0092

P A R T E A I

LEGI, DECRETE, HOTRRI I ALTE ACTE

Anul 178 (XXII) Nr. 92 Miercuri, 10 februarie 2010

S U M A R

Nr. Pagina

ACTE ALE ORGANELOR DE SPECIALITATE

ALE ADMINISTRAIEI PUBLICE CENTRALE

7. Ordin al directorului general al Oficiului Registrului

Naional al Informaiilor Secrete de Stat pentru

aprobarea Directivei INFOSEC privind Catalogul

naional cu pachete, produse i profile de protecie

INFOSECINFOSEC 5 ............................................ 25

8. Ordin al directorului general al Oficiului Registrului

Naional al Informaiilor Secrete de Stat privind

aprobarea Metodologiei de evaluare i certificare a

pachetelor, produselor i profilelor de protecie

INFOSECINFOSEC 14 .......................................... 516

A C T E A L E O R G A N E L O R D E S P E C I A L I T A T E

A L E A D M I N I S T R A I E I P U B L I C E C E N T R A L E

GUVERNUL ROMNIEI

OFICIUL REGISTRULUI NAIONAL AL INFORMAIILOR SECRETE DE STAT

O R D I N

pentru aprobarea Directivei INFOSEC privind Catalogul naional cu pachete,

produse i profile de protecie INFOSECINFOSEC 5

n temeiul art. 1 alin. (4) lit. b) i al art. 3 alin. (6) din Ordonana de urgen a Guvernului nr. 153/2002 privind organizarea

i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr. 101/2003, cu modificrile i

completrile ulterioare, i al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea

i prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum i a altor documente, n

vederea adoptrii/aprobrii, aprobat prin Hotrrea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat emite prezentul ordin.

MONITORUL OFICIAL AL ROMNIEI, PARTEA I, Nr. 92/10.II.2010

2

Art. 1. Se aprob Directiva INFOSEC privind Catalogul

naional cu pachete, produse i profile de protecie INFOSEC

INFOSEC 5, prevzut n anexa care face parte integrant din

prezentul ordin.

Art. 2. Pe data intrrii n vigoare a prezentului ordin se

abrog Ordinul directorului general al Oficiului Registrului

Naional al Informaiilor Secrete de Stat nr. 11/2006 pentru

aprobarea Directivei INFOSEC privind Catalogul naional cu

produse, profile i pachete de protecie INFOSECINFOSEC 5,

publicat n Monitorul Oficial al Romniei, Partea I, nr. 135 din

13 februarie 2006.

Art. 3. Oficiul Registrului Naional al Informaiilor Secrete

de Stat va duce la ndeplinire prevederile prezentului ordin.

Directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat,

Marius Petrescu

Bucureti, 2 februarie 2010.

Nr. 7.

ANEX

D I R E C T I V A INFOSEC

privind Catalogul naional cu pachete, produse i profile de protecie INFOSECINFOSEC 5

CAPITOLUL I

Scop

Art. 1. Directiva INFOSEC privind Catalogul naional cu

pachete, produse i profile de protecie INFOSEC INFOSEC 5

este elaborat de ctre Oficiul Registrului Naional al

Informaiilor Secrete de Stat, denumit n continuare ORNISS, caparte a politicii naionale de protecie a informaiilor clasificate.

Art. 2. Directiva stabilete procesul i procedurile de

realizare, actualizare i pstrare a Catalogului naional cu

pachete, produse i profile de protecie INFOSEC, denumit n

continuare Catalog naional.Art. 3. Scopul Catalogului naional este de a furniza

persoanelor juridice de drept public sau privat care au n

administrare sisteme informatice i de comunicaii, denumite n

continuare SIC, care vehiculeaz informaii clasificate i altorentiti care au responsabiliti n domeniul proteciei

informaiilor clasificate o list de pachete, produse i profile de

protecie INFOSEC certificate, care pot fi achiziionate n scopul

ndeplinirii cerinelor operaionale de securitate.

CAPITOLUL II

Definiii

Art. 4. n sensul prezentei directive, urmtorii termeni se

definesc dup cum urmeaz:

a) nivel de evaluare a asigurrii (EAL) un pachet decomponente de asigurare din partea a 3-a a Criteriilor comune,

care reprezint un punct pe scara de asigurare predefinit a

Criteriilor comune;

b) pachet un set reutilizabil de componente fie funcionale,fie de asigurare (de exemplu, un EAL), combinate pentru a

satisface un set de obiective de securitate identificate;

c) pachetele, produsele i profilele de protecie INFOSEC curegim limitat de distribuie i utilizare acele pachete, produsei profile de protecie INFOSEC dezvoltate n serie limitat

destinat strict utilizrii n cadrul uneia sau mai multor autoriti

desemnate de securitate, denumite n continuare ADS;d) produs un pachet de software, firmware i/sau

hardware IT care furnizeaz o funcionalitate destinat utilizrii

sau incorporrii ntr-o multitudine de sisteme;

e) profil de protecie (PP) un set de cerine de securitateindependent de implementare pentru o categorie de inte de

evaluare care satisface cerine specifice ale consumatorilor;

f) int de evaluare (TOE) un produs sau sistem IT idocumentaia aferent de utilizator i administrator care

constituie subiectul unei evaluri;

g) int de securitate (ST) un set de cerine i specificaiide securitate utilizate ca baz pentru evaluarea unei inte de

evaluare identificate;

h) utilizator orice entitate (utilizator uman sau entitate ITextern) din afara TOE care interacioneaz cu TOE.

CAPITOLUL III

Domeniul de aplicabilitate

Art. 5. Prezenta directiv este obligatorie pentru

persoanele juridice care prezint pachete, produse i profile de

protecie INFOSEC pentru a fi incluse n Catalogul naional.

Art. 6. (1) n raport cu destinaia de utilizare, pachetele,

produsele i profilele de protecie INFOSEC se mpart n dou

categorii: cu utilizare la nivel naional i cu regim limitat de

distribuie i utilizare.

(2) Pachetele, produsele i profilele de protecie INFOSEC

cu utilizare la nivel naional se introduc n Catalogul naional.


cu regim limitat de distribuie i utilizare se introduc n registrele

de eviden a pachetelor, produselor i profilelor de protecie

INFOSEC, constituite i pstrate la nivelul ADS cu competene

n coordonarea i controlul msurilor de protecie a informaiilor

clasificate ce vor fi protejate cu acestea.

(4) ADS transmit la ORNISS lista produselor cu regim limitat

de distribuie i utilizare care pot fi puse la dispoziia altor ADS,

preciznd numele, destinaia, modelul, versiunea i nivelul de

clasificare pentru care au fost certificate, precum i eventualele

condiii de utilizare.

CAPITOLUL IV

Responsabiliti

Art. 7. (1) n calitate de autoritate naional de securitate,

ORNISS are responsabilitatea de a asigura implementarea

prezentei directive.

(2) ORNISS este responsabil de coordonarea procesului de

certificare a tuturor pachetelor, produselor, profilelor de protecie

INFOSEC destinate proteciei informaiilor naionale clasificate,

care, dup certificare, se includ n Catalogul naional.

(3) ORNISS este responsabil de elaborarea, actualizarea i

publicarea Catalogului naional.

Art. 8. Persoanele juridice care au pachete, produse sau

profile de protecie INFOSEC certificate i care solicit ORNISS

introducerea acestora n Catalogul naional trebuie s pun la

dispoziie toate informaiile necesare desfurrii acestui

proces, referitoare la:

a) obiectivele de securitate;

b) cerinele funcionale;

c) categoriile de inte de evaluare.

Art. 9. Dac pn la expirarea perioadei de valabilitate a

certificrii elementelor incluse n Catalogul naional nu se ia o

decizie cu privire la recertificarea acestora, pachetul, produsul,

profilul de protecie INFOSEC respectiv este scos de pe list.

Art. 10. (1) ADS care au certificat pachete, produse i

profile de protecie INFOSEC cu regim limitat de distribuie au

obligaia de a actualiza registrele de eviden a acestora ori de

cte ori este necesar.


sunt incluse n registrul de eviden numai dup certificarea lor.

(3) Certificarea pachetelor, produselor i profilelor de

protecie INFOSEC cu regim limitat de distribuie i utilizare se

realizeaz n cadrul ADS, de ctre structura intern INFOSEC

acreditat de ORNISS, ce are competene privind coordonarea

i controlul msurilor de protecie a informaiilor clasificate, pe

baza raportului de evaluare realizat de entitatea evaluatoare

acreditat de ORNISS.

(4) n cazul n care n cadrul ADS nu exist structura

INFOSEC prevzut la alin. (3), certificarea se realizeaz de

ctre ORNISS.

CAPITOLUL V

Coninutul Catalogului naional

Art. 11. Catalogul naional conine urmtoarele categorii

de liste:

a) produse i mecanisme criptografice;

b) dispozitive de ncrcare a cheilor criptografice;

c) produse pentru securitatea emisiilor;

d) produse pentru securitatea tehnologiei informaiei (IT);

e) instrumente de securitate;

f) pachete i profile de protecie.

Art. 12. n cadrul listelor prevzute la art. 11 pot fi incluse

n Catalogul naional urmtoarele tipuri de pachete, produse,

profile de protecie INFOSEC:

a) dezvoltate pe plan naional, evaluate de entiti naionale

acreditate de ORNISS i certificate de ORNISS;

b) certificate ntr-un stat membru NATO sau UE ori de ctre

structuri specializate din cadrul NATO sau UE, particularizate i

certificate pe plan naional;

c) certificate ntr-un stat membru NATO sau UE;

d) certificate de structurile specializate din cadrul NATO sau

UE;

e) certificate conform Criteriilor comune de evaluare de

securitate a tehnologiei informaiei;

f) certificate n alte state dect cele membre ale NATO sau

UE.

Art. 13. Includerea n Catalogul naional a pachetelor,

produselor i profilelor de protecie INFOSEC utilizate la nivel

naional se poate face ca urmare a:

a) certificrii naionale de ctre ORNISS a produselor

dezvoltate integral n Romnia;

b) certificrii de ctre ORNISS a modului de implementare a

acestora n scopul particularizrii naionale a pachetelor,

produselor i profilelor de protecie INFOSEC certificate ntr-un

stat membru NATO sau UE ori de ctre structuri specializate din

cadrul NATO sau UE;

c) recunoaterii naionale de ctre ORNISS a certificrii

produselor NATO i/sau UE;

d) recunoaterii naionale de ctre ORNISS a certificrii

conforme Criteriilor comune de evaluare de securitate a

tehnologiei informaiei;

e) recunoaterii reciproce de ctre ORNISS a certificrilor

naionale, prin nelegeri, acorduri, aranjamente bilaterale,

ncheiate la nivel guvernamental sau departamental.

Art. 14. Certificarea sau recunoaterea certificrii

produselor destinate proteciei informaiilor naionale clasificate

care se includ n Catalogul naional se realizeaz n conformitate

cu normele aprobate prin ordin al directorului general al

ORNISS.

SECIUNEA 1Produse i mecanisme criptografice

Art. 15. Produsele i mecanismele criptografice din

Catalogul naional se utilizeaz n funcie de tipul, clasa i nivelul

informaiilor clasificate, respectiv naionale, NATO, UE ori ale

statelor sau organizaiilor internaionale cu care Romnia a

ncheiat tratate, nelegeri sau acorduri care prevd protecia

informaiilor clasificate, conform certificrii acestora i

meniunilor din Catalogul naional.

Art. 16. Pentru protecia criptografic a informaiilor

naionale clasificate procesate, stocate sau transmise n format

electronic se utilizeaz numai produse i mecanisme

criptografice certificate i incluse n Catalogul naional sau n

registrele de eviden a produselor cu regim limitat de distribuie,


3

n urma evalurii acestora de ctre entiti evaluatoare naionale

acreditate de ORNISS.

Art. 17. (1) ORNISS emite un document de aprobare

pentru includerea produselor i mecanismelor criptografice n

lista produselor i a mecanismelor criptografice din cuprinsul

Catalogului naional.

(2) Documentul de aprobare specific:

a) tipul, clasa i nivelul de secretizare a informaiilor

clasificate pentru care sunt destinate produsele;

b) cerinele de utilizare.

SECIUNEA a 2-aDispozitive de ncrcare a cheilor criptografice

Art. 18. (1) Lista dispozitivelor de ncrcare a cheilor

criptografice conine dispozitive care sunt aprobate pentru

stocarea, procesarea sau transmiterea materialului cu chei

criptografice naional, NATO, UE ori care fac obiectul tratatelor,

nelegerilor i acordurilor bilaterale sau multilaterale la care

Romnia este parte.

(2) Dispozitivele sunt grupate n dou categorii, astfel:

a) dispozitive care gestioneaz cheile n form clar;

b) dispozitive care aplic un mecanism criptografic ce

permite stocarea, procesarea i transmiterea cheii n form

criptat.

Art. 19. Sunt eligibile spre a fi incluse n Catalogul naional

numai dispozitivele de ncrcare a cheilor criptografice care sunt

dezvoltate la nivel naional ori ntr-un stat membru NATO sau

UE i care sunt evaluate i aprobate n conformitate cu politica

naional, respectiv NATO sau UE, de protecie a informaiilor

clasificate.

SECIUNEA a 3-aProduse pentru securitatea emisiilor

Art. 20. (1) n cadrul Catalogului naional, lista produselor

pentru securitatea emisiilor cuprinde:

a) lista productorilor naionali, precum i modelele de

produse dezvoltate la nivel naional, produse evaluate de o

entitate naional acreditat de ORNISS i certificate de

ORNISS ca fiind corespunztoare categoriilor de produse

TEMPEST, prevzute de standardele TEMPEST n vigoare;

b) lista productorilor externi, precum i modelele de produse

recomandate de NATO;

c) lista productorilor externi, precum i a modelelor de

produse certificate din punctul de vedere al proteciei TEMPEST

fie de ORNISS, fie de o entitate acreditat la nivel naional n

ara de origine a echipamentelor, cu condiia ca ntre ORNISS i

ara de origine s existe o nelegere n acest sens.

(2) Schimbarea de componente ntre diferite serii de

producie poate schimba profilul de protecie, ceea ce implic

reevaluarea produsului.

SECIUNEA a 4-aProduse de securitate IT

Art. 21. Scopul listei cu produse de securitate IT din cadrul

Catalogului naional este s furnizeze autoritilor operaionale

ale sistemelor informatice i de comunicaii (AOSIC), structurilor

de planificare i implementare a sistemelor informatice i de

comunicaii, personalului implicat n proiect i utilizatorilor

sistemelor informatice i de comunicaii care vehiculeaz

informaii clasificate secret de stat un set de produse certificate

i de informaii de baz referitoare la acestea, set care poate fi

folosit drept ghid n vederea ndeplinirii cerinelor naionale de

securitate privind protecia informaiilor clasificate.

Art. 22. (1) Produsele din lista prevzut la art. 21 sunt

evaluate i certificate n baza Criteriilor comune pentru

evaluarea securitii produselor IT (ISO 15408).

(2) Fiecrui produs i se atribuie un pachet de componente

de asigurare, de exemplu, un nivel de ncredere (EAL sau

echivalent).

(3) n cazul n care un produs a fost evaluat sau propus spre

evaluare n baza unui set de criterii naionale, trebuie s fie

furnizate detalii privind corespondenele dintre criteriile naionale

i Criteriile comune.

Art. 23. (1) Produsele din list pot fi mprite n

urmtoarele categorii, fr a se limita la acestea:

a) dispozitive i sisteme de control al accesului;

b) dispozitive i sisteme de protecie a perimetrului;

c) baze de date;

d) dispozitive i sisteme de detecie a intruziunilor;

e) semntur digital;

f) protecia datelor;

g) circuite integrate, dispozitive i sisteme Smart Card;

h) sisteme de management al cheilor;

i) reele, sisteme i dispozitive de reea;

j) sisteme de operare;

k) alte dispozitive i sisteme.

(2) Produsele cu modul criptografic ncorporat pot fi incluse

n list n mai multe categorii sau sub o alt categorie dect

criptografia (de exemplu, un sistem de operare nu va fi numit

produs criptografic, dei face uz de criptografie).

Art. 24. Informaiile necesare includerii n list a

produselor pentru securitate IT conin cel puin urmtoarele

elemente, dup caz:

a) denumirea i productorul;

b) informaii descriptive privind produsul, care vor include:

funcionalitatea produsului i pachetul componentelor de

siguran (de exemplu, un nivel de ncredere);

c) raport de certificare;

d) acord de recunoatere reciproc;

e) versiunile Criteriilor comune i Metodologiei comune de

evaluare utilizate.

SECIUNEA a 5-a

Instrumente de securitate

Art. 25. Lista instrumentelor de securitate din cadrul

Catalogului naional se adreseaz autoritilor operaionale ale

sistemelor informatice i de comunicaii (AOSIC), structurilor de

planificare i implementare a sistemelor informatice i de

comunicaii i personalului implicat n proiectarea sistemelor

informatice i de comunicaii. Aceasta este o list a

instrumentelor de securitate conforme cu prevederile Directivei

INFOSEC tehnice i de implementare privind cerinele

instrumentelor de securitate, selectarea, aprobarea i

implementarea acestora INFOSEC 9, aprobat prin Ordinul

directorului general al Oficiului Registrului Naional al

Informaiilor Secrete de Stat nr. 390/2004, publicat n Monitorul

Oficial al Romniei, Partea I, nr. 1.081 din 19 noiembrie 2004.

Art. 26. Lista include urmtoarele tipuri de instrumente:

a) instrumente pentru identificarea vulnerabilitilor sistemelor;

b) instrumente pentru mbuntirea securitii sistemului;

c) instrumente pentru detectarea intruziunilor;

d) instrumente pentru raportarea strii sistemului;

e) instrumente pentru monitorizarea traficului din reea;

f) instrumente pentru administrarea sistemului.


4

Art. 27. Descrierea fiecrui instrument trebuie s includ

urmtoarele informaii:

a) denumirea i productorul;

b) caracteristicile funcionale;

c) beneficiile care vor fi obinute n urma utilizrii

instrumentului;

d) vulnerabilitile, dac este cazul, care apar prin utilizarea

instrumentului;

e) constrngeri privind utilizarea instrumentului;

f) resurse/experiena/suportul/pregtirea necesare operrii.

Art. 28. Lista instrumentelor de securitate nu include

detaliile cu privire la vulnerabiliti. Lista face referire doar la

raportul de evaluare a instrumentului. Informaiile privind

vulnerabilitile sunt puse la dispoziie numai acelor autoriti ale

sistemelor informatice i de comunicaii i de securitate care au

o nevoie de a cunoate corespunztoare.

SECIUNEA a 6-aPachete i profile de protecie

Art. 29. Solicitantul trebuie s furnizeze cel puin

urmtoarele informaii:

a) denumirea pachetului/profilului de protecie i a

productorului;

b) o declaraie din care s reias dac pachetul sau profilul

de protecie este propus ca o nou poziie n list ori ca nlocuire

a unei poziii din list;

c) meniuni speciale, n situaia n care pachetul sau profilul

de protecie conin informaii clasificate, care intr sub incidena

drepturilor de autor/proprietate intelectual sau care nu pot fi

fcute publice.

Art. 30. Informaiile necesare includerii n list a

pachetelor/profilelor de protecie vor trata cel puin aspectele

privitoare la:

a) denumirea pachetului/profilului de protecie;

b) autor;

c) autoritatea de certificare;

d) entitatea care a efectuat evaluarea;

e) nivelul de ncredere;

f) data certificrii;

g) versiunile Criteriilor comune i ale Metodologiei comune

de evaluare utilizate.

CAPITOLUL VI

Gestionarea Catalogului naional

Art. 31. Catalogul naional este actualizat periodic, pe

msura certificrii de noi produse naionale i n conformitate cu

modificrile survenite n listele cu produse recomandate de

NATO sau UE.

Art. 32. Catalogul naional este distribuit de ORNISS

persoanelor juridice de drept public sau privat ndreptite.

Art. 33. ORNISS va conlucra n mod continuu cu

productorii naionali de produse INFOSEC pentru a asigura

informaiile necesare pentru fiecare pachet, produs ori profil de

protecie care urmeaz s fie adugat n catalog sau pentru

orice produs care trebuie s fie ndeprtat din catalog.


5

GUVERNUL ROMNIEI

OFICIUL REGISTRULUI NAIONAL AL INFORMAIILOR SECRETE DE STAT

O R D I N

privind aprobarea Metodologiei de evaluare i certificare a pachetelor,

produselor i profilelor de protecie INFOSECINFOSEC 14

n temeiul art. 1 alin. (4) lit. b) i al art. 3 alin. (6) din Ordonana de urgen a Guvernului nr. 153/2002 privind organizarea

i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr. 101/2003, cu modificrile i

completrile ulterioare, i al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea

i prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum i a altor documente, n

vederea adoptrii/aprobrii, aprobat prin Hotrrea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat emite urmtorul ordin:

Art. 1. Se aprob Metodologia de evaluare i certificare a

pachetelor, produselor i profilelor de protecie INFOSEC

INFOSEC 14, prevzut n anexa care face parte integrant din

prezentul ordin.

Art. 2. Pe data intrrii n vigoare a prezentului ordin se

abrog Ordinul directorului general al Oficiului Registrului

Naional al Informaiilor Secrete de Stat nr. 181/2006 pentru

aprobarea Metodologiei de evaluare i certificare a produselor,

profilelor i pachetelor de protecie INFOSECINFOSEC 14,

publicat n Monitorul Oficial al Romniei, Partea I, nr. 444 din 23

mai 2006, cu modificrile ulterioare.

Art. 3. Oficiul Registrului Naional al Informaiilor Secrete

de Stat va duce la ndeplinire prevederile prezentului ordin.

Directorul general al Oficiului Registrului Naional al Informaiilor Secrete de Stat,

Marius Petrescu

Bucureti, 2 februarie 2010.

Nr. 8.

ANEX

M E T O D O L O G I A

de evaluare i certificare a pachetelor, produselor i profilelor de protecie INFOSECINFOSEC 14


6

1. Introducere

1.1. Scop

Art. 1. Prezenta metodologie stabilete activitile aferente

proceselor de evaluare i certificare a pachetelor, produselor i

profilelor de protecie INFOSEC, denumite n continuare

produse INFOSEC, destinate proteciei informaiilor naionaleclasificate, vehiculate n sistemele informatice i de comunicaii

naionale, civile i militare.

Art. 2. Procesele de evaluare i certificare a produselor

INFOSEC au urmtoarele obiective:

a) crearea posibilitii de utilizare a unor produse INFOSEC

n sisteme informatice i de comunicaii care vehiculeaz

informaii clasificate;

b) verificarea i confirmarea nivelului de ncredere ce poate

fi acordat funciilor de securitate ale unui produs INFOSEC;

c) stabilirea unei baze de comparaie ntre diferite produse

INFOSEC;

d) perfecionarea procedurilor naionale de evaluare a

produselor INFOSEC.

1.2. Definiii

Art. 3. n sensul prezentei metodologii, urmtorii termeni

i sintagme se definesc dup cum urmeaz:

a) certificare emiterea unui document oficial, bazat pe oanaliz independent a unei evaluri i a rezultatelor acestei

evaluri, conform cruia produsul evaluat satisface parametrii

de securitate predefinii. Prin certificare se analizeaz rezultatele

evalurii i se stabilete dac criteriile i metodele de evaluare

au fost aplicate n mod corect. Procesul de certificare verific

uniformitatea i corectitudinea procedurilor de evaluare, precum

i consecvena i compatibilitatea rezultatelor evalurii;

b) evaluare examinarea detaliat, din punct de vederetehnic i funcional, a aspectelor de securitate ale produselor

INFOSEC. Prin procesul de evaluare se verific cel puin:

(i) prezena facilitilor/funciilor de securitate cerute;

(ii) absena efectelor secundare compromitoare care

ar putea decurge din implementarea facilitilor de

securitate;

(iii) funcionalitatea global a produsului INFOSEC;

(iv) nivelul de ncredere al produsului INFOSEC;

c) imparialitate principiu conform cruia nu exist factoricare pot influena desfurarea procesului de evaluare i

rezultatele acestui proces;

d) nivel de evaluare a asigurrii (EAL) un pachet decomponente de asigurare din partea a 3-a a Criteriilor comune,

care reprezint un punct pe scara de asigurare predefinit a

Criteriilor comune;

e) obiectivitate principiu conform cruia rezultatele unor

teste de evaluare trebuie s se bazeze pe fapte concrete, nu pe

opiniile subiective ale evaluatorului. Obiectivitatea poate fi

consolidat, prin supunerea produsului la cel puin dou evaluri

realizate de entiti independente (reproductibilitate);

f) pachet un set reutilizabil de componente fie funcionale,

fie de asigurare (de exemplu, un EAL), combinate pentru a

satisface un set de obiective de securitate identificate;

g) produs un pachet de software, firmware i/sau

hardware IT, care furnizeaz o funcionalitate destinat utilizrii

sau incorporrii ntr-o multitudine de sisteme;

h) profil de protecie un set de cerine de securitate

independent de implementare pentru o categorie de TOE care

satisface cerine specifice ale consumatorilor;

i) repetabilitate principiu conform cruia repetarea

evalurii aceluiai produs, n funcie de aceeai int de

securitate, de ctre aceeai entitate evaluatoare, conduce la un

rezultat similar cu cel obinut ca urmare a primei evaluri a

produsului;

j) reproductibilitate principiu conform cruia repetarea

evalurii aceluiai produs, n funcie de aceeai int de

securitate, de ctre o alt entitate evaluatoare, conduce la un

rezultat similar cu cel obinut ca urmare a primei evaluri a

produsului;

k) solicitant persoan juridic de drept public sau privat

care solicit evaluarea, certificarea i aprobarea de includere n

Catalogul naional cu produse, profile i pachete de protecie a

unui produs INFOSEC. Solicitantul poate fi i o alt persoan

juridic diferit de productor (de exemplu, dezvoltator, utilizator,

comerciant, integrator);

l) int de evaluare (TOE) un produs sau sistem IT i

documentaia aferent de utilizator i administrator care

constituie subiectul unei evaluri;

m) int de securitate (ST) un set de cerine i specificaii

de securitate utilizate ca baz pentru evaluarea unei TOE

identificate.

Art. 4. Procesul de evaluare a produselor INFOSEC se

desfoar prin parcurgerea urmtoarelor etape, aa cum sunt

prezentate n figura nr. 1:

Figura nr. 1 Schema procesului de evaluare a securitii produselor INFOSEC utilizate n sistemele informatice

i de comunicaii care vehiculeaz informaii naionale clasificate


7

Solicitare adresat ORNISS privind

demararea evalurii

Notificarea entitii/entitilor evaluatoare

Transmiterea concluziilor evalurii ctre

solicitant i ctre ORNISS

ntocmirea raportului tehnic de evaluare

Informare ORNISS i solicitant

Transmiterea TOE i a elementelor necesare

evalurii ctre entitatea evaluatoare

ntocmirea planului privind activitatea

de evaluare

Desfurarea procesului de evaluare

Informare

ORNISS i

solicitant

Entitatea

evaluatoare

Solicitant

ORNISS

NU

DA

Entitatea

evaluatoare

accept

demararea

evalurii.

Entitatea

evaluatoare

Solicitant

Entitatea

evaluatoare

Entitatea

evaluatoare

Entitatea

evaluatoare

Entitatea

evaluatoare

2. Descrierea metodologiei de evaluare

2.1. Etapa 1: Demararea procesului de evaluare

Art. 5. n vederea demarrii procesului de evaluare a unui

produs INFOSEC, persoanele juridice trebuie s adreseze

Oficiului Registrului Naional al Informaiilor Secrete de Stat,

denumit n continuare ORNISS, o solicitare scris n acest sens.Art. 6. Solicitarea de demarare a procesului de evaluare

trebuie s fie nsoit de documentaie care s precizeze cel

puin urmtoarele aspecte:

a) descrierea general a produsului pentru care se solicit

evaluarea;

b) inta de securitate;

c) clasa i, dup caz, nivelul de secretizare pentru care se

dorete a fi utilizat produsul;

d) manualul de administrare i utilizare (hrtie/electronic);

e) numele entitii/entitilor evaluatoare acreditate de

ORNISS, selectat(e) de solicitant pentru realizarea evalurii;

f) copii de pe certificate anterioare, dac este cazul.

Art. 7. (1) n cazul produselor criptografice destinate

proteciei informaiilor naionale clasificate, altele dect cele din

categoria cifrului de stat, se aplic cerinele de evaluare i

certificare prevzute n anexa nr. 1.

(2) n cazul celorlalte produse INFOSEC, altele dect cele

criptografice, ORNISS decide cu privire la certificare n baza

analizei rezultatelor prezentate de o singur entitate evaluatoare

acreditat de ORNISS.

(3) n situaii excepionale, cnd se apreciaz c exist o

ameninare semnificativ la adresa securitii sistemelor

informatice i de comunicaii naionale, astfel nct exist riscul

major de prejudiciere n mod deosebit de grav a intereselor

naionale, ORNISS poate decide asupra necesitii unor evaluri

suplimentare a produselor INFOSEC, altele dect cele

criptografice prevzute la alin. (1).

Art. 8. Agenia de Securitate pentru Informatic i

Comunicaii din cadrul ORNISS analizeaz solicitarea primit.

Art. 9. n cazul n care se constat c datele cuprinse n

cererea de certificare sau n documentaia anexat nu sunt

complete, ORNISS informeaz solicitantul, n vederea furnizrii

informaiilor adiionale necesare.

Art. 10. Dac cererea conine toate datele menionate,

ORNISS notific entitatea/entitile evaluatoare cu privire la

selectarea acesteia/acestora de ctre solicitant pentru

efectuarea evalurii. Notificarea transmis de ORNISS include

toate datele primite de la solicitant.

Art. 11. (1) Dup analiza documentaiei prevzute la art. 6,

entitatea/entitile evaluatoare notific ORNISS cu privire la

acceptarea sau neacceptarea realizrii procesului de evaluare.

(2) ORNISS notific solicitantului cu privire la decizia

comunicat de entitatea/entitile evaluatoare.

Art. 12. (1) n cazul n care entitatea evaluatoare accept

s demareze procesul de evaluare, solicitantul pune la dispoziia

entitii evaluatoare cel puin urmtoarele elemente:

a) produsul de evaluat, incluznd:

(i) componentele hardware, software i firmware;

(ii) eventual alte componente necesare realizrii

infrastructurii de testare;

b) documentaie tehnic, care, n funcie de tipul produsului,

trebuie s includ cel puin:

(i) documentaie tehnic, proceduri operaionale de

securitate;

(ii) descrierea arhitecturii fizice i logice;

(iii) specificaii algoritm, cod surs, mod de lucru, vectori

de test, n cazul produselor criptografice;

(iv) descrierea parametrilor critici de securitate;

c) teste proprii, platforme de testare i documentaie aferent

incluznd rezultatele testelor anterioare;

d) n cazul n care exist certificri anterioare, se vor furniza

i rapoartele tehnice de evaluare.

(2) n funcie de tipul informaiilor care trebuie puse la

dispoziia entitii evaluatoare, ntre solicitant i entitatea

evaluatoare se poate ncheia un acord de confidenialitate, n

baza cruia aceste informaii sunt transmise.

Art. 13. Procesul de evaluare se consider demarat dup

ncheierea unui document de acceptare (contract, acord etc.)

ntre solicitant i entitatea evaluatoare.

Art. 14. Evaluatorul ntocmete lista cu elementele

necesare evalurii i stabilete datele la care acestea trebuie

s i fie puse la dispoziie.

Art. 15. n cazul n care solicitantul evalurii nu este

acelai cu productorul produsului supus evalurii, n vederea

asigurrii proteciei unor informaii specifice, acestea pot fi puse

la dispoziia evaluatorului direct de ctre productor.

Art. 16. Este important ca obiectivele evalurii s fie clar

definite de solicitant, nelese de evaluator i transmise ctre

toate prile implicate n procesul de evaluare a produsului.

Persoana responsabil cu coordonarea procesului de evaluare

trebuie s verifice c toate persoanele implicate n acest proces

cunosc scopul i obiectivele evalurii, precum i

responsabilitile pe care le au n acest proces.

2.2. Etapa 2: Desfurarea procesului de evaluare

2.2.1. Elemente generaleArt. 17. Evaluarea produselor INFOSEC se realizeaz de

ctre entiti evaluatoare acreditate de ORNISS, n conformitate

cu prevederile Metodologiei de acreditare a entitilor pentru

evaluarea produselor de securitate IT i a sistemelor informatice

i de comunicaii INFOSEC 12, aprobate prin Ordinul


Informaiilor Secrete de Stat nr. 167/2006.

Art. 18. (1) Procesul de evaluare a produselor INFOSEC

se desfoar pe baza a 3 elemente:

a) criterii;

b) metodologie;

c) modul de derulare a proceselor de evaluare i certificare

de securitate.

(2) Criteriile reprezint normele i principiile fa de care

poate fi msurat securitatea unui produs INFOSEC, n vederea

evalurii, dezvoltrii i achiziiei, iar metodologia stabilete

modul n care trebuie realizat evaluarea, n baza criteriilor.

Art. 19. Evaluarea securitii pe care o pot asigura

produsele INFOSEC se realizeaz n conformitate cu standarde

naionale sau standarde internaionale recunoscute pe plan

naional, agreate de statele membre ale NATO sau UE.

2.2.2. Obiectivele evaluriiArt. 20. Obiectivul principal al procesului de evaluare de

securitate const n verificarea faptului c funciile de securitate

ale produsului sunt conforme cu inta de securitate.

Art. 21. Procesul de evaluare de securitate asigur un

anumit nivel de ncredere n faptul c produsul nu prezint

vulnerabiliti care pot fi exploatate.

Art. 22. n contextul evalurii i certificrii produselor

INFOSEC, trebuie acordat o atenie deosebit principiilor

repetabilitii, reproductibilitii, imparialitii i obiectivitii.

Art. 23. Respectarea acestor 4 principii trebuie s fie

verificat de ORNISS n cursul procesului de certificare.

2.2.3. ntocmirea planului de activiti privind evaluareaArt. 24. Pentru a descrie structura unui proces de

evaluare, precum i conexiunile dintre diferitele activiti

aferente procesului, evaluatorul trebuie s ntocmeasc un plan

de activiti privind evaluarea, denumit n continuare PAE.Art. 25. PAE trebuie s descrie modul n care sunt

organizate activitile legate de procesul de evaluare i

interrelaionarea acestor activiti.


8

Art. 26. PAE trebuie ntocmit astfel nct s fie aplicabil

att pentru evaluarea unei game de produse, ct i pentru

diferite niveluri ale evalurii.

Art. 27. Acest document ofer o prezentare general

asupra modului n care trebuie realizat evaluarea, n

conformitate cu criterii i metodologii de evaluare specifice.

2.2.4. Desfurarea evaluriiArt. 28. Activitatea entitii evaluatoare trebuie s fie

conform cu cerinele standardelor de calitate i cu criteriile

stabilite n Metodologia de acreditare a entitilor pentru

evaluarea produselor de securitate IT i a sistemelor informatice

i de comunicaii INFOSEC 12, aprobate prin Ordinul


Informaiilor Secrete de Stat nr. 167/2006.

Art. 29. Procesul de evaluare trebuie s includ cel puin

urmtoarele activiti:

a) verificarea faptului c elementele necesare evalurii sunt

conforme cu cerinele criteriilor de evaluare;

b) verificarea faptului c cerinele de securitate specificate n

inta de securitate sunt implementate n mod adecvat;

c) verificarea faptului c produsul operaional nu prezint

vulnerabiliti exploatabile.

Art. 30. Prezenta metodologie stabilete cadrul general al

activitilor legate de procesul de evaluare i certificare, iar la

implementarea sa trebuie inut cont de faptul c pentru fiecare

produs specific pot fi necesare diferite activiti i niveluri de

evaluare.

Art. 31. Lista demonstrativ cu activiti aferente

procesului de evaluare este prevzut n anexa nr. 2.

Art. 32. Observaiile i rezultatele fiecrei activiti din

procesul de evaluare trebuie consemnate ntr-un raport tehnic

de evaluare, denumit n continuare RTE.Art. 33. Pe toat durata procesului de evaluare oricare

dintre prile implicate poate solicita organizarea unor edine

de lucru sau informaii suplimentare pentru clarificarea

aspectelor de natur tehnic.

Art. 34. n situaia n care unele activiti aferente

procesului de evaluare impun efectuarea unor teste la sediul

solicitantului sau dezvoltatorului, productorului sau utilizatorului

produsului, acestea trebuie s se realizeze n baza unor

nelegeri scrise ntre prile implicate i, n cazul unor testri

clasificate secret de stat, notificarea prealabil a ORNISS.

Art. 35. n cazul n care ORNISS consider necesar, poate

participa la testele efectuate la sediul solicitantului sau

dezvoltatorului.

Art. 36. n cazul n care evaluarea este ntrerupt din

diferite cauze (rezilierea contractului/ncetarea acordului),

entitatea evaluatoare trebuie s notifice ORNISS cu privire la

acest lucru.

2.3. Etapa 3: Finalizarea procesului de evaluare

2.3.1. ntocmirea RTEArt. 37. La finalul activitilor de evaluare, evaluatorul are

obligaia s ntocmeasc un RTE.

Art. 38. RTE are urmtoarea structur:

a) descrierea activitilor desfurate n procesul de

evaluare;

b) prezentarea rezultatelor obinute i a concluziilor rezultate

din activitile desfurate.

Art. 39. RTE se adreseaz, n principal:

a) ORNISS, n calitate de certificator;

b) solicitantului evalurii;

c) entitii de evaluare, n vederea pregtirii altor activiti de

evaluare.

Art. 40. n cazul n care dezvoltatorul produsului nu este

totodat i solicitantul evalurii, exist posibilitatea transmiterii

anumitor pri din RTE ctre dezvoltator, dar numai cu acordul

solicitantului evalurii.

Art. 41. Modelul RTE, cu detalierea coninutului fiecrui

capitol sau fiecrei seciuni, este prevzut n anexa nr. 3.

Art. 42. (1) n vederea certificrii produsului INFOSEC,

entitatea evaluatoare transmite la ORNISS un document de

sintez a RTE, care s cuprind cel puin urmtoarele elemente:

a) denumirea i descrierea caracteristicilor funcionale i de

securitate ale produsului evaluat;

b) configuraia i condiiile n care a fost testat produsul;

c) standardele i metodologiile n conformitate cu care s-a

realizat testarea i evaluarea produsului;

d) testele realizate i rezultatele acestora;

e) concluziile finale ale procesului de evaluare;

f) condiii i termene de valabilitate a rezultatelor testrii,

eventuale cerine/condiii/instruciuni de utilizare a produsului,

astfel nct s se asigure pstrarea caracteristicilor de securitate

i funcionale;

g) numrul RTE ntocmit.

(2) Pentru clarificarea unor aspecte specifice, ORNISS poate

solicita entitii evaluatoare s i pun la dispoziie o copie a

RTE.

3. Descrierea metodologiei de certificare

3.1. Demararea procesului de certificare

Art. 43. Principalul obiectiv al certificrii este acela de a

furniza o confirmare independent a faptului c procesul de

evaluare a fost realizat n mod corect, n conformitate cu

criteriile, procedurile i metodologiile recunoscute i rezultatele

evalurii sunt conforme cu elementele constatate. Totodat,

certificarea are rolul de a crea un climat de ncredere i de a

confirma faptul c entitile evaluatoare opereaz n

conformitate cu aceleai standarde i c rezultatele obinute de

oricare dintre entitile evaluatoare sunt demne de ncredere n

egal msur.

Art. 44. ncrederea trebuie s aib la baz respectarea

principiilor imparialitii, obiectivitii, repetabilitii i

reproductibilitii.

Art. 45. O descriere schematic a procesului de certificare

este prezentat n figura nr. 2.

Art. 46. (1) Demararea procesului de certificare se

realizeaz printr-o solicitare adresat ORNISS de ctre

solicitant.

(2) Solicitarea trebuie s fie nsoit de raportul sau, dup

caz, rapoartele tehnic(e) de evaluare a produsului, emis(e) de

entitatea/entitile evaluatoare selectate.

(3) n cazul n care documentaia nu este complet, ORNISS

notific solicitantului, specificnd elementele care trebuie

completate.

Art. 47. n cadrul etapei de certificare de securitate,

ORNISS, prin Agenia de Securitate pentru Informatic i

Comunicaii, realizeaz o analiz independent a rezultatelor

obinute n urma etapei de evaluare, precum i a modalitii n

care s-a desfurat aceast activitate.

Art. 48. Procesul de certificare trebuie s analizeze

urmtoarele aspecte:

a) criteriile, metodologiile i procedurile de lucru utilizate n

procesul de evaluare;

b) resursele folosite n cadrul evalurii de securitate

(echipamente, documentaie, timp etc.);

c) personalul care a realizat evaluarea de securitate

(calificare, obiectivitate, imparialitate etc.);

d) rezultatele testelor de evaluare;

e) RTE.


9

Figura nr. 2 Schema procesului de certificare a produselor INFOSEC utilizate n sistemele informatice i de comunicaii c

care vehiculeaz informaii naionale clasificate


10

Solicitare adresat ORNISS privind

certificarea, anexnd concluziile primite

de la entitatea/entitile evaluatoare

ntocmirea raportului privind certificarea

Emiterea certificatului de conformitate

Includerea produsului n Catalogul naional

Solicitant

ORNISS sau

comisie coordonat

de ORNISS

Solicitant

Furnizare date

suplimentare

Analiza solicitrii

Condiii de

certificare

ndeplinite

Informare

solicitant

ORNISS sau

comisie coordonat

de ORNISS

ORNISS

ORNISS

ORNISS

NU

DA

3.2. ntocmirea raportului privind certificarea

Art. 49. Rezultatele activitii de certificare trebuie s fac

obiectul unui raport privind certificarea.

Art. 50. Raportul privind certificarea trebuie s identifice n

mod clar produsul i s conin recomandri cu privire la decizia

privind certificarea produsului evaluat.

Art. 51. Dac n urma analizei documentaiei puse la

dispoziie n vederea certificrii se constat c att rezultatele

obinute n urma activitii de evaluare, ct i modalitatea n care

aceasta s-a realizat sunt conforme standardelor i normelor n

vigoare, precum i faptul c produsul ndeplinete cerinele de

securitate conform intei de securitate, raportul privind

certificarea include propuneri privind certificarea produsului.

Art. 52. n cazul n care n urma analizei se constat

deficiene n procesul de evaluare a produsului, atunci ORNISS

notific entitii evaluatoare, n vederea remedierii acestor

deficiene.

Art. 53. Pentru desfurarea corespunztoare a etapei de

certificare, Agenia de Securitate pentru Informatic i

Comunicaii poate solicita entitii evaluatoare alte documente

cu relevan pentru aceast activitate.

Art. 54. Raportul privind certificarea va fi elaborat n

termen de maximum 30 de zile de la primirea documentului de

sintez emis de entitatea/entitile evaluatoare pe baza RTE

sau, dup caz, a ultimului document solicitat de Agenia de

Securitate pentru Informatic i Comunicaii entitii evaluatoare.

Art. 55. Un set minim de elemente care trebuie s fie

cuprinse n raportul privind certificarea este prevzut n anexa

nr. 4.

3.3. Luarea deciziei privind certificarea produsului

Art. 56. Dup parcurgerea activitilor necesare lurii unei

decizii privind certificarea unui produs, se desprind dou

variante posibile:

a) certificarea produsului i emiterea Certificatului de

conformitate i aprobarea includerii n Catalogul naional de

pachete, produse i profile de protecie INFOSEC;

b) refuzul certificrii decizie datorat identificrii unor

deficiene grave referitoare la atingerea de ctre produs a

parametrilor de securitate predefinii.

Art. 57. Certificatul de conformitate emis de ORNISS

confirm faptul c produsul ndeplinete standardele de

securitate n baza crora a fost evaluat, pentru inta de

securitate propus.

Art. 58. Produsele certificate vor fi incluse n Catalogul

naional de pachete, produse i profile de protecie INFOSEC,

cu ocazia urmtoarei actualizri a acestuia, n conformitate cu

prevederile Directivei INFOSEC privind Catalogul naional de

pachete, produse i profile de protecie INFOSEC INFOSEC 5,

aprobat prin Ordinul directorului general al Oficiului Registrului

Naional al Informaiilor Secrete de Stat nr. 7/2010.

Art. 59. Anexa nr. 5 cuprinde o bibliografie a unor acte

normative i documente cu relevan n domeniu.

Art. 60. Anexele nr. 15 fac parte integrant din prezenta

metodologie.


11

ANEXA Nr. 1la metodologie

C E R I N E

de evaluare i certificare a sistemelor criptografice destinate proteciei informaiilor naionale clasificate,

altele dect cele din categoria cifrului de stat

Pentru protecia informaiilor naionale clasificate sunt

utilizate sisteme criptografice evaluate i certificate, dup cum

urmeaz:

A. Sisteme criptografice dezvoltate pe plan naional

a) Pentru protecia informaiilor clasificate SECRET DE

SERVICIU, sistemele criptografice trebuie s fie:

(i) evaluate de o entitate evaluatoare acreditat de

Oficiul Registrului Naional al Informaiilor Secrete

de Stat, denumit n continuare ORNISS; i(ii) certificate de o comisie coordonat de ORNISS.

b) Pentru protecia informaiilor clasificate SECRET,

sistemele criptografice trebuie s fie:

(i) evaluate de o entitate evaluatoare acreditat de

ORNISS; i

(ii) certificate de ORNISS.

c) Pentru protecia informaiilor clasificate STRICT SECRET,

sistemele criptografice trebuie s fie:

(i) evaluate de dou entiti evaluatoare acreditate de

ORNISS; i

(ii) certificate de ORNISS;

(iii) n cazul n care nu exist dou entiti evaluatoare

acreditate care s aib capacitatea de a realiza

evaluarea, sistemele trebuie s fie:

1. evaluate de o entitate evaluatoare acreditat de

ORNISS; i

2. certificate de o comisie coordonat de ORNISS i

format din reprezentani ai tuturor entitilor

evaluatoare acreditate de ORNISS pentru a

desfura activiti de evaluare criptografic.

d) Pentru protecia informaiilor clasificate STRICT SECRET

DE IMPORTAN DEOSEBIT, sistemele criptografice trebuie

s fie:

(i) evaluate de dou entiti evaluatoare acreditate de

ORNISS; i

(ii) certificate de o comisie coordonat de ORNISS i

format din reprezentani ai entitilor evaluatoare

implicate.

B. Sisteme criptografice realizate de productori externi

a) Pentru protecia informaiilor clasificate SECRET DE

SERVICIU pot fi utilizate sistemele aflate n una dintre

urmtoarele situaii:

(i) certificate pentru cel puin nivelul echivalent de

clasificare de ctre una dintre urmtoarele:

1. structuri specializate ale NATO;

2. structuri specializate ale UE;

3. un stat membru NATO sau UE;

4. state cu care Romnia a ncheiat nelegeri,

acorduri, aranjamente bilaterale, la nivel

guvernamental sau departamental;

(ii) evaluate de o entitate evaluatoare acreditat de

ORNISS i certificate de o comisie coordonat de

ORNISS.

b) Pentru protecia informaiilor clasificate SECRET pot fi

utilizate sistemele aflate n una dintre urmtoarele situaii:

(i) certificate pentru un nivel superior de clasificare de

ctre una dintre urmtoarele:

1. structuri specializate ale NATO;

2. structuri specializate ale UE;

(ii) certificate pentru un nivel superior de clasificare de

ctre structuri specializate din state membre NATO

sau UE, evaluate de dou entiti evaluatoare

acreditate de ORNISS i certificate de ORNISS;

(iii) certificate pentru un nivel superior de clasificare de

ctre autoriti competente din state cu care

Romnia a ncheiat aranjamente de securitate

privind recunoaterea reciproc a certificatelor de

conformitate pentru produse de securitate IT,

evaluate de dou entiti evaluatoare acreditate de

ORNISS i certificate de ORNISS.

c) Pentru protecia informaiilor clasificate STRICT SECRET

pot fi utilizate sisteme care ndeplinesc cumulativ urmtoarele

cerine:

(i) sunt modele certificate pentru un nivel echivalent de

clasificare de ctre structuri ale NATO, UE, autoriti

competente din state membre NATO sau UE, state

cu care Romnia a ncheiat aranjamente de

securitate privind recunoaterea reciproc a

certificatelor de conformitate pentru produse de

securitate IT;

(ii) particularizate prin implementarea de algoritmi

criptografici naionali certificai;

(iii) evaluate de dou entiti evaluatoare acreditate de

ORNISS;

(iv) certificate de ORNISS.

d) Pentru protecia informaiilor clasificate STRICT SECRET

DE IMPORTAN DEOSEBIT nu este permis utilizarea de

sisteme criptografice realizate de productori externi.

Prin excepie de la prevederile lit. A i B, sistemele

criptografice utilizate de autoritile desemnate de securitate

(ADS) pentru destinaii specifice se evalueaz de ctre oentitate evaluatoare acreditat de ORNISS i sunt certificate de

ctre structura INFOSEC acreditat de ORNISS n cadrul ADS.

n cazul n care nu exist o structur INFOSEC acreditat,

certificarea produselor se realizeaz de ctre ORNISS.


12


L I S T A D E M O N S T R A T I V

cu activiti aferente procesului de evaluare

1. Prezentm n continuare o list exemplificativ cu activiti

aferente procesului de evaluare:

a) verificarea analizei de conformitate;

b) verificarea analizei caracterului unitar;

c) examinarea eficienei mecanismelor de asigurare a

securitii;

d) examinarea vulnerabilitilor constructive;

e) examinarea uurinei de utilizare;

f) examinarea vulnerabilitilor operaionale;

g) verificarea cerinelor;

h) verificarea proiectului de arhitectur a produsului;

i) verificarea proiectului detaliat;

j) verificarea implementrii mecanismelor de asigurare a

securitii;

k) verificarea mediului de dezvoltare;

l) verificarea documentaiei de operare;

m) verificarea mediului operaional;

n) realizarea de teste de penetrare;

o) ntocmirea raportului de evaluare.

2. Pentru claritate, precizm c termenul verificare implic

analiza elementelor de evaluare, n timp ce termenul

examinarea furnizeaz date de intrare pentru realizarea

testelor de penetrare. Dei testele de penetrare sunt n mod

explicit corelate cu activitile anterioare, acestea au fost

specificate ca activitate distinct din dou motive:

a) pentru a sublinia faptul c analizele anterioare trebuie

consolidate i apoi trebuie concepute testele, pe baza acestor

analize;

b) pentru a indica faptul c, n general, diferitele teste de

penetrare sunt realizate mpreun.

3. Prin activitatea de verificare a analizei de conformitate

evaluatorul verific analiza efectuat de dezvoltatorul

produsului. Verificarea poate pune n eviden unele

vulnerabiliti rezultate, din cauza faptului c anumite funcii de

securitate nu asigur atingerea unuia dintre obiectivele

securitii, n condiiile unei ameninri identificate n inta de

securitate.

4. Activitatea de verificare a analizei caracterului unitar

const n examinarea analizei efectuate de dezvoltatorul

produsului i stabilete dac setul de funcii de securitate

implementate, luate ca ansamblu, asigur n mod adecvat

ndeplinirea obiectivelor securitii.

5. Prin examinarea eficienei mecanismelor de asigurare a

securitii evaluatorul identific eventualele mecanisme care nu

ating eficiena minim cerut prin inta de securitate.

6. n procesul de examinare a vulnerabilitilor rezultate din

procesul de construcie a produsului, evaluatorul trebuie s

identifice eventuale astfel de vulnerabiliti ale acestuia. Erorile

identificate n procesul de evaluare a corectitudinii procesului de

dezvoltare a produsului reprezint o surs de vulnerabiliti

constructive. Aceast activitate presupune examinarea erorilor,

precum i a diferitelor funcionaliti introduse n fiecare etap a

dezvoltrii produsului.

7. Examinarea uurinei de utilizare presupune identificarea

modurilor de operare nesigure ale produsului. Prin urmare,

aceast activitate este strns legat de cerinele operaionale.

8. Activitatea de evaluare a vulnerabilitilor operaionale

presupune ca evaluatorul s examineze modul de operare a

produsului, pentru a identifica eventuale vulnerabiliti aprute n

cursul acestui proces.

9. Vulnerabilitile operaionale trateaz aspecte la limita

dintre msurile de securitate IT i cele non-IT, cum ar fi proceduri

operaionale privind securitatea fizic, modaliti nonelectronice

de management al cheilor, distribuia ecusoanelor de securitate

etc. Msurile de securitate non-IT trebuie s fac obiectul

preocuprilor entitii evaluatoare n urmtoarele situaii:

a) apar ca parte a documentaiei de operare;

b) inta de securitate este formulat pe baza unei politici de

securitate a sistemului;

c) apar ca parte a documentaiei produsului.

10. n procesul de analiz a vulnerabilitilor operaionale ale

produsului, evaluatorii trebuie s analizeze dac msurile de

securitate non-IT implementate contracareaz vulnerabilitile

constructive identificate.

11. Activitatea de verificare a cerinelor presupune ca

evaluatorul s determine dac inta de securitate definete n

mod corect funciile care asigur implementarea securitii. inta

de securitate trebuie s identifice clar aceste funcii, nivelul de

evaluare solicitat, precum i msurile de securitate

implementate i care trebuie avute n vedere n procesul de

evaluare a produsului.

12. Prima etap n procesul de dezvoltare a produsului, de la

faza de cerine la cea de proiect de arhitectur, prezint o

importan deosebit, avndu-se n vedere faptul c asigur

corespondena dintre funciile abstracte i componentele logice

i fizice ale produsului. n acest context, una dintre principalele

activiti din procesul de evaluare este verificarea proiectului de

arhitectur, n urma creia evaluatorul decide dac exist o

separare bine definit ntre funcionalitile care asigur

securitatea i celelalte funcionaliti ale produsului. n acest caz,

activitatea de evaluare poate fi focalizat asupra elementelor

care contribuie la asigurarea securitii, iar inta de securitate

poate fi urmrit cu uurin, pe msur ce proiectul este

analizat mai n detaliu.

13. Activitatea de verificare a proiectului detaliat presupune

analiza modului n care este respectat politica privind

separarea componentelor care asigur securitatea de celelalte

componente, precum i verificarea faptului c toate

componentele care asigur implementarea securitii sunt

corect implementate.

14. Verificarea implementrii presupune analiza modului n

care sunt implementate mecanismele de asigurare a securitii,

ntr-un mod mai detaliat dect n cursul activitii de verificare a

proiectului. Analiza se bazeaz pe concluziile activitii de

verificare a proiectului detaliat, dup care devine posibil

testarea funcional.

15. Prin activitatea de verificare a mediului de dezvoltare se

analizeaz n special standardele conform crora este dezvoltat

produsul. n cursul acestei activiti se analizeaz:

a) controlul configuraiei;

b) limbajele de programare i compilatoarele;

c) msurile de securitate implementate de dezvoltator.

16. Activitatea de verificare a documentaiei de operare

presupune verificarea faptului c produsul poate fi administrat i

utilizat n acord cu obiectivele sale de securitate.

17. Verificarea mediului de operare presupune ca evaluatorul

s analizeze dac produsul operaional este identic cu produsul

rezultat din procesul de dezvoltare i dac acesta poate fi operat

n conformitate cu obiectivele securitii.

18. Testele de penetrare au rolul de a identifica eventuale

vulnerabiliti, care pot fi exploatate n procesul de utilizare a

produsului.

19. Observaiile i rezultatele fiecrei activiti din procesul

de evaluare trebuie consemnate n raportul tehnic de evaluare.


13


M O D E L D E R A P O R T T E H N I C D E E V A L U A R E (RTE)

CAPITOLUL I

Introducere

SECIUNEA 1

Elemente generale

1. Prezenta seciune conine date generale cu privire la

procesul de evaluare i trebuie s prezinte cel puin urmtoarele

elemente:

a) denumirea, numrul de identificare i versiunea/modelul

produsului INFOSEC supus evalurii;

b) date privind dezvoltatorul produsului i, dac este cazul,

date privind subcontractanii care au contribuit la dezvoltarea

produsului;

c) date privind solicitantul evalurii;

d) programarea activitilor aferente procesului de evaluare;

e) date cu privire la entitatea evaluatoare.

SECIUNEA a 2-a

Obiective

2. Prezenta seciune trebuie s prezinte obiectivele RTE.

3. n principal, obiectivele sunt:

a) prezentarea elementelor necesare susinerii unei anumite

concluzii cu privire la produsul supus evalurii;

b) susinerea procesului de reevaluare a produsului, n cazul

n care solicitantul dorete acest lucru.

SECIUNEA a 3-a

Domeniu de aplicabilitate

4. Prezenta seciune trebuie s sublinieze faptul c RTE se

refer la ntreaga activitate desfurat n cursul procesului de

evaluare.

5. n caz contrar, trebuie specificate motivele pentru care

RTE nu acoper ntreaga activitate de evaluare.

SECIUNEA a 4-a

Structur

6. Prezenta seciune trebuie s prezinte structura RTE.

CAPITOLUL II

Sumar

7. Prevederile prezentului capitol furnizeaz date cu privire la

rezultatele evalurii.

8. Dispoziiile prezentului capitol trebuie s conin

informaiile generale necesare introducerii produsului INFOSEC

n Catalogul naional de pachete, produse i profile de protecie

INFOSEC, dup certificare.

9. Prin urmare, sumarul nu trebuie s conin informaii

clasificate.

10. Prezentul capitol trebuie s conin:

a) date cu privire la entitatea evaluatoare;

b) nivelul de evaluare atins efectiv;

c) numrul de identificare i versiunea/modelul produsului

INFOSEC;

d) sumarul principalelor concluzii ale evalurii;

e) date cu privire la solicitantul evalurii;

f) scurt descriere a produsului INFOSEC supus evalurii;

g) scurt descriere a caracteristicilor de securitate ale

produsului INFOSEC supus evalurii.

CAPITOLUL III

Descrierea produsului INFOSEC supus evalurii

SECIUNEA 1Funcionalitatea produsului INFOSEC

11. Prezenta seciune trebuie s conin o prezentare

succint a rolului operaional al produsului, precum i a

funciunilor pentru care a fost proiectat. Descrierea trebuie s

conin cel puin urmtoarele elemente:

a) tipul de date care pot fi procesate utiliznd produsul (nivel

de clasificare etc.);

b) categoriile de utilizatori care vor utiliza produsul (corelat cu

precizrile de la punctul anterior).

SECIUNEA a 2-aEtapele procesului de dezvoltare

12. Prezenta seciune trebuie s prezinte etapele parcurse n

realizarea produsului.

13. De asemenea, trebuie prezentate metodologiile,

tehnicile, instrumentele i standardele relevante pentru

realizarea produsului.

14. Totodat, prezenta seciune trebuie s includ descrierea

elementelor necesare evalurii puse la dispoziia entitii

evaluatoare de ctre solicitant. Descrierea trebuie s includ

data la care au fost puse la dispoziie aceste elemente i

numrul de nregistrare cu care a fost luat n eviden fiecare

element.

SECIUNEA a 3-aArhitectura produsului

15. Prezenta seciune trebuie s conin un sumar al

proiectului general al produsului. Trebuie s se precizeze gradul

de separare ntre componentele care asigur implementarea

securitii i celelalte componente. Seciunea va prezenta i

modul de implementare i distribuia ntre componentele

hardware, firmware i software a elementelor care asigur

implementarea securitii.

16. Toate numerele modelelor/versiunilor acestor

componente trebuie specificate ntr-o anex la RTE (anexa C).

SECIUNEA a 4-aDescrierea componentelor hardware

17. Descrierea componentelor hardware trebuie s prezinte

n detaliu toate componentele relevante pentru procesul de

evaluare, la nivel de arhitectur.

SECIUNEA a 5-aDescrierea componentelor firmware

18. Descrierea componentelor firmware trebuie s prezinte n

detaliu toate componentele relevante pentru procesul de

evaluare.

SECIUNEA a 6-aDescrierea componentelor software

19. Descrierea componentelor software trebuie s prezinte n

detaliu toate componentele relevante pentru procesul de

evaluare. Descrierea trebuie s furnizeze legtura dintre

componentele software i cele hardware i firmware.

CAPITOLUL IV

Caracteristici de securitate ale produsului INFOSEC

20. Trebuie subliniat c nelegerea intei de securitate este

un element esenial pentru nelegerea RTE. De aceea, este

recomandabil ca acest capitol s includ descrierea complet a

intei de securitate.

21. Capitolul trebuie s abordeze cel puin urmtoarele

aspecte:

a) politica de securitate pentru produsul INFOSEC;

b) specificarea funciilor de implementare a securitii;

c) specificarea mecanismelor de securitate;

d) precizarea nivelului minim estimat de eficien a meca-

nismelor de securitate;

e) nivelul de evaluare solicitat.

CAPITOLUL V

Evaluarea

22. Prevederile prezentului capitol detaliaz activitile

efectuate n procesul de evaluare, cu specificarea tuturor

problemelor identificate, att a celor de natur tehnic, ct i a

celor de natur managerial.

23. Capitolul trebuie s conin date care s sprijine

activitatea comisiei de certificare de securitate, n analiza

aspectelor de natur tehnic i managerial. Totodat, datele

cuprinse n acest capitol pot s contribuie i la eficientizarea

activitii entitii evaluatoare.

SECIUNEA 1 Etapele evalurii

24. Aceast seciune este similar celei n care sunt

prezentate etapele procesului de dezvoltare i trebuie s includ

date cu privire la:

a) data la care a fost demarat procesul de evaluare;

b) data la care au fost furnizate elementele necesare

evalurii, inclusiv inta de securitate a produsului;

c) perioada n care au fost realizate testele de penetrare;

d) eventuale vizite efectuate la sediile dezvoltatorului sau ale

utilizatorului final al produsului;

e) data la care s-au ncheiat activitile tehnice.

25. Seciunea trebuie s precizeze toate metodele, tehnicile,

instrumentele i standardele utilizate n procesul de evaluare.

SECIUNEA a 2-aProcedura de evaluare

26. Aceast seciune trebuie s conin un sumar al PAE.

Sumarul trebuie s includ:

a) activitile desfurate de evaluator, conform PAE;

b) totalitatea activitilor desfurate n procesul de evaluare,

cu evidenierea activitilor care nu au fost cuprinse n PAE, dar

au fost efectuate n practic; va fi precizat motivaia existenei

acestor discrepane.

SECIUNEA a 3-aDomeniul de aplicare a evalurii

27. Prezenta seciune trebuie s precizeze componentele

care au fcut obiectul evalurii, precum i ipotezele fcute cu

privire la componentele care nu au fost examinate.

SECIUNEA a 4-aConstrngeri i ipoteze

28. Prezenta seciune trebuie s precizeze eventualele

constrngeri asupra procesului de evaluare i ipotezele fcute

n cursul acestui proces.

CAPITOLUL VI

Sumarul rezultatelor evalurii

29. Prevederile prezentului capitol trebuie s prezinte

sumarul rezultatelor evalurii, pentru toate activitile efectuate

n cursul procesului.

30. Se recomand structurarea pe seciuni care s

corespund fiecreia dintre activitile desfurate.

31. Fiecare seciune trebuie s fie corelat cu setul de

activiti desfurate.

32. Prezentm n continuare, cu titlu de exemplu, o list de

aspecte care fac obiectul acestui capitol:

a) Eficiena constructiv

Aspect 1 Conformitatea funcionalitii

Aspect 2 Interrelaionarea funcionalitilor

Aspect 3 Eficiena mecanismelor

Aspect 4 Evaluarea vulnerabilitilor constructive

b) Eficiena operaional

Aspect 1 Flexibilitatea n utilizare

Aspect 2 Evaluarea vulnerabilitilor operaionale

c) Realizarea produsului Procesul de dezvoltare

Etapa 1 Cerine

Etapa 2 Proiectul arhitecturii

Etapa 3 Proiectul detaliat

Etapa 4 Implementarea

d) Realizarea produsului Mediul de dezvoltare

Aspect 1 Controlul configuraiei

Aspect 2 Limbaje de programare i compilatoare


14

Aspect 3 Msurile de securitate implementate de ctre

dezvoltator

e) Operare Documentaia de operare

Aspect 1 Documentaia de utilizare

Aspect 2 Documentaia de administrare

f) Operare Mediul operaional

Aspect 1 Livrarea i configurarea produsului

Aspect 2 Punerea n funciune i operarea.

SECIUNEA 1Teste de penetrare

33. Rezultatele testelor de penetrare au fost analizate

separat deoarece testele de penetrare sunt de cele mai multe ori

realizate ca parte a unei anumite activiti.

34. Prezenta seciune trebuie s prezinte toate opiunile de

configurare folosite n timpul testelor de penetrare.

SECIUNEA a 2-aVulnerabiliti exploatabile identificate

35. Prezenta seciune trebuie s descrie vulnerabilitile ce

pot fi exploatate, care au fost identificate n timpul evalurii,

preciznd:

a) funcia de implementare a securitii la care a fost

identificat vulnerabilitatea;

b) descrierea vulnerabilitii;

c) aciunile ntreprinse de evaluator n momentul identificrii

vulnerabilitii;

d) activitatea n cursul creia a fost identificat

vulnerabilitatea;

e) persoana care a identificat vulnerabilitatea (dezvoltatorul

sau evaluatorul);

f) data la care a fost identificat vulnerabilitatea;

g) dac vulnerabilitatea a fost remediat (se menioneaz

data) sau nu;

h) sursa generatoare a vulnerabilitii (dac este posibil).

SECIUNEA a 3-aObservaii legate de vulnerabiliti ce nu pot fi exploatate

36. Prezenta seciune trebuie s descrie vulnerabilitile ce

nu pot fi exploatate i au fost identificate n cadrul evalurii

(subliniindu-le pe cele rmase n produsul operaional).

SECIUNEA a 4-aErori identificate

37. Prezenta seciune trebuie s precizeze impactul pe care

l pot avea erorile identificate n cadrul procesului de evaluare.

CAPITOLUL VII

Ghid pentru reevaluare i analiz a impactului

38. Prezentul capitol este opional. Poate fi omis dac

solicitantul evalurii a declarat c nu necesit informaii privind

o reevaluare sau analiz a impactului.

39. Dac va fi inclus, acest capitol trebuie s precizeze:

a) includerea fiecrei componente a produsului INFOSEC n

una dintre urmtoarele categorii: componente care asigur

implementarea securitii, componente relevante pentru

securitate sau componente care nu sunt relevante pentru

securitate;

b) identificarea instrumentelor de dezvoltare care sunt

relevante pentru securitate;

c) modalitatea n care constrngerile sau ipotezele fcute n

procesul de evaluare pot avea impact n cazul reevalurii sau

refolosirii produsului;

d) orice concluzii privind tehnici de evaluare sau instrumente

care pot fi utile n cazul unei reevaluri;

e) detalii de arhivare necesare renceperii evalurii;

f) pregtire specific necesar reevaluatorilor pentru

demararea unui proces de reevaluare.

CAPITOLUL VIII

Concluzii i recomandri

40. Prezentul capitol trebuie s cuprind concluziile i

recomandrile evalurii. Concluzia principal va preciza dac

produsul ndeplinete obiectivul de securitate stabilit i dac are

vulnerabiliti ce pot fi exploatate.

41. Trebuie s se specifice faptul c recomandrile se refer

la componentele produsului care au fcut obiectul evalurii i

c pot exista i ali factori de care evaluatorii nu sunt contieni,

iar aceti factori pot influena procesul de certificare a

produsului.

42. Recomandrile pot include sugestii ctre alte entiti,

precum solicitantul evalurii sau dezvoltatorul produsului, pentru

a fi naintate comisiei de certificare de securitate.

43. Trebuie s se specifice faptul c rezultatele evalurii sunt

valabile numai pentru o anumit versiune a produsului

INFOSEC, configurat ntr-un anumit mod, iar comisia de

certificare de securitate trebuie informat despre orice schimbri

aduse produsului.

Anexa A Lista elementelor necesare evalurii

44. Aceast anex trebuie s identifice, cu numerele versiunii

i datele la care au fost recepionate, toate elementele necesare

evalurii sau se face o referire la lista elementelor.

Anexa B Lista de acronime/Glosar de termeni

45. Aceast anex trebuie s explice toate acronimele i

abrevierile folosite n RTE. De asemenea, trebuie s defineasc

termenii specifici utilizai.

Anexa C Configuraia evaluat

46. Configuraiile produsului INFOSEC examinate n cadrul

evalurii (n special configuraii folosite la testele de penetrare,

verificare a fiabilitii) trebuie identificate clar.

47. Trebuie precizate orice presupuneri fcute sau

configuraii care nu au fost luate n considerare.

Descrierea componentelor hardware

48. Descrierea componentelor hardware trebuie s furnizeze

informaii despre configuraie, privind toate componentele la

nivel arhitectural ce sunt relevante pentru evaluare i, n

consecin, pentru implementarea securitii.

Descrierea componentelor firmware

49. Descrierea componentelor firmware trebuie s furnizeze

informaii despre configuraie, despre toate componentele care

sunt relevante pentru procesul de evaluare i, n consecin,

pentru implementarea securitii.

Descrierea componentelor software

50. Descrierea componentelor software trebuie s furnizeze

informaii despre configuraie privind pri ale aplicaiilor

software utilizate de produsul INFOSEC care sunt relevante

pentru procesul de evaluare i, n consecin, pentru

implementarea securitii.

Anexa D Rapoartele activitilor de evaluare

51. Aceast anex nu este necesar dac toate rapoartele

de activitate sunt incluse n cap. 6 al RTE.

52. Dac este prezent, aceast anex trebuie s cuprind

nregistrri ale tuturor activitilor de evaluare (incluznd

rezultatele testelor efectuate, tehnici i instrumente utilizate).

Anexa E Probleme identificate

53. Aceast anex trebuie s cuprind rapoarte cu privire la

toate problemele identificate n cursul procesului de evaluare.

54. Rapoartele pot fi emise i nainte de finalizarea evalurii

i trebuie s conin cel puin urmtoarele elemente:

a) numrul i versiunea produsului supus evalurii;

b) activitatea n cursul creia a fost identificat problema;

c) descrierea problemei identificate.


15


Elemente ale raportului privind certificarea


16

Un raport privind certificarea trebuie s includ cel puin

urmtoarele elemente:

a) Introducere:

date generale cu privire la produsul INFOSEC supus

evalurii.

b) Rezumat:

detalii cu privire la entitatea de evaluare;

identificarea complet a produsului INFOSEC supus

evalurii, inclusiv a codului de identificare, versiunii etc.;

sumarul concluziilor formulate de evaluator;

date privind dezvoltatorul i, dac este cazul, date privind

subcontractanii acestuia care au contribuit la dezvoltarea

produsului;

date privind solicitantul certificrii;

nivelul de evaluare atins efectiv.

c) Prezentarea produsului:

descrierea produsului INFOSEC, n configuraia supus

evalurii;

descrierea hardware;

descrierea firmware;

descrierea software;

descrierea documentaiei produsului.

d) Evaluarea:

descrierea sumar a intei de securitate, care s cuprind

i descrierea caracteristicilor de securitate ale produsului

INFOSEC;

elemente de identificare ale RTE;

sumarul principalelor concluzii formulate de entitatea de

evaluare.

e) Certificarea:

propuneri referitoare la luarea unei decizii cu privire la

certificarea produsului INFOSEC;

specificarea eventualelor restricii care trebuie avute n

vedere n procesul de utilizare a produsului (de exemplu:

limitarea nivelului de clasificare a informaiilor, utilizare n medii

operaionale specifice etc.).


B I B L I O G R A F I E

1. Standardele naionale de protecie a informaiilor

clasificate n Romnia, aprobate prin Hotrrea Guvernului

nr. 585/2002, publicat n Monitorul Oficial al Romniei, Partea I,

nr. 485 din 5 iulie 2002, cu modificrile i completrile ulterioare.

2. Normele privind protecia informaiilor clasificate ale

Organizaiei Tratatului Atlanticului de Nord n Romnia, aprobate

prin Hotrrea Guvernului nr. 353/2002, publicat n Monitorul

Oficial al Romniei, Partea I, nr. 315 din 13 mai 2002, cu

modificrile ulterioare.

3. Metodologia de acreditare a entitilor pentru evaluarea

produselor de securitate IT i a sistemelor informatice i de

comunicaii INFOSEC 12, aprobat prin Ordinul directorului

general al Oficiului Registrului Naional al Informaiilor Secrete

de Stat nr. 167/2006, publicat n Monitorul Oficial al Romniei,

Partea I, nr. 223 din 10 martie 2006.

4. Guidelines for the Evaluation and Certification of ADP

Systems and Networks and Computer Security (COMPUSEC)

Products, AC/35-N/275.

5. Procedure CER/P/01.1 Certification of the security

provided by IT products and systems, February 9, 2004

Secrtariat Gnral de la Dfense Nationale, France.

6. Information Technology Security Evaluation Manual

(ITSEM), version 1.0, Commission of the European

Communities.

7. Scheme overview, draft 0.3, April 15, 2005 Swedish

Certification Body for IT Security.

8. Evaluation and Certification, draft 0.9, April 15, 2005

Swedish Certification Body for IT Security.

9. Common Criteria Evaluation and Validation Scheme For

Information Technology Security, Guidance to Validators of IT

Security Evaluations, Version 1.0, February 2002, National

Institute for Standards and Technologies, U.S.

10. Common Criteria Evaluation and Validation Scheme

Policy Letter National Information Assurance Partnership,

U.S.

11. Information Technology Security Testing Common

Criteria, April 1999, Version 1.1, U.S. Department of Commerce.

12. Guidelines for Evaluation Work Program (EWP), January 14,

1998, JEIDA Japan.

Monitorul Oficial R.A., Str. Parcului nr. 65, sectorul 1, Bucureti; C.I.F. RO427282,

IBAN: RO55RNCB0082006711100001 Banca Comercial Romn S.A. Sucursala Unirea Bucureti

i IBAN: RO12TREZ7005069XXX000531 Direcia de Trezorerie i Contabilitate Public a Municipiului Bucureti

(alocat numai persoanelor juridice bugetare)

Tel. 021.318.51.29/150, fax 021.318.51.15, e-mail: [email protected], internet: www.monitoruloficial.ro

Adresa pentru publicitate: Centrul pentru relaii cu publicul, Bucureti, os. Panduri nr. 1,

bloc P33, parter, sectorul 5, tel. 021.411.58.33 i 021.410.47.30, fax 021.410.77.36 i 021.410.47.23

Tiparul: Monitorul Oficial R.A.

Monitorul Oficial al Romniei, Partea I, nr. 92/10.II.2010 conine 16 pagini. Preul: 3,20 lei ISSN 14534495

EDITOR: PARLAMENTUL ROMNIEI CAMERA DEPUTAILOR

&JUYDGY|440784]

Documents

0092