Back

Oficiul Registrului Naţional al Informaţiilor Secrete de Stat

Ordinul nr. 108/2012 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13

Te interesează forma portabilă a documentului? O poți cumpăra online în varianta PDF sau Kindle! Cumpără document: 11,06 Lei

În vigoare de la 22.10.2012

Publicat în Monitorul Oficial, Partea I nr. 716 din 22.10.2012.

Mergi la art.

În temeiul art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare, şi al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.

Art. 1.

Se aprobă Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, prevăzută în anexa care face parte integrantă din prezentul ordin.

Art. 2.

La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 386/2004 pentru aprobarea Ghidului pentru acreditarea de securitate a sistemelor informatice şi de comunicaţii naţionale care vehiculează informaţii NATO - DS 8, publicat în Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004, şi Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 172/2006 pentru aprobarea Directivei privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, publicat în Monitorul Oficial al României, Partea I, nr. 266 din 24 martie 2006.

Art. 3.

Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.

Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat,
Marius Petrescu

Bucureşti, 12 octombrie 2012.

Nr. 108.

ANEXĂ

DIRECTIVĂ
privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13

CAPITOLUL I Introducere

SECŢIUNEA 1 Domeniu de aplicabilitate

Art. 1.

Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, denumită în continuare directivă, este aprobată de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), în aplicarea politicii naţionale, NATO şi UE de securitate privind protecţia informaţiilor clasificate.

Art. 2.

Prezenta directivă se adresează ORNISS, structurilor de planificare, achiziţie şi implementare a SIC care procesează, stochează sau transmit informaţii clasificate, autorităţilor operaţionale ale SIC, structurilor responsabile cu stabilirea, implementarea şi menţinerea standardelor INFOSEC, entităţilor care, în cadrul procesului de acreditare de securitate a SIC, desfăşoară activităţi de evaluare/certificare, precum şi structurilor interne INFOSEC acreditate de ORNISS, denumite în continuare SII, stabilite în cadrul autorităţilor desemnate de securitate, denumite în continuare ADS.

Art. 3.

Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informaţii clasificate.

SECŢIUNEA a 2-a Definiţii

Art. 4.

În cuprinsul prezentei directive, următorii termeni şi sintagme se definesc după cum urmează:

a) informaţii clasificate - informaţii naţionale clasificate secret de stat, informaţii NATO clasificate, informaţii UE clasificate sau informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte;

b) sistem informatic şi de comunicaţii (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informaţiilor în format electronic. Un SIC cuprinde toate elementele care îi sunt necesare pentru a funcţiona, incluzând infrastructura, structurile organizaţionale, personalul şi resursele informaţionale;

c) acreditarea de securitate - autorizarea acordată unui SIC să proceseze, să stocheze sau să transmită informaţii clasificate în mediul său operaţional.

SECŢIUNEA a 3-a Cerinţe de acreditare de securitate a SIC

Art. 5.

Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual asociat SIC şi autorizarea operării acestuia în conformitate cu termenii stabiliţi. Prin parcurgerea unui proces de acreditare de securitate se obţine asigurarea că măsurile de securitate implementate în SIC sunt conforme cu cerinţele politicilor de securitate specifice tipului de informaţii clasificate naţionale, NATO, UE şi altele asemenea şi ale documentaţiei cu cerinţele de securitate, denumită în continuare DCS, elaborată pentru respectivul SIC.

Art. 6.

În conformitate cu prevederile legislaţiei naţionale, SIC care stochează, procesează sau transmit informaţii clasificate trebuie să facă obiectul unui proces de acreditare de securitate. În acest context se aplică următoarele prevederi:

a) pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin Agenţia de Acreditare de Securitate, denumită în continuare AAS, sau, după caz, de către SII din cadrul ADS, potrivit competenţelor pentru care au fost acreditate de către ORNISS; luarea deciziei privind acreditarea revine ORNISS sau SII, după caz;

b) pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de serviciu, responsabilitatea acreditării de securitate revine persoanei juridice care are în responsabilitate SIC;

c) pentru interconectarea SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS sau SII, după caz;

d) pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO CONFIDENTIAL sau cu un nivel superior, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS, luarea deciziei privind acreditarea revenind ORNISS;

e) pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO RESTRICTED nu este necesar ca AAS să stabilească un proces de acreditare de securitate structurat, dar procesul de acreditare trebuie să reflecte importanţa obiectivelor de securitate (confidenţialitate, integritate şi disponibilitate), precum şi impactul pe care îl poate avea un eveniment nedorit asupra informaţiilor, resurselor şi serviciilor sistemului; pentru aceste SIC, responsabilitatea stabilirii şi derulării procesului de acreditare de securitate, precum şi a luării deciziei privind acreditarea poate fi delegată de către ORNISS persoanei juridice care are în responsabilitate un astfel de sistem. Persoana juridică va respecta prevederile documentului prin care se stabilesc condiţiile în care se realizează delegarea privind autoritatea de acreditare de securitate;

f) pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii NATO clasificate cu SIC NATO sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor NATO abilitate;

g) pentru SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate, procesul de acreditare de securitate trebuie să fie stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea revine ORNISS;

h) pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate cu SIC UE sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor UE abilitate;

i) pentru SIC naţionale care stochează, procesează sau transmit informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte, procesul de acreditare este stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea de securitate revine ORNISS, prin aplicarea prevederilor naţionale şi ale respectivelor tratate, acorduri sau înţelegeri internaţionale la care România este parte.

CAPITOLUL II Structurile implicate în procesul de acreditare de securitate a SIC

Art. 7.

ORNISS prin AAS este responsabil de managementul procesului de acreditare de securitate a SIC, în conformitate cu prevederile art. 6.

Art. 8.

În cuprinsul anexei nr. 2 sunt prezentate structurile implicate în procesul de acreditare de securitate a SIC. Atribuţiile acestora sunt precizate în Directiva privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 482/2003.

Art. 9.

(1) AAS se asigură că autoritatea operaţională a SIC, denumită în continuare AOSIC, are autoritatea necesară pentru a gestiona aspectele de securitate în conformitate cu documentaţia de securitate.

(2) În cazul în care AOSIC nu are autoritatea necesară, AAS poate solicita luarea unor măsuri speciale, de exemplu:

a) escaladarea - în acest caz, AAS solicită să fie identificată o altă autoritate, care să fie desemnată de către conducătorul organizaţiei drept AOSIC;

b) cooperarea - în acest caz, autorităţile reprezentând toate structurile care utilizează SIC cooperează în vederea implementării unui set comun de cerinţe de securitate specifice sistemului, denumite în continuare CSSS. În această situaţie, autoritatea funcţionează ca un comitet. Această cooperare trebuie susţinută de un acord scris al membrilor şi face subiectul unui arbitraj al unei terţe părţi, care este AAS. Cooperarea dintre statele membre şi structuri NATO/UE poate necesita identificarea unei terţe părţi (cum ar fi: Oficiul de Securitate al NATO sau Secretariatul General al Consiliului UE); aceasta mai poate fi, de exemplu, un furnizor de informaţii având interes în protecţia informaţiilor stocate, procesate sau transmise şi care are posibilitatea stopării transmiterii informaţiilor;

c) hegemonia - în acest caz, conducerea unei persoane juridice consimte să accepte autoritatea altei persoane juridice şi să implementeze CSSS. Această măsură operează similar cu aceea a cooperării, în cazul în care una dintre părţile acordului este dominantă, posibil datorită faptului că este furnizorul principal de informaţii, şi poate să impună un CSSS celeilalte părţi fără a se recurge la arbitrajul unei terţe părţi.

  1. Prezentare produs
  2. Manual de utilizare
  3. Ro En

Vânzări

  • Telefon: (+40 21) 311.97.11
  • E-Mail: vanzari@indaco.ro
se încarcă...