Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS

Directiva principală privind domeniul INFOSEC - INFOSEC 2, din 21.03.2014

Referințe (1)

Text publicat în M.Of. al României.

În vigoare de la 10 aprilie 2014

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Pagina 1 din 3

Cumpără forma actualizată

sau autentifică-te

  •  

CAPITOLUL I Introducere

SECȚIUNEA 1.1
Obiectiv

Art. 1. -

Directiva principală privind domeniul INFOSEC - INFOSEC 2, denumită în continuare directiva, stabilește liniile directoare în domeniul securității sistemelor informatice și de comunicații (SIC), în vederea protecției informațiilor clasificate stocate, procesate sau transmise prin intermediul acestora, din perspectiva asigurării confidențialității, integrității, disponibilității și, după caz, a autenticității și nerepudierii.

SECȚIUNEA 1.2
Definiții

Art. 2. -

În cuprinsul prezentei directive, următorii termeni și sintagme au următorul înțeles:

a) în cazul în care nu se fac precizări suplimentare, prin informații clasificate se definesc informații naționale clasificate secret de stat, informații NATO clasificate, informații UE clasificate sau informații clasificate care fac obiectul unor tratate, acorduri ori înțelegeri internaționale la care România este parte;

b) INFOSEC - aplicarea de măsuri de securitate pentru protecția informațiilor clasificate procesate, stocate sau transmise în SIC, precum și a resurselor și serviciilor SIC, prin asigurarea îndeplinirii obiectivelor securității informațiilor: confidențialitate, integritate, disponibilitate, autenticitate și nerepudiere.

SECȚIUNEA 1.3
Domeniu de aplicabilitate

Art. 3. -

Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informații clasificate.

Art. 4. -

Prevederile prezentei directive pot fi aplicate, dacă se consideră necesar, și pentru protecția informațiilor naționale clasificate cu nivel de clasificare SECRET DE SERVICIU, a informațiilor NATO sau UE care nu sunt clasificate, dar care au marcaje administrative ori de limitare a diseminării.

Art. 5. -

Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), autoritățile desemnate de securitate (ADS), structurile/funcționarii de securitate și autoritățile operaționale ale SIC (AOSIC) sunt responsabile cu asigurarea implementării prevederilor prezentei directive.

SECȚIUNEA 1.4
Elementele unui SIC

Art. 6. -

(1) Un SIC cuprinde totalitatea elementelor de infrastructură, organizaționale, de personal, componente, necesare pentru colectarea, procesarea, stocarea, transmiterea, afișarea, diseminarea și distrugerea informațiilor.

(2) Tipul de componente ale SIC influențează tipul politicilor INFOSEC care trebuie aplicate și determină modul în care se aplică principiile securității SIC definite în prezenta directivă.

CAPITOLUL II Activități privind securitatea pe întregul ciclu de viață al SIC

SECȚIUNEA 2.1
Obiectivele securității informațiilor clasificate

Art. 7. -

(1) În procesul de asigurare a securității informațiilor clasificate trebuie avute în vedere următoarele obiective:

a) confidențialitatea - asigurarea controlului asupra dezvăluirii și accesului la informațiile clasificate și la serviciile și resursele aferente sistemelor;

b) integritatea - asigurarea acurateței și completitudinii informațiilor clasificate, precum și a serviciilor și resurselor aferente sistemelor;

c) disponibilitatea - asigurarea faptului că persoanele autorizate au acces și pot utiliza informațiile clasificate, resursele și serviciile aferente sistemelor;

d) autenticitatea - asigurarea identificării și autentificării de încredere a persoanelor, dispozitivelor și serviciilor SIC;

e) nerepudierea - asigurarea unei capacități corespunzătoare de a dovedi faptul că o acțiune sau un eveniment a avut loc, astfel încât să nu poată fi repudiată ulterior respectiva acțiune sau eveniment.

(2) Gradul de aplicabilitate a obiectivelor prevăzute la alin. (1) este specific fiecărui SIC și este determinat pe baza unei serii de factori, incluzând obiectivele misiunii SIC, cerințele de securitate minime impuse de politicile de securitate națională, NATO, UE și/sau ale respectivului SIC și, după caz, rezultatele analizei riscului la adresa securității.

SECȚIUNEA 2.2
Principiile securității SIC

Art. 8. -

(1) În scopul realizării obiectivelor prevăzute la art. 7 se aplică un set de principii de bază, enunțate mai jos:

a) managementul riscurilor de securitate - derularea unor procese de management al riscurilor de securitate, pe întreg ciclul de viață al SIC, în vederea monitorizării, reducerii, eliminării, evitării sau acceptării riscurilor;

b) minimalizarea - instalarea și utilizarea numai a funcțiilor, protocoalelor și serviciilor necesare pentru îndeplinirea misiunii operaționale;

c) privilegii minime - utilizatorilor SIC li se vor acorda numai autorizațiile și privilegiile de care aceștia au nevoie pentru îndeplinirea sarcinilor și atribuțiilor de serviciu;

d) nodul autoprotejat - fiecare SIC va considera alte SIC ca fiind nesigure. Din această cauză vor fi implementate măsuri de protecție pentru controlul schimbului de informații cu alte SIC;

e) apărarea în adâncime - măsurile de protecție trebuie implementate pe diferite componente, în măsura în care acest lucru este posibil, astfel încât să nu existe o singură linie de apărare în cadrul SIC;

f) actualizarea stării de securitate - configurația de securitate a SIC trebuie să evolueze pentru a menține nivelul de securitate adecvat, ținând cont de schimbările din mediul de amenințare;

g) reziliența - SIC critice trebuie să aibă capacitatea de a se adapta rapid și/sau de a se recupera în urma oricărui tip de întrerupere, în vederea continuării operării la un nivel acceptabil, ținându-se cont de obiectivele SIC și de impactul pe care întreruperea îl are asupra securității SIC;

h) garantarea funcționalităților de securitate - funcționarea securizată a mecanismelor și produselor care permit sau asigură servicii de securitate pentru SIC trebuie să fie garantată de către o autoritate cu competențe în domeniu;

i) conformitatea securității - aplicarea acestor principii și implementarea ulterioară a măsurilor de protecție trebuie verificate în etapa inițială și apoi periodic de către Agenția de Acreditare de Securitate (AAS). În situația în care sunt identificate deficiențe, acestea trebuie rezolvate.

(2) În vederea implementării principiilor enunțate la alin. (1), normele INFOSEC subsecvente prezentei directive stabilesc cerințe detaliate și specifice.

SECȚIUNEA 2.3
Managementul riscului de securitate

Art. 9. -

(1) Pentru SIC care procesează, stochează sau transmit informații clasificate, procesul de evaluare a riscului de securitate trebuie să facă parte din procesul de dezvoltare a sistemelor în sine.

(2) Procesul de evaluare a riscurilor de securitate se desfășoară prin colaborarea reprezentanților utilizatorilor, structurii responsabile cu planificarea, AOSIC și AAS, folosind o metodologie de evaluare a riscurilor unanim acceptată.

(3) Activitatea de evaluare implică evaluarea măsurilor existente, a modificărilor sau a noilor opțiuni, incluzând ansambluri echilibrate de măsuri de securitate, tehnice și nontehnice.

(4) Scopul evaluării este de a selecta o soluție care să satisfacă cerințele beneficiarului, cerințele de cost și cerințele de risc rezidual de securitate, asigurându-se totodată aplicarea standardelor minime de protecție a informațiilor clasificate, în conformitate cu cerințele politicii naționale, NATO, UE și/sau specifice SIC, după caz.

Art. 10. -

(1) Managementul riscului de securitate reprezintă o abordare sistematică pentru determinarea măsurilor necesare pentru asigurarea protecției informațiilor și a SIC, pe baza evaluării valorii bunurilor supuse riscului, a amenințărilor, vulnerabilităților și impactului asupra obiectivelor organizației.

(2) Managementul riscurilor de securitate este procesul prin care se realizează un echilibru între costurile legate de aplicarea măsurilor de securitate suplimentare și avantajele aplicării acestor contramăsuri. În unele cazuri, procesul de management al riscului de securitate poate conduce la acceptarea unor riscuri mai mari, în vederea reducerii costurilor, în condițiile în care standardele minime sunt aplicate.

(3) Managementul riscului implică planificarea, organizarea, direcționarea și controlul resurselor pentru a asigura faptul că riscul rămâne în limite acceptabile.

Art. 11. -

Riscul rezidual de securitate reprezintă acel risc ce rămâne după implementarea într-un SIC a măsurilor de securitate, dat fiind faptul că nu pot fi contracarate toate amenințările și că nu pot fi eliminate sau reduse toate vulnerabilitățile. Amenințările și vulnerabilitățile sunt dinamice, de aceea și riscul rezidual este supus schimbărilor. Din această cauză riscul va fi gestionat de-a lungul întregului ciclu de viață al SIC, fapt care implică alocarea de resurse adecvate pentru derularea procesului de management al riscurilor.

Art. 12. -

Procesele de management al riscurilor de securitate vor fi derulate pentru monitorizarea, reducerea, eliminarea, evitarea sau acceptarea riscurilor asociate SIC.

SECȚIUNEA 2.4
Amenințări și vulnerabilități

Art. 13. -

(1) Evaluarea riscurilor se bazează pe o evaluare la zi a amenințărilor și se va referi la impactul amenințărilor și vulnerabilităților asupra îndeplinirii obiectivelor securității.

(2) Amenințarea reprezintă, în termeni generali, posibilitatea de compromitere accidentală sau deliberată a securității. În ceea ce privește domeniul securității SIC, o astfel de compromitere implică afectarea unuia sau mai multora dintre obiectivele securității informațiilor.

(3) Vulnerabilitatea reprezintă o slăbiciune sau o lipsă de control care ar permite ori ar facilita concretizarea unei amenințări împotriva unei valori sau a unei ținte specifice. Vulnerabilitatea poate consta într-o omisiune sau poate rezulta dintr-o deficiență a măsurilor de securitate în ceea ce privește tăria acestora, completitudinea ori coerența și poate fi de natură tehnică, procedurală sau operațională.

Art. 14. -

Informațiile clasificate pot fi vulnerabile la accesarea lor de către utilizatori neautorizați, la blocarea accesării lor de către utilizatori autorizați, precum și la coruperea, modificarea neautorizată și la ștergerea neautorizată a acestora. Pe lângă acestea, echipamentele SIC sunt complexe, costisitoare și adesea dificil de reparat sau de înlocuit în mod operativ.

Art. 15. -

SIC care vehiculează informații clasificate reprezintă o țintă atractivă pentru operațiunile de spionaj, în special în situația în care se consideră că măsurile de securitate sunt ineficiente. SIC, în general, permit obținerea unui volum semnificativ de informații în mod rapid și fără a fi detectat. Este de presupus că acțiunile lansate de către serviciile secrete sau de către membri ori simpatizanți ai organizațiilor subversive sau ai grupărilor teroriste împotriva intereselor NATO, UE sau ale statelor membre sunt bine planificate și executate. Blocarea serviciilor sistemului sau deteriorarea datelor vehiculate de aceste sisteme poate constitui, de asemenea, o țintă atractivă, iar prejudiciul adus poate fi semnificativ, indiferent dacă sunt implicate informații clasificate sau neclasificate.

Art. 16. -

(1) Personalul din interior reprezintă un vector de amenințare unic pentru orice organizație, dată fiind poziția privilegiată a acestuia în raport cu accesul fizic și logic la SIC și la informațiile vehiculate de acesta. În contrast cu o persoană din exteriorul organizației, o persoană din interior are o mai bună cunoaștere a situației (de exemplu: cunoașterea punctelor slabe), mai mult timp la dispoziție, mai puține măsuri de securitate pe care trebuie să le depășească și privilegii legitime de acces în zonele securizate, de acces la SIC și la informațiile vehiculate de acesta, în virtutea poziției pe care o ocupă în organizație. Acești factori, combinați cu posibilitatea pe care o are o persoană din interior de a comite orice tip de act malițios, conduc implicit la creșterea impactului oricărui incident.

(2) În vederea descurajării, prevenirii și contracarării acestui tip particular de amenințare, este necesară implementarea unui set de măsuri de securitate specifice. În procesul de selectare a acestor măsuri, organizațiile trebuie să țină cont și de următoarele aspecte:

a) măsurile de securitate trebuie să fie proiectate pentru a trata și amenințările din interior și a susține procedurile de răspuns și de investigare;

b) trebuie să fie consolidate cooperarea și schimbul de informații dintre responsabilii cu diferitele aspecte ale securității din cadrul organizației (explicație: securitatea personalului, securitatea fizică, resurse umane, protecție internă), care pot contribui în mod adecvat la gestionarea amenințărilor din interior.

SECȚIUNEA 2.5
Moduri de operare de securitate

Art. 17. -

SIC care stochează, procesează sau transmit informații naționale clasificate SECRET și cu nivel de clasificare superior funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în sistem;

b) modul de operare de securitate nivel înalt - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin SIC, dar NU TOATE persoanele cu acces la SIC au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC;

c) modul de operare de securitate multinivel - modul de operare în care NU TOATE persoanele care au acces la sistem dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în sistem.

Art. 18. -

SIC care stochează, procesează sau transmit informații clasificate NATO CONFIDENTIAL sau cu nivel de clasificare superior, informații din Categoria specială ori informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau cu nivel de clasificare superior funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în SIC;

b) modul de operare de securitate sistem înalt - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin SIC, dar NU TOATE persoanele cu acces la SIC au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC; aprobarea de a accesa informațiile poate fi acordată la nivel informal sau individual;

c) modul de operare de securitate compartimentat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC, dar NU TOATE persoanele cu acces la sistem au autorizație oficială de a accesa TOATE informațiile stocate, procesate sau transmise prin sistem. Autorizația oficială indică faptul că există un management oficial, centralizat al controlului accesului, iar acordarea accesului nu este la discreția unei singure persoane;

d) modul de operare de securitate multinivel - modul de operare în care NU TOATE persoanele care au acces la sistem dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC.

Art. 19. -

SIC care stochează, procesează sau transmit numai informații cu nivel de clasificare maxim NATO RESTRICTED sau RESTREINT UE/EU RESTRICTED funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în sistem;

b) modul de operare de securitate sistem înalt - modul de operare în care NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în sistem.

NOTĂ:

Aceste interpretări ale modurilor de operare de securitate sunt incluse pentru a ilustra faptul că pentru acces la informații cu nivel de clasificare maxim NATO RESTRICTED sau RESTREINT UE/EU RESTRICTED nu este necesar un certificat de securitate sau o autorizație de acces.

Art. 20. -

Informațiile din Categoria specială sunt procesate numai în modul de operare de securitate "dedicat".

SECȚIUNEA 2.6
Procesul de acreditare de securitate

Art. 21. -

Procesul de acreditare de securitate determină modul în care măsurile de securitate a SIC implementate sunt conforme cu cerințele stabilite pentru protecția informațiilor clasificate procesate, stocate sau transmise, precum și a sistemelor în sine.

Art. 22. -

Procesul de acreditare de securitate determină dacă a fost îndeplinit un nivel adecvat de protecție, precum și dacă acesta se menține. Elementul central al acestui proces este identificarea unui nivel acceptabil al riscului rezidual, care trebuie să fie monitorizat pe tot ciclul de viață al SIC.

Art. 23. -

Procesul de acreditare de securitate se desfășoară de către AAS în conformitate cu prevederile Directivei privind managementul INFOSEC pentru sisteme informatice și de comunicații - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 484/2003, denumită în continuare INFOSEC 3.

Art. 24. -


Pentru a vedea documentul fără paginare, ai nevoie de un abonament Lege5!

;
se încarcă...