DIRECTIVA din 12 octombrie 2012 privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13
CAPITOLUL I: Introducere
SECŢIUNEA 1: Domeniu de aplicabilitate
Art. 1
Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, denumită în continuare directivă, este aprobată de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), în aplicarea politicii naţionale, NATO şi UE de securitate privind protecţia informaţiilor clasificate.
Art. 2
Prezenta directivă se adresează ORNISS, structurilor de planificare, achiziţie şi implementare a SIC care procesează, stochează sau transmit informaţii clasificate, autorităţilor operaţionale ale SIC, structurilor responsabile cu stabilirea, implementarea şi menţinerea standardelor INFOSEC, entităţilor care, în cadrul procesului de acreditare de securitate a SIC, desfăşoară activităţi de evaluare/certificare, precum şi structurilor interne INFOSEC acreditate de ORNISS, denumite în continuare SII, stabilite în cadrul autorităţilor desemnate de securitate, denumite în continuare ADS.
Art. 3
Aplicarea prevederilor prezentei directive este obligatorie pentru SIC care stochează, procesează sau transmit informaţii clasificate.
SECŢIUNEA 2: Definiţii
Art. 4
În cuprinsul prezentei directive, următorii termeni şi sintagme se definesc după cum urmează:
a)informaţii clasificate - informaţii naţionale clasificate secret de stat, informaţii NATO clasificate, informaţii UE clasificate sau informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte;
b)sistem informatic şi de comunicaţii (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informaţiilor în format electronic. Un SIC cuprinde toate elementele care îi sunt necesare pentru a funcţiona, incluzând infrastructura, structurile organizaţionale, personalul şi resursele informaţionale;
c)acreditarea de securitate - autorizarea acordată unui SIC să proceseze, să stocheze sau să transmită informaţii clasificate în mediul său operaţional.
SECŢIUNEA 3: Cerinţe de acreditare de securitate a SIC
Art. 5
Obiectivul principal al acreditării de securitate este acceptarea riscului de securitate rezidual asociat SIC şi autorizarea operării acestuia în conformitate cu termenii stabiliţi. Prin parcurgerea unui proces de acreditare de securitate se obţine asigurarea că măsurile de securitate implementate în SIC sunt conforme cu cerinţele politicilor de securitate specifice tipului de informaţii clasificate naţionale, NATO, UE şi altele asemenea şi ale documentaţiei cu cerinţele de securitate, denumită în continuare DCS, elaborată pentru respectivul SIC.
Art. 6
În conformitate cu prevederile legislaţiei naţionale, SIC care stochează, procesează sau transmit informaţii clasificate trebuie să facă obiectul unui proces de acreditare de securitate. În acest context se aplică următoarele prevederi:
a)pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin Agenţia de Acreditare de Securitate, denumită în continuare AAS, sau, după caz, de către SII din cadrul ADS, potrivit competenţelor pentru care au fost acreditate de către ORNISS; luarea deciziei privind acreditarea revine ORNISS sau SII, după caz;
b)pentru SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de serviciu, responsabilitatea acreditării de securitate revine persoanei juridice care are în responsabilitate SIC;
c)pentru interconectarea SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS sau SII, după caz;
d)pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO CONFIDENTIAL sau cu un nivel superior, procesul de acreditare de securitate este stabilit şi gestionat de către ORNISS prin AAS, luarea deciziei privind acreditarea revenind ORNISS;
e)pentru SIC naţionale care stochează, procesează sau transmit informaţii clasificate NATO RESTRICTED nu este necesar ca AAS să stabilească un proces de acreditare de securitate structurat, dar procesul de acreditare trebuie să reflecte importanţa obiectivelor de securitate (confidenţialitate, integritate şi disponibilitate), precum şi impactul pe care îl poate avea un eveniment nedorit asupra informaţiilor, resurselor şi serviciilor sistemului; pentru aceste SIC, responsabilitatea stabilirii şi derulării procesului de acreditare de securitate, precum şi a luării deciziei privind acreditarea poate fi delegată de către ORNISS persoanei juridice care are în responsabilitate un astfel de sistem. Persoana juridică va respecta prevederile documentului prin care se stabilesc condiţiile în care se realizează delegarea privind autoritatea de acreditare de securitate;
f)pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii NATO clasificate cu SIC NATO sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor NATO abilitate;
g)pentru SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate, procesul de acreditare de securitate trebuie să fie stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea revine ORNISS;
h)pentru interconectarea SIC naţionale care stochează, procesează sau transmit informaţii UE clasificate cu SIC UE sau cu alte SIC naţionale trebuie îndeplinite cerinţele specifice stipulate în normele tehnice şi de implementare subsecvente şi în politicile de securitate ale respectivelor reţele, iar luarea deciziei privind acreditarea de securitate în vederea interconectării revine, după caz, ORNISS şi/sau organismelor UE abilitate;
i)pentru SIC naţionale care stochează, procesează sau transmit informaţii echivalente care fac obiectul unor tratate, acorduri sau înţelegeri internaţionale la care România este parte, procesul de acreditare este stabilit şi gestionat de către ORNISS prin AAS, iar luarea deciziei privind acreditarea de securitate revine ORNISS, prin aplicarea prevederilor naţionale şi ale respectivelor tratate, acorduri sau înţelegeri internaţionale la care România este parte.
CAPITOLUL II: Structurile implicate în procesul de acreditare de securitate a SIC
Art. 7
ORNISS prin AAS este responsabil de managementul procesului de acreditare de securitate a SIC, în conformitate cu prevederile art. 6.
Art. 8
În cuprinsul anexei nr. 2 sunt prezentate structurile implicate în procesul de acreditare de securitate a SIC. Atribuţiile acestora sunt precizate în Directiva privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 482/2003.
Art. 9
(1)AAS se asigură că autoritatea operaţională a SIC, denumită în continuare AOSIC, are autoritatea necesară pentru a gestiona aspectele de securitate în conformitate cu documentaţia de securitate.
(2)În cazul în care AOSIC nu are autoritatea necesară, AAS poate solicita luarea unor măsuri speciale, de exemplu:
a)escaladarea - în acest caz, AAS solicită să fie identificată o altă autoritate, care să fie desemnată de către conducătorul organizaţiei drept AOSIC;
b)cooperarea - în acest caz, autorităţile reprezentând toate structurile care utilizează SIC cooperează în vederea implementării unui set comun de cerinţe de securitate specifice sistemului, denumite în continuare CSSS. În această situaţie, autoritatea funcţionează ca un comitet. Această cooperare trebuie susţinută de un acord scris al membrilor şi face subiectul unui arbitraj al unei terţe părţi, care este AAS. Cooperarea dintre statele membre şi structuri NATO/UE poate necesita identificarea unei terţe părţi (cum ar fi: Oficiul de Securitate al NATO sau Secretariatul General al Consiliului UE); aceasta mai poate fi, de exemplu, un furnizor de informaţii având interes în protecţia informaţiilor stocate, procesate sau transmise şi care are posibilitatea stopării transmiterii informaţiilor;
c)hegemonia - în acest caz, conducerea unei persoane juridice consimte să accepte autoritatea altei persoane juridice şi să implementeze CSSS. Această măsură operează similar cu aceea a cooperării, în cazul în care una dintre părţile acordului este dominantă, posibil datorită faptului că este furnizorul principal de informaţii, şi poate să impună un CSSS celeilalte părţi fără a se recurge la arbitrajul unei terţe părţi.
Art. 10
(1)În cazul interconectării SIC naţionale care stochează, procesează sau transmit informaţii NATO/UE clasificate cu SIC NATO/SIC UE, când în administrarea şi acreditarea de securitate a SIC sunt implicate şi organisme NATO/UE, responsabilitatea acreditării de securitate nu se limitează numai la ORNISS.
(2)În situaţia prevăzută la alin. (1), ORNISS i se poate solicita să recunoască autoritatea unor structuri NATO/UE şi/sau să îşi coordoneze cu acestea responsabilităţile pe care le are la nivel naţional privind acreditarea.
Art. 11
(1)În cazul interconectării SIC naţionale care stochează, procesează sau transmit informaţii clasificate, caz în care sunt implicate mai multe AOSIC şi structuri de securitate, se impune încheierea unor acorduri de securitate între AOSIC privind interconectarea.
(2)Aprobarea pentru interconectare prevăzută la alin. (1) este acordată de către ORNISS sau SII, după caz, responsabilitatea acreditării de securitate a fiecărui SIC care se interconectează revenind ORNISS sau SII, după caz.
Art. 12
(1)În vederea gestionării activităţilor stabilite prin strategia de acreditare de securitate a SIC se constituie o comisie de acreditare de securitate (CAS).
(2)CAS se constituie, la solicitarea AAS, la începutul ciclului de viaţă al proiectului şi îşi menţine existenţa până în momentul acreditării de securitate.
(3)CAS este formată din reprezentanţi ai tuturor structurilor care au responsabilităţi în asigurarea securităţii informaţiilor, serviciilor şi resurselor SIC. Astfel, pe lângă AAS, al cărei reprezentat prezidează CAS, aceasta poate avea în componenţă:
a)reprezentanţi ai altor structuri din cadrul ORNISS;
b)reprezentanţi ai ADS pe domeniul de competenţă;
c)manageri de proiect;
d)reprezentanţi ai AOSIC implicate;
e)reprezentanţi ai structurilor de securitate ale entităţilor care administrează SIC;
f)reprezentanţi ai structurilor de planificare şi implementare a SIC;
g)responsabili cu securitatea criptografică, a transmisiilor, a emisiilor etc.;
h)reprezentanţi ai altor autorităţi având competenţe relevante pentru securitatea SIC, cum ar fi, de exemplu, autorităţi de evaluare şi/sau certificare a unor componente ale SIC.
(4)În funcţie de etapa de implementare a proiectului, AAS poate invita la reuniunile CAS şi alte structuri care pot sprijini luarea deciziei privind acreditarea de securitate a SIC.
(5)CAS poate fi reactivată de către AAS ori de câte ori se consideră necesar, de exemplu: schimbări semnificative în cerinţele operaţionale şi/sau în documentaţia de securitate, schimbări majore privind configuraţia SIC.
(6)Prin intermediul CAS, AAS poate cere tuturor celor responsabili de asigurarea securităţii SIC să se implice în procesul de acreditare de securitate.
(7)În cazul interconectării SIC naţionale care stochează, procesează şi transmit informaţii clasificate, CAS este responsabilă pentru stabilirea documentaţiei de securitate pentru SIC care se interconectează, pentru analiza şi aprobarea documentaţiei privind cerinţele de securitate comunitară, denumite în continuare CSC, precum şi pentru acreditarea de securitate a interconectării.
(8)În anexa nr. 3 este prezentat un exemplu de regulament de organizare şi funcţionare a CAS.
CAPITOLUL III: Bazele acreditării de securitate
SECŢIUNEA 1: Generalităţi
Art. 13
Decizia privind acreditarea de securitate a unui SIC care stochează, procesează sau transmite informaţii clasificate se fundamentează pe rezultatele:
a)etapei de analiză a riscului de securitate şi concluziilor prezentate în raportul de analiză a riscului;
b)evaluării documentaţiei de securitate, cum ar fi: raportul privind analiza riscului de securitate, DCS, procedurile operaţionale de securitate;
c)verificării privind implementarea principiilor securităţii şi reglementărilor de securitate, de exemplu, prin aplicarea unui plan de testare şi evaluare a securităţii şi a analizei rezultatelor, precum şi menţinerea acestora în acord cu cerinţele de securitate;
d)identificării riscurilor reziduale şi reluării periodice a procesului de management al riscurilor de securitate.
SECŢIUNEA 2: Procesul de management al riscului de securitate
Art. 14
(1)SIC naţionale care stochează, procesează sau transmit informaţii clasificate trebuie supuse unui proces de management al riscului de securitate.
(2)Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, stabileşte aspectele generale, procesele de analiză a riscului de securitate şi de management al riscului de securitate, precum şi necesitatea reluării procesului de management al riscului de securitate. Detaliile privind aplicarea acesteia sunt prezentate în ghidul "Metodologia privind managementul riscului de securitate pentru sistemele informatice şi de comunicaţii care stochează, procesează sau transmit informaţii clasificate - DS3", aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 389/2004.
SECŢIUNEA 3: Documentaţia de securitate
Art. 15
(1)Un element important al procesului de acreditare de securitate îl constituie documentaţia de securitate, compusă din:
a)strategia de acreditare de securitate a SIC, document elaborat, după caz, de AAS sau SII, prin care se stabilesc activităţile necesar a fi derulate în cadrul procesului de acreditare de securitate a SIC, responsabilităţile şi termenele de realizare a acestora;
b)rezultatele procesului de management al riscului de securitate;
c)DCS prin care se definesc cerinţele de securitate, mediile de securitate şi măsurile de securitate aplicabile SIC care trebuie acreditat;
d)procedurile operaţionale de securitate (PrOpSec) care prezintă modul de implementare a măsurilor de securitate, a procedurilor operaţionale referitoare la securitate ce trebuie urmate şi a responsabilităţilor personalului;
e)rapoarte de evaluare/certificare a securităţii informaţiilor, resurselor sau serviciilor SIC, certificate de conformitate a produselor INFOSEC din compunerea SIC.
(2)DCS constituie baza acordului dintre AAS şi AOSIC în sensul operării SIC într-o manieră sigură. Aceasta stabileşte măsurile de securitate care asigură controlul şi responsabilitatea privind accesul individual al utilizatorilor SIC la informaţiile clasificate. Acest document împreună cu PrOpSec stabileşte măsurile de securitate necesar a fi implementate, având în vedere:
a)aspectele relevante din punctul de vedere al securităţii, aflate în afara controlului AOSIC, adică mediul de securitate global, cum ar fi, de exemplu: elemente privind securitatea clădirii, securitatea întregului spaţiu aflat sub controlul structurii/funcţionarului de securitate, securitatea sistemelor interconectate şi mediul general de ameninţări;
b)securitatea fizică, securitatea personalului, securitatea informaţiilor şi măsuri de securitate procedurale aflate sub controlul AOSIC în mediul de securitate local;
c)mecanismele INFOSEC în SIC, adică mediul de securitate electronic, implementate într-o arhitectură dezvoltată pentru a corespunde funcţionalităţii şi nivelului de asigurare de securitate necesar.
SECŢIUNEA 4: Principiile securităţii
Art. 16
DCS, incluzând şi aspectele rezultate din analiza riscurilor de securitate, stabileşte modalitatea de obţinere a protecţiei informaţiilor, resurselor şi serviciilor SIC.
Art. 17
AAS analizează conformitatea cerinţelor de securitate stabilite pentru SIC cu prevederile reglementărilor în domeniu şi cu necesitatea de contracarare a riscurilor de securitate generate de implementarea şi operarea SIC.
Art. 18
În cazul interconectării SIC, cerinţele de securitate se aplică şi interfeţei dintre sisteme. Pentru stabilirea cerinţelor de securitate se au în vedere:
a)contracararea riscurilor de securitate inerente rezultate din necesităţile operaţionale, referitoare la utilizatorii autorizaţi ai SIC, şi din folosirea canalelor de comunicaţie şi a echipamentelor necesare;
b)contracararea riscurilor de securitate din afara SIC, inclusiv a atacurilor iniţiate de utilizatorii SIC cu care se interconectează.
Art. 19
Evaluarea cerinţelor de securitate pentru contracararea riscurilor de securitate prevăzute la art. 18 lit. a) poate fi realizată într-o manieră clară întrucât elementele variabile sunt în mare măsură limitate, cum ar fi, de exemplu: locaţia SIC, numărul utilizatorilor, certificarea de securitate a acestora, volumul şi nivelul de clasificare de securitate a informaţiilor stocate, procesate sau transmise.
Art. 20
(1)În evaluarea cerinţelor de securitate pentru contracararea riscurilor de securitate prevăzute la art. 18 lit. b) există 3 scenarii privind configuraţia:
a)SIC care nu se interconectează direct cu alte SIC, dar există facilitatea de transfer off-line a informaţiilor;
b)SIC care se interconectează şi care au diferite moduri de operare de securitate sau diferite niveluri de clasificare a informaţiilor ori SIC sigur care se interconectează cu SIC nesigur, cum ar fi INTERNET sau reţele similare din domeniul public. În acest context este necesară adoptarea politicii de nod autoprotejat în vederea prevenirii riscurilor la adresa confidenţialităţii, integrităţii şi disponibilităţii informaţiilor, precum şi a integrităţii şi disponibilităţii resurselor şi serviciilor SIC;
c)un SIC acreditat care se interconectează cu alt SIC acreditat prin intermediul unei infrastructuri securizate, acestea putând coopera pentru a susţine mutual securitatea.
(2)În situaţia prevăzută la alin. (1) lit. a) se au în vedere ameninţările şi vulnerabilităţile unui SIC independent (neconectat - LAN). Cerinţele de securitate trebuie să aibă în vedere funcţionalitatea şi nivelul de încredere oferite de măsurile de securitate implementate în hardware şi software.
(3)În situaţiile prevăzute la alin. (1) lit. b) şi c), DCS se stabileşte în funcţie de fluxul informaţiilor, ameninţările şi vulnerabilităţile aferente interconectării şi utilizatorilor celuilalt SIC în termeni de securitate sau insecuritate. Factorii determinanţi în stabilirea necesităţii de securitate se constituie din reglementările de securitate aplicate de celălalt SIC, structura şi rigoarea propriilor CSSS şi nivelul de încredere obţinut prin măsurile de securitate implementate în hardware şi software.
SECŢIUNEA 5: Testarea şi evaluarea de securitate
Art. 21
Pentru acreditarea de securitate a unui SIC care stochează, procesează sau transmite informaţii clasificate, AAS trebuie să aibă certitudinea că:
a)prin cerinţele de securitate stabilite pentru SIC se realizează un echilibru corespunzător între riscul de securitate şi cerinţele operaţionale;
b)cerinţele de securitate sunt implementate şi respectate conform documentaţiei de securitate.
Art. 22
(1)Verificarea faptului că măsurile de securitate sunt implementate în conformitate cu cerinţele de securitate implică efectuarea unor testări şi evaluări ale securităţii. Scopul acestora este de a identifica eventualele discrepanţe dintre măsurile de securitate aprobate şi cele implementate.
(2)Testarea şi evaluarea securităţii include aspectele privind managementul configuraţiei pentru toate produsele hardware şi software relevante pentru securitate.
(3)Resursele necesare derulării procesului de testare şi evaluare a securităţii includ personalul de testare şi documentaţia relevantă pentru administrarea de securitate şi de sistem, cum ar fi DCS, PrOpSec şi datele de management al configuraţiei.
(4)Planul de testare şi evaluare a securităţii trebuie să stabilească activităţile necesar a fi derulate, obiectivele fiecăreia dintre aceste activităţi, metoda de executare a testului şi rezultatele anticipate. Rezultatele activităţii de testare şi evaluare a securităţii contribuie la luarea unei decizii privind acreditarea de securitate, fiind cuprinse într-un document şi prezentate AOSIC.
Art. 23
(1)Activităţile de evaluare şi certificare de securitate a SIC sunt parte integrantă a procedurilor de management al întregului proiect. Pentru derularea acestor activităţi trebuie avute în vedere atât costurile, cât şi acordarea întregului sprijin necesar entităţilor de evaluare şi certificare, inclusiv prin punerea la dispoziţie a unei documentaţii suplimentare, care să detalieze aspectele tehnice ale DCS, conform nivelului necesar de asigurare a securităţii.
(2)Responsabilitatea privind monitorizarea continuă a activităţilor de evaluare şi certificare revine AOSIC.
SECŢIUNEA 6: Riscul rezidual
Art. 24
DCS, prin care se stabilesc măsurile de securitate necesar a fi aplicate, trebuie, de asemenea, să identifice orice riscuri reziduale asociate SIC, care nu pot fi contracarate, cum ar fi cele din motive tehnice, şi care sunt apreciate de către AOSIC şi AAS ca fiind acceptabile. Acestea constituie obiectul reluării procesului de management al riscului de securitate.
Art. 25
(1)În cadrul procesului de management al riscurilor se evaluează riscurile asociate configuraţiei SIC, completate cu vulnerabilităţile identificate în timpul derulării testării şi evaluării securităţii. Rezultatul acestei analize va fundamenta decizia privind acreditarea de securitate.
(2)Cu ocazia reluării periodice a procesului de management al riscului de securitate trebuie efectuată o analiză a riscurilor de securitate, care să ia în considerare noile vulnerabilităţi şi ameninţări identificate şi noile măsuri de securitate capabile să elimine vulnerabilităţile care nu au fost contracarate anterior, stabilind dacă riscurile reziduale se menţin la un nivel acceptabil.
(3)Riscurile reziduale sunt asumate de către organizaţia care are în responsabilitate SIC.
CAPITOLUL IV: Principalele etape ale procesului de acreditare de securitate
SECŢIUNEA 1: Generalităţi
Art. 26
(1)Activităţile INFOSEC sunt derulate de-a lungul întregului ciclu de viaţă al SIC şi trebuie corelate cu procesul de acreditare de securitate în conformitate cu precizările din anexa nr. 1.
(2)Succesiunea etapelor în cadrul procesului de acreditare de securitate a SIC este iterativă şi continuă, ca urmare a modificărilor aduse acestuia de-a lungul ciclului său de viaţă, schimbări care impun reluarea procesului de management al riscurilor de securitate.
(3)Etapele principale ale procesului de acreditare de securitate a SIC sunt prezentate în următoarea figură:
Etapele procesului de acreditare de securitate
1 - Încadrarea acestei activităţi pe această poziţie s-a realizat din considerente logice, neavând caracter obligatoriu din punct de vedere cronologic.
SECŢIUNEA 2: Solicitarea acreditării
Art. 27
(1)Reprezentantul legal al persoanei juridice de drept public sau privat solicită, printr-o adresă oficială transmisă la ORNISS, declanşarea procesului de acreditare de securitate a SIC pe care îl are în responsabilitate.
(2)Cererea de acreditare de securitate a SIC va fi însoţită de următoarele precizări:
a)elemente care să susţină necesitatea de acces la informaţii clasificate, cum ar fi, de exemplu, o copie a hotărârii Guvernului prin care este aprobată lista proprie cuprinzând categoriile de informaţii secrete de stat pe niveluri de secretizare, documentaţie care să confirme demararea procedurilor de obţinere a unui certificat de securitate industrială etc.;
b)nivelul maxim de clasificare a informaţiilor care vor fi stocate, procesate sau transmise în SIC;
c)descrierea generală a SIC: scop, configuraţie hardware şi software, amplasare, interconectare etc.;
d)modul de operare de securitate al SIC;
e)abrevierea denumirii SIC;
f)datele de contact ale personalului având responsabilităţi în domeniul protecţiei informaţiilor clasificate stocate, procesate sau transmise în format electronic.
(3)În cazul în care documentaţia care însoţeşte cererea privind acreditarea de securitate a SIC este completă, AAS iniţiază demersurile de constituire a CAS şi de elaborare a strategiei de acreditare de securitate. În caz contrar, ORNISS va informa solicitantul în vederea furnizării informaţiilor adiţionale necesare.
SECŢIUNEA 3: Constituirea CAS
Art. 28
Rolul CAS este de a gestiona implementarea strategiei de acreditare de securitate a SIC.
Art. 29
(1)Directorul General al ORNISS stabileşte, prin ordin, la propunerea AAS, componenţa CAS a SIC.
(2)Activitatea CAS se desfăşoară în conformitate cu regulamentul de organizare şi funcţionare aprobat de directorul general al ORNISS.
SECŢIUNEA 4: Elaborarea strategiei de acreditare de securitate
Art. 30
(1)CAS elaborează strategia de acreditare de securitate prin care se stabilesc condiţiile în care SIC va fi acreditat.
(2)Strategia de acreditare de securitate este aprobată de directorul general al ORNISS şi include următoarele aspecte:
a)scopul şi obiectivele procesului de acreditare de securitate;
b)descrierea SIC;
c)documentaţia care trebuie elaborată în vederea luării deciziei privind acreditarea de securitate;
d)autorităţile şi structurile implicate în procesul de acreditare de securitate şi responsabilităţile acestora;
e)cerinţele privind derularea procesului de management al riscului de securitate;
f)cerinţele privind etapele de evaluare şi certificare a securităţii informaţiilor, resurselor şi serviciilor SIC;
g)graficul activităţilor care trebuie desfăşurate în cadrul procesului de acreditare de securitate;
h)procesele menite să asigure menţinerea acreditării de securitate a SIC.
(3)ORNISS transmite strategia de acreditare de securitate aprobată tuturor celor implicaţi în procesul de acreditare de securitate a SIC, în termen de maximum 30 de zile de la data înregistrării la ORNISS a documentaţiei complete prevăzute la art. 27 alin. (2).
SECŢIUNEA 5: Elaborarea raportului de analiză a riscului
Art. 31
Procesul de management al riscului de securitate se desfăşoară pe toată durata ciclului de viaţă al SIC şi constă în parcurgerea etapelor de analiză a riscului şi de reducere a acestuia la un nivel acceptabil.
Art. 32
Managementul riscului de securitate este obligatoriu pentru toate SIC naţionale care stochează, procesează sau transmit informaţii clasificate.
Art. 33
Analiza riscului de securitate poate fi desfăşurată de persoana juridică ce administrează SIC supus procesului de acreditare de securitate sau de către o entitate acreditată de ORNISS pentru realizarea acestui tip de activitate. Este foarte important ca analiza riscului să fie desfăşurată de o echipă de experţi bine pregătiţi în domeniile: administrarea şi organizarea securităţii, securitatea fizică, securitatea personalului, securitatea documentelor, INFOSEC.
Art. 34
La finalizarea procesului de analiză a riscului se întocmeşte raportul privind analiza riscului de securitate care prezintă riscurile privind producerea unor evenimente nedorite, nivelurile asociate acestora, cum ar fi, de exemplu, mic, mediu, mare, recomandările privind măsurile de securitate care conduc la reducerea lor, precum şi nivelurile riscurilor reziduale rezultate.
SECŢIUNEA 6: Analizarea, evaluarea şi aprobarea raportului de analiză a riscului
Art. 35
(1)Raportul de analiză a riscului de securitate va fi supus unei analize de către CAS, care va transmite reprezentantului legal al persoanei juridice care are în responsabilitate SIC şi entităţii acreditate de ORNISS, după caz, un document care are drept obiect evaluarea acestui raport sau raportul de analiză a riscului aprobat. Documentul de evaluare întocmit de ORNISS sau raportul de analiză a riscului aprobat va fi transmis în termen de maximum 30 zile de la data înregistrării raportului de analiză a riscului la ORNISS.
(2)Raportul de analiză a riscului de securitate este:
a)asumat de reprezentantul legal al persoanei juridice care are în responsabilitate SIC;
b)dacă este cazul, asumat de reprezentantul legal al entităţii acreditate de ORNISS care a efectuat analiza riscului;
c)aprobat de ORNISS.
SECŢIUNEA 7: Elaborarea DCS
Art. 36
(1)DCS se întocmeşte pentru toate SIC care stochează, procesează sau transmit informaţii clasificate.
(2)DCS este elaborată de AOSIC, în colaborare cu toate structurile implicate în proiect, cum ar fi: structura de securitate, structura de planificare şi implementare a SIC, managerul de proiect.
(3)DCS, reprezentând acordul obligatoriu între AOSIC şi AAS, se constituie într-o documentaţie completă şi explicită a principiilor de securitate care trebuie avute în vedere şi a cerinţelor detaliate de securitate care trebuie îndeplinite.
(4)În elaborarea DCS trebuie să se aibă în vedere următoarele criterii:
a)politica naţională/NATO/UE de securitate, după caz;
b)rezultatele procesului de management al riscului de securitate, inclusiv parametrii impuşi care se referă la mediul operaţional, cum ar fi: cel mai scăzut nivel al certificatului de securitate al personalului, cel mai ridicat nivel de clasificare a informaţiilor stocate, procesate sau transmise, modul de operare de securitate sau cerinţele pentru utilizatori;
c)politicile de securitate ale reţelelor care se interconectează.
(5)DCS poate fi revizuită în fiecare etapă a ciclului de viaţă al SIC, de la planificarea şi până la scoaterea din uz a acestuia.
(6)DCS poate fi alcătuită din unul sau mai multe documente, în funcţie de natura şi complexitatea SIC, astfel:
(i)CSSS - prezintă aspectele de securitate specifice fiecărui SIC;
(ii)CSC - în cazul în care comunitatea de interese este alcătuită din mai multe SIC interconectate sau când o organizaţie are un număr de SIC care operează în cadrul aceluiaşi mediu global de securitate. În plus, CSC trebuie să faciliteze însumarea unei serii bilaterale de documente cu cerinţe de securitate pentru interconectarea sistemelor, denumite CSIS, şi trebuie să stabilească standardele de securitate care trebuie aplicate oricărui SIC care urmează să se alăture comunităţii;
(iii)CSIS - prezintă aspectele de securitate ale interconectării efective între diferite SIC.
(7)Componenţa DCS se stabileşte prin strategia de acreditare de securitate.
Art. 37
În cazul interconectării SIC, CAS va stabili responsabilităţile privind elaborarea CSC şi a CSIS, în funcţie de structura care asigură managementul proiectului. Această structură va asigura şi transmiterea către ORNISS a documentaţiei de securitate privind interconectarea.
Art. 38
CSSS şi PrOpSec vor îndeplini cerinţele din CSC şi CSIS şi vor fi elaborate de autoritatea operaţională a fiecărui SIC care se interconectează, având în vedere condiţiile de securitate din mediul operaţional al fiecărui sistem.
SECŢIUNEA 8: Analizarea, evaluarea şi aprobarea DCS
Art. 39
(1)În cadrul acestei etape, CAS analizează şi evaluează DCS pentru a stabili dacă aceasta este elaborată în acord cu criteriile stabilite la art. 36 alin. (4). Având în vedere faptul că DCS poate fi modificată pe parcursul ciclului de viaţă al SIC, versiunile actualizate ale DCS vor fi transmise AAS.
(2)CAS întocmeşte şi transmite solicitantului un raport de analiză a DCS sau DCS aprobată, în termen de maximum 30 de zile de la data înregistrării la ORNISS a DCS.
SECŢIUNEA 9: Elaborarea PrOpSec şi a altor documente relevante în domeniul securităţii SIC
Art. 40
(1)PrOpSec reprezintă descrierea precisă a implementării cerinţelor de securitate definite anterior în DCS, a procedurilor operaţionale care trebuie urmate şi responsabilităţilor personalului SIC.
(2)PrOpSec sunt întocmite de către AOSIC, în conformitate cu normele INFOSEC emise de ORNISS şi cu documentaţia specifică reţelelor cu care se interconectează, după caz. Acest document este înaintat către AAS pentru analiză, evaluare şi aprobare.
(3)În funcţie de configuraţia SIC, în cadrul strategiei de acreditare de securitate a SIC se vor preciza şi alte documente relevante pentru securitatea SIC, necesar a fi întocmite în susţinerea procesului de acreditare.
SECŢIUNEA 10: Analizarea, evaluarea şi aprobarea PrOpSec
Art. 41
(1)În cadrul acestei etape, documentul privind PrOpSec este analizat şi evaluat de către CAS pentru a stabili dacă cerinţele de securitate sunt îndeplinite prin stabilirea corespunzătoare a procedurilor operaţionale respective.
(2)CAS întocmeşte şi transmite solicitantului un raport de analiză a PrOpSec sau PrOpSec aprobate, în termen de maximum 30 de zile de la data înregistrării la ORNISS a PrOpSec.
SECŢIUNEA 11: Implementarea măsurilor de securitate
Art. 42
Responsabilitatea implementării măsurilor de securitate aprobate prin documentaţia de securitate revine AOSIC.
SECŢIUNEA 12: Testarea şi evaluarea securităţii informaţiilor, resurselor şi serviciilor SIC
Art. 43
Prin strategia de acreditare de securitate a SIC se stabilesc responsabilităţile privind desfăşurarea activităţilor de testare şi evaluare a securităţii informaţiilor, resurselor şi serviciilor SIC.
Art. 44
(1)Testarea şi evaluarea securităţii este o activitate de analiză, evaluare şi testare comprehensivă a măsurilor de securitate tehnice şi nontehnice, operaţionale şi de management al securităţii informaţiilor, resurselor şi serviciilor SIC, în vederea stabilirii gradului în care măsurile satisfac cerinţele de securitate stabilite prin DCS, sunt corect implementate, sunt eficiente şi a gradului în care sunt respectate procedurile de securitate aprobate pentru sistem.
(2)Testarea şi evaluarea securităţii au rolul de a stabili măsura în care sistemul de protecţie implementat îndeplineşte obiectivele securităţii informaţiilor, resurselor şi serviciilor SIC.
(3)În vederea verificării faptului dacă măsurile de securitate sunt implementate şi respectate în conformitate cu cerinţele de securitate, în cadrul activităţii de evaluare se efectuează testări privind securitatea SIC sau a componentelor sale, după caz, în baza unui plan de testare şi evaluare.
(4)Rezultatele activităţii de testare şi evaluare a securităţii sunt prezentate într-un raport, care trebuie să conţină constatările verificării, să identifice deficienţele existente în implementarea măsurilor de securitate sau în asigurarea obiectivelor securităţii şi să formuleze recomandările privind măsurile corective necesare.
(5)Dacă în cadrul etapei de testare şi evaluare a securităţii se identifică noi riscuri de securitate care pot afecta obiectivele securităţii informaţiilor, resurselor şi serviciilor SIC, aceste riscuri vor fi evidenţiate în cadrul raportului privind testarea şi evaluarea securităţii SIC, care va cuprinde şi recomandări privind măsuri de securitate suplimentare care să conducă la reducerea acestor riscuri.
SECŢIUNEA 13: Certificarea securităţii informaţiilor, resurselor şi serviciilor SIC
Art. 45
(1)Prin strategia de acreditare de securitate a SIC se stabilesc responsabilităţile privind desfăşurarea activităţilor de certificare privind securitatea informaţiilor, resurselor şi serviciilor SIC.
(2)Certificarea securităţii informaţiilor, resurselor şi serviciilor SIC reprezintă activitatea care are drept scop verificarea rezultatelor obţinute în cadrul etapei de testare şi evaluare a securităţii informaţiilor, resurselor şi serviciilor SIC, precum şi modalitatea în care s-a desfăşurat aceasta.
(3)În cadrul procesului de certificare, care constă într-o analiză independentă a rezultatelor obţinute în urma etapei de testare şi evaluare de securitate, precum şi a modalităţii în care s-a desfăşurat această activitate, trebuie să se analizeze următoarele aspecte:
a)resursele folosite în cadrul testării şi evaluării de securitate, cum ar fi, timpul, banii etc.;
b)personalul care a realizat testarea şi evaluarea de securitate (calificare, obiectivitate, imparţialitate etc.);
c)procesele derulate în cadrul testării şi evaluării (mecanismele tehnice de evaluare, coordonarea corespunzătoare a constatărilor şi recomandărilor, tehnicile şi instrumentele utilizate, alocarea resurselor pentru utilizarea instrumentelor, realizarea analizelor şi prezentarea concluziilor);
d)raportul privind testarea şi evaluarea (recomandările şi concluziile sunt corespunzătoare; activitatea de evaluare a fost concentrată pe elementele relevante; analizarea ariilor cu probleme majore de securitate; existenţa unor măsuri de securitate neevaluate care ar putea influenţa concluziile; stabilirea recomandărilor în funcţie de priorităţi şi baza pe care s-au stabilit priorităţile; vulnerabilităţi reziduale identificate; recomandările şi opiniile sunt rezultatul unei informări corespunzătoare).
(4)Rezultatele activităţii de certificare de securitate vor face obiectul unui raport.
(5)Dacă, în urma activităţii de certificare, se constată deficienţe în procesul de evaluare de securitate, atunci raportul se transmite entităţii de evaluare de securitate în vederea remedierii acestora.
SECŢIUNEA 14: Luarea deciziei privind acreditarea de securitate a SIC
Art. 46
După parcurgerea activităţilor necesare luării unei decizii privind acreditarea de securitate a SIC, la propunerea CAS, directorul general al ORNISS are la dispoziţie următoarele opţiuni:
a)acreditarea deplină (AD) - decizie de acreditare pentru o perioadă specificată de timp, pentru mediul operaţional stabilit iniţial, atunci când nu trebuie să fie îndeplinite condiţii specificate în prealabil. În urma acordării AD, se emite certificatul de acreditare de securitate, pentru o perioadă de maximum 3 ani;
b)aprobarea limitată de operare (ALO) - pentru operarea SIC în afara mediului operaţional stabilit iniţial, cum ar fi, de exemplu: modificarea conţinutului iniţial al misiunii SIC, gestionarea unei situaţii de criză, operaţiuni mai restrictive, misiuni unice cu durată limitată;
c)aprobarea provizorie de operare (APO) - decizie de acreditare prin care sunt identificate foarte clar condiţiile pentru APO, activităţile ce vor fi întreprinse şi realizate înainte de obţinerea AD, cum ar fi, de exemplu: contramăsurile adiţionale care vor fi implementate, aprobarea versiunii finale a documentaţiei de securitate. Perioada pentru care se acordă acest tip de acreditare poate fi de maximum 12 luni calendaristice;
d)aprobarea pentru testare (AT) - decizie de acreditare prin care sunt identificate foarte clar condiţiile, cum ar fi: sfera de acţiune în care SIC va fi testat, nivelul maxim de clasificare a informaţiilor implicate în testare;
e)neacreditarea - decizie datorată identificării unor deficienţe grave referitoare la securitatea SIC. AAS va recomanda perioada în care trebuie să se desfăşoare activităţile de corectare a deficienţelor constatate.
Art. 47
Certificatul de acreditare de securitate emis de ORNISS confirmă faptul că măsurile de securitate sunt conforme cu legislaţia în domeniu şi rezultatele analizei riscurilor de securitate sunt implementate corespunzător şi asigură nivelul de încredere corespunzător pentru SIC în condiţiile prezentate în documentaţia de securitate.
Art. 48
Reprezentantul legal al persoanei juridice care deţine SIC are obligaţia de a remite la ORNISS certificatul/aprobarea expirată sau anulată de către ORNISS, în termen de maximum 10 zile de la data expirării/anulării acestora.
CAPITOLUL V: Acreditarea de securitate a unui SIC într-un mediu de achiziţie şi implementare etapizat
Art. 49
(1)În numeroase situaţii, organizaţiile care exploatează un SIC adoptă o politică de achiziţie şi implementare în mai multe faze, ceea ce conduce la un proces de acreditare de securitate etapizat.
(2)Într-un mediu de achiziţie şi implementare etapizat pot exista două situaţii:
a)SIC în care etapele de dezvoltare sunt planificate de la începutul proiectului, cerinţele finale care trebuie îndeplinite fiind cunoscute;
b)SIC în care achiziţiile nu urmează un plan prestabilit.
Art. 50
(1)În situaţia prevăzută la art. 49 alin. (2) lit. a), procesul etapizat de acreditare de securitate este uşor de aplicat. DCS pentru un astfel de SIC trebuie să descrie aspectele finale privind rolul şi configuraţia SIC, mediile de securitate, cerinţele de securitate şi măsurile de securitate, precum şi aspectele de detaliu ale cerinţelor şi măsurilor de securitate pentru fiecare etapă de dezvoltare.
(2)Pentru fiecare etapă planificată, DCS trebuie să prezinte restricţiile ce sunt necesare a fi aplicate şi condiţiile care trebuie îndeplinite în etapele ulterioare, pentru ca aceste restricţii să fie ridicate.
Art. 51
(1)În situaţia prevăzută la art. 49 alin. (2) lit. a), acreditarea de securitate trebuie obţinută după fiecare etapă de dezvoltare prevăzută în DCS aprobată. Acest scenariu reflectă faptul că acreditarea de securitate este un proces continuu.
(2)Într-un mediu de achiziţie şi implementare etapizat, procesul de acreditare de securitate poate fi întrerupt în orice moment dacă etapele ulterior planificate pentru dezvoltarea SIC nu sunt realizate. În acest caz SIC va fi acreditat în configuraţia realizată în urma ultimei achiziţii.
Art. 52
În situaţia prevăzută la art. 49 alin. (2) lit. b), procesul de acreditare de securitate nu este planificat din faza de debut a proiectului prevăzut a se desfăşura etapizat, reprezentând în general situaţiile în care pentru un SIC existent apare necesitatea operaţională de extindere sau de interconectare. În această situaţie, este necesar a se evalua starea de securitate a SIC, prin derularea procesului de management al riscului de securitate, stabilindu-se cerinţele şi măsurile de securitate adiţionale, care vor fi documentate în DCS.
CAPITOLUL VI: Activităţi postacreditare
SECŢIUNEA 1: Activităţi principale
Art. 53
Măsurile de securitate stabilite prin documentaţia de securitate a SIC trebuie menţinute şi testate de către AOSIC, de-a lungul perioadei de acreditare de securitate a SIC.
Art. 54
După acordarea autorizării de funcţionare a SIC, AAS desfăşoară periodic inspecţii în vederea stabilirii gradului în care măsurile de securitate implementate sunt conforme cu reglementările în vigoare, rezultatele managementului riscului de securitate şi documentaţia de securitate a SIC.
Art. 55
(1)Structurile de planificare şi implementare ale SIC şi AOSIC au responsabilitatea să informeze ORNISS cu privire la propunerile de modificare a configuraţiei SIC, schimbările în cerinţele operaţionale ale sistemului, schimbările privind nivelul de clasificare a informaţiilor stocate, procesate sau transmise în SIC ori oricare alte modificări aduse sistemului.
(2)Modificările vor fi efectuate numai după aprobarea acestora de către ORNISS.
(3)ORNISS oferă consultanţă cu privire la implicaţiile pe care le pot avea asupra securităţii modificările propuse. În acest scop, condiţiile pentru reacreditarea de securitate trebuie să fie clar definite în DCS.
Art. 56
ORNISS acordă asistenţă AOSIC pentru investigarea oricăror încălcări ale măsurilor de securitate şi a situaţiilor în care se suspectează încălcarea acestora.
Art. 57
Situaţiile care conduc la necesitatea reacreditării de securitate a SIC sunt următoarele, fără a se limita la acestea:
a)schimbarea nivelului de clasificare a informaţiilor, care are ca efect o schimbare a măsurilor de securitate;
b)schimbarea cerinţelor de securitate, ca urmare a schimbării politicii naţionale de securitate;
c)schimbarea ameninţărilor la adresa SIC sau a vulnerabilităţilor SIC ori ale unui SIC cu care acesta este conectat;
d)modificări ale mediului de securitate global, mediului de securitate local sau mediului de securitate electronic, cum ar fi schimbări ale componentelor software de securitate sau ale celor relevante pentru securitate, după caz. Relevanţa modificărilor asupra securităţii sistemului se analizează şi se evaluează de către AOSIC şi se notifică AAS;
e)încălcarea normelor de securitate, violarea securităţii SIC sau un eveniment nedorit care poate determina anularea aprobării de funcţionare prin descoperirea unor breşe în proiectarea securităţii;
f)schimbarea semnificativă a măsurilor de securitate fizică implementate sau a conţinutului documentului PrOpSec;
g)schimbarea semnificativă a configuraţiei SIC, de exemplu, conectarea unor staţii de lucru la un SIC, în afara configuraţiei aprobate;
h)pentru reţele, includerea unui alt SIC, acreditat separat, sau modificarea/înlocuirea SIC conectate;
i)rezultatele unei verificări efectuate de către AAS.
Art. 58
(1)În situaţia în care pentru un SIC care deţine un certificat de acreditare de securitate există necesitatea de a stoca, de a procesa sau de a transmite informaţii clasificate şi după termenul de valabilitate al acestuia, persoana juridică ce are în responsabilitate SIC va solicita reacreditarea de securitate a SIC.
(2)Solicitarea prevăzută la alin. (1) va fi transmisă la ORNISS cu minimum 3 luni înainte de expirarea termenului de valabilitate a certificatului de acreditare de securitate şi va cuprinde datele prevăzute la art. 27 alin. (2).
Art. 59
ORNISS poate decide anularea/suspendarea aprobării de funcţionare acordate unui SIC când, după caz, se constată încălcarea gravă a normelor de securitate, încetarea activităţii persoanei juridice de drept public sau privat care deţine SIC, modificarea domeniului de activitate al acesteia, apariţia unor modificări în cadrul persoanei juridice care conduc la neavizarea Programului de prevenire a scurgerii de informaţii clasificate sau orice altă situaţie care poate afecta grav obiectivele securităţii SIC.
Art. 60
CAS stabileşte, prin strategia de reacreditare de securitate, activităţile necesar a fi derulate în vederea obţinerii unei noi aprobări, în funcţie de modificările suferite în SIC.
Art. 61
AAS asigură evidenţa la nivel naţional a informaţiilor referitoare la acreditarea tuturor SIC naţionale ce stochează, procesează sau transmit informaţii clasificate.
SECŢIUNEA 2: Încetarea funcţionării SIC/dezafectarea echipamentelor
Art. 62
În cazul în care un SIC naţional care stochează, procesează sau transmite informaţii clasificate îşi încetează activitatea sau echipamentele sale sunt dezafectate, AOSIC adresează o solicitare ORNISS sau entităţii de evaluare de securitate, care va acorda consultanţă pentru a se asigura că:
a)documentele, inclusiv mediile de stocare fixe şi amovibile asociate SIC, precum şi informaţiile necesare evidenţei sunt, după caz, arhivate, declasificate sau distruse în conformitate cu prevederile legale în vigoare;
b)dezafectarea şi distrugerea produselor, sistemelor criptografice şi materialelor asociate se realizează în conformitate cu procedurile legale;
c)echipamentele din care s-au extras mediile de stocare se utilizează în medii controlate şi securizate.
Art. 63
- Anexa nr. 4 prezintă o bibliografie a reglementărilor şi documentelor cu relevanţă în domeniu.
Art. 64
Anexele nr. 1-4 fac parte integrantă din prezenta directivă.
-****-
ANEXA nr. 1:
Corelaţia dintre activităţile INFOSEC de-a lungul întregului ciclu de viaţă al SIC şi procesul de acreditare de securitate a SIC

Etapa ciclului de viaţă al SIC

Procesele ciclului de viaţă al SIC

Cerinţe de acreditare de securitate

Produse INFOSEC

Planificarea SIC

1. Stabilirea cerinţelor operaţionale şi de securitate

2. Procesul de definire a pachetului de capacităţi şi a documentaţiei asociate

1. Evaluarea iniţială a riscului

2. Versiunea iniţială a documentaţiei de securitate

Instrumente manuale sau automate de evaluare a riscului şi de management al riscului

Dezvoltarea şi achiziţia SIC

1. Procesul de definire a categoriilor de costuri şi a costului estimat

2. Procesul de elaborare a specificaţiilor

3. Dezvoltarea SIC

4. Achiziţia SIC

1. Evaluarea detaliată a riscului

2. Îmbunătăţirea DCS (de exemplu, CSC, CSSS, CSIS)

3. Stabilirea cerinţelor pentru testarea şi evaluarea securităţii şi elaborarea planului de testare şi evaluare a securităţii

1. Instrumente de definire a cerinţelor de securitate

2. Standarde de evaluare a securităţii IT

3. Alegerea profilului de protecţie (PP)

4. Pachete de protecţie

5. Ţinta de securitate

6. Instrumente manuale sau automate de evaluare a riscului şi de management al riscului

Implementarea SIC şi acreditarea de securitate

Operaţionalizarea SIC

- implementarea sistemului

- testarea de acceptanţă

- finalizarea documentaţiei proiectului

1. Managementul riscului la adresa securităţii

2. Verificarea implementării securităţii

3. Acreditarea de securitate

1. Produsele INFOSEC

2. Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC

Exploatarea SIC

Exploatarea operaţională a SIC

1. Proceduri operaţionale de securitate (PrOpSec)

2. Continuarea procesului de management al riscului la adresa securităţii

3. Inspecţii/verificări de securitate

Instrumente de securitate

Dezvoltarea/modificarea SIC

1. Procese specifice de dezvoltare

2. Achiziţia SIC

3. Operaţionalizarea SIC

- Implementarea modificărilor

- Testarea securităţii

1. Managementul riscului la adresa securităţii

2. Actualizarea documentaţiei de securitate (de exemplu, CSC, CSSS, CSIS, PrOpSec)

3. Stabilirea cerinţelor de testare şi evaluare a securităţii şi a planului de testare şi evaluare a securităţii

4. Verificarea implementării securităţii

5. Reacreditarea de securitate

1. Instrumente de definire a cerinţelor de securitate

2. Standarde de evaluare a securităţii IT

3. Alegerea PP

4. Pachete de protecţie

5. Ţinta de securitate

6. Produse INFOSEC

7. Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC

Scoaterea SIC din exploatare

1. Arhivarea/declasificarea/distrugerea documentelor, inclusiv a mediilor de stocare 2. Scoaterea din uz şi distrugerea produselor şi sistemelor criptografice

Actualizarea evidenţelor

Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC

ANEXA nr. 2:
Structuri implicate în procesul de acreditare de securitate a SIC
ANEXA nr. 3:
COMISIA DE ACREDITARE DE SECURITATE (CAS)
Regulament de organizare şi funcţionare - model -
I.Introducere
Referinţe:
1.Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare
2.Normele privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353/2002, cu modificările ulterioare
3.Directiva privind acreditarea de securitate a sistemelor informatice şi de comunicaţii (SIC) care stochează, procesează sau transmit informaţii clasificate - INFOSEC 13, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 108/2012
4.Alte documente relevante
II.Se va realiza o prezentare generală a SIC (de către AOSIC) Compunerea CAS pentru ................ (denumirea SIC)
III.CAS pentru ................ (denumirea SIC) este stabilită în conformitate cu cerinţele documentelor de referinţă prevăzute la pct. I sub conducerea ................ , având următoarea componenţă (după caz):
a)reprezentanţi ................ ORNISS;
b)reprezentanţi ................ ai ADS pe domeniul de competenţă;
c)managerii ................ de proiect;
d)reprezentanţii ................ AOSIC implicate;
e)reprezentanţi ................ ai structurilor de securitate ai SIC;
f)reprezentanţi ai structurilor de planificare şi implementare a SIC;
g)responsabilii ................ cu securitatea criptografică, a transmisiilor, a emisiilor etc.;
h)reprezentanţi ................ ai altor autorităţi având competenţe (de exemplu: autorităţi de certificare a unor componente ale SIC).
IV.Misiunea CAS pentru ................ (denumirea SIC)
Principala misiune a CAS pentru ................ (denumirea SIC) este de a obţine acreditarea ................ (denumirea SIC). În plus, misiunea CAS pentru (denumirea SIC) este de a oferi consultanţă în vederea stabilirii unui sistem efectiv de protecţie a informaţiilor vehiculate prin ................ (denumirea SIC) care să asigure confidenţialitatea, integritatea şi disponibilitatea informaţiilor clasificate. CAS pentru ................ (denumirea SIC) va exista pe întreaga perioadă a ciclului de viaţă a sistemului.
V.Responsabilităţile CAS pentru ................ (denumirea SIC)
1.CAS pentru ................ (denumirea SIC) are următoarele responsabilităţi, după caz:
a)asigură asistenţă şi îndrumare în domeniul INFOSEC pentru conducerea proiectului ................ (denumirea SIC);
b)asigură asistenţă şi îndrumare structurilor de securitate a ................ (denumirea SIC) cu privire la condiţiile de acreditare şi reacreditare;
c)elaborează strategia de acreditare de securitate a ................ (denumirea SIC) şi gestionează implementarea acesteia. Procesul de acreditare poate varia în funcţie de situaţie, dar trebuie să fie în conformitate cu cerinţele prevăzute de legislaţia în domeniu;
d)recomandă standardele minime de securitate pentru implementarea specifică;
e)recomandă cerinţele pentru evaluarea şi certificarea securităţii;
f)asigură consultanţă în procesul de evaluare a securităţii pentru ................ (denumirea SIC);
g)analizează şi evaluează documentaţia de securitate a ................ (denumirea SIC);
h)acordă consultanţă cu privire la conţinutul viitoarelor versiuni ale documentaţiei de securitate a ................ (denumirea SIC);
i)acordă consultanţă cu privire la strategia propusă pentru îndeplinirea cerinţelor de securitate;
j)acordă asistenţă structurilor de securitate în abordarea aspectelor de securitate ale cerinţelor operaţionale, pe baza CSC şi a documentaţiei de securitate aprobate de către ORNISS;
k)acordă consultanţă managerului de proiect al ................ (denumirea SIC) cu privire la implicaţiile pe care schimbările configuraţiei SIC, cerinţelor operaţionale sau nivelului de clasificare a informaţiilor vehiculate în SIC le au asupra securităţii;
l)asigură consultanţă pentru stabilirea memorandumurilor de înţelegere privind aspectele de management al securităţii şi pentru definirea şi acceptarea responsabilităţilor de către părţile implicate în cazul interconectării;
m)formulează propunerile privind luarea deciziei;
n)elaborează documentul oficial privind acreditarea de securitate a SIC;
o)stabileşte cerinţele pentru evaluările periodice privind menţinerea eficienţei măsurilor de securitate.
VI.Raportarea
CAS pentru ................ (denumirea SIC) va raporta periodic AAS aspectele legate de derularea procesului de acreditare de securitate a ................ (denumirea SIC).
VII.Reuniunile de lucru
CAS pentru ................ (denumirea SIC) se reuneşte ori de câte ori este necesară rezolvarea unor aspecte aferente procesului de acreditare de securitate a SIC.
ANEXA nr. 4:
Bibliografie
1.Legea nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare.
2.North Atlantic Council, Security within the North Atlantic Treaty Organisation (NATO) C-M (2002) 49.
3.Decizia 2011/292/UE a Consiliului din 31 martie 2011 privind normele de securitate pentru protecţia informaţiilor UE clasificate.
4.Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare.
5.Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
6.Normele privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353/2002, cu modificările ulterioare.
7.North Atlantic Council, INFOSEC Management Directive for CIS, AC 35/-D/2005 - Rev. 2, oct. 2010.
8.North Atlantic Council, Guidelines for the Security Accreditation of CIS, AC/35 - D/1021 - Rev. 3, ianuarie 2012.
9.Council of the European Union, IA Security Guidelines on CIS Security Accreditation IASG 1-01, martie 2012.
10.Directiva privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 482/2003.
11.Directiva principală privind domeniul INFOSEC - INFOSEC 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003.
12.Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003.
13.Metodologia de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 23/2012.
14.Metodologia privind acreditarea structurilor interne INFOSEC din cadrul autorităţilor desemnate de securitate - INFOSEC 11, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 12/2006.
Publicat în Monitorul Oficial cu numărul 716 din data de 22 octombrie 2012