Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS

Ordinul nr. 108/2012 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice și de comunicații (SIC) care stochează, procesează sau transmit informații clasificate - INFOSEC 13

Text publicat în M.Of. al României.

În vigoare de la 22.10.2012

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Pagina 1 din 4

Cumpără forma actualizată

În temeiul art. 1 alin. (4) lit. b) și art. 3 alin. (6) din Ordonanța de urgență a Guvernului nr. 153/2002 privind organizarea și funcționarea Oficiului Registrului Național al Informațiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările și completările ulterioare, și al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea și prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum și a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Național al Informațiilor Secrete de Stat emite prezentul ordin.

Art. 1. -

Se aprobă Directiva privind acreditarea de securitate a sistemelor informatice și de comunicații (SIC) care stochează, procesează sau transmit informații clasificate - INFOSEC 13, prevăzută în anexa care face parte integrantă din prezentul ordin.

Art. 2. -

La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 386/2004 pentru aprobarea Ghidului pentru acreditarea de securitate a sistemelor informatice și de comunicații naționale care vehiculează informații NATO - DS 8, publicat în Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004, și Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 172/2006 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice și de comunicații (SIC) care stochează, procesează sau transmit informații clasificate - INFOSEC 13, publicat în Monitorul Oficial al României, Partea I, nr. 266 din 24 martie 2006.

Art. 3. -

Oficiul Registrului Național al Informațiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.

Directorul general al Oficiului Registrului Național al Informațiilor Secrete de Stat,
Marius Petrescu

București, 12 octombrie 2012.

Nr. 108.

ANEXÃ

DIRECTIVÃ
privind acreditarea de securitate a sistemelor informatice și de comunicații (SIC) care stochează, procesează sau transmit informații clasificate - INFOSEC 13

CAPITOLUL I Introducere

SECȚIUNEA 1 Domeniu de aplicabilitate

Art. 1. -

Directiva privind acreditarea de securitate a sistemelor informatice și de comunicații (SIC) care stochează, procesează sau transmit informații clasificate - INFOSEC 13, denumită în continuare directivă, este aprobată de Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), în aplicarea politicii naționale, NATO și UE de securitate privind protecția informațiilor clasificate.

Art. 2. -

Prezenta directivă se adresează ORNISS, structurilor de planificare, achiziție și implementare a SIC care procesează, stochează sau transmit informații clasificate, autorităților operaționale ale SIC, structurilor responsabile cu stabilirea, implementarea și menținerea standardelor INFOSEC, entităților care, în cadrul procesului de acreditare de securitate a SIC, desfășoară activități de evaluare/certificare, precum și structurilor interne INFOSEC acreditate de ORNISS, denumite în continuare SII, stabilite în cadrul autorităților desemnate de securitate, denumite în continuare ADS.

Art. 3. -

Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informații clasificate.

SECȚIUNEA a 2-a Definiții

Art. 4. -

În cuprinsul prezentei directive, următorii termeni și sintagme se definesc după cum urmează:

a) informații clasificate - informații naționale clasificate secret de stat, informații NATO clasificate, informații UE clasificate sau informații echivalente care fac obiectul unor tratate, acorduri sau înțelegeri internaționale la care România este parte;

b) sistem informatic și de comunicații (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informațiilor în format electronic. Un SIC cuprinde toate elementele care îi sunt necesare pentru a funcționa, incluzând infrastructura, structurile organizaționale, personalul și resursele informaționale;

c) acreditarea de securitate - autorizarea acordată unui SIC să proceseze, să stocheze sau să transmită informații clasificate în mediul său operațional.

SECȚIUNEA a 3-a Cerințe de acreditare de securitate a SIC

Art. 5. -

Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual asociat SIC și autorizarea operării acestuia în conformitate cu termenii stabiliți. Prin parcurgerea unui proces de acreditare de securitate se obține asigurarea că măsurile de securitate implementate în SIC sunt conforme cu cerințele politicilor de securitate specifice tipului de informații clasificate naționale, NATO, UE și altele asemenea și ale documentației cu cerințele de securitate, denumită în continuare DCS, elaborată pentru respectivul SIC.

Art. 6. -

În conformitate cu prevederile legislației naționale, SIC care stochează, procesează sau transmit informații clasificate trebuie să facă obiectul unui proces de acreditare de securitate. În acest context se aplică următoarele prevederi:

a) pentru SIC care stochează, procesează sau transmit informații naționale clasificate secret de stat, procesul de acreditare de securitate este stabilit și gestionat de către ORNISS prin Agenția de Acreditare de Securitate, denumită în continuare AAS, sau, după caz, de către SII din cadrul ADS, potrivit competențelor pentru care au fost acreditate de către ORNISS; luarea deciziei privind acreditarea revine ORNISS sau SII, după caz;

b) pentru SIC care stochează, procesează sau transmit informații naționale clasificate secret de serviciu, responsabilitatea acreditării de securitate revine persoanei juridice care are în responsabilitate SIC;

c) pentru interconectarea SIC care stochează, procesează sau transmit informații naționale clasificate secret de stat, procesul de acreditare de securitate este stabilit și gestionat de către ORNISS prin AAS sau SII, după caz;

d) pentru SIC naționale care stochează, procesează sau transmit informații clasificate NATO CONFIDENTIAL sau cu un nivel superior, procesul de acreditare de securitate este stabilit și gestionat de către ORNISS prin AAS, luarea deciziei privind acreditarea revenind ORNISS;

e) pentru SIC naționale care stochează, procesează sau transmit informații clasificate NATO RESTRICTED nu este necesar ca AAS să stabilească un proces de acreditare de securitate structurat, dar procesul de acreditare trebuie să reflecte importanța obiectivelor de securitate (confidențialitate, integritate și disponibilitate), precum și impactul pe care îl poate avea un eveniment nedorit asupra informațiilor, resurselor și serviciilor sistemului; pentru aceste SIC, responsabilitatea stabilirii și derulării procesului de acreditare de securitate, precum și a luării deciziei privind acreditarea poate fi delegată de către ORNISS persoanei juridice care are în responsabilitate un astfel de sistem. Persoana juridică va respecta prevederile documentului prin care se stabilesc condițiile în care se realizează delegarea privind autoritatea de acreditare de securitate;

f) pentru interconectarea SIC naționale care stochează, procesează sau transmit informații NATO clasificate cu SIC NATO sau cu alte SIC naționale trebuie îndeplinite cerințele specifice stipulate în normele tehnice și de implementare subsecvente și în politicile de securitate ale respectivelor rețele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS și/sau organismelor NATO abilitate;

g) pentru SIC naționale care stochează, procesează sau transmit informații UE clasificate, procesul de acreditare de securitate trebuie să fie stabilit și gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea revine ORNISS;

h) pentru interconectarea SIC naționale care stochează, procesează sau transmit informații UE clasificate cu SIC UE sau cu alte SIC naționale trebuie îndeplinite cerințele specifice stipulate în normele tehnice și de implementare subsecvente și în politicile de securitate ale respectivelor rețele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS și/sau organismelor UE abilitate;

i) pentru SIC naționale care stochează, procesează sau transmit informații echivalente care fac obiectul unor tratate, acorduri sau înțelegeri internaționale la care România este parte, procesul de acreditare este stabilit și gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea de securitate revine ORNISS, prin aplicarea prevederilor naționale și ale respectivelor tratate, acorduri sau înțelegeri internaționale la care România este parte.

CAPITOLUL II Structurile implicate în procesul de acreditare de securitate a SIC

Art. 7. -

ORNISS prin AAS este responsabil de managementul procesului de acreditare de securitate a SIC, în conformitate cu prevederile art. 6.

Art. 8. -

În cuprinsul anexei nr. 2 sunt prezentate structurile implicate în procesul de acreditare de securitate a SIC. Atribuțiile acestora sunt precizate în Directiva privind structurile cu responsabilități în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 482/2003.

Art. 9. -

(1) AAS se asigură că autoritatea operațională a SIC, denumită în continuare AOSIC, are autoritatea necesară pentru a gestiona aspectele de securitate în conformitate cu documentația de securitate.

(2) În cazul în care AOSIC nu are autoritatea necesară, AAS poate solicita luarea unor măsuri speciale, de exemplu:

a) escaladarea - în acest caz, AAS solicită să fie identificată o altă autoritate, care să fie desemnată de către conducătorul organizației drept AOSIC;

b) cooperarea - în acest caz, autoritățile reprezentând toate structurile care utilizează SIC cooperează în vederea implementării unui set comun de cerințe de securitate specifice sistemului, denumite în continuare CSSS. În această situație, autoritatea funcționează ca un comitet. Această cooperare trebuie susținută de un acord scris al membrilor și face subiectul unui arbitraj al unei terțe părți, care este AAS. Cooperarea dintre statele membre și structuri NATO/UE poate necesita identificarea unei terțe părți (cum ar fi: Oficiul de Securitate al NATO sau Secretariatul General al Consiliului UE); aceasta mai poate fi, de exemplu, un furnizor de informații având interes în protecția informațiilor stocate, procesate sau transmise și care are posibilitatea stopării transmiterii informațiilor;

c) hegemonia - în acest caz, conducerea unei persoane juridice consimte să accepte autoritatea altei persoane juridice și să implementeze CSSS. Această măsură operează similar cu aceea a cooperării, în cazul în care una dintre părțile acordului este dominantă, posibil datorită faptului că este furnizorul principal de informații, și poate să impună un CSSS celeilalte părți fără a se recurge la arbitrajul unei terțe părți.

Art. 10. -

(1) În cazul interconectării SIC naționale care stochează, procesează sau transmit informații NATO/UE clasificate cu SIC NATO/SIC UE, când în administrarea și acreditarea de securitate a SIC sunt implicate și organisme NATO/UE, responsabilitatea acreditării de securitate nu se limitează numai la ORNISS.

(2) În situația prevăzută la alin. (1), ORNISS i se poate solicita să recunoască autoritatea unor structuri NATO/UE și/sau să își coordoneze cu acestea responsabilitățile pe care le are la nivel național privind acreditarea.

Art. 11. -

(1) În cazul interconectării SIC naționale care stochează, procesează sau transmit informații clasificate, caz în care sunt implicate mai multe AOSIC și structuri de securitate, se impune încheierea unor acorduri de securitate între AOSIC privind interconectarea.

(2) Aprobarea pentru interconectare prevăzută la alin. (1) este acordată de către ORNISS sau SII, după caz, responsabilitatea acreditării de securitate a fiecărui SIC care se interconectează revenind ORNISS sau SII, după caz.

Art. 12. -

(1) În vederea gestionării activităților stabilite prin strategia de acreditare de securitate a SIC se constituie o comisie de acreditare de securitate (CAS).

(2) CAS se constituie, la solicitarea AAS, la începutul ciclului de viață al proiectului și își menține existența până în momentul acreditării de securitate.

(3) CAS este formată din reprezentanți ai tuturor structurilor care au responsabilități în asigurarea securității informațiilor, serviciilor și resurselor SIC. Astfel, pe lângă AAS, al cărei reprezentat prezidează CAS, aceasta poate avea în componență:

a) reprezentanți ai altor structuri din cadrul ORNISS;

b) reprezentanți ai ADS pe domeniul de competență;

c) manageri de proiect;

d) reprezentanți ai AOSIC implicate;

e) reprezentanți ai structurilor de securitate ale entităților care administrează SIC;

f) reprezentanți ai structurilor de planificare și implementare a SIC;

g) responsabili cu securitatea criptografică, a transmisiilor, a emisiilor etc.;

h) reprezentanți ai altor autorități având competențe relevante pentru securitatea SIC, cum ar fi, de exemplu, autorități de evaluare și/sau certificare a unor componente ale SIC.

(4) În funcție de etapa de implementare a proiectului, AAS poate invita la reuniunile CAS și alte structuri care pot sprijini luarea deciziei privind acreditarea de securitate a SIC.

(5) CAS poate fi reactivată de către AAS ori de câte ori se consideră necesar, de exemplu: schimbări semnificative în cerințele operaționale și/sau în documentația de securitate, schimbări majore privind configurația SIC.

(6) Prin intermediul CAS, AAS poate cere tuturor celor responsabili de asigurarea securității SIC să se implice în procesul de acreditare de securitate.

(7) În cazul interconectării SIC naționale care stochează, procesează și transmit informații clasificate, CAS este responsabilă pentru stabilirea documentației de securitate pentru SIC care se interconectează, pentru analiza și aprobarea documentației privind cerințele de securitate comunitară, denumite în continuare CSC, precum și pentru acreditarea de securitate a interconectării.

(8) În anexa nr. 3 este prezentat un exemplu de regulament de organizare și funcționare a CAS.

CAPITOLUL III Bazele acreditării de securitate

SECȚIUNEA 1 Generalități

Art. 13. -

Decizia privind acreditarea de securitate a unui SIC care stochează, procesează sau transmite informații clasificate se fundamentează pe rezultatele:

a) etapei de analiză a riscului de securitate și concluziilor prezentate în raportul de analiză a riscului;

b) evaluării documentației de securitate, cum ar fi: raportul privind analiza riscului de securitate, DCS, procedurile operaționale de securitate;

c) verificării privind implementarea principiilor securității și reglementărilor de securitate, de exemplu, prin aplicarea unui plan de testare și evaluare a securității și a analizei rezultatelor, precum și menținerea acestora în acord cu cerințele de securitate;

d) identificării riscurilor reziduale și reluării periodice a procesului de management al riscurilor de securitate.

SECȚIUNEA a 2-a Procesul de management al riscului de securitate

Art. 14. -

(1) SIC naționale care stochează, procesează sau transmit informații clasificate trebuie supuse unui proces de management al riscului de securitate.

(2) Directiva privind managementul INFOSEC pentru sisteme informatice și de comunicații - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 484/2003, stabilește aspectele generale, procesele de analiză a riscului de securitate și de management al riscului de securitate, precum și necesitatea reluării procesului de management al riscului de securitate. Detaliile privind aplicarea acesteia sunt prezentate în ghidul "Metodologia privind managementul riscului de securitate pentru sistemele informatice și de comunicații care stochează, procesează sau transmit informații clasificate - DS3", aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 389/2004.

SECȚIUNEA a 3-a Documentația de securitate

Art. 15. -

(1) Un element important al procesului de acreditare de securitate îl constituie documentația de securitate, compusă din:

a) strategia de acreditare de securitate a SIC, document elaborat, după caz, de AAS sau SII, prin care se stabilesc activitățile necesar a fi derulate în cadrul procesului de acreditare de securitate a SIC, responsabilitățile și termenele de realizare a acestora;

b) rezultatele procesului de management al riscului de securitate;

c) DCS prin care se definesc cerințele de securitate, mediile de securitate și măsurile de securitate aplicabile SIC care trebuie acreditat;

d) procedurile operaționale de securitate (PrOpSec) care prezintă modul de implementare a măsurilor de securitate, a procedurilor operaționale referitoare la securitate ce trebuie urmate și a responsabilităților personalului;

e) rapoarte de evaluare/certificare a securității informațiilor, resurselor sau serviciilor SIC, certificate de conformitate a produselor INFOSEC din compunerea SIC.

(2) DCS constituie baza acordului dintre AAS și AOSIC în sensul operării SIC într-o manieră sigură. Aceasta stabilește măsurile de securitate care asigură controlul și responsabilitatea privind accesul individual al utilizatorilor SIC la informațiile clasificate. Acest document împreună cu PrOpSec stabilește măsurile de securitate necesar a fi implementate, având în vedere:

a) aspectele relevante din punctul de vedere al securității, aflate în afara controlului AOSIC, adică mediul de securitate global, cum ar fi, de exemplu: elemente privind securitatea clădirii, securitatea întregului spațiu aflat sub controlul structurii/funcționarului de securitate, securitatea sistemelor interconectate și mediul general de amenințări;

b) securitatea fizică, securitatea personalului, securitatea informațiilor și măsuri de securitate procedurale aflate sub controlul AOSIC în mediul de securitate local;

c) mecanismele INFOSEC în SIC, adică mediul de securitate electronic, implementate într-o arhitectură dezvoltată pentru a corespunde funcționalității și nivelului de asigurare de securitate necesar.


Pentru a vedea documentul fără paginare, ai nevoie de un abonament Lege5!

;
se încarcă...