• Home

  • Documents

  • DIRECTIVA din 12 octombrie 2012 privind acreditarea de securitate a sistemelor informatice ?i de...

If you can't read please download the document

DIRECTIVA din 12 octombrie 2012 privind acreditarea de securitate a sistemelor informatice ?i de comunica?ii.odt

Embed Size (px)

Citation preview

Top of Form

http://idrept.ro/Media/DocumentAsset/m.gifDIRECTIVA din 12 octombrie 2012 privind acreditarea de securitate a sistemelor informatice i de comunicaii (SIC) care stocheaz, proceseaz sau transmit informaiiclasificate - INFOSEC 13http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL I:Introducerehttp://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 1:Domeniu de aplicabilitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 1Directiva privind acreditarea de securitate a sistemelor informatice i de comunicaii (SIC) care stocheaz, proceseaz sau transmit informaii clasificate -INFOSEC 13, denumit n continuare directiv, este aprobat de Oficiul Registrului Naional al Informaiilor Secrete de Stat (ORNISS), n aplicarea politicii naionale, NATO i UE de securitate privind protecia informaiilor clasificate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 2Prezentadirectiv se adreseaz ORNISS, structurilor de planificare, achiziie i implementare a SIC care proceseaz, stocheaz sau transmit informaii clasificate, autoritilor operaionale ale SIC, structurilor responsabile cu stabilirea, implementarea i meninerea standardelor INFOSEC, entitilor care, n cadrul procesului de acreditare de securitate a SIC, desfoar activiti de evaluare/certificare, precum i structurilor interne INFOSEC acreditate de ORNISS, denumite n continuare SII, stabilite n cadrul autoritilor desemnate de securitate, denumite n continuare ADS.http://idrept.ro/Media/DocumentAsset/m.gifArt. 3Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stocheaz, proceseaz sau transmit informaii clasificate.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 2:Definiiihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 4n cuprinsulprezentei directive, urmtorii termeni i sintagme se definesc dup cum urmeaz:a)informaii clasificate - informaii naionale clasificate secret de stat, informaii NATO clasificate, informaii UE clasificate sau informaii echivalente care fac obiectul unor tratate, acorduri sau nelegeri internaionale la care Romnia este parte;b)sistem informatic i de comunicaii (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informaiilor n format electronic. Un SIC cuprinde toateelementele care i sunt necesare pentru a funciona, incluznd infrastructura, structurile organizaionale, personalul i resursele informaionale;c)acreditarea de securitate - autorizarea acordat unui SIC s proceseze, s stocheze sau s transmit informaii clasificate n mediul su operaional.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 3:Cerine de acreditare de securitate a SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 5Obiectivul principal al acreditrii de securitate este acceptarea riscului de securitate rezidual asociat SIC i autorizarea operrii acestuia n conformitate cu termenii stabilii. Prin parcurgerea unui proces de acreditare de securitate se obine asigurarea c msurile de securitate implementate n SIC sunt conforme cu cerinele politicilor de securitate specifice tipului de informaii clasificatenaionale, NATO, UE i altele asemenea i ale documentaiei cu cerinele de securitate, denumit n continuare DCS, elaborat pentru respectivul SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 6n conformitate cu prevederile legislaiei naionale, SIC care stocheaz, proceseaz sau transmitinformaii clasificate trebuie s fac obiectul unui proces de acreditare de securitate. n acest context se aplic urmtoarele prevederi:a)pentru SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de stat, procesul de acreditare de securitate este stabilit i gestionat de ctre ORNISS prin Agenia de Acreditare de Securitate, denumit n continuare AAS, sau, dup caz, de ctre SII din cadrul ADS, potrivit competenelor pentru care au fost acreditate de ctre ORNISS; luareadeciziei privind acreditarea revine ORNISS sau SII, dup caz;b)pentru SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de serviciu, responsabilitatea acreditrii de securitate revine persoanei juridice care are n responsabilitate SIC;c)pentru interconectarea SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de stat, procesul de acreditare de securitate este stabilit i gestionat de ctre ORNISS prin AAS sau SII, dup caz;d)pentru SICnaionale care stocheaz, proceseaz sau transmit informaii clasificate NATO CONFIDENTIAL sau cu un nivel superior, procesul de acreditare de securitate este stabilit i gestionat de ctre ORNISS prin AAS, luarea deciziei privind acreditarea revenind ORNISS;e)pentru SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate NATO RESTRICTED nu este necesar ca AAS s stabileasc un proces de acreditare de securitate structurat, dar procesul de acreditare trebuie s reflecte importana obiectivelor de securitate (confidenialitate, integritate i disponibilitate), precum i impactul pe care l poate avea un eveniment nedorit asupra informaiilor, resurselor i serviciilor sistemului; pentru aceste SIC, responsabilitatea stabilirii i derulrii procesului de acreditare de securitate, precum i a lurii deciziei privind acreditarea poate fi delegat de ctre ORNISS persoanei juridice care are n responsabilitate un astfel de sistem. Persoana juridic va respecta prevederile documentului prin care se stabilesc condiiile n care se realizeaz delegarea privind autoritatea de acreditare de securitate;f)pentru interconectarea SIC naionale care stocheaz, proceseaz sau transmit informaii NATO clasificate cu SIC NATO sau cu alte SIC naionale trebuie ndeplinite cerinele specifice stipulate n normele tehnice i de implementare subsecvente i n politicile de securitate ale respectivelor reele, iar luarea deciziei privind acreditarea de securitate n vederea interconectrii revine, dup caz, ORNISS i/sau organismelor NATO abilitate;g)pentru SIC naionale care stocheaz, proceseaz sau transmit informaii UE clasificate, procesul de acreditare de securitate trebuie s fie stabilit i gestionat de ctre ORNISS prin AAS, iar luarea deciziei privind acreditarea revine ORNISS;h)pentru interconectarea SIC naionale care stocheaz, proceseaz sau transmit informaii UE clasificate cu SIC UE sau cu alte SIC naionale trebuie ndeplinite cerinele specifice stipulate n normele tehnice i deimplementare subsecvente i n politicile de securitate ale respectivelor reele, iar luarea deciziei privind acreditarea de securitate n vederea interconectrii revine, dup caz, ORNISS i/sau organismelor UE abilitate;i)pentru SIC naionale care stocheaz, proceseaz sau transmit informaii echivalente care fac obiectul unor tratate, acorduri sau nelegeri internaionale la care Romnia este parte, procesul de acreditare este stabilit i gestionat de ctre ORNISS prin AAS, iar luarea deciziei privind acreditarea de securitate revine ORNISS, prin aplicarea prevederilor naionale i ale respectivelor tratate, acorduri sau nelegeri internaionale la care Romnia este parte.http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL II:Structurile implicate n procesul de acreditare de securitate a SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 7ORNISS prin AAS este responsabil de managementul procesului de acreditare de securitate a SIC, n conformitate cu prevederile art. 6.http://idrept.ro/Media/DocumentAsset/m.gifArt. 8n cuprinsul anexei nr. 2 sunt prezentate structurile implicate n procesul de acreditare de securitatea SIC. Atribuiile acestora sunt precizate n Directiva privind structurile cu responsabiliti n domeniul INFOSEC - INFOSEC 1, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.482/2003.http://idrept.ro/Media/DocumentAsset/m.gifArt. 9(1)AAS se asigur c autoritatea operaional a SIC, denumit n continuare AOSIC, are autoritatea necesar pentru a gestiona aspectele de securitate n conformitate cu documentaia de securitate.http://idrept.ro/Media/DocumentAsset/m.gif(2)ncazul n care AOSIC nu are autoritatea necesar, AAS poate solicita luarea unor msuri speciale, de exemplu:a)escaladarea - n acest caz, AAS solicit s fie identificat o alt autoritate, care s fie desemnat de ctre conductorul organizaiei drept AOSIC;b)cooperarea - n acest caz, autoritile reprezentnd toate structurile care utilizeaz SIC coopereaz n vederea implementrii unui set comun de cerine de securitate specifice sistemului, denumite n continuare CSSS. n aceast situaie, autoritatea funcioneaz ca un comitet. Aceast cooperare trebuie susinut de un acord scris al membrilor i face subiectul unui arbitraj al unei tere pri, care este AAS. Cooperarea dintre statele membre i structuri NATO/UE poate necesita identificarea unei tere pri (cum ar fi: Oficiul de Securitate al NATO sau Secretariatul General al Consiliului UE); aceasta mai poate fi, de exemplu, un furnizor de informaii avnd interes n protecia informaiilor stocate, procesate sau transmise i care are posibilitateastoprii transmiterii informaiilor;c)hegemonia - n acest caz, conducerea unei persoane juridice consimte s accepte autoritatea altei persoane juridice i s implementeze CSSS. Aceast msur opereaz similar cu aceea a cooperrii, n cazul n care unadintre prile acordului este dominant, posibil datorit faptului c este furnizorul principal de informaii, i poate s impun un CSSS celeilalte pri fr a se recurge la arbitrajul unei tere pri.http://idrept.ro/Media/DocumentAsset/m.gifArt. 10(1)n cazul interconectrii SIC naionalecare stocheaz, proceseaz sau transmit informaii NATO/UE clasificate cu SIC NATO/SIC UE, cnd n administrarea i acreditarea de securitate a SIC sunt implicate i organisme NATO/UE, responsabilitatea acreditrii de securitate nu se limiteaz numai la ORNISS.(2)n situaia prevzut la alin. (1), ORNISS i se poate solicita s recunoasc autoritatea unor structuri NATO/UE i/sau s i coordoneze cu acestea responsabilitile pe care le are la nivel naional privind acreditarea.http://idrept.ro/Media/DocumentAsset/m.gifArt. 11(1)n cazul interconectrii SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate, caz n care sunt implicate mai multe AOSIC i structuri de securitate, se impune ncheierea unor acorduri de securitate ntre AOSIC privind interconectarea.(2)Aprobarea pentru interconectare prevzut la alin. (1) este acordat de ctre ORNISS sau SII, dup caz, responsabilitatea acreditrii de securitate a fiecrui SIC care se interconecteaz revenind ORNISS sau SII, dup caz.http://idrept.ro/Media/DocumentAsset/m.gifArt. 12(1)n vederea gestionrii activitilor stabilite prin strategia de acreditare de securitate a SIC se constituie o comisie de acreditare de securitate (CAS).(2)CAS se constituie, la solicitarea AAS, la nceputul ciclului de via al proiectului i i menine existena pn n momentulacreditrii de securitate.http://idrept.ro/Media/DocumentAsset/m.gif(3)CAS este format din reprezentani ai tuturor structurilor care au responsabiliti n asigurarea securitii informaiilor, serviciilor i resurselor SIC. Astfel, pe lng AAS, al crei reprezentat prezideaz CAS, aceasta poate avea n componen:a)reprezentani ai altor structuri din cadrul ORNISS;b)reprezentani ai ADS pe domeniul de competen;c)manageri de proiect;d)reprezentani ai AOSIC implicate;e)reprezentani ai structurilor de securitate ale entitilor care administreaz SIC;f)reprezentani ai structurilor de planificare i implementare a SIC;g)responsabili cu securitatea criptografic, a transmisiilor, a emisiilor etc.;h)reprezentani ai altor autoriti avnd competene relevante pentru securitatea SIC,cum ar fi, de exemplu, autoriti de evaluare i/sau certificare a unor componente ale SIC.(4)n funcie de etapa de implementare a proiectului, AAS poate invita la reuniunile CAS i alte structuri care pot sprijini luarea deciziei privind acreditarea desecuritate a SIC.(5)CAS poate fi reactivat de ctre AAS ori de cte ori se consider necesar, de exemplu: schimbri semnificative n cerinele operaionale i/sau n documentaia de securitate, schimbri majore privind configuraia SIC.(6)Prin intermediul CAS, AAS poate cere tuturor celor responsabili de asigurarea securitii SIC s se implice n procesul de acreditare de securitate.(7)n cazul interconectrii SIC naionale care stocheaz, proceseaz i transmit informaii clasificate, CAS este responsabil pentru stabilirea documentaiei de securitate pentru SIC care se interconecteaz, pentru analiza i aprobarea documentaiei privind cerinele de securitate comunitar, denumite n continuare CSC, precum i pentru acreditarea de securitate a interconectrii.(8)n anexa nr. 3 este prezentat un exemplu de regulament de organizare i funcionare a CAS.http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL III:Bazele acreditrii de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 1:Generalitihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 13Decizia privind acreditarea de securitate a unui SIC care stocheaz,proceseaz sau transmite informaii clasificate se fundamenteaz pe rezultatele:a)etapei de analiz a riscului de securitate i concluziilor prezentate n raportul de analiz a riscului;b)evalurii documentaiei de securitate, cum ar fi: raportul privindanaliza riscului de securitate, DCS, procedurile operaionale de securitate;c)verificrii privind implementarea principiilor securitii i reglementrilor de securitate, de exemplu, prin aplicarea unui plan de testare i evaluare a securitii i a analizei rezultatelor, precum i meninerea acestora n acord cu cerinele de securitate;d)identificrii riscurilor reziduale i relurii periodice a procesului de management al riscurilor de securitate.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 2:Procesul de management al riscului de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 14(1)SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate trebuie supuse unui proces de management al riscului de securitate.(2)Directiva privind managementul INFOSEC pentru sisteme informatice i de comunicaii - INFOSEC 3, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.484/2003, stabilete aspectele generale, procesele de analiz a riscului de securitatei de management al riscului de securitate, precum i necesitatea relurii procesului de management al riscului desecuritate. Detaliile privind aplicarea acesteia sunt prezentate n ghidul "Metodologia privind managementul riscului de securitate pentru sistemele informatice i de comunicaii care stocheaz, proceseaz sau transmit informaii clasificate - DS3", aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.389/2004.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 3:Documentaia de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 15http://idrept.ro/Media/DocumentAsset/m.gif(1)Un element important al procesului de acreditare de securitate l constituie documentaia de securitate, compus din:a)strategia de acreditare de securitate a SIC, documentelaborat, dup caz, de AAS sau SII, prin care se stabilesc activitile necesar a fi derulate n cadrul procesului de acreditare de securitate a SIC, responsabilitile i termenele de realizare a acestora;b)rezultatele procesului de management al riscului de securitate;c)DCS prin care se definesc cerinele de securitate, mediile de securitate i msurile de securitate aplicabile SIC care trebuie acreditat;d)procedurile operaionale de securitate (PrOpSec) care prezint modul de implementare a msurilorde securitate, a procedurilor operaionale referitoare la securitate ce trebuie urmate i a responsabilitilor personalului;e)rapoarte de evaluare/certificare a securitii informaiilor, resurselor sau serviciilor SIC, certificate de conformitate a produselor INFOSEC din compunerea SIC.http://idrept.ro/Media/DocumentAsset/m.gif(2)DCS constituie baza acordului dintre AAS i AOSIC n sensul operrii SIC ntr-o manier sigur. Aceasta stabilete msurile de securitate care asigur controlul i responsabilitatea privind accesul individual al utilizatorilor SIC la informaiile clasificate. Acest document mpreun cu PrOpSec stabilete msurile de securitate necesar a fi implementate, avnd n vedere:a)aspectele relevante din punctul de vedere al securitii, aflate n afara controlului AOSIC, adicmediul de securitate global, cum ar fi, de exemplu: elemente privind securitatea cldirii, securitatea ntregului spaiu aflat sub controlul structurii/funcionarului de securitate, securitatea sistemelor interconectate i mediul general de ameninri;b)securitatea fizic, securitatea personalului, securitatea informaiilor i msuri de securitate procedurale aflate sub controlul AOSIC n mediul de securitate local;c)mecanismele INFOSEC n SIC, adic mediul de securitate electronic, implementate ntr-o arhitectur dezvoltat pentru a corespunde funcionalitii i nivelului de asigurare de securitate necesar.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 4:Principiile securitiihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 16DCS, incluznd i aspectele rezultate din analiza riscurilor de securitate, stabilete modalitatea deobinere a proteciei informaiilor, resurselor i serviciilor SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 17AAS analizeaz conformitatea cerinelor de securitate stabilite pentru SIC cu prevederile reglementrilor n domeniu i cu necesitatea de contracarare a riscurilor de securitategenerate de implementarea i operarea SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 18n cazul interconectrii SIC, cerinele de securitate se aplic i interfeei dintre sisteme. Pentru stabilirea cerinelor de securitate se au n vedere:a)contracararea riscurilor de securitate inerenterezultate din necesitile operaionale, referitoare la utilizatorii autorizai ai SIC, i din folosirea canalelor de comunicaie i a echipamentelor necesare;b)contracararea riscurilor de securitate din afara SIC, inclusiv a atacurilor iniiate de utilizatorii SIC cu care se interconecteaz.http://idrept.ro/Media/DocumentAsset/m.gifArt. 19Evaluarea cerinelor de securitate pentru contracararea riscurilor de securitate prevzute la art. 18 lit. a) poate fi realizat ntr-o manier clar ntruct elementele variabile sunt n mare msur limitate, cum ar fi, de exemplu: locaia SIC, numrul utilizatorilor, certificarea de securitate a acestora, volumul i nivelul de clasificare de securitate a informaiilor stocate, procesate sau transmise.http://idrept.ro/Media/DocumentAsset/m.gifArt. 20http://idrept.ro/Media/DocumentAsset/m.gif(1)n evaluarea cerinelor de securitate pentrucontracararea riscurilor de securitate prevzute la art. 18 lit. b) exist 3 scenarii privind configuraia:a)SIC care nu se interconecteaz direct cu alte SIC, dar exist facilitatea de transfer off-line a informaiilor;b)SIC care se interconecteaz icare au diferite moduri de operare de securitate sau diferite niveluri de clasificare a informaiilor ori SIC sigur care se interconecteaz cu SIC nesigur, cum ar fi INTERNET sau reele similare din domeniul public. n acest context este necesar adoptareapoliticii de nod autoprotejat n vederea prevenirii riscurilor la adresa confidenialitii, integritii i disponibilitii informaiilor, precum i a integritii i disponibilitii resurselor i serviciilor SIC;c)un SIC acreditat care se interconecteaz cu alt SIC acreditat prin intermediul unei infrastructuri securizate, acestea putnd coopera pentru a susine mutual securitatea.(2)n situaia prevzut la alin. (1) lit. a) se au n vedere ameninrile i vulnerabilitile unui SIC independent (neconectat - LAN). Cerinele de securitate trebuie s aib n vedere funcionalitatea i nivelul de ncredere oferite de msurile de securitate implementate n hardware i software.(3)n situaiile prevzute la alin. (1) lit. b) i c), DCS se stabilete n funcie de fluxul informaiilor, ameninrile i vulnerabilitile aferente interconectrii i utilizatorilor celuilalt SIC n termeni de securitate sau insecuritate. Factorii determinani n stabilirea necesitii de securitate se constituie din reglementrile de securitate aplicate de cellalt SIC, structura i rigoarea propriilor CSSS i nivelul de ncredere obinut prin msurile de securitate implementate n hardware i software.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 5:Testarea i evaluarea de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 21Pentruacreditarea de securitate a unui SIC care stocheaz, proceseaz sau transmite informaii clasificate, AAS trebuie s aib certitudinea c:a)prin cerinele de securitate stabilite pentru SIC se realizeaz un echilibru corespunztor ntre riscul de securitate i cerinele operaionale;b)cerinele de securitate sunt implementate i respectate conform documentaiei de securitate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 22(1)Verificarea faptului c msurile de securitate sunt implementate n conformitate cu cerinele de securitate implic efectuarea unor testri i evaluri ale securitii. Scopul acestora este de a identifica eventualele discrepane dintre msurile de securitate aprobate i cele implementate.(2)Testarea i evaluarea securitii include aspectele privind managementul configuraiei pentru toate produsele hardware i software relevante pentru securitate.(3)Resursele necesare derulrii procesului de testare i evaluare a securitii includ personalul de testare i documentaia relevant pentru administrarea de securitate i de sistem, cum ar fi DCS, PrOpSec i datele de management al configuraiei.(4)Planul de testare i evaluare a securitii trebuie s stabileasc activitile necesar a fi derulate, obiectivele fiecreia dintre acesteactiviti, metoda de executare a testuluii rezultatele anticipate. Rezultatele activitii de testare i evaluare a securitii contribuie la luarea unei decizii privind acreditarea de securitate, fiind cuprinse ntr-un document i prezentate AOSIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 23(1)Activitile de evaluare i certificare de securitate a SIC sunt parte integrant a procedurilor de management al ntregului proiect. Pentru derularea acestor activiti trebuie avute n vedere att costurile, ct i acordarea ntregului sprijin necesar entitilor de evaluare i certificare, inclusiv prin punerea la dispoziie a unei documentaii suplimentare, care s detalieze aspectele tehnice ale DCS, conform nivelului necesar de asigurare a securitii.(2)Responsabilitatea privind monitorizarea continu a activitilor de evaluare icertificare revine AOSIC.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 6:Riscul rezidualhttp://idrept.ro/Media/DocumentAsset/m.gifArt. 24DCS, prin care se stabilesc msurile de securitate necesar a fi aplicate, trebuie, de asemenea, s identifice orice riscuri reziduale asociate SIC, care nu pot fi contracarate, cum ar fi cele din motive tehnice, i care sunt apreciate de ctre AOSIC i AAS ca fiind acceptabile. Acestea constituie obiectul relurii procesului de management al riscului de securitate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 25(1)n cadrul procesului de management al riscurilor se evalueazriscurile asociate configuraiei SIC, completate cu vulnerabilitile identificate n timpul derulrii testrii i evalurii securitii. Rezultatul acestei analize va fundamenta decizia privind acreditarea de securitate.(2)Cu ocazia relurii periodice aprocesului de management al riscului de securitate trebuie efectuat o analiz a riscurilor de securitate, care s ia n considerare noile vulnerabiliti i ameninri identificate i noile msuri de securitate capabile s elimine vulnerabilitile care nu au fost contracarate anterior, stabilind dac riscurile reziduale se menin la un nivel acceptabil.(3)Riscurile reziduale sunt asumate de ctre organizaia care are n responsabilitate SIC.http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL IV:Principalele etape ale procesului de acreditarede securitatehttp://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 1:Generalitihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 26(1)Activitile INFOSEC sunt derulate de-a lungul ntregului ciclu de via al SIC i trebuie corelate cu procesul de acreditare de securitate n conformitate cu precizrile din anexa nr. 1.(2)Succesiuneaetapelor n cadrul procesului de acreditare de securitate a SIC este iterativ i continu, ca urmare a modificrilor aduse acestuia de-a lungul ciclului su de via, schimbri care impun reluarea procesului de management al riscurilor de securitate.http://idrept.ro/Media/DocumentAsset/m.gif(3)Etapele principale ale procesului de acreditare de securitate a SIC sunt prezentate n urmtoarea figur:Etapele procesului de acreditare de securitatehttp://idrept.ro/00151412pi001.gifhttp://idrept.ro/00151412pi002.gif1 - ncadrarea acestei activiti pe aceast poziie s-a realizat din considerente logice, neavndcaracter obligatoriu din punct de vedere cronologic.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 2:Solicitarea acreditriihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 27(1)Reprezentantul legal al persoanei juridice de drept public sau privat solicit, printr-o adres oficial transmis la ORNISS, declanarea procesului deacreditare de securitate a SIC pe care l are n responsabilitate.http://idrept.ro/Media/DocumentAsset/m.gif(2)Cererea de acreditare de securitate a SIC va fi nsoit de urmtoarele precizri:a)elemente care s susin necesitatea de acces la informaii clasificate, cum ar fi, de exemplu, o copie a hotrrii Guvernului prin care este aprobat lista proprie cuprinznd categoriile de informaii secrete de stat pe niveluri de secretizare, documentaie care s confirme demararea procedurilor de obinere a unui certificat de securitate industrial etc.;b)nivelul maxim de clasificare a informaiilor care vor fi stocate, procesate sau transmise n SIC;c)descrierea general a SIC: scop, configuraie hardware i software, amplasare, interconectare etc.;d)modul de operare de securitate al SIC;e)abrevierea denumirii SIC;f)datele de contact ale personalului avnd responsabiliti n domeniul proteciei informaiilor clasificate stocate, procesate sau transmise n format electronic.(3)n cazul n care documentaia care nsoete cererea privind acreditarea de securitate a SIC este complet, AAS iniiaz demersurile de constituire a CAS i de elaborare a strategiei de acreditare de securitate. n caz contrar, ORNISS va informa solicitantul n vederea furnizrii informaiilor adiionale necesare.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 3:Constituirea CAShttp://idrept.ro/Media/DocumentAsset/m.gifArt. 28Rolul CAS este de a gestiona implementarea strategiei de acreditare de securitate a SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 29(1)Directorul General al ORNISS stabilete, prin ordin, la propunerea AAS, componena CAS a SIC.(2)Activitatea CAS sedesfoar n conformitate cu regulamentul de organizare i funcionare aprobat de directorul general al ORNISS.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 4:Elaborarea strategiei de acreditare de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 30(1)CAS elaboreaz strategia de acreditare de securitate prin care se stabilesc condiiile n care SIC va fi acreditat.http://idrept.ro/Media/DocumentAsset/m.gif(2)Strategia de acreditare de securitate este aprobat de directorul general al ORNISS i include urmtoarele aspecte:a)scopul i obiectivele procesului de acreditare de securitate;b)descrierea SIC;c)documentaia care trebuie elaborat n vederea lurii deciziei privind acreditarea de securitate;d)autoritile i structurile implicate n procesul de acreditare de securitate i responsabilitile acestora;e)cerinele privind derularea procesului de management al riscului de securitate;f)cerinele privind etapele de evaluare i certificare a securitii informaiilor, resurselor i serviciilor SIC;g)graficul activitilor care trebuie desfurate n cadrul procesului de acreditare de securitate;h)procesele menite s asigure meninerea acreditrii de securitate a SIC.(3)ORNISS transmite strategia de acreditare de securitate aprobat tuturor celor implicai n procesul de acreditare de securitate a SIC, n termen de maximum 30 de zile de la data nregistrrii la ORNISS a documentaiei complete prevzute la art. 27 alin. (2).http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 5:Elaborarea raportului de analiz a risculuihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 31Procesul de management al riscului de securitate se desfoar pe toat durata ciclului de via al SIC i const nparcurgerea etapelor de analiz a riscului i de reducere a acestuia la un nivel acceptabil.http://idrept.ro/Media/DocumentAsset/m.gifArt. 32Managementul riscului de securitate este obligatoriu pentru toate SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 33Analiza riscului de securitate poate fi desfurat de persoana juridic ce administreaz SIC supus procesului de acreditare de securitate sau de ctre o entitate acreditat de ORNISS pentru realizarea acestui tip de activitate. Este foarte important ca analiza riscului s fie desfurat de o echip de experi bine pregtii n domeniile: administrarea i organizarea securitii, securitatea fizic, securitatea personalului, securitatea documentelor, INFOSEC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 34La finalizarea procesului de analiz ariscului se ntocmete raportul privind analiza riscului de securitate care prezint riscurile privind producerea unor evenimente nedorite, nivelurile asociate acestora, cum ar fi, de exemplu, mic, mediu, mare, recomandrile privind msurile de securitatecare conduc la reducerea lor, precum i nivelurile riscurilor reziduale rezultate.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 6:Analizarea, evaluarea i aprobarea raportului de analiz a risculuihttp://idrept.ro/Media/DocumentAsset/m.gifArt. 35(1)Raportul de analiz a riscului de securitate va fi supus unei analize de ctreCAS, care va transmite reprezentantului legal al persoanei juridice care are n responsabilitate SIC i entitii acreditate de ORNISS, dup caz, un document care are drept obiect evaluarea acestui raport sau raportul de analiz a riscului aprobat. Documentul de evaluare ntocmit de ORNISS sau raportul de analiz a riscului aprobat va fi transmis n termen de maximum 30 zile de la data nregistrrii raportului de analiz a riscului la ORNISS.http://idrept.ro/Media/DocumentAsset/m.gif(2)Raportul de analiz a riscului de securitate este:a)asumatde reprezentantul legal al persoanei juridice care are n responsabilitate SIC;b)dac este cazul, asumat de reprezentantul legal al entitii acreditate de ORNISS care a efectuat analiza riscului;c)aprobat de ORNISS.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 7:Elaborarea DCShttp://idrept.ro/Media/DocumentAsset/m.gifArt. 36(1)DCS se ntocmete pentru toate SIC care stocheaz, proceseaz sau transmit informaii clasificate.(2)DCS este elaborat de AOSIC, n colaborare cu toate structurile implicate n proiect, cum ar fi: structura de securitate, structura de planificare iimplementare a SIC, managerul de proiect.(3)DCS, reprezentnd acordul obligatoriu ntre AOSIC i AAS, se constituie ntr-o documentaie complet i explicit a principiilor de securitate care trebuie avute n vedere i a cerinelor detaliate de securitatecare trebuie ndeplinite.http://idrept.ro/Media/DocumentAsset/m.gif(4)n elaborarea DCS trebuie s se aib n vedere urmtoarele criterii:a)politica naional/NATO/UE de securitate, dup caz;b)rezultatele procesului de management al riscului de securitate, inclusiv parametrii impui care se refer la mediul operaional, cum ar fi: cel mai sczut nivel al certificatului de securitate al personalului, cel mai ridicat nivel de clasificare a informaiilor stocate, procesate sau transmise, modul de operare de securitate sau cerinele pentru utilizatori;c)politicile de securitate ale reelelor care se interconecteaz.(5)DCS poate fi revizuit n fiecare etap a ciclului de via al SIC, de la planificarea i pn la scoaterea din uz a acestuia.http://idrept.ro/Media/DocumentAsset/m.gif(6)DCS poate fi alctuit din unul sau mai multe documente, n funcie de natura i complexitatea SIC, astfel:(i)CSSS - prezint aspectele de securitate specifice fiecrui SIC;(ii)CSC - n cazul n care comunitatea de interese este alctuit din mai multe SIC interconectate sau cnd o organizaie are un numr de SIC care opereaz n cadrul aceluiai mediu global de securitate. n plus, CSC trebuie s faciliteze nsumarea unei serii bilaterale de documente cu cerine de securitate pentru interconectarea sistemelor, denumite CSIS, i trebuie s stabileasc standardele de securitate care trebuie aplicate oricrui SIC care urmeaz s se alture comunitii;(iii)CSIS - prezint aspectele de securitate ale interconectrii efective ntre diferite SIC.(7)Componena DCS se stabilete prin strategia de acreditare desecuritate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 37n cazul interconectrii SIC, CAS va stabili responsabilitile privind elaborarea CSC i a CSIS, n funcie de structura care asigur managementul proiectului. Aceast structur va asigura i transmiterea ctre ORNISS a documentaieide securitate privind interconectarea.http://idrept.ro/Media/DocumentAsset/m.gifArt. 38CSSS i PrOpSec vor ndeplini cerinele din CSC i CSIS i vor fi elaborate de autoritatea operaional a fiecrui SIC care se interconecteaz, avnd n vedere condiiile de securitate din mediul operaionalal fiecrui sistem.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 8:Analizarea, evaluarea i aprobarea DCShttp://idrept.ro/Media/DocumentAsset/m.gifArt. 39(1)n cadrul acestei etape, CAS analizeaz i evalueaz DCS pentru a stabili dac aceasta este elaborat n acord cu criteriile stabilite la art. 36 alin. (4). Avnd n vedere faptul c DCS poate fi modificat pe parcursul ciclului de via al SIC, versiunile actualizate ale DCS vor fi transmise AAS.(2)CAS ntocmete i transmite solicitantului un raport de analiz a DCS sau DCS aprobat, n termen de maximum 30 de zile de la data nregistrrii la ORNISS a DCS.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 9:Elaborarea PrOpSec i a altor documente relevante n domeniul securitii SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 40(1)PrOpSec reprezint descrierea precis a implementrii cerinelor de securitate definite anterior n DCS, a procedurilor operaionale care trebuie urmate i responsabilitilor personalului SIC.(2)PrOpSec sunt ntocmite de ctre AOSIC, n conformitate cu normele INFOSEC emise de ORNISS i cu documentaia specific reelelor cu care se interconecteaz, dup caz. Acestdocument este naintat ctre AAS pentru analiz, evaluare i aprobare.(3)n funcie de configuraia SIC, n cadrul strategiei de acreditare de securitate a SIC se vor preciza i alte documente relevante pentru securitatea SIC, necesar a fi ntocmite n susinerea procesului de acreditare.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 10:Analizarea, evaluarea i aprobarea PrOpSechttp://idrept.ro/Media/DocumentAsset/m.gifArt. 41(1)n cadrul acestei etape, documentul privind PrOpSec este analizat i evaluat de ctre CAS pentru a stabili dac cerinele de securitate sunt ndeplinite prin stabilirea corespunztoare a procedurilor operaionale respective.(2)CAS ntocmete i transmite solicitantului un raport de analiz a PrOpSec sau PrOpSec aprobate, n termen de maximum 30 de zile de la data nregistrrii la ORNISS a PrOpSec.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 11:Implementarea msurilor de securitatehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 42Responsabilitatea implementrii msurilor de securitate aprobate prin documentaia de securitate revine AOSIC.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 12:Testarea i evaluarea securitii informaiilor, resurselor iserviciilor SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 43Prin strategia de acreditare de securitate a SIC se stabilesc responsabilitile privind desfurarea activitilor de testare i evaluare a securitii informaiilor, resurselor i serviciilor SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 44(1)Testarea i evaluarea securitii este o activitate de analiz, evaluare i testare comprehensiv a msurilor de securitate tehnice i nontehnice, operaionale i de management al securitii informaiilor, resurselor i serviciilor SIC, n vederea stabilirii gradului n caremsurile satisfac cerinele de securitate stabilite prin DCS, sunt corect implementate, sunt eficiente i a gradului n care sunt respectate procedurile de securitate aprobate pentru sistem.(2)Testarea i evaluarea securitii au rolul de a stabilimsura n care sistemul de protecie implementat ndeplinete obiectivele securitii informaiilor, resurselor i serviciilor SIC.(3)n vederea verificrii faptului dac msurile de securitate sunt implementate i respectate n conformitate cu cerinelede securitate, n cadrul activitii de evaluare se efectueaz testri privind securitatea SIC sau a componentelor sale, dup caz, n baza unui plan de testare i evaluare.(4)Rezultatele activitii de testare i evaluare a securitii sunt prezentate ntr-un raport, care trebuie s conin constatrile verificrii, s identifice deficienele existente n implementarea msurilor de securitate sau n asigurarea obiectivelor securitii i s formuleze recomandrile privind msurile corective necesare.(5)Dac n cadrul etapei de testare i evaluare a securitii se identific noi riscuri de securitate care pot afecta obiectivele securitii informaiilor, resurselor i serviciilor SIC, aceste riscuri vor fi evideniate n cadrul raportului privind testarea i evaluarea securitii SIC, care va cuprinde i recomandri privind msuri de securitate suplimentare care s conduc la reducerea acestor riscuri.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 13:Certificarea securitii informaiilor, resurselor i serviciilor SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 45(1)Prin strategia de acreditare de securitate a SIC se stabilesc responsabilitile privind desfurarea activitilor de certificare privind securitatea informaiilor, resurselor i serviciilor SIC.(2)Certificarea securitii informaiilor, resurselor i serviciilorSIC reprezint activitatea care are drept scop verificarea rezultatelor obinute n cadrul etapei de testare i evaluare a securitii informaiilor, resurselor i serviciilor SIC, precum i modalitatea n care s-a desfurat aceasta.http://idrept.ro/Media/DocumentAsset/m.gif(3)n cadrul procesului de certificare, care const ntr-o analiz independent a rezultatelor obinute n urma etapei de testare i evaluare de securitate, precum i a modalitii n care s-a desfurat aceast activitate, trebuie s se analizeze urmtoarele aspecte:a)resursele folosite n cadrul testrii i evalurii de securitate, cum ar fi, timpul, banii etc.;b)personalul care a realizat testarea i evaluarea de securitate (calificare, obiectivitate, imparialitate etc.);c)procesele derulate n cadrul testrii i evalurii (mecanismele tehnice de evaluare, coordonarea corespunztoare a constatrilor i recomandrilor, tehnicile i instrumentele utilizate, alocarea resurselor pentru utilizarea instrumentelor, realizarea analizelor i prezentarea concluziilor);d)raportul privind testarea i evaluarea (recomandrile i concluziile sunt corespunztoare; activitatea de evaluare a fost concentrat pe elementele relevante; analizarea ariilor cu probleme majore de securitate; existena unor msuri de securitate neevaluate care ar putea influena concluziile; stabilirea recomandrilor n funcie de prioriti i baza pe care s-au stabilit prioritile; vulnerabiliti reziduale identificate; recomandrile i opiniile sunt rezultatul unei informri corespunztoare).(4)Rezultatele activitii de certificare de securitate vor face obiectul unui raport.(5)Dac, n urma activitii de certificare, se constat deficiene n procesul de evaluare de securitate, atunci raportul se transmite entitii de evaluare de securitate n vederea remedierii acestora.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 14:Luarea deciziei privind acreditarea de securitate a SIChttp://idrept.ro/Media/DocumentAsset/m.gifArt. 46Dup parcurgerea activitilor necesare lurii unei decizii privind acreditarea de securitate a SIC, la propunerea CAS, directorul general al ORNISS are la dispoziie urmtoarele opiuni:a)acreditarea deplin (AD) - decizie de acreditare pentru o perioad specificat de timp, pentru mediul operaional stabilit iniial, atunci cnd nu trebuie s fie ndeplinite condiii specificate n prealabil. n urmaacordrii AD, se emite certificatul de acreditare de securitate, pentru o perioad de maximum 3 ani;b)aprobarea limitat de operare (ALO) - pentru operarea SIC n afara mediului operaional stabilit iniial, cum ar fi, de exemplu: modificarea coninutuluiiniial al misiunii SIC, gestionarea unei situaii de criz, operaiuni mai restrictive, misiuni unice cu durat limitat;c)aprobarea provizorie de operare (APO) - decizie de acreditare prin care sunt identificate foarte clar condiiile pentru APO, activitile ce vor fi ntreprinse i realizate nainte de obinerea AD, cum ar fi, de exemplu: contramsurile adiionale care vor fi implementate, aprobarea versiunii finale a documentaiei de securitate. Perioada pentru care se acord acest tip de acreditarepoate fi de maximum 12 luni calendaristice;d)aprobarea pentru testare (AT) - decizie de acreditare prin care sunt identificate foarte clar condiiile, cum ar fi: sfera de aciune n care SIC va fi testat, nivelul maxim de clasificare a informaiilor implicate n testare;e)neacreditarea - decizie datorat identificrii unor deficiene grave referitoare la securitatea SIC. AAS va recomanda perioada n care trebuie s se desfoare activitile de corectare a deficienelor constatate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 47Certificatul de acreditare de securitate emis de ORNISS confirm faptul c msurile de securitate sunt conforme cu legislaia n domeniu i rezultatele analizei riscurilor de securitate sunt implementate corespunztor i asigur nivelul de ncredere corespunztor pentruSIC n condiiile prezentate n documentaia de securitate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 48Reprezentantul legal al persoanei juridice care deine SIC are obligaia de a remite la ORNISS certificatul/aprobarea expirat sau anulat de ctre ORNISS, n termen de maximum 10 zilede la data expirrii/anulrii acestora.http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL V:Acreditarea de securitate a unui SIC ntr-un mediu de achiziie i implementare etapizathttp://idrept.ro/Media/DocumentAsset/m.gifArt. 49(1)n numeroase situaii, organizaiile care exploateaz un SIC adopt o politic de achiziie i implementare n mai multe faze, ceea ce conduce la un proces de acreditare de securitate etapizat.http://idrept.ro/Media/DocumentAsset/m.gif(2)ntr-un mediu de achiziie i implementare etapizat pot exista dou situaii:a)SIC n care etapele de dezvoltare sunt planificate de la nceputul proiectului,cerinele finale care trebuie ndeplinite fiind cunoscute;b)SIC n care achiziiile nu urmeaz un plan prestabilit.http://idrept.ro/Media/DocumentAsset/m.gifArt. 50(1)n situaia prevzut la art. 49 alin. (2) lit. a), procesul etapizat de acreditare de securitate este uor de aplicat. DCS pentru un astfel de SIC trebuie s descrie aspectele finale privind rolul i configuraia SIC, mediile de securitate, cerinele de securitate i msurile de securitate, precum i aspectele de detaliu ale cerinelor i msurilor de securitate pentru fiecare etap de dezvoltare.(2)Pentru fiecare etap planificat, DCS trebuie s prezinte restriciile ce sunt necesare a fi aplicate i condiiile care trebuie ndeplinite n etapele ulterioare, pentru ca aceste restricii s fie ridicate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 51(1)n situaiaprevzut la art. 49 alin. (2) lit. a), acreditarea de securitate trebuie obinut dup fiecare etap de dezvoltare prevzut n DCS aprobat. Acest scenariu reflect faptul c acreditarea de securitate este un proces continuu.(2)ntr-un mediu de achiziie i implementare etapizat, procesul de acreditare de securitate poate fi ntrerupt n orice moment dac etapele ulterior planificate pentru dezvoltarea SIC nu sunt realizate. n acest caz SIC va fi acreditat n configuraia realizat n urma ultimei achiziii.http://idrept.ro/Media/DocumentAsset/m.gifArt. 52n situaia prevzut la art. 49 alin. (2) lit. b), procesul de acreditare de securitate nu este planificat din faza de debut a proiectului prevzut a se desfura etapizat, reprezentnd n general situaiile n care pentru un SIC existentapare necesitatea operaional de extindere sau de interconectare. n aceast situaie, este necesar a se evalua starea de securitate a SIC, prin derularea procesului de management al riscului de securitate, stabilindu-se cerinele i msurile de securitate adiionale, care vor fi documentate n DCS.http://idrept.ro/Media/DocumentAsset/m.gifCAPITOLUL VI:Activiti postacreditarehttp://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 1:Activiti principalehttp://idrept.ro/Media/DocumentAsset/m.gifArt. 53Msurile de securitate stabilite prin documentaia de securitate a SIC trebuie meninute i testate de ctre AOSIC, de-a lungul perioadei de acreditare de securitate a SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 54Dup acordarea autorizrii de funcionare a SIC, AAS desfoar periodic inspecii n vederea stabilirii gradului n care msurile de securitate implementate sunt conforme cu reglementrile n vigoare, rezultatele managementului riscului de securitate i documentaia de securitate a SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 55(1)Structurile de planificare i implementare ale SIC i AOSIC au responsabilitatea s informeze ORNISS cu privire la propunerile de modificare a configuraiei SIC, schimbrile n cerinele operaionale ale sistemului, schimbrile privind nivelul de clasificare a informaiilor stocate, procesate sau transmise n SIC ori oricare alte modificri aduse sistemului.(2)Modificrile vor fi efectuate numai dup aprobarea acestora de ctre ORNISS.(3)ORNISS ofer consultan cu privire la implicaiile pe care le pot avea asupra securitii modificrile propuse. n acest scop, condiiile pentru reacreditarea de securitate trebuie s fie clar definite n DCS.http://idrept.ro/Media/DocumentAsset/m.gifArt. 56ORNISS acord asisten AOSIC pentru investigarea oricror nclcri ale msurilor de securitate i a situaiilor n care se suspecteaz nclcarea acestora.http://idrept.ro/Media/DocumentAsset/m.gifArt. 57Situaiile care conduc la necesitatea reacreditrii de securitate a SIC sunt urmtoarele,fr a se limita la acestea:a)schimbarea nivelului de clasificare a informaiilor, care are ca efect o schimbare a msurilor de securitate;b)schimbarea cerinelor de securitate, ca urmare a schimbrii politicii naionale de securitate;c)schimbareaameninrilor la adresa SIC sau a vulnerabilitilor SIC ori ale unui SIC cu care acesta este conectat;d)modificri ale mediului de securitate global, mediului de securitate local sau mediului de securitate electronic, cum ar fi schimbri ale componentelor software de securitate sau ale celor relevante pentru securitate, dup caz. Relevana modificrilor asupra securitii sistemului se analizeaz i se evalueaz de ctre AOSIC i se notific AAS;e)nclcarea normelor de securitate, violarea securitii SIC sau un eveniment nedorit care poate determina anularea aprobrii de funcionare prin descoperirea unor bree n proiectarea securitii;f)schimbarea semnificativ a msurilor de securitate fizic implementate sau a coninutului documentului PrOpSec;g)schimbarea semnificativ a configuraiei SIC, de exemplu, conectarea unor staii de lucru la un SIC, n afara configuraiei aprobate;h)pentru reele, includerea unui alt SIC, acreditat separat, sau modificarea/nlocuirea SIC conectate;i)rezultatele uneiverificri efectuate de ctre AAS.http://idrept.ro/Media/DocumentAsset/m.gifArt. 58(1)n situaia n care pentru un SIC care deine un certificat de acreditare de securitate exist necesitatea de a stoca, de a procesa sau de a transmite informaii clasificate i dup termenul de valabilitate alacestuia, persoana juridic ce are n responsabilitate SIC va solicita reacreditarea de securitate a SIC.(2)Solicitarea prevzut la alin. (1) va fi transmis la ORNISS cu minimum 3 luni nainte de expirarea termenului de valabilitate a certificatului deacreditare de securitate i va cuprinde datele prevzute la art. 27 alin. (2).http://idrept.ro/Media/DocumentAsset/m.gifArt. 59ORNISS poate decide anularea/suspendarea aprobrii de funcionare acordate unui SIC cnd, dup caz, se constat nclcarea grav a normelor de securitate, ncetarea activitii persoanei juridice de drept public sau privat care deine SIC, modificarea domeniului de activitate al acesteia, apariia unor modificri n cadrul persoanei juridice care conduc la neavizarea Programului de prevenire a scurgerii de informaii clasificate sau orice alt situaie care poate afecta grav obiectivele securitii SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 60CAS stabilete, prin strategia de reacreditare de securitate, activitile necesar a fi derulate n vederea obinerii unei noi aprobri, n funcie de modificrile suferite n SIC.http://idrept.ro/Media/DocumentAsset/m.gifArt. 61AAS asigur evidena la nivel naional a informaiilor referitoare la acreditarea tuturor SIC naionale ce stocheaz, proceseaz sau transmit informaii clasificate.http://idrept.ro/Media/DocumentAsset/m.gifSECIUNEA 2:ncetarea funcionrii SIC/dezafectareaechipamentelorhttp://idrept.ro/Media/DocumentAsset/m.gifArt. 62n cazul n care un SIC naional care stocheaz, proceseaz sau transmite informaii clasificate i nceteaz activitatea sau echipamentele sale sunt dezafectate, AOSIC adreseaz o solicitare ORNISS sau entitii de evaluare de securitate, care va acorda consultan pentru a se asigura c:a)documentele, inclusiv mediile de stocare fixe i amovibile asociate SIC, precum i informaiile necesare evidenei sunt, dup caz, arhivate, declasificate sau distruse n conformitate cu prevederile legale n vigoare;b)dezafectarea i distrugerea produselor, sistemelor criptografice i materialelor asociate se realizeaz n conformitate cu procedurile legale;c)echipamentele din care s-au extras mediile de stocare se utilizeaz n mediicontrolate i securizate.http://idrept.ro/Media/DocumentAsset/m.gifArt. 63- Anexa nr. 4 prezint o bibliografie a reglementrilor i documentelor cu relevan n domeniu.http://idrept.ro/Media/DocumentAsset/m.gifArt. 64Anexele nr. 1-4 fac parte integrant din prezenta directiv.-****-http://idrept.ro/Media/DocumentAsset/m.gifANEXA nr. 1:Corelaia dintre activitile INFOSEC de-a lungul ntregului ciclu de via al SIC i procesul de acreditare de securitate a SICEtapa ciclului de via al SICProcesele ciclului de via al SICCerine de acreditare de securitateProduse INFOSEC

Planificarea SIC1. Stabilirea cerineloroperaionale i de securitate2. Procesul de definire a pachetului de capaciti i a documentaiei asociate1. Evaluarea iniial a riscului2. Versiunea iniial a documentaiei de securitateInstrumente manuale sau automate de evaluare a riscului i demanagement al riscului

Dezvoltarea i achiziia SIC1. Procesul de definire a categoriilor de costuri i a costului estimat2. Procesul de elaborare a specificaiilor3. Dezvoltarea SIC4. Achiziia SIC1. Evaluarea detaliat a riscului2. mbuntireaDCS (de exemplu, CSC, CSSS, CSIS)3. Stabilirea cerinelor pentru testarea i evaluarea securitii i elaborarea planului de testare i evaluare a securitii1. Instrumente de definire a cerinelor de securitate2. Standarde de evaluare a securitii IT3. Alegerea profilului de protecie (PP)4. Pachete de protecie5. inta de securitate6. Instrumente manuale sau automate de evaluare a riscului i de management al riscului

Implementarea SIC i acreditarea de securitateOperaionalizarea SIC-implementarea sistemului- testarea de acceptan- finalizarea documentaiei proiectului1. Managementul riscului la adresa securitii2. Verificarea implementrii securitii3. Acreditarea de securitate1. Produsele INFOSEC2. Catalogul naional de pachete, produse i profile de protecie INFOSEC

Exploatarea SICExploatarea operaional a SIC1. Proceduri operaionale de securitate (PrOpSec)2. Continuarea procesului de management al riscului la adresa securitii3. Inspecii/verificri de securitateInstrumente de securitate

Dezvoltarea/modificarea SIC1. Procese specifice de dezvoltare2. Achiziia SIC3. Operaionalizarea SIC- Implementarea modificrilor- Testarea securitii1. Managementul riscului la adresa securitii2. Actualizareadocumentaiei de securitate (de exemplu, CSC, CSSS, CSIS, PrOpSec)3. Stabilirea cerinelor de testare i evaluare a securitii i a planului de testare i evaluare a securitii4. Verificarea implementrii securitii5. Reacreditarea de securitate1. Instrumente de definire a cerinelor de securitate2. Standarde de evaluare a securitii IT3. Alegerea PP4. Pachete de protecie5. inta de securitate6. Produse INFOSEC7. Catalogul naional de pachete, produse i profile de protecie INFOSEC

Scoaterea SIC din exploatare1. Arhivarea/declasificarea/distrugerea documentelor, inclusiv a mediilor de stocare 2. Scoaterea din uz i distrugerea produselor i sistemelor criptograficeActualizarea evidenelorCatalogul naional de pachete, produse i profile de protecie INFOSEC

http://idrept.ro/Media/DocumentAsset/m.gifANEXA nr. 2:Structuri implicate n procesul de acreditare de securitate a SIChttp://idrept.ro/00151412pi003.gifhttp://idrept.ro/Media/DocumentAsset/m.gifANEXA nr. 3:COMISIA DE ACREDITARE DE SECURITATE (CAS)Regulament de organizare i funcionare - model -http://idrept.ro/Media/DocumentAsset/m.gifI.IntroducereReferine:1.Standardelenaionale de protecie a informaiilor clasificate n Romnia, aprobate prin Hotrrea Guvernului nr.585/2002, cu modificrile i completrile ulterioare2.Normele privind protecia informaiilor clasificateale Organizaiei Tratatului Atlanticului de Nord n Romnia, aprobate prin Hotrrea Guvernului nr.353/2002, cu modificrile ulterioare3.Directiva privind acreditarea de securitate a sistemelor informaticei de comunicaii (SIC) care stocheaz, proceseaz sau transmit informaii clasificate - INFOSEC 13, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.108/20124.Alte documente relevanteII.Se va realiza o prezentare general a SIC (de ctre AOSIC) Compunerea CAS pentru ................ (denumirea SIC)http://idrept.ro/Media/DocumentAsset/m.gifIII.CAS pentru ................ (denumirea SIC) este stabilit n conformitate cu cerinele documentelor de referin prevzute la pct. I sub conducerea ................ , avnd urmtoarea componen (dup caz):a)reprezentani ................ ORNISS;b)reprezentani ................ ai ADS pe domeniul de competen;c)managerii ................ deproiect;d)reprezentanii ................ AOSIC implicate;e)reprezentani ................ ai structurilor de securitate ai SIC;f)reprezentani ai structurilor de planificare i implementare a SIC;g)responsabilii ................ cu securitatea criptografic, a transmisiilor, a emisiilor etc.;h)reprezentani ................ ai altor autoriti avnd competene (de exemplu: autoriti de certificare a unor componente ale SIC).http://idrept.ro/Media/DocumentAsset/m.gifIV.Misiunea CAS pentru ................ (denumirea SIC)Principala misiunea CAS pentru ................ (denumirea SIC) este de a obine acreditarea ................ (denumirea SIC). n plus, misiunea CAS pentru (denumirea SIC) este de a oferi consultan n vederea stabilirii unui sistem efectiv de protecie a informaiilor vehiculate prin ................ (denumirea SIC) care s asigure confidenialitatea, integritatea i disponibilitatea informaiilor clasificate. CAS pentru ................ (denumirea SIC) va exista pe ntreaga perioad a ciclului de via a sistemului.http://idrept.ro/Media/DocumentAsset/m.gifV.Responsabilitile CAS pentru ................ (denumirea SIC)http://idrept.ro/Media/DocumentAsset/m.gif1.CAS pentru ................ (denumirea SIC) are urmtoarele responsabiliti, dup caz:a)asigur asisten i ndrumare n domeniul INFOSEC pentru conducerea proiectului ................ (denumirea SIC);b)asigur asisten i ndrumare structurilor de securitate a ................ (denumirea SIC) cu privire la condiiile de acreditare i reacreditare;c)elaboreaz strategia de acreditare de securitate a ................ (denumirea SIC) i gestioneaz implementarea acesteia. Procesul de acreditare poate varia n funcie de situaie, dar trebuie s fie n conformitate cu cerinele prevzute de legislaia n domeniu;d)recomand standardele minime de securitate pentru implementarea specific;e)recomand cerinele pentru evaluarea i certificarea securitii;f)asigur consultan n procesul de evaluare a securitii pentru ................ (denumirea SIC);g)analizeaz i evalueaz documentaia de securitate a ................ (denumirea SIC);h)acord consultan cu privire la coninutul viitoarelor versiuni ale documentaiei de securitate a ................ (denumirea SIC);i)acord consultan cu privire la strategia propus pentru ndeplinirea cerinelor de securitate;j)acord asisten structurilor de securitate n abordarea aspectelor de securitate ale cerinelor operaionale, pe baza CSC i a documentaiei de securitate aprobate de ctre ORNISS;k)acord consultan managerului de proiect al ................ (denumirea SIC) cu privire laimplicaiile pe care schimbrile configuraiei SIC, cerinelor operaionale sau nivelului de clasificare a informaiilor vehiculate n SIC le au asupra securitii;l)asigur consultan pentru stabilirea memorandumurilor de nelegere privind aspectele demanagement al securitii i pentru definirea i acceptarea responsabilitilor de ctre prile implicate n cazul interconectrii;m)formuleaz propunerile privind luarea deciziei;n)elaboreaz documentul oficial privind acreditarea de securitate a SIC;o)stabilete cerinele pentru evalurile periodice privind meninerea eficienei msurilor de securitate.http://idrept.ro/Media/DocumentAsset/m.gifVI.RaportareaCAS pentru ................ (denumirea SIC) va raporta periodic AAS aspectele legate de derularea procesului de acreditare de securitate a ................ (denumirea SIC).http://idrept.ro/Media/DocumentAsset/m.gifVII.Reuniunile de lucruCAS pentru ................ (denumirea SIC) se reunete ori de cte ori este necesar rezolvarea unor aspecte aferente procesului de acreditare de securitate a SIC.http://idrept.ro/Media/DocumentAsset/m.gifANEXA nr. 4:Bibliografie1.Legea nr.182/2002privind protecia informaiilor clasificate, cu modificrile i completrile ulterioare.2.North Atlantic Council, Security within the North Atlantic Treaty Organisation (NATO) C-M (2002)49.3.Decizia2011/292/UEa Consiliului din 31 martie 2011 privind normele de securitate pentru protecia informaiilor UE clasificate.4.Ordonana de urgen a Guvernului nr.153/2002privind organizarea i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr.101/2003, cu modificrile i completrile ulterioare.5.Standardele naionale de protecie a informaiilor clasificate n Romnia, aprobate prin Hotrrea Guvernului nr.585/2002, cu modificrile i completrile ulterioare.6.Normele privind protecia informaiilor clasificate ale Organizaiei Tratatului Atlanticului de Nord n Romnia, aprobate prin Hotrrea Guvernului nr.353/2002, cu modificrile ulterioare.7.North Atlantic Council, INFOSEC Management Directive for CIS,AC 35/-D/2005 - Rev. 2, oct. 2010.8.North Atlantic Council, Guidelines for the Security Accreditation of CIS, AC/35 - D/1021 - Rev. 3, ianuarie 2012.9.Council of the European Union, IA Security Guidelines on CIS Security Accreditation IASG 1-01, martie2012.10.Directiva privind structurile cu responsabiliti n domeniul INFOSEC - INFOSEC 1, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.482/2003.11.Directiva principal privind domeniul INFOSEC - INFOSEC 2, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.483/2003.12.Directivaprivind managementul INFOSEC pentru sisteme informatice i de comunicaii - INFOSEC 3, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.484/2003.13.Metodologia de acreditare a entitilor pentru evaluarea produselor de securitate IT i a sistemelor informatice i de comunicaii - INFOSEC 12, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.23/2012.14.Metodologia privind acreditarea structurilor interne INFOSEC din cadrul autoritilor desemnate de securitate - INFOSEC 11, aprobat prin Ordinul directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr.12/2006.Publicat n Monitorul Oficial cu numrul 716 din data de 22 octombrie 2012Bottom of Form

http://idrept.ro/00151412pi002.gif


Proiectarea Sistemelor Informatice Curs 1

Proiectarea Sistemelor Informatice Curs 1

Documents
Unitatea de competenţă Modelarea sistemelor informatice

Unitatea de competenţă Modelarea sistemelor informatice

Documents
Referat La Disciplina Utilizarea Sistemelor Informatice Economice

Referat La Disciplina Utilizarea Sistemelor Informatice Economice

Documents
FIABILITATEA SISTEMELOR INFORMATICE - …informatica.hyperion.ro/wp-content/uploads/2015/05/Fiabilitatea-sistemelor-informatice... · Probleme rezolvate 4.5. Probleme de rezolvat

FIABILITATEA SISTEMELOR INFORMATICE - …informatica.hyperion.ro/wp-content/uploads/2015/05/Fiabilitatea-sistemelor-informatice... · Probleme rezolvate 4.5. Probleme de rezolvat

Documents
AUDITUL SISTEMELOR INFORMATICE Ec. Ioana Florentina CHIŞ

AUDITUL SISTEMELOR INFORMATICE Ec. Ioana Florentina CHIŞ

Documents
Curs 9 ² Proiectarea arhitecturii sistemelor informatice ... - Curs 9 Proiectarea arhitecturii... · Curs 9 ² Proiectarea arhitecturii sistemelor informatice ... un serviciu poate

Curs 9 ² Proiectarea arhitecturii sistemelor informatice ... - Curs 9 Proiectarea arhitecturii... · Curs 9 ² Proiectarea arhitecturii sistemelor informatice ... un serviciu poate

Documents
Evolutia Sistemelor Informatice de Gestiune

Evolutia Sistemelor Informatice de Gestiune

Documents
Proiectarea sistemelor informatice de gestiune - dunavox.comdiversesfaturi.freewb.ro/feltolt/proiectarea-sistemelor-informa... · Proiectarea sistemelor informatice de gestiune Noșiuni

Proiectarea sistemelor informatice de gestiune - dunavox.comdiversesfaturi.freewb.ro/feltolt/proiectarea-sistemelor-informa... · Proiectarea sistemelor informatice de gestiune Noșiuni

Documents
și sistemelor informatice CAPITOLUL I - DISPOZIȚII GENERALE · 0 Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice CAPITOLUL

și sistemelor informatice CAPITOLUL I - DISPOZIȚII GENERALE · 0 Lege privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice CAPITOLUL

Documents
Auditul Sistemelor Informatice de Gestiune

Auditul Sistemelor Informatice de Gestiune

Documents
ciclul de viata al sistemelor informatice

ciclul de viata al sistemelor informatice

Documents
Analiza Si Proiectarea Sistemelor Informatice de Gestiune -MARIA ANDRONIE

Analiza Si Proiectarea Sistemelor Informatice de Gestiune -MARIA ANDRONIE

Documents
Utilizarea sistemelor informatice în business

Utilizarea sistemelor informatice în business

Documents
Curs 9 – Proiectarea arhitecturii sistemelor informatice Cuprins

Curs 9 – Proiectarea arhitecturii sistemelor informatice Cuprins

Documents
managementul sistemelor informatice

managementul sistemelor informatice

Documents
Realizarea Sistemelor Informatice

Realizarea Sistemelor Informatice

Documents
Analiza Proiectarea Sistemelor Informatice

Analiza Proiectarea Sistemelor Informatice

Documents
Proiect - Proiectarea Sistemelor Informatice

Proiect - Proiectarea Sistemelor Informatice

Documents
proiectarea sistemelor informatice

proiectarea sistemelor informatice

Documents
Auditul sistemelor informatice

Auditul sistemelor informatice

Documents
Securitatea sistemelor informatice

Securitatea sistemelor informatice

Documents
Proiect Utilizarea Sistemelor Informatice

Proiect Utilizarea Sistemelor Informatice

Documents
Auditarea Sistemelor Informatice

Auditarea Sistemelor Informatice

Documents
ANALIZA ŞI PROIECTAREA SISTEMELOR INFORMATICE DE GESTIUNE

ANALIZA ŞI PROIECTAREA SISTEMELOR INFORMATICE DE GESTIUNE

Documents
Reducerea costurilor IT prin securitatea sistemelor informatice

Reducerea costurilor IT prin securitatea sistemelor informatice

Documents
arhivelenationale.roarhivelenationale.ro/.../doc00943020190909154540.pdf · Depanare modernizare PC Proiectarea sistemelor informatice Mentenanta sistemelor informatice Manaõementul

arhivelenationale.roarhivelenationale.ro/.../doc00943020190909154540.pdf · Depanare modernizare PC Proiectarea sistemelor informatice Mentenanta sistemelor informatice Manaõementul

Documents
pentru Securitatea Sistemelor Informatice și de

pentru Securitatea Sistemelor Informatice și de

Documents
Proiectarea Sistemelor Informatice Utilizand Tehnologia Orientata Pe Obiecte

Proiectarea Sistemelor Informatice Utilizand Tehnologia Orientata Pe Obiecte

Documents
1. Filosofia sistemelor informatice 1.1. Definirea ...civile.utcb.ro/curs/dppd/sii1.pdf · Filosofia sistemelor informatice 1.1. ... calculelor ştiinţifice, proiectarea asistată

1. Filosofia sistemelor informatice 1.1. Definirea ...civile.utcb.ro/curs/dppd/sii1.pdf · Filosofia sistemelor informatice 1.1. ... calculelor ştiinţifice, proiectarea asistată

Documents
Proiect I. Utilizarea Sistemelor Informatice

Proiect I. Utilizarea Sistemelor Informatice

Documents