Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS

Directiva principală privind domeniul INFOSEC - INFOSEC 2, din 21.03.2014

Modificări (...), Referințe (1)

Text publicat în M.Of. al României.

În vigoare de la 10 aprilie 2014

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată

sau autentifică-te

  •  

CAPITOLUL I Introducere

SECȚIUNEA 1.1
Obiectiv

Art. 1. -

Directiva principală privind domeniul INFOSEC - INFOSEC 2, denumită în continuare directiva, stabilește liniile directoare în domeniul securității sistemelor informatice și de comunicații (SIC), în vederea protecției informațiilor clasificate stocate, procesate sau transmise prin intermediul acestora, din perspectiva asigurării confidențialității, integrității, disponibilității și, după caz, a autenticității și nerepudierii.

SECȚIUNEA 1.2
Definiții

Art. 2. -

În cuprinsul prezentei directive, următorii termeni și sintagme au următorul înțeles:

a) în cazul în care nu se fac precizări suplimentare, prin informații clasificate se definesc informații naționale clasificate secret de stat, informații NATO clasificate, informații UE clasificate sau informații clasificate care fac obiectul unor tratate, acorduri ori înțelegeri internaționale la care România este parte;

b) INFOSEC - aplicarea de măsuri de securitate pentru protecția informațiilor clasificate procesate, stocate sau transmise în SIC, precum și a resurselor și serviciilor SIC, prin asigurarea îndeplinirii obiectivelor securității informațiilor: confidențialitate, integritate, disponibilitate, autenticitate și nerepudiere.

SECȚIUNEA 1.3
Domeniu de aplicabilitate

Art. 3. -

Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informații clasificate.

Art. 4. -

Prevederile prezentei directive pot fi aplicate, dacă se consideră necesar, și pentru protecția informațiilor naționale clasificate cu nivel de clasificare SECRET DE SERVICIU, a informațiilor NATO sau UE care nu sunt clasificate, dar care au marcaje administrative ori de limitare a diseminării.

Art. 5. -

Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS), autoritățile desemnate de securitate (ADS), structurile/funcționarii de securitate și autoritățile operaționale ale SIC (AOSIC) sunt responsabile cu asigurarea implementării prevederilor prezentei directive.

SECȚIUNEA 1.4
Elementele unui SIC

Art. 6. -

(1) Un SIC cuprinde totalitatea elementelor de infrastructură, organizaționale, de personal, componente, necesare pentru colectarea, procesarea, stocarea, transmiterea, afișarea, diseminarea și distrugerea informațiilor.

(2) Tipul de componente ale SIC influențează tipul politicilor INFOSEC care trebuie aplicate și determină modul în care se aplică principiile securității SIC definite în prezenta directivă.

CAPITOLUL II Activități privind securitatea pe întregul ciclu de viață al SIC

SECȚIUNEA 2.1
Obiectivele securității informațiilor clasificate

Art. 7. -

(1) În procesul de asigurare a securității informațiilor clasificate trebuie avute în vedere următoarele obiective:

a) confidențialitatea - asigurarea controlului asupra dezvăluirii și accesului la informațiile clasificate și la serviciile și resursele aferente sistemelor;

b) integritatea - asigurarea acurateței și completitudinii informațiilor clasificate, precum și a serviciilor și resurselor aferente sistemelor;

c) disponibilitatea - asigurarea faptului că persoanele autorizate au acces și pot utiliza informațiile clasificate, resursele și serviciile aferente sistemelor;

d) autenticitatea - asigurarea identificării și autentificării de încredere a persoanelor, dispozitivelor și serviciilor SIC;

e) nerepudierea - asigurarea unei capacități corespunzătoare de a dovedi faptul că o acțiune sau un eveniment a avut loc, astfel încât să nu poată fi repudiată ulterior respectiva acțiune sau eveniment.

(2) Gradul de aplicabilitate a obiectivelor prevăzute la alin. (1) este specific fiecărui SIC și este determinat pe baza unei serii de factori, incluzând obiectivele misiunii SIC, cerințele de securitate minime impuse de politicile de securitate națională, NATO, UE și/sau ale respectivului SIC și, după caz, rezultatele analizei riscului la adresa securității.

SECȚIUNEA 2.2
Principiile securității SIC

Art. 8. -

(1) În scopul realizării obiectivelor prevăzute la art. 7 se aplică un set de principii de bază, enunțate mai jos:

a) managementul riscurilor de securitate - derularea unor procese de management al riscurilor de securitate, pe întreg ciclul de viață al SIC, în vederea monitorizării, reducerii, eliminării, evitării sau acceptării riscurilor;

b) minimalizarea - instalarea și utilizarea numai a funcțiilor, protocoalelor și serviciilor necesare pentru îndeplinirea misiunii operaționale;

c) privilegii minime - utilizatorilor SIC li se vor acorda numai autorizațiile și privilegiile de care aceștia au nevoie pentru îndeplinirea sarcinilor și atribuțiilor de serviciu;

d) nodul autoprotejat - fiecare SIC va considera alte SIC ca fiind nesigure. Din această cauză vor fi implementate măsuri de protecție pentru controlul schimbului de informații cu alte SIC;

e) apărarea în adâncime - măsurile de protecție trebuie implementate pe diferite componente, în măsura în care acest lucru este posibil, astfel încât să nu existe o singură linie de apărare în cadrul SIC;

f) actualizarea stării de securitate - configurația de securitate a SIC trebuie să evolueze pentru a menține nivelul de securitate adecvat, ținând cont de schimbările din mediul de amenințare;

g) reziliența - SIC critice trebuie să aibă capacitatea de a se adapta rapid și/sau de a se recupera în urma oricărui tip de întrerupere, în vederea continuării operării la un nivel acceptabil, ținându-se cont de obiectivele SIC și de impactul pe care întreruperea îl are asupra securității SIC;

h) garantarea funcționalităților de securitate - funcționarea securizată a mecanismelor și produselor care permit sau asigură servicii de securitate pentru SIC trebuie să fie garantată de către o autoritate cu competențe în domeniu;

i) conformitatea securității - aplicarea acestor principii și implementarea ulterioară a măsurilor de protecție trebuie verificate în etapa inițială și apoi periodic de către Agenția de Acreditare de Securitate (AAS). În situația în care sunt identificate deficiențe, acestea trebuie rezolvate.

(2) În vederea implementării principiilor enunțate la alin. (1), normele INFOSEC subsecvente prezentei directive stabilesc cerințe detaliate și specifice.

SECȚIUNEA 2.3
Managementul riscului de securitate

Art. 9. -

(1) Pentru SIC care procesează, stochează sau transmit informații clasificate, procesul de evaluare a riscului de securitate trebuie să facă parte din procesul de dezvoltare a sistemelor în sine.

(2) Procesul de evaluare a riscurilor de securitate se desfășoară prin colaborarea reprezentanților utilizatorilor, structurii responsabile cu planificarea, AOSIC și AAS, folosind o metodologie de evaluare a riscurilor unanim acceptată.

(3) Activitatea de evaluare implică evaluarea măsurilor existente, a modificărilor sau a noilor opțiuni, incluzând ansambluri echilibrate de măsuri de securitate, tehnice și nontehnice.

(4) Scopul evaluării este de a selecta o soluție care să satisfacă cerințele beneficiarului, cerințele de cost și cerințele de risc rezidual de securitate, asigurându-se totodată aplicarea standardelor minime de protecție a informațiilor clasificate, în conformitate cu cerințele politicii naționale, NATO, UE și/sau specifice SIC, după caz.

Art. 10. -

(1) Managementul riscului de securitate reprezintă o abordare sistematică pentru determinarea măsurilor necesare pentru asigurarea protecției informațiilor și a SIC, pe baza evaluării valorii bunurilor supuse riscului, a amenințărilor, vulnerabilităților și impactului asupra obiectivelor organizației.

(2) Managementul riscurilor de securitate este procesul prin care se realizează un echilibru între costurile legate de aplicarea măsurilor de securitate suplimentare și avantajele aplicării acestor contramăsuri. În unele cazuri, procesul de management al riscului de securitate poate conduce la acceptarea unor riscuri mai mari, în vederea reducerii costurilor, în condițiile în care standardele minime sunt aplicate.

(3) Managementul riscului implică planificarea, organizarea, direcționarea și controlul resurselor pentru a asigura faptul că riscul rămâne în limite acceptabile.

Art. 11. -

Riscul rezidual de securitate reprezintă acel risc ce rămâne după implementarea într-un SIC a măsurilor de securitate, dat fiind faptul că nu pot fi contracarate toate amenințările și că nu pot fi eliminate sau reduse toate vulnerabilitățile. Amenințările și vulnerabilitățile sunt dinamice, de aceea și riscul rezidual este supus schimbărilor. Din această cauză riscul va fi gestionat de-a lungul întregului ciclu de viață al SIC, fapt care implică alocarea de resurse adecvate pentru derularea procesului de management al riscurilor.

Art. 12. -

Procesele de management al riscurilor de securitate vor fi derulate pentru monitorizarea, reducerea, eliminarea, evitarea sau acceptarea riscurilor asociate SIC.

SECȚIUNEA 2.4
Amenințări și vulnerabilități

Art. 13. -

(1) Evaluarea riscurilor se bazează pe o evaluare la zi a amenințărilor și se va referi la impactul amenințărilor și vulnerabilităților asupra îndeplinirii obiectivelor securității.

(2) Amenințarea reprezintă, în termeni generali, posibilitatea de compromitere accidentală sau deliberată a securității. În ceea ce privește domeniul securității SIC, o astfel de compromitere implică afectarea unuia sau mai multora dintre obiectivele securității informațiilor.

(3) Vulnerabilitatea reprezintă o slăbiciune sau o lipsă de control care ar permite ori ar facilita concretizarea unei amenințări împotriva unei valori sau a unei ținte specifice. Vulnerabilitatea poate consta într-o omisiune sau poate rezulta dintr-o deficiență a măsurilor de securitate în ceea ce privește tăria acestora, completitudinea ori coerența și poate fi de natură tehnică, procedurală sau operațională.

Art. 14. -

Informațiile clasificate pot fi vulnerabile la accesarea lor de către utilizatori neautorizați, la blocarea accesării lor de către utilizatori autorizați, precum și la coruperea, modificarea neautorizată și la ștergerea neautorizată a acestora. Pe lângă acestea, echipamentele SIC sunt complexe, costisitoare și adesea dificil de reparat sau de înlocuit în mod operativ.

Art. 15. -

SIC care vehiculează informații clasificate reprezintă o țintă atractivă pentru operațiunile de spionaj, în special în situația în care se consideră că măsurile de securitate sunt ineficiente. SIC, în general, permit obținerea unui volum semnificativ de informații în mod rapid și fără a fi detectat. Este de presupus că acțiunile lansate de către serviciile secrete sau de către membri ori simpatizanți ai organizațiilor subversive sau ai grupărilor teroriste împotriva intereselor NATO, UE sau ale statelor membre sunt bine planificate și executate. Blocarea serviciilor sistemului sau deteriorarea datelor vehiculate de aceste sisteme poate constitui, de asemenea, o țintă atractivă, iar prejudiciul adus poate fi semnificativ, indiferent dacă sunt implicate informații clasificate sau neclasificate.

Art. 16. -

(1) Personalul din interior reprezintă un vector de amenințare unic pentru orice organizație, dată fiind poziția privilegiată a acestuia în raport cu accesul fizic și logic la SIC și la informațiile vehiculate de acesta. În contrast cu o persoană din exteriorul organizației, o persoană din interior are o mai bună cunoaștere a situației (de exemplu: cunoașterea punctelor slabe), mai mult timp la dispoziție, mai puține măsuri de securitate pe care trebuie să le depășească și privilegii legitime de acces în zonele securizate, de acces la SIC și la informațiile vehiculate de acesta, în virtutea poziției pe care o ocupă în organizație. Acești factori, combinați cu posibilitatea pe care o are o persoană din interior de a comite orice tip de act malițios, conduc implicit la creșterea impactului oricărui incident.

(2) În vederea descurajării, prevenirii și contracarării acestui tip particular de amenințare, este necesară implementarea unui set de măsuri de securitate specifice. În procesul de selectare a acestor măsuri, organizațiile trebuie să țină cont și de următoarele aspecte:

a) măsurile de securitate trebuie să fie proiectate pentru a trata și amenințările din interior și a susține procedurile de răspuns și de investigare;

b) trebuie să fie consolidate cooperarea și schimbul de informații dintre responsabilii cu diferitele aspecte ale securității din cadrul organizației (explicație: securitatea personalului, securitatea fizică, resurse umane, protecție internă), care pot contribui în mod adecvat la gestionarea amenințărilor din interior.

SECȚIUNEA 2.5
Moduri de operare de securitate

Art. 17. -

SIC care stochează, procesează sau transmit informații naționale clasificate SECRET și cu nivel de clasificare superior funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în sistem;

b) modul de operare de securitate nivel înalt - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin SIC, dar NU TOATE persoanele cu acces la SIC au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC;

c) modul de operare de securitate multinivel - modul de operare în care NU TOATE persoanele care au acces la sistem dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în sistem.

Art. 18. -

SIC care stochează, procesează sau transmit informații clasificate NATO CONFIDENTIAL sau cu nivel de clasificare superior, informații din Categoria specială ori informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau cu nivel de clasificare superior funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în SIC;

b) modul de operare de securitate sistem înalt - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise prin SIC, dar NU TOATE persoanele cu acces la SIC au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC; aprobarea de a accesa informațiile poate fi acordată la nivel informal sau individual;

c) modul de operare de securitate compartimentat - modul de operare în care TOATE persoanele care au acces la SIC dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC, dar NU TOATE persoanele cu acces la sistem au autorizație oficială de a accesa TOATE informațiile stocate, procesate sau transmise prin sistem. Autorizația oficială indică faptul că există un management oficial, centralizat al controlului accesului, iar acordarea accesului nu este la discreția unei singure persoane;

d) modul de operare de securitate multinivel - modul de operare în care NU TOATE persoanele care au acces la sistem dețin certificat de securitate sau autorizație de acces pentru cel mai înalt nivel de clasificare a informațiilor stocate, procesate sau transmise în SIC și NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în SIC.

Art. 19. -

SIC care stochează, procesează sau transmit numai informații cu nivel de clasificare maxim NATO RESTRICTED sau RESTREINT UE/EU RESTRICTED funcționează într-unul dintre următoarele moduri de operare de securitate sau, în cazul în care este necesar, în mai multe dintre următoarele moduri de operare de securitate, de-a lungul unor perioade diferite de timp:

a) modul de operare de securitate dedicat - modul de operare în care TOATE persoanele care au acces la SIC au o necesitate de a cunoaște comună pentru TOATE informațiile stocate, procesate sau transmise în sistem;

b) modul de operare de securitate sistem înalt - modul de operare în care NU TOATE persoanele cu acces la sistem au o necesitate comună de a cunoaște TOATE informațiile stocate, procesate sau transmise în sistem.

NOTĂ:

Aceste interpretări ale modurilor de operare de securitate sunt incluse pentru a ilustra faptul că pentru acces la informații cu nivel de clasificare maxim NATO RESTRICTED sau RESTREINT UE/EU RESTRICTED nu este necesar un certificat de securitate sau o autorizație de acces.

Art. 20. -

Informațiile din Categoria specială sunt procesate numai în modul de operare de securitate "dedicat".

SECȚIUNEA 2.6
Procesul de acreditare de securitate

Art. 21. -

Procesul de acreditare de securitate determină modul în care măsurile de securitate a SIC implementate sunt conforme cu cerințele stabilite pentru protecția informațiilor clasificate procesate, stocate sau transmise, precum și a sistemelor în sine.

Art. 22. -

Procesul de acreditare de securitate determină dacă a fost îndeplinit un nivel adecvat de protecție, precum și dacă acesta se menține. Elementul central al acestui proces este identificarea unui nivel acceptabil al riscului rezidual, care trebuie să fie monitorizat pe tot ciclul de viață al SIC.

Art. 23. -

Procesul de acreditare de securitate se desfășoară de către AAS în conformitate cu prevederile Directivei privind managementul INFOSEC pentru sisteme informatice și de comunicații - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 484/2003, denumită în continuare INFOSEC 3.

Art. 24. -

În conformitate cu prevederile politicii de securitate a informațiilor și cu specificațiile AAS, se elaborează documentația de securitate a SIC. Documentația de securitate este necesară pe întreg ciclul de viață al SIC, de la etapa de planificare, până la momentul dezafectării sistemului. Procesul de dezvoltare a documentației de securitate este iterativ, pe întreg ciclul de viață al SIC.

SECȚIUNEA 2.7
Auditul securității

Art. 25. -

Activitățile de audit de securitate sunt realizate pentru a verifica faptul că SIC care vehiculează informații clasificate sunt conforme cu prevederile politicii de securitate aplicabile.

Art. 26. -

Metodele de audit de securitate includ inspecțiile de securitate, analize, interviuri și testări. Este recomandabil ca analizele și testele să fie susținute de instrumente automate.

Art. 27. -

Activitățile de audit de securitate se realizează de către sau sub coordonarea AAS.

SECȚIUNEA 2.8
Procesul de continuare a activității

Art. 28. -

Continuarea activității reprezintă un proces critic prin care se identifică elemente care amenință îndeplinirea misiunii organizației. Totodată, acest proces creează un cadru de consolidare a rezilienței, cu capacitatea de răspuns eficient care să minimizeze întreruperea activității la nivelul organizației și afectarea obiectivelor acesteia, în cazul unui incident.

Art. 29. -

În contextul procesului de continuare a activității, măsurile de securitate necesare pentru sprijinirea rezilienței unui SIC, inclusiv planurile și procedurile, sunt identificate prin intermediul unui proces de evaluare a riscului și al analizei de impact și se concretizează în planul pentru continuarea activității, întocmit la nivelul organizației. În timp ce procesul de evaluare a riscului conduce la identificarea funcțiilor și bunurilor critice, precum și a riscurilor care pot determina întreruperea misiunii organizației, analiza de impact identifică distrugerile sau pierderile potențiale în cazul unui incident, forma pe care o pot lua distrugerile și modul în care pot evolua acestea în timp.

SECȚIUNEA 2.9
Managementul încrederii

Art. 30. -

(1) Încrederea în securitatea SIC este un aspect complex care vizează SIC, componentele sale, lanțul de achiziție prin care sunt procurate acestea, precum și alte elemente care pot avea impact asupra securității SIC.

(2) Managementul încrederii reprezintă un element esențial, dat fiind faptul că acesta permite determinarea măsurii în care SIC, componentele sale și lanțul de achiziție sunt sigure.

(3) Elementele care contribuie la crearea încrederii pot fi de natură oficială, implicând tehnici de asigurare, cum sunt certificarea produselor sau a proceselor derulate la nivelul furnizorului, sau mai puțin riguroase, cum ar fi informațiile cu privire la producător (de exemplu: reputația).

(4) Funcțiile de securitate ale SIC care vehiculează informații clasificate trebuie să fie confirmate de către autorități competente, prin tehnici oficiale de asigurare.

(5) Tehnicile oficiale de asigurare în cazul produselor includ:

a) evaluarea, ca tehnică de examinare detaliată a aspectelor de securitate ale unui produs de către entitățile naționale sau internaționale abilitate. Evaluarea confirmă prezența funcționalităților de securitate necesare, absența efectelor secundare ale acestor funcționalități și face o analiză a incoruptibilității acestor funcționalități. Evaluarea stabilește măsura în care sunt satisfăcute cerințele de securitate pentru un produs și stabilește conformitatea funcțiilor de securitate ale unui produs;

b) certificarea, ca proces de emitere de către o autoritate națională sau internațională abilitată a unui document oficial, ca rezultat al unei evaluări încheiate cu succes.

(6) Tehnicile oficiale de asigurare în cazul SIC includ:

a) evaluarea, ca tehnică de examinare detaliată a aspectelor de securitate ale unui SIC de către entitățile naționale sau internaționale abilitate. Evaluarea stabilește dacă SIC satisface cerințele de securitate predefinite;

b) acreditarea de securitate, ca proces care, susținut de rezultatele unei evaluări, determină dacă în SIC a fost implementat și este menținut un nivel adecvat de protecție.

Art. 31. -

(1) Cerințele de securitate pentru SIC sunt identificate în etapa de planificare a SIC de către AOSIC, în colaborare cu AAS.

(2) Procesul de identificare a cerințelor de securitate pentru SIC ia în considerare cerințele stabilite în reglementările naționale, NATO, UE și/sau specifice SIC, după caz, privind protecția informațiilor clasificate, analiza arhitecturii de securitate și rezultatele procesului de analiză a riscului.

(3) În cazul în care sunt necesare evaluarea și certificarea produselor, se utilizează Metodologia asociată criteriilor comune de evaluare a securității IT, ori de câte ori aceasta este aplicabilă.

(4) Metodologia prevăzută la alin. (3) nu se aplică produselor criptografice și TEMPEST, pentru care se stabilesc criterii și metodologii de evaluare specifice.

Art. 32. -

(1) Componentele hardware, firmware și software pentru care se aplică specificații de proiectare detaliate sunt proiectate și manufacturate în state membre NATO sau UE, după caz, în funcție de tipul informațiilor ce urmează să fie vehiculate prin SIC.

(2) În cazul în care componentele prevăzute la alin. (1) sunt proiectate și/sau manufacturate într-un stat non-NATO sau non- UE, trebuie consultat ORNISS.

Art. 33. -

Pentru achiziția produselor de securitate INFOSEC trebuie consultat Catalogul național cu pachete, produse și profile de protecție INFOSEC, aprobat prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 25/2012, cu modificările și completările ulterioare.

Art. 34. -

Managementul încrederii în lanțul de achiziții prin intermediul căruia SIC și componentele acestuia sunt procurate implică și faptul că informațiile clasificate diseminate către industrie, generate în baza unui contract cu industria și a contractelor clasificate, trebuie să fie protejate în conformitate cu prevederile reglementărilor naționale în domeniul protecției informațiilor clasificate.

SECȚIUNEA 2.10
Interconectarea SIC

Art. 35. -

(1) În vederea atingerii obiectivelor asumate, organizațiile au nevoie să își interconecteze propriile SIC cu SIC ale altor organizații, cu diferite comunități de interes, diferite nivele de clasificare și diferite standarde de securitate.

(2) În scopul respectării principiului SIC autoprotejat, sunt necesare analizarea riscului potențial reprezentat de interconectare, fie aceasta în mod direct sau în cascadă, și implementarea de măsuri de securitate specifice pentru protejarea interconectării.

(3) Pentru toate interconectările SIC care vehiculează informații clasificate este necesar ca AAS să aprobe:

a) metoda de interconectare și serviciile oferite;

b) metodologia de management al riscului și rezultatele analizei riscului;

c) arhitectura de securitate și măsurile de securitate pentru asigurarea respectării obiectivelor securității;

d) documentația de securitate, inclusiv planul de testare a securității și rezultatele aplicării acestui plan.

Art. 36. -

INFOSEC 3 stabilește cerințele de acreditare de securitate, iar directivele tehnice și de implementare stabilesc măsurile care trebuie implementate.

Art. 37. -

(1) Cerințele privind măsurile de protecție ce trebuie implementate în SIC care vehiculează informații clasificate și sunt conectate la internet sau la rețele similare din domeniul public trebuie să țină seama de riscurile de securitate excepționale pe care aceste tipuri de rețele publice le ridică, din cauza accesibilității necontrolate, pe scară largă, a susceptibilității create de protocoalele orientate pe lipsa conectării și a vulnerabilității SIC finale față de exploatare.

(2) Interconectarea directă sau în cascadă la internet sau la alte rețele similare din domeniul public a SIC care vehiculează informații clasificate de nivel maxim STRICT SECRET sau echivalent trebuie să fie:

a) strict controlată;

b) în conformitate cu cerințele stabilite de AAS;

c) evaluată și certificată din punctul de vedere al mecanismelor de securitate;

d) supusă unei analize periodice oficiale a vulnerabilităților.

(3) Conectarea directă sau tip cascadă a SIC care vehiculează informații clasificate STRICT SECRET DE IMPORTANȚĂ DEOSEBITĂ sau echivalent ori informații din Categoria specială la internet sau la rețele similare din domeniul public este interzisă.

SECȚIUNEA 2.11
Conectarea SIC care vehiculează informații clasificate la internet sau la alte rețele din domeniul public

Art. 38. -

(1) SIC care vehiculează informații clasificate pot utiliza internetul sau rețele similare din domeniul public ca infrastructură de comunicații, în condițiile în care se asigură protecția criptografică adecvată. În acest caz, obiectivele securității trebuie analizate cu multă grijă.

(2) Singurele tipuri de informații care pot fi transmise în clar (necriptate) sunt următoarele:

a) informațiile provenind din surse deschise, informațiile cu caracter public sau informațiile naționale, NATO ori UE pentru care există aprobarea de diseminare publică;

b) informațiile NATO și UE neclasificate, care nu poartă marcaje administrative sau marcaje privind controlul diseminării, care să indice gradul de sensibilitate a informațiilor.

(3) Numai informațiile provenind din surse deschise și informațiile cu caracter public sau informațiile pentru care există aprobarea de diseminare publică pot fi postate pe site-uri web sau pagini web publice și se vor supune cerințelor de asigurare a integrității impuse de emitentul informației.

Art. 39. -

(1) Pentru toate conexiunile SIC la internet sau la rețele similare din domeniul public, AAS aprobă următoarele:

a) metoda de conectare și serviciile furnizate;

b) evaluarea riscului de securitate și metodologia de management al riscului utilizată, precum și rezultatele analizei riscului de securitate;

c) procedurile și mecanismele de asigurare a faptului că informațiile clasificate sau informațiile care poartă un marcaj administrativ sau de diseminare limitată nu sunt transmise pe canale de comunicații neprotejate;

d) mecanismele și/sau procedurile implementate pentru asigurarea confidențialității, integrității și/sau disponibilității informațiilor, precum și a serviciilor/resurselor sistemelor;

e) mecanismele și/sau procedurile aplicate pentru îndeplinirea cerințelor privind evidența;

f) documentația de securitate, inclusiv planul de testare și rezultatele testărilor de securitate.

(2) AAS este responsabilă pentru verificarea implementării inițiale a măsurilor de securitate și a verificărilor periodice.

SECȚIUNEA 2.12
Securitatea aplicațiilor

Art. 40. -

(1) Aspectele de securitate trebuie înglobate în ciclul de viață (proiectare, dezvoltare, implementare și întreținere) al componentelor software special dezvoltate pentru vehicularea de informații clasificate, avându-se în vedere obiectivele de securitate definite pentru SIC.

(2) Aplicațiile sunt supuse testărilor de securitate, managementului securității (de exemplu: versiuni de bază) și controlului modificărilor (de exemplu: patch-uri).

SECȚIUNEA 2.13 Securitatea criptografică

Art. 41. -

Implementarea securității criptografice în SIC care vehiculează informații clasificate se realizează în conformitate cu prevederile reglementărilor naționale, NATO, UE sau specifice SIC, după caz, specifice domeniului.

SECȚIUNEA 2.14
Securitatea emisiilor

Art. 42. -

Cerințele relevante din punctul de vedere al securității emisiilor sunt cuprinse în directivele și ghidurile INFOSEC emise de către ORNISS.

SECȚIUNEA 2.15
Logurile de securitate

Art. 43. -

(1) SIC care vehiculează informații clasificate sunt protejate de măsuri de securitate pentru detecția activităților malițioase și a defecțiunilor, prin colectarea, analiza și stocarea informațiilor referitoare la evenimente relevante din punctul de vedere al securității.

(2) Măsurile prevăzute la alin. (1) sunt necesare pentru a asigura informații suficiente, inclusiv trasabilitatea evenimentelor, în vederea investigării unei compromiteri accidentale sau deliberate a obiectivelor securității informațiilor, precum și a unei tentative de compromitere a acestora, proporțional cu prejudiciul care poate fi produs.

(3) Cerințele de colectare a informațiilor referitoare la evenimente relevante din punctul de vedere al securității sunt definite având în vedere că logurile de securitate au un rol esențial pentru sprijinirea activității de audit al securității efectuate de AAS.

(4) Perioada de analiză și de păstrare a logurilor de securitate se aprobă de către AAS, pe baza analizei riscului și având în vedere următoarele aspecte:

a) obiectivele de securitate ale SIC;

b) mediul de amenințare;

c) tipul logurilor și al datelor colectate;

d) frecvența analizei logurilor;

e) utilizarea de instrumente automate pentru verificarea logurilor;

f) cerințele privind investigarea, auditul și alte cerințe legale.

SECȚIUNEA 2.16
Configurația de securitate de bază

Art. 44. -

(1) Pentru SIC care vehiculează informații clasificate și componentele hardware și software critice sunt definite configurații de securitate de bază, care trebuie aplicate și păstrate la zi, prin procesele de management al configurației și de cel de control al modificărilor pe întregul ciclu de viață al SIC.

(2) Configurațiile de bază ale securității includ setările de securitate necesare pentru consolidarea configurației componentelor critice, înainte de instalare, și cerințele pentru actualizările de securitate ale componentelor aflate în operare.

SECȚIUNEA 2.17
Apărarea împotriva software-ului malițios

Art. 45. -

(1) Evoluția complexității software-ului malițios și capacitatea sa de a executa atacuri direcționate impun acordarea unei atenții sporite.

(2) În SIC care vehiculează informații clasificate sunt utilizate soluții de detecție care să blocheze instalarea, să prevină executarea, să trimită în carantină software-ul malițios și să alerteze personalul responsabil cu activitățile asociate răspunsului la incidente.

SECȚIUNEA 2.18
Controlul accesului

Art. 46. -

(1) Controlul accesului reprezintă o primă linie de apărare, dat fiind că acesta permite identificarea, autentificarea, autorizarea și evidența oricărei entități (de exemplu: persoană, dispozitiv, serviciu) care solicită acces la SIC și la elementele acestuia.

(2) În SIC care vehiculează informații clasificate, controlul accesului se implementează pentru a preveni operațiuni neautorizate asupra SIC și a elementelor acestuia (de exemplu: date, dispozitive, servicii).

Art. 47. -

(1) În selectarea unui model de control al accesului și a măsurilor de securitate asociate acestuia, AOSIC trebuie să țină cont de următorii factori:

a) modalitatea și măsura în care o organizație implementează managementul informațiilor pot avea impact asupra proiectării măsurilor de control al accesului;

b) măsurile tehnice sunt proiectate în contextul mediului de securitate general al SIC, pentru a funcționa în mod coerent și coordonat cu măsurile de control al accesului fizic și administrativ;

c) măsurile tehnice trebuie să permită acces securizat și granular la informații pe baza modului de operare de securitate pentru care a fost proiectat SIC și a cerințelor validate privind schimbul de informații între comunități de interese din cadrul SIC sau cu alte SIC.

(2) Limitele tradiționale ale rețelelor sunt elemente majore pentru proiectarea securității infrastructurii unui SIC.

(3) AOSIC trebuie să ia în considerare faptul că aceste limite nu pot fi considerate un punct de referință exhaustiv atunci când se are în vedere protecția informațiilor clasificate vehiculate în SIC cu cerințe complexe de schimb de informații și control al accesului.

(4) În situația prevăzută la alin. (3), AOSIC adoptă strategii de apărare în adâncime, care includ politici și măsuri de securitate specifice, pentru protecția obiectelor informaționale, pe baza identității și a altor atribute relevante ale entității care solicită accesul la aceste obiecte, precum și pe baza proprietăților acelor obiecte, denumite în mod comun metadate.

(5) În contextul controlului accesului, managementul identității și al accesului joacă un rol important, cuprinzând persoane, procese și produse necesare pentru managementul identităților digitale (de exemplu: persoane, dispozitive, servicii, date) pe întreg ciclul de viață al acestora și accesul la resursele SIC.

Art. 48. -

Pentru SIC aparținând NATO, accesul la resursele SIC se gestionează prin capacități de management al identificării și autentificării, care să asigure:

a) managementul identităților digitale, precum și al atributelor, privilegiilor și credențialelor acestora;

b) furnizarea de servicii de autentificare, incluzând identificarea puternică, în funcție de rezultatele analizei riscului;

c) prevenirea furtului și reutilizării credențialelor;

d) furnizarea de autorizări granulare, pe baza politicilor de acces;

e) auditul utilizatorilor și activităților din sistem.

Art. 49. -

(1) Cerințele minime privind identificarea și autentificarea pe SIC care vehiculează informați clasificate sunt stabilite prin reglementările în domeniu emise de către ORNISS și, după caz, se vor avea în vedere rezultatele procesului de management al riscului de securitate.

(2) Cerințele privind identificarea și autentificarea trebuie să definească proprietățile mecanismelor de securitate.

SECȚIUNEA 2.19
Răspunsul la incidente

Art. 50. -

(1) Un incident de securitate în SIC reprezintă orice anomalie detectată care a compromis sau are potențialul de a compromite sistemele de comunicații, sistemele informatice ori alte sisteme electronice sau informațiile stocate, procesate ori transmise prin intermediul acestor sisteme.

(2) Pentru gestionarea incidentelor de securitate se desemnează personal specializat din punct de vedere tehnic.

Art. 51. -

Incidentele care vizează securitatea SIC se raportează la ORNISS.

Art. 52. -

(1) În cazul în care survin incidente de securitate în SIC NATO care vehiculează informații clasificate, ORNISS raportează incidentele către Oficiul de Securitate al NATO (NOS) și către NATO Computer Incident Response Capability (NCIRC).

(2) În cazul în care survin incidente de securitate în SIC UE care vehiculează informații clasificate, ORNISS raportează incidentele către Secretariatul General al Consiliului UE.

(3) În următoarele situații, raportarea către NOS/NCIRC, respectiv către Secretariatul General al Consiliului UE trebuie făcută cu maximă prioritate:

a) breșa de securitate vizează informații COSMIC TOP SECRET, NATO SECRET, informații din Categoria specială, TRES SECRET UE/EU TOP SECRET sau informații SECRET UE/EU SECRET;

b) dezvăluirea neautorizată de informații clasificate către mass media (de exemplu: presă, bloguri, websites) sau către alte entități (de exemplu: grupări politice, teroriste sau criminale);

c) culegere de date neautorizată;

d) suspiciunea de activități de spionaj;

e) activitate malițioasă internă (de exemplu: amenințări provenite din interior);

f) incidente care implică accesul privilegiat la SIC;

g) incidente care implică elemente criptografice;

h) incidente care au un impact semnificativ asupra organizației.

(4) Toate celelalte tipuri de incidente de securitate care afectează SIC NATO sau SIC UE se raportează de către ORNISS la NOS, respectiv Secretariatul General al Consiliului UE, în scop de analiză și realizarea de statistici.

(5) Identificarea, colectarea, achiziția și păstrarea probelor digitale sunt realizate de către personal instruit în domeniul investigațiilor digitale, într-o manieră sistematică și imparțială, în vederea conservării integrității, autenticității și calității de probe valabile, în conformitate cu prevederile legale.

SECȚIUNEA 2.20 Infrastructura de management al securității

Art. 53. -

În SIC care vehiculează informații clasificate sunt implementate mecanisme și proceduri de management al securității care să asigure descurajarea, prevenirea, detectarea, rezistența și recuperarea în urma unui incident care afectează securitatea informațiilor și a SIC.

SECȚIUNEA 2.21
Instruirea și conștientizarea în domeniul securității SIC

Art. 54. -

(1) Un factor major în realizarea unui nivel de securitate adecvat pentru un SIC este implementarea unui program activ de instruire și conștientizare a tuturor utilizatorilor SIC.

(2) Programele de instruire și educație de securitate trebuie să îi facă pe utilizatori conștienți cu privire la vulnerabilitățile și amenințările generale aplicabile sistemului pe care îl utilizează, pentru a înțelege motivul pentru care trebuie să mențină măsurile de protecție și responsabilitățile pe care le au în acest sens. Trebuie acordată o atenție specială amenințărilor emergente și celor specifice (de exemplu: atacuri cu țintă bine definită, ingineria socială, amenințări din interior), dat fiind că acestea exploatează comportamentul uman.

(3) Instruirea și educația de securitate trebuie să vizeze managementul superior, structurile de planificare, de implementare și operaționale, responsabilii cu securitatea și utilizatorii, pentru a asigura faptul că responsabilitățile de securitate sunt corect înțelese. În acest context trebuie identificate standarde minime de instruire de securitate.

CAPITOLUL III Activități legate de securitatea SIC pe întregul ciclu de viață al sistemului

Art. 55. -

(1) Prezentul capitol prezintă activitățile minime din domeniul securității SIC ce trebuie întreprinse de-a lungul întregului ciclu de viață al sistemului, precum și autoritățile și personalul responsabile de derularea acestor activități.

(2) Activitățile prevăzute la alin. (1) se bazează pe cerințele stabilite în detaliu în directivele INFOSEC subsecvente prezentei directive.

(3) Sunt identificate următoarele etape ale ciclului de viață al unui SIC, care pot fi adaptate în conformitate cu cerințele operaționale:

a) planificarea;

b) dezvoltarea și achiziția;

c) implementarea și acreditarea de securitate;

d) exploatarea operațională;

e) modificarea;

f) scoaterea din uz și disponibilizarea echipamentului.

(4) Activitățile minime legate de securitatea SIC prezentate în continuare în secțiunile 3.1-3.6 scot în evidență modul în care vor fi utilizate directivele și ghidurile INFOSEC subsecvente prezentei directive.

SECȚIUNEA 3.1
Planificarea SIC

Art. 56. -

În etapa de planificare a SIC se desfășoară următoarele activități legate de securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Informarea AAS despre planificarea unui SIC Structura de planificare și implementare a SIC
2. Stabilirea unei autorități operaționale a SIC (AOSIC) care răspunde de securitatea sistemului (sau atribuirea acestei responsabilități unei structuri funcționale deja existente). Identificarea sarcinilor legate de securitatea SIC Structura de planificare și implementare a SIC, în colaborare cu AAS
3. Stabilirea bazei pentru acreditarea de securitate, prin dezvoltarea unei strategii de acreditare de securitate Structura de planificare și implementare a SIC, în colaborare strânsă cu AAS
4. Aprobarea strategiei de acreditare de securitate AAS
5. Identificarea cerințelor privind evaluarea riscurilor de securitate și a metodologiilor utilizate pentru evaluarea și managementul riscurilor AAS, în colaborare cu structura de planificare și implementare sau cu managerul de proiect
6. Efectuarea unei evaluări inițiale a riscurilor, în conformitate cu cerințele stabilite de AAS Structura de planificare și implementare a SIC sau managerul de proiect (pentru aspectele tehnice și de implementare INFOSEC) și AOSIC, în colaborare cu AAS
7. Dezvoltarea unei arhitecturi de securitate inițiale, pe baza obiectivelor SIC și a rezultatelor analizei inițiale a riscurilor de securitate Structura de planificare și implementare a SIC și AOSIC, cu consultarea AAS
8. Aprobarea rezultatelor evaluării inițiale a riscurilor de securitate AAS
9. Identificarea cerințelor inițiale pentru produsele care necesită evaluare și certificare (de exemplu: produse criptografice) și identificarea cerințelor aplicabile lanțului de achiziție a acestora Structura de planificare și implementare a SIC sau managerul de proiect și AOSIC, în colaborare cu AAS
10. Identificarea cerințelor pentru configurația de securitate de bază, pentru managementul configurației și controlul modificărilor Structura de planificare și implementare a SIC sau managerul de proiect, furnizorul de servicii SIC, în colaborare cu AAS
11. Identificarea cerințelor inițiale de instruire și conștientizare Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
12. Identificarea cerințelor inițiale privind continuarea activității Structura de planificare și implementare a SIC și AOSIC, în colaborare cu AAS
13. Identificarea cerințelor inițiale privind păstrarea logurilor Structura de planificare și implementare a SIC și AOSIC, în colaborare cu AAS
14. Elaborarea documentației cu cerințele de securitate inițiale sau, unde este cazul, elaborarea anexei de securitate la pachetele de capacități. Folosirea, unde este cazul, a profilelor de protecție AOSIC, structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS și Agenția de Securitate pentru Informatică și Comunicații (ASIC)
15. Aprobarea documentației cu cerințele de securitate inițiale sau, unde este cazul, aprobarea anexei de securitate la pachetele de capacități AAS

SECȚIUNEA 3.2
Dezvoltarea și achiziția SIC

Art. 57. -

În etapa de dezvoltare și achiziție a SIC se desfășoară următoarele activități referitoare la securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Detalierea evaluării riscurilor de securitate, în conformitate cu cerințele impuse de AAS Structura de planificare și implementare a SIC sau managerul de proiect, împreună cu AAS
2. Verificarea arhitecturii securității SIC, pentru a se asigura, unde este posibil, interoperabilitatea măsurilor de securitate și integrarea noului SIC în infrastructura deja existentă Structura de planificare și implementare a SIC sau managerul de proiect
3. Aprobarea rezultatelor reevaluării riscurilor de securitate AAS
4. Aprobarea arhitecturii de securitate AAS
5. Elaborarea unei specificații detaliate cu privire la măsurile de securitate fizică, a personalului și a informațiilor AOSIC, în colaborare cu structura de planificare și implementare a SIC, administratorul de securitate al obiectivului și AAS
6. Elaborarea unei specificații detaliate a măsurilor de securitate a SIC (referitoare la securitatea calculatoarelor, a transmisiei, măsuri criptografice și radiații electromagnetice compromițătoare), în conformitate cu cerințele impuse de AAS, referitoare la funcționalitatea securității și, unde este cazul, a interconectării SIC AOSIC, în colaborare cu structura de planificare și implementare a SIC, administratorul de securitate al obiectivului și AAS
7. Detalierea cerințelor privind produsele care necesită evaluare și certificare și a celor privind lanțul de achiziție a acestora Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
8. Detalierea cerințelor privind managementul configurației de securitate de bază și controlul modificărilor Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
9. Detalierea cerințelor privind instruirea și conștientizarea Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
10. Detalierea cerințelor privind continuarea activității Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
11. Detalierea cerințelor privind păstrarea logurilor Structura de planificare a SIC sau managerul de proiect, în colaborare cu AAS
12. Aprobarea cerințelor privind managementul configurației de securitate de bază și controlul modificărilor Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
13. Aprobarea cerințelor privind instruirea și conștientizarea AOSIC, în colaborare cu AAS
14. Aprobarea cerințelor privind continuarea activității AOSIC, în colaborare cu AAS
15. Aprobarea cerințelor privind păstrarea logurilor AAS, în colaborare cu AOSIC
16. Aprobarea cerințelor de securitate pentru produsele care necesită evaluare și certificare și pentru lanțul de achiziție AAS
17. Consultarea listelor cu produse de securitate a SIC în scopul identificării produselor care satisfac cerințele impuse SIC Structura de planificare și implementare a SIC, în colaborare cu AOSIC și AAS
18. Dezvoltarea cerințelor operaționale pentru produse și mecanisme criptografice, unde este cazul Structura de planificare și implementare a SIC, în colaborare cu AOSIC și AAS
19. Elaborarea caracteristicilor tehnice ale mecanismelor și produselor criptografice pentru SIC care au și finanțare NATO/UE, unde este cazul NATO Consultation, Command and Control Board (C3B) sau Secretariatul General al Consiliului UE, după caz
20. Informarea ASIC cu privire la nevoia de mecanisme și produse criptografice, unde este cazul Structura de planificare și implementare a SIC sau managerul de proiect
21. Stabilirea unui program pentru evaluarea și selectarea mecanismelor și produselor criptografice, unde este cazul ASIC, în colaborare cu structura de planificare și implementare a SIC sau cu managerul de proiect și AOSIC
22. Efectuarea evaluării, selecției și aprobării mecanismelor și produselor criptografice, unde este cazul Entități evaluatoare de produse criptografice, în colaborare cu ASIC
23. Stabilirea cerințelor pentru testarea și evaluarea securității SIC sau, unde este cazul, a interconectării SIC AAS, în colaborare cu structura de planificare și implementare a SIC sau cu managerul de proiect și AOSIC
24. Asigurarea faptului că bugetul estimat cuprinde toate nevoile financiare pentru evaluare și certificare în scopul stabilirii unei finanțări corespunzătoare Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
25. Continuarea dezvoltării documentației cu cerințele de securitate Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
26. Aprobarea documentației cu cerințele de securitate AAS
27. Asigurarea faptului că Service Level Agreement (SLA) stabilit între AOSIC și furnizorul de servicii pentru SIC cuprinde cel puțin cerințele privind implementarea și menținerea măsurilor de securitate, precum și cele privind monitorizarea și controlul modificărilor Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS

SECȚIUNEA 3.3
Implementarea și acreditarea de securitate a SIC

Art. 58. -

În etapa de implementare și acreditare de securitate a unui SIC se desfășoară următoarele activități referitoare la securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Detalierea cerințelor privind testarea și evaluarea securității
SIC sau, unde este cazul, a interconectării SIC
AAS, în colaborare cu structura de planificare și implementare a SIC și AOSIC
2. Elaborarea planului de testare și verificare a securității SIC Structura de planificare și implementare a SIC, în colaborare cu AOSIC și AAS
3. Derularea, unde este cazul, a activităților necesare pentru evaluarea și certificarea produselor, în conformitate cu metodologiile de evaluare aprobate ASIC, în cooperare cu entitățile evaluatoare și AOSIC
4. Efectuarea testării securității în conformitate cu planul convenit pentru testarea și verificarea securității Furnizorul de servicii pentru SIC, în colaborare cu structura de planificare și implementare a SIC și AAS
5. Analizarea rezultatelor testării securității AAS
6. Identificarea măsurilor de securitate suplimentare care trebuie implementate în SIC, în cazul în care rezultatul testării și verificării nu este satisfăcător Structura de planificare și implementare a SIC, împreună cu furnizorul de servicii și AAS
7. Analizarea și convenirea asupra riscului rezidual care poate fi acceptat AOSIC
8. Analizarea și convenirea asupra continuării procesului de management al riscurilor AAS, împreună cu AOSIC
9. Completarea documentației cu cerințele de securitate Structura de planificare și implementare a SIC sau managerul de proiect, în colaborare cu AAS
10. Aprobarea SLA stabilit între AOSIC și furnizorul de servicii pentru SIC AOSIC și furnizorul de servicii
11. Formularea Procedurilor Operaționale de Securitate
(PrOpSec) pentru SIC
Furnizorul de servicii SIC, în colaborare cu personalul care are responsabilități în domeniul securității SIC
12. Aprobarea documentației cu cerințele de securitate și a
PrOpSec
AAS
13. Realizarea instruirii și conștientizării inițiale AOSIC, structura de planificare și implementare a SIC și furnizorul de servicii SIC, după caz
14. Acreditarea SIC sau, unde este cazul, a interconectării SIC și emiterea documentului oficial privind acreditarea, care include perioada de valabilitate a acesteia AAS
15. Stabilirea condițiilor pentru reacreditarea SIC AAS

SECȚIUNEA 3.4
Exploatarea operațională a SIC

Art. 59. -

În etapa de exploatare operațională a unui SIC se desfășoară următoarele activități referitoare la securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Autorizarea SIC în vederea operării AOSIC
2. Stocarea, procesarea sau transmiterea informațiilor clasificate în mediul operațional, în conformitate cu PrOpSec aprobate, inclusiv administrarea SIC și a securității acestuia, și în acord cu prevederile SLA Furnizorul de servicii SIC, în colaborare cu personalul care are responsabilități în domeniul securității SIC
3. Menținerea configurațiilor de securitate de bază prin managementul configurației și controlul modificărilor Furnizorul de servicii SIC, în colaborare cu AAS
4. Continuarea procesului de management al riscurilor de securitate, în conformitate cu cerințele AAS. Aceasta include raportarea către conducerea organizației care utilizează sistemul și AAS a schimbărilor apărute privind riscurile datorate evoluției amenințărilor și vulnerabilităților, precum și schimbărilor în starea sistemului (de exemplu: configurare, conformitate cu configurațiile de securitate de bază, măsuri de securitate fizică și de personal) AOSIC, în colaborare cu furnizorul de servicii SIC și AAS
5. Detectarea și răspunsul la incidentele INFOSEC, în conformitate cu cerințele politicilor naționale, NATO, UE și PrOpSec AOSIC și furnizorul de servicii SIC, în colaborare cu AAS
6. Asigurarea periodică a instruirii și conștientizării AOSIC sau furnizorul de servicii SIC, după caz
7. Realizarea, în acord cu cerințele AAS, a evaluărilor periodice ale vulnerabilităților și maximizarea utilizării instrumentelor automate pentru evaluarea permanentă a conformității SIC cu configurările de securitate de bază Furnizorul de servicii SIC sau o echipă de evaluare a vulnerabilităților constituită separat, în colaborare cu AAS și AOSIC
8. Efectuarea de inspecții/verificări periodice ale securității SIC sau, unde este cazul, a interconectării SIC AAS, în colaborare cu AOSIC și furnizorul de servicii SIC

SECȚIUNEA 3. 5 Modificarea SIC

Art. 60. -

Pentru modificarea unui SIC se desfășoară o serie de activități referitoare la securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Derularea, dacă este cazul, a proceselor de recertificare a produselor INFOSEC Autorități naționale, NATO, UE responsabile pentru activități de evaluare, certificare, aprobare produse INFOSEC, în colaborare cu structura de planificare și implementare a SIC, furnizorul de servicii SIC și AAS
2. Reluarea procesului de evaluare a riscului de securitate, în conformitate cu cerințele AAS Structura de planificare și implementare a SIC, împreună cu AOSIC, furnizorul de servicii SIC și AAS
3. Reanalizarea arhitecturii de securitate și verificarea conformității acesteia cu arhitectura de securitate de referință, în vederea asigurării, dacă este posibil, a interoperabilității de securitate și integrării noului SIC în infrastructuri existente Structura de planificare și implementare a SIC
4. Aprobarea rezultatelor reevaluării riscurilor AAS, în coordonare cu AOSIC
5. Aprobarea arhitecturii de securitate AAS
6. Identificarea măsurilor suplimentare de securitate necesare a fi implementate Structura de planificare și implementare a SIC, împreună cu furnizorul de servicii SIC și AAS
7. Identificarea schimbărilor necesare privind instruirea și conștientizarea Structura de planificare și implementare a SIC/AOSIC/furnizorul de servicii SIC, după caz
8. Identificarea schimbărilor necesare privind cerințele care se aplică pentru continuarea activităților AOSIC, în coordonare cu AAS
9. Identificarea schimbărilor necesare privind cerințele aplicabile păstrării logurilor de securitate Structura de planificare și implementare a SIC, împreună cu AOSIC, furnizorul de servicii SIC și AAS
10. Stabilirea cerințelor pentru testarea și evaluarea securității SIC sau, unde este cazul, a interconectării SIC AAS, în colaborare cu structura de planificare și implementare a SIC și furnizorul de servicii SIC
11. Elaborarea unui plan pentru testarea și evaluarea securității Structura de planificare și implementare a SIC, în colaborare cu furnizorul de servicii SIC și AAS
12. Efectuarea testării securității în conformitate cu planul de testare și evaluare convenit Furnizorul de servicii SIC, în colaborare cu structura de planificare și implementare și AAS
13. Analizarea rezultatelor testării securității ASIC și AAS
14. Identificarea, ca rezultat al testării, a măsurilor de securitate suplimentare necesar a fi implementate Structura de planificare și implementare a SIC, în colaborare cu furnizorul de servicii SIC și AAS
15. Analizarea și convenirea asupra riscului rezidual care poate fi acceptat AAS, împreună cu AOSIC
16. Analizarea și convenirea asupra continuării procesului de management al riscurilor AAS, împreună cu AOSIC
17. Actualizarea documentației cu cerințele de securitate Utilizarea, unde este cazul, a profilelor de protecție AOSIC, în colaborare cu AAS
18. Actualizarea PrOpSec AOSIC, în colaborare cu personalul care are responsabilități în domeniul securității SIC și AAS
19. Reaprobarea documentației cu cerințele de securitate și a PrOpSec AAS
20. Reacreditarea SIC sau, unde este cazul, a interconectării SIC Eliberarea unui nou certificat de acreditare de securitate a SIC AAS
21. Revizuirea și stabilirea noilor condiții pentru reacreditarea de securitate AAS

SECȚIUNEA 3. 6
Scoaterea din uz a SIC și disponibilizarea echipamentelor

Art. 61. -

În etapa de scoatere din uz a unui SIC și disponibilizare a echipamentelor acestuia, se desfășoară următoarele activități referitoare la securitatea SIC, de care sunt responsabile următoarele autorități:

Activitatea Autoritatea/Personalul/responsabilă/responsabil
1. Identificarea componentelor care necesită arhivare și/sau declasificare și/sau disponibilizare și/sau distrugere, precum și cerințele corespunzătoare AOSIC și/sau furnizorul de servicii SIC
2. Efectuarea arhivării corespunzătoare sau declasificarea și distrugerea mediilor de stocare fixe și detașabile asociate calculatoarelor și actualizarea evidențelor referitoare la acestea AOSIC și/sau furnizorul de servicii SIC
3. Executarea procedurilor corespunzătoare disponibilizării și/sau distrugerii echipamentelor având scopuri speciale, inclusiv a produselor și sistemelor criptografice și a materialelor asociate acestora AOSIC și/sau furnizorul de servicii SIC
4. Arhivarea sau distrugerea documentației asociate SIC, aflată în format hârtie AOSIC și/sau furnizorul de servicii SIC
;
se încarcă...