Back

Oficiul Registrului Naţional al Informaţiilor Secrete de Stat - ORNISS

Ordinul nr. 108/2012 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13

În vigoare de la 22.10.2012

Te interesează forma portabilă a documentului? O poți cumpăra online în varianta PDF sau Kindle!

Preț: 10,96 Lei cu TVA

Cumpără document în formă actualizată

În temeiul art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare, şi al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.

Art. 1.

Se aprobă Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, prevăzută în anexa care face parte integrantă din prezentul ordin.

Art. 2.

La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 386/2004 pentru aprobarea Ghidului pentru acreditarea de securitate a sistemelor informatice şi de comunicaţii naţionale care vehiculează informaţii NATO - DS 8, publicat în Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004, şi Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 172/2006 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, publicat în Monitorul Oficial al României, Partea I, nr. 266 din 24 martie 2006.

Art. 3.

Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.

Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat,
Marius Petrescu

Bucureşti, 12 octombrie 2012.

Nr. 108.

ANEXĂ

DIRECTIVĂ
privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13

CAPITOLUL I Introducere

SECŢIUNEA 1 Domeniu de aplicabilitate

Art. 1.

Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, denumită în continuare directivă, este aprobată de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), în aplicarea politicii naţionale, NATO şi UE de securitate privind protecţia informaţiilor clasificate.

Art. 2.

Prezenta directivă se adresează ORNISS, structurilor de planificare, achiziţie şi implementare a SIC care procesează, stochează sau transmit informaţii clasificate, autorităţilor operaţionale ale SIC, structurilor responsabile cu stabilirea, implementarea şi menţinerea standardelor INFOSEC, entităţilor care, în cadrul procesului de acreditare de securitate a SIC, desfăşoară activităţi de evaluare/certificare, precum şi structurilor interne INFOSEC acreditate de ORNISS, denumite în continuare SII, stabilite în cadrul autorităţilor desemnate de securitate, denumite în continuare ADS.

Art. 3.

Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informaţii clasificate.

SECŢIUNEA a 2-a Definiţii

Art. 4.

În cuprinsul prezentei directive, următorii termeni şi sintagme se definesc după cum urmează:

a) informaţii clasificate - informaţii naţionale clasificate secret de stat, informaţii NATO clasificate, informaţii UE clasificate sau informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte;

b) sistem informatic şi de comunicaţii (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informaţiilor în format electronic. Un SIC cuprinde toate elementele care îi sunt necesare pentru a funcţiona, incluzând infrastructura, structurile organizaţionale, personalul şi resursele informaţionale;

c) acreditarea de securitate - autorizarea acordată unui SIC să proceseze, să stocheze sau să transmită informaţii clasificate în mediul său operaţional.

SECŢIUNEA a 3-a Cerinţe de acreditare de securitate a SIC

Art. 5.

Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual asociat SIC şi autorizarea operării acestuia în conformitate cu termenii stabiliţi. Prin parcurgerea unui proces de acreditare de securitate se obţine asigurarea că măsurile de securitate implementate în SIC sunt conforme cu cerinţele politicilor de securitate specifice tipului de informaţii clasificate naţionale, NATO, UE şi altele asemenea şi ale documentaţiei cu cerinţele de securitate, denumită în continuare DCS, elaborată pentru respectivul SIC.

Art. 6.

În conformitate cu prevederile legislaţiei naţionale, SIC care stochează, procesează sau transmit informaţii clasificate trebuie să facă obiectul unui proces de acreditare de securitate. În acest context se aplică următoarele prevederi:

a) pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin Agenţia de Acreditare de Securitate, denumită în continuare AAS, sau, după caz, de către SII din cadrul ADS, potrivit competenţelor pentru care au fost acreditate de către ORNISS; luarea deciziei privind acreditarea revine ORNISS sau SII, după caz;

b) pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de serviciu, responsabilitatea acreditării de securitate revine persoanei juridice care are în responsabilitate SIC;

c) pentru interconectarea SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS sau SII, după caz;

d) pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO CONFIDENTIAL sau cu un nivel superior, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS, luarea deciziei privind acreditarea revenind ORNISS;

e) pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO RESTRICTED nu este necesar ca AAS să stabilească un proces de acreditare de securitate structurat, dar procesul de acreditare trebuie să reflecte importanţa obiectivelor de securitate (confidenţialitate, integritate şi disponibilitate), precum şi impactul pe care îl poate avea un eveniment nedorit asupra informaţiilor, resurselor şi serviciilor sistemului; pentru aceste SIC, responsabilitatea stabilirii şi derulării procesului de acreditare de securitate, precum şi a luării deciziei privind acreditarea poate fi delegată de către ORNISS persoanei juridice care are în responsabilitate un astfel de sistem. Persoana juridică va respecta prevederile documentului prin care se stabilesc condiţiile în care se realizează delegarea privind autoritatea de acreditare de securitate;

f) pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii NATO clasificate cu SIC NATO sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor NATO abilitate;

g) pentru SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate, procesul de acreditare de securitate trebuie să fie stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea revine ORNISS;

h) pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate cu SIC UE sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor UE abilitate;

i) pentru SIC naţionale care stochează, procesează sau transmit informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte, procesul de acreditare este stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea de securitate revine ORNISS, prin aplicarea prevederilor naţionale şi ale respectivelor tratate, acorduri sau înţelegeri internaţionale la care România este parte.

CAPITOLUL II Structurile implicate în procesul de acreditare de securitate a SIC

Art. 7.

ORNISS prin AAS este responsabil de managementul procesului de acreditare de securitate a SIC, în conformitate cu prevederile art. 6.

Art. 8.

În cuprinsul anexei nr. 2 sunt prezentate structurile implicate în procesul de acreditare de securitate a SIC. Atribuţiile acestora sunt precizate în Directiva privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 482/2003.

Art. 9.

(1) AAS se asigură că autoritatea operaţională a SIC, denumită în continuare AOSIC, are autoritatea necesară pentru a gestiona aspectele de securitate în conformitate cu documentaţia de securitate.

(2) În cazul în care AOSIC nu are autoritatea necesară, AAS poate solicita luarea unor măsuri speciale, de exemplu:

a) escaladarea - în acest caz, AAS solicită să fie identificată o altă autoritate, care să fie desemnată de către conducătorul organizaţiei drept AOSIC;

b) cooperarea - în acest caz, autorităţile reprezentând toate structurile care utilizează SIC cooperează în vederea implementării unui set comun de cerinţe de securitate specifice sistemului, denumite în continuare CSSS. În această situaţie, autoritatea funcţionează ca un comitet. Această cooperare trebuie susţinută de un acord scris al membrilor şi face subiectul unui arbitraj al unei terţe părţi, care este AAS. Cooperarea dintre statele membre şi structuri NATO/UE poate necesita identificarea unei terţe părţi (cum ar fi: Oficiul de Securitate al NATO sau Secretariatul General al Consiliului UE); aceasta mai poate fi, de exemplu, un furnizor de informaţii având interes în protecţia informaţiilor stocate, procesate sau transmise şi care are posibilitatea stopării transmiterii informaţiilor;

c) hegemonia - în acest caz, conducerea unei persoane juridice consimte să accepte autoritatea altei persoane juridice şi să implementeze CSSS. Această măsură operează similar cu aceea a cooperării, în cazul în care una dintre părţile acordului este dominantă, posibil datorită faptului că este furnizorul principal de informaţii, şi poate să impună un CSSS celeilalte părţi fără a se recurge la arbitrajul unei terţe părţi.

Art. 10.

(1) În cazul interconectării SIC naţionale care stochează, procesează sau transmit informaţii NATO/UE clasificate cu SIC NATO/SIC UE, când în administrarea şi acreditarea de securitate a SIC sunt implicate şi organisme NATO/UE, responsabilitatea acreditării de securitate nu se limitează numai la ORNISS.

(2) În situaţia prevăzută la alin. (1), ORNISS i se poate solicita să recunoască autoritatea unor structuri NATO/UE şi/sau să îşi coordoneze cu acestea responsabilităţile pe care le are la nivel naţional privind acreditarea.

Art. 11.

(1) În cazul interconectării SIC naţionale care stochează, procesează sau transmit informaţii clasificate, caz în care sunt implicate mai multe AOSIC şi structuri de securitate, se impune încheierea unor acorduri de securitate între AOSIC privind interconectarea.

(2) Aprobarea pentru interconectare prevăzută la alin. (1) este acordată de către ORNISS sau SII, după caz, responsabilitatea acreditării de securitate a fiecărui SIC care se interconectează revenind ORNISS sau SII, după caz.

Art. 12.

(1) În vederea gestionării activităţilor stabilite prin strategia de acreditare de securitate a SIC se constituie o comisie de acreditare de securitate (CAS).

(2) CAS se constituie, la solicitarea AAS, la începutul ciclului de viaţă al proiectului şi îşi menţine existenţa până în momentul acreditării de securitate.

(3) CAS este formată din reprezentanţi ai tuturor structurilor care au responsabilităţi în asigurarea securităţii informaţiilor, serviciilor şi resurselor SIC. Astfel, pe lângă AAS, al cărei reprezentat prezidează CAS, aceasta poate avea în componenţă:

a) reprezentanţi ai altor structuri din cadrul ORNISS;

b) reprezentanţi ai ADS pe domeniul de competenţă;

c) manageri de proiect;

d) reprezentanţi ai AOSIC implicate;

e) reprezentanţi ai structurilor de securitate ale entităţilor care administrează SIC;

f) reprezentanţi ai structurilor de planificare şi implementare a SIC;

g) responsabili cu securitatea criptografică, a transmisiilor, a emisiilor etc.;

h) reprezentanţi ai altor autorităţi având competenţe relevante pentru securitatea SIC, cum ar fi, de exemplu, autorităţi de evaluare şi/sau certificare a unor componente ale SIC.

(4) În funcţie de etapa de implementare a proiectului, AAS poate invita la reuniunile CAS şi alte structuri care pot sprijini luarea deciziei privind acreditarea de securitate a SIC.

(5) CAS poate fi reactivată de către AAS ori de câte ori se consideră necesar, de exemplu: schimbări semnificative în cerinţele operaţionale şi/sau în documentaţia de securitate, schimbări majore privind configuraţia SIC.

(6) Prin intermediul CAS, AAS poate cere tuturor celor responsabili de asigurarea securităţii SIC să se implice în procesul de acreditare de securitate.

(7) În cazul interconectării SIC naţionale care stochează, procesează şi transmit informaţii clasificate, CAS este responsabilă pentru stabilirea documentaţiei de securitate pentru SIC care se interconectează, pentru analiza şi aprobarea documentaţiei privind cerinţele de securitate comunitară, denumite în continuare CSC, precum şi pentru acreditarea de securitate a interconectării.

(8) În anexa nr. 3 este prezentat un exemplu de regulament de organizare şi funcţionare a CAS.

CAPITOLUL III Bazele acreditării de securitate

SECŢIUNEA 1 Generalităţi

Art. 13.

Decizia privind acreditarea de securitate a unui SIC care stochează, procesează sau transmite informaţii clasificate se fundamentează pe rezultatele:

a) etapei de analiză a riscului de securitate şi concluziilor prezentate în raportul de analiză a riscului;

b) evaluării documentaţiei de securitate, cum ar fi: raportul privind analiza riscului de securitate, DCS, procedurile operaţionale de securitate;

c) verificării privind implementarea principiilor securităţii şi reglementărilor de securitate, de exemplu, prin aplicarea unui plan de testare şi evaluare a securităţii şi a analizei rezultatelor, precum şi menţinerea acestora în acord cu cerinţele de securitate;

d) identificării riscurilor reziduale şi reluării periodice a procesului de management al riscurilor de securitate.

SECŢIUNEA a 2-a Procesul de management al riscului de securitate

Art. 14.

(1) SIC naţionale care stochează, procesează sau transmit informaţii clasificate trebuie supuse unui proces de management al riscului de securitate.

(2) Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, stabileşte aspectele generale, procesele de analiză a riscului de securitate şi de management al riscului de securitate, precum şi necesitatea reluării procesului de management al riscului de securitate. Detaliile privind aplicarea acesteia sunt prezentate în ghidul "Metodologia privind managementul riscului de securitate pentru sistemele informatice şi de comunicaţii care stochează, procesează sau transmit informaţii clasificate - DS3", aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 389/2004.

SECŢIUNEA a 3-a Documentaţia de securitate

Art. 15.

(1) Un element important al procesului de acreditare de securitate îl constituie documentaţia de securitate, compusă din:

a) strategia de acreditare de securitate a SIC, document elaborat, după caz, de AAS sau SII, prin care se stabilesc activităţile necesar a fi derulate în cadrul procesului de acreditare de securitate a SIC, responsabilităţile şi termenele de realizare a acestora;

b) rezultatele procesului de management al riscului de securitate;

c) DCS prin care se definesc cerinţele de securitate, mediile de securitate şi măsurile de securitate aplicabile SIC care trebuie acreditat;

d) procedurile operaţionale de securitate (PrOpSec) care prezintă modul de implementare a măsurilor de securitate, a procedurilor operaţionale referitoare la securitate ce trebuie urmate şi a responsabilităţilor personalului;

e) rapoarte de evaluare/certificare a securităţii informaţiilor, resurselor sau serviciilor SIC, certificate de conformitate a produselor INFOSEC din compunerea SIC.

(2) DCS constituie baza acordului dintre AAS şi AOSIC în sensul operării SIC într-o manieră sigură. Aceasta stabileşte măsurile de securitate care asigură controlul şi responsabilitatea privind accesul individual al utilizatorilor SIC la informaţiile clasificate. Acest document împreună cu PrOpSec stabileşte măsurile de securitate necesar a fi implementate, având în vedere:

a) aspectele relevante din punctul de vedere al securităţii, aflate în afara controlului AOSIC, adică mediul de securitate global, cum ar fi, de exemplu: elemente privind securitatea clădirii, securitatea întregului spaţiu aflat sub controlul structurii/funcţionarului de securitate, securitatea sistemelor interconectate şi mediul general de ameninţări;

b) securitatea fizică, securitatea personalului, securitatea informaţiilor şi măsuri de securitate procedurale aflate sub controlul AOSIC în mediul de securitate local;

c) mecanismele INFOSEC în SIC, adică mediul de securitate electronic, implementate într-o arhitectură dezvoltată pentru a corespunde funcţionalităţii şi nivelului de asigurare de securitate necesar.

se încarcă...