0.9, April 15, 2005
Swedish Certification Body for IT Security.
9. Common Criteria Evaluation and Validation Scheme For
Information Technology Security, Guidance to Validators of IT
Security Evaluations, Version 1.0, February 2002, National
Institute for Standards and Technologies, U.S.
10. Common Criteria Evaluation and Validation Scheme
Policy Letter National Information Assurance Partnership,
U.S.
11. Information Technology Security Testing Common
Criteria, April 1999, Version 1.1, U.S. Department of Commerce.
12. Guidelines for Evaluation Work Program (EWP), January 14,
1998, JEIDA Japan.
Monitorul Oficial R.A., Str. Parcului nr. 65, sectorul 1, Bucureti; C.I.F. RO427282,
IBAN: RO55RNCB0082006711100001 Banca Comercial Romn S.A. Sucursala Unirea Bucureti
i IBAN: RO12TREZ7005069XXX000531 Direcia de Trezorerie i Contabilitate Public a Municipiului Bucureti
(alocat numai persoanelor juridice bugetare)
Tel. 021.318.51.29/150, fax 021.318.51.15, e-mail: [email protected], internet: www.monitoruloficial.ro
Adresa pentru publicitate: Centrul pentru relaii cu publicul, Bucureti, os. Panduri nr. 1,
bloc P33, parter, sectorul 5, tel. 021.411.58.33 i 021.410.47.30, fax 021.410.77.36 i 021.410.47.23
Tiparul: Monitorul Oficial R.A.
Monitorul Oficial al Romniei, Partea I, nr. 92/10.II.2010 conine 16 pagini. Preul: 3,20 lei ISSN 14534495
EDITOR: PARLAMENTUL ROMNIEI CAMERA DEPUTAILOR
&JUYDGY|440784]