ORDIN nr. 18 din 21 martie 2014 pentru aprobarea Ghidului privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii - DS 2
În temeiul:
- art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare;
- art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,
directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.
Art. 1
Se aprobă Ghidul privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii - DS 2, prevăzut în anexa care face parte integrantă din prezentul ordin.
Art. 2
La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 489/2003 pentru aprobarea Ghidului privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii (SIC) - DS 2, publicat în Monitorul Oficial al României, Partea I, nr. 866 din 5 decembrie 2003.
Art. 3
Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Art. 4
Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.
-****-

Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat,

Marius Petrescu

ANEXĂ: GHID privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii - DS 2
CAPITOLUL I: Introducere
Art. 1
Ghidul privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii - DS 2, denumit în continuare ghid, este elaborat în concordanţă cu reglementările naţionale privind protecţia informaţiilor clasificate şi se adresează Agenţiei de Acreditare de Securitate (AAS) din cadrul Oficiului Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), structurilor interne INFOSEC (SII) acreditate în cadrul autorităţilor desemnate de securitate (ADS) şi autorităţilor operaţionale ale sistemului informatic şi de comunicaţii (AOSIC) care stochează, procesează sau transmit informaţii clasificate.
Art. 2
Întocmirea PrOpSec este obligatorie pentru toate sistemele informatice şi de comunicaţii (SIC) supuse procesului de acreditare de securitate, conform prevederilor Directivei privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, denumită în continuare INFOSEC 3.
Art. 3
(1)PrOpSec reprezintă descrierea precisă a implementării cerinţelor de securitate definite anterior în documentaţiile cu cerinţele de securitate (DCS), a procedurilor operaţionale care vor trebui urmate şi a responsabilităţilor personalului, specifice SIC.
(2)PrOpSec se dezvoltă pe măsura elaborării şi actualizării DCS şi se finalizează după aprobarea DCS de către AAS.
(3)AAS aprobă forma finală a PrOpSec.
Art. 4
Prezentul ghid stabileşte structura şi conţinutul PrOpSec pentru următoarele categorii de personal şi mod de utilizare:
a)pentru utilizatorii reţelelor locale de calculatoare (LAN);
b)pentru utilizatorii dispozitivelor portabile de calcul şi de comunicaţii care vehiculează informaţii clasificate, în cadrul misiunilor oficiale;
c)pentru utilizarea dispozitivelor de calcul şi de comunicaţii de către vizitatori;
d)pentru AOSIC.
CAPITOLUL II: Domeniu de aplicare
Art. 5
(1)Potrivit prevederilor INFOSEC 3, SIC care urmează să stocheze, să proceseze sau să transmită informaţii naţionale clasificate cu nivel de clasificare SECRET şi superior sau echivalent trebuie supuse unui proces de acreditare de securitate.
(2)Acreditarea de securitate trebuie obţinută şi pentru SIC care stochează, procesează sau transmit informaţii cu nivel de clasificare maxim NATO RESTRICTED sau RESTREINT UE/EU RESTRICTED.
(3)Pentru sistemele prevăzute la alin. (1) şi (2), stocarea, procesarea sau transmiterea informaţiilor clasificate trebuie să fie realizate în conformitate cu prevederile PrOpSec.
(4)Suplimentar, AAS poate solicita ca PrOpSec să fie întocmite şi pentru SIC care stochează, procesează sau transmit informaţii neclasificate, dar care poartă marcaje administrative sau de limitare a diseminării şi care sunt interconectate cu alte SIC ori cu reţele publice.
(5)Documentul cu cerinţele de securitate specifice sistemului (CSSS) elaborat pentru SIC constituie baza pentru elaborarea PrOpSec.
CAPITOLUL III: Structura PrOpSec
Art. 6
(1)PrOpSec au structura prezentată în tabelul de mai jos, în funcţie de particularităţile relevante ale fiecărui SIC.
(2)Dacă se consideră necesar, fiecare capitol poate fi întocmit şi utilizat ca document de sine stătător pentru grupuri specifice de utilizatori sau administratori, pentru locaţii distribuite în cadrul unui SIC sau pentru folosirea de către utilizatori în misiuni a echipamentelor de calcul portabile.

Capitolul 1

Administrarea şi organizarea securităţii

Capitolul 2

Securitatea fizică

Capitolul 3

Securitatea personalului

Capitolul 4

Securitatea informaţiilor

Capitolul 5

Securitatea SIC

Securitatea calculatoarelor

Securitatea criptografică

Securitatea emisiilor

Securitatea transmisiilor

Capitolul 6

Planificarea măsurilor pentru situaţii de urgenţă şi pentru continuarea activităţii

Capitolul 7

Managementul configuraţiei

Capitolul 8

Proceduri operaţionale asociate

(3)Conţinutul fiecărui capitol poate varia în funcţie de caracteristicile specifice SIC.
(4)Prezentul ghid intenţionează să furnizeze o listă de verificare a tuturor aspectelor care trebuie luate în considerare. Este posibil ca în unele capitole ale PrOpSec să fie făcute doar referiri la unele documente deja întocmite pentru SIC, astfel încât să nu se repete conţinutul acestora în PrOpSec. În plus, extrase din PrOpSec pot fi incluse în conţinutul unor proceduri standard de operare care pot fi elaborate pentru o instituţie. În cazul în care problemele de aplicabilitate şi de detaliu necesită luarea unei decizii de modificare sau interpretare, trebuie consultată AAS.
(5)PrOpSec se referă strict la aspecte privind securitatea SIC. Alte consideraţii sau proceduri trebuie formulate într-un alt document de sine stătător sau într-o anexă a PrOpSec.
(6)PrOpSec sunt formulate în aşa fel încât să permită clasificarea acestui document cu nivel de clasificare redus. Dacă este necesar, se pot întocmi mai multe anexe la PrOpSec (sau un document suplimentar) care pot avea un nivel de clasificare superior, în acest caz accesul la documentul cu PrOpSec fiind limitat conform principiului "nevoii de a cunoaşte".
CAPITOLUL IV: Conţinutul PrOpSec pentru utilizatorii reţelelor locale (LAN)
SECŢIUNEA 0:
Art. 7
(1)Prezentul capitol stabileşte elementele componente ale PrOpSec pentru utilizatorii reţelelor locale de calculatoare (LAN).
(2)PrOpSec trebuie să fie concise şi formulate astfel încât să fie uşor de înţeles de către utilizatori.
SECŢIUNEA 1: Administrarea şi organizarea societăţii
Art. 8
(1)Cap. 1 "Administrarea şi organizarea securităţii" din cuprinsul PrOpSec conţine o introducere de tipul celei prezentate mai jos:
"Acest capitol, precum şi capitolele următoare ale acestui document constituie PrOpSec pentru stocarea, procesarea şi transmiterea informaţiilor (naţionale/NATO/UE) clasificate în (....... numele SIC .........).
PrOpSec au fost întocmite de către AOSIC împreună cu administratorii de securitate ai SIC (.... enumerarea funcţiilor ....) în conformitate cu cerinţele conţinute în reglementările naţionale privind protecţia informaţiilor clasificate, asociate cu ................ (enumerarea normelor specifice privind securitatea: instrucţiuni locale, politici ale reţelelor din care SIC face parte sau cu care se interconectează) ................. .
PrOpSec au fost aprobate de către ORNISS. Nu este permisă nicio abatere de la conţinutul PrOpSec sau modificarea conţinutului acestui document până când nu este obţinut acordul explicit al AAS. Înainte de implementarea oricărei modificări semnificative în PrOpSec, AOSIC trebuie să obţină aprobarea AAS. Efectuarea unor modificări minore trebuie raportată de către AOSIC la AAS, dar implementarea acesteia nu depinde de obţinerea unei aprobări prealabile."
(2)Capitolul din PrOpSec prevăzut la alin. (1) conţine, de asemenea, detalii referitoare la următoarele aspecte:
a)descriere sumară a SIC pentru care sunt aplicabile PrOpSec;
b)identificarea punctelor de contact (spre exemplu, administratorii INFOSEC) pentru aspecte legate de securitatea SIC sau incidente legate de utilizarea SIC;
c)detalii cu privire la nivelul de clasificare a informaţiilor permise a fi vehiculate pe SIC;
d)proceduri administrative pentru schimbarea drepturilor de acces;
e)o prevedere conform căreia orice incident care implică încălcarea securităţii fizice, a securităţii personalului, a securităţii informaţiilor sau a securităţii SIC trebuie să fie raportată imediat către administratorul de securitate al SIC;
f)o prevedere cu privire la respectarea mesajului de avertizare afişat pe ecranul calculatorului la iniţierea unei sesiuni de lucru pe SIC şi, dacă este cazul, a informaţiilor afişate de screen-saver;
g)o prevedere cu privire la necesitatea luării la cunoştinţă, prin semnătură, de către utilizatorii SIC a responsabilităţilor pe care le au în domeniul securităţii SIC.
SECŢIUNEA 2: Securitatea fizică
Art. 9
- Cap. 2 "Securitatea fizică" din cuprinsul PrOpSec include prevederi referitoare la procedurile de asigurare a securităţii fizice a echipamentelor SIC şi a mediilor de stocare, inclusiv în afara orelor de program. Totodată, include prevederi referitoare la operarea SIC în locaţii în care se pot afla şi persoane care nu deţin certificat/autorizaţie de acces la informaţii clasificate.
SECŢIUNEA 3: Securitatea personalului
Art. 10
- Cap. 3 "Securitatea personalului" din cuprinsul PrOpSec include prevederi referitoare la certificările de securitate minime necesare utilizatorilor SIC. Totodată, trebuie precizată obligativitatea ca utilizatorii să participe la programele de pregătire şi conştientizare în domeniul securităţii informaţiilor, organizate de instituţie/companie.
SECŢIUNEA 4: Securitatea informaţiilor
Art. 11
(1)În cadrul cap. 4 "Securitatea informaţiilor" din cuprinsul PrOpSec se precizează faptul că securitatea informaţiilor vizează toate formele de documente, de exemplu documente în format hârtie, medii de stocare asociate calculatoarelor (de exemplu: CD, dispozitiv de memorie USB), dispozitive de calcul şi de comunicaţii portabile (de exemplu: laptop, agende electronice, tablete).
(2)Atunci când este cazul, capitolul menţionat la alin. (1) conţine şi detalii referitoare la:
a)tipul documentelor - medii de stocare fixe/detaşabile, documente în format hârtie;
b)marcajele de securitate, marcajele administrative şi de limitare a diseminării care trebuie aplicate pe documentele utilizate;
c)procedurile aplicabile pentru clasificarea şi marcarea corespunzătoare a documentelor;
d)procedurile de transfer a informaţiilor;
e)responsabilităţile şi procedurile privind înregistrarea şi controlul documentelor, precum şi procedurile de verificare a înregistrărilor, inclusiv frecvenţa acestora;
f)procedurile referitoare la utilizarea, stocarea şi controlul mediilor de stocare, precum şi evidenţa acestora;
g)responsabilităţile şi procedurile privind reclasificarea/ declasificarea/distrugerea şi scoaterea din uz a documentelor.
SECŢIUNEA 5: Securitatea SIC
Art. 12
- Cap. 5 "Securitatea SIC" din cuprinsul PrOpSec oferă detalii cu privire la metodele de utilizare şi control al facilităţilor de protecţie asigurate de componentele software, în special în ceea ce priveşte:
a)conceptul de identificare (user-id) - procedurile pentru stabilirea conturilor de utilizatori, grupurile de utilizatori, alocarea identificatorilor de utilizator, procedurile pentru ştergerea conturilor de utilizator la părăsirea funcţiei/postului sau atunci când este detectată o compromitere a acestor date;
b)conceptul de autentificare - modalităţi de autentificare (de exemplu: parole, token, mecanisme biometrice), proceduri de control şi de schimbare, autoritatea emitentă, păstrarea evidenţei pentru controlul acestor mijloace şi persoana responsabilă, frecvenţa de schimbare şi proceduri de utilizare a mecanismelor de autentificare;
c)mecanisme de control al accesului - proceduri pentru implementarea controlului accesului discreţionar/obligatoriu la informaţii/servicii/dispozitive; procedurile pentru stabilirea drepturilor şi permisiunilor utilizatorilor pentru utilizarea serviciilor şi resurselor SIC; detalii cu privire la autorităţile responsabile şi la păstrarea evidenţelor de control.
SECŢIUNEA 6: Securitatea calculatoarelor
SUBSECŢIUNEA 1: Protecţia împotriva software-ului maliţios
Art. 13
(1)Secţiunea "Protecţia împotriva software-ului maliţios" din cap. 5 "Securitatea SIC" conţine un sumar al tuturor mecanismelor şi procedurilor de protecţie împotriva software - ului maliţios, relevante pentru SIC.
(2)Sumarul menţionat la alin. (1) include următoarele:
a)procedurile pentru verificarea mediilor de stocare ale calculatoarelor (care conţin informaţii şi software) primite din surse externe, incluzând procedurile de tratare a mediilor infectate;
b)procedurile pentru verificarea mesajelor de poştă electronică şi a ataşamentelor primite din surse externe, pentru detectarea eventualelor componente de software maliţios;
c)procedurile pe care trebuie să le urmeze utilizatorii pentru a detecta evenimentele provocate de software maliţios;
d)procedurile pe care trebuie să le urmeze utilizatorii pentru a importa şi instala software pe LAN.
SECŢIUNEA 7: Planificarea măsurilor pentru situaţii de urgenţă şi pentru continuarea activităţii
Art. 14
- Cap. 6 "Planificarea măsurilor pentru situaţii de urgenţă şi pentru continuarea activităţii" din cuprinsul PrOpSec descrie acţiunile care trebuie întreprinse de către utilizatori în eventualitatea unei situaţii de urgenţă sau a detectării unui incident.
Art. 15
Fiecare utilizator trebuie să semneze o declaraţie potrivit căreia este pe deplin conştient de responsabilităţile ce îi revin în ceea ce priveşte protecţia echipamentelor şi a informaţiilor asociate.
CAPITOLUL V: Conţinutul PrOpSec pentru utilizatorii dispozitivelor portabile de calcul şi de comunicaţii în cadrul misiunilor oficiale
Art. 16
(1)Dispozitivele portabile de calcul şi comunicaţii includ laptopuri, agende electronice şi palmtop cu capacitate de stocare, procesare şi/sau transmitere (de exemplu: PDA, BlackBerry, tablete) şi telefoane celulare/telefoane mobile GSM cu funcţionalitate de PDA.
(2)PrOpSec trebuie să conţină instrucţiuni pe care utilizatorii trebuie să le aplice când utilizează dispozitive portabile decalcul şi comunicaţii cum sunt cele menţionate la alin. (1) în misiuni oficiale în afara organizaţiei.
(3)PrOpSec trebuie să includă prevederi de tipul:
"Dispozitivele portabile de calcul şi comunicaţii pot fi scoase în afara (.... denumirea organizaţiei ....) pentru a fi utilizate în cadrul unei misiuni oficiale numai cu aprobarea AAS.
Echipamentele, precum şi mediile de stocare şi documentaţia asociate vor fi protejate pe întreaga perioadă în conformitate cu standardele de securitate aplicabile celui mai înalt nivel de clasificare a informaţiilor stocate sau procesate.
Dispozitivul portabil de calcul şi comunicaţii trebuie gestionat ca document cu nivel de clasificare similar celui pentru care a fost acreditat dispozitivul.
Informaţiile clasificate trebuie să fie stocate pe medii de stocare detaşabile, etichetate corespunzător (de exemplu, dispozitive de memorie USB), care trebuie stocate în locaţii adecvate.
Hard diskul dispozitivului portabil de calcul este criptat utilizând un mecanism de criptare adecvat, a cărui utilizare a fost aprobată de AAS. În această situaţie dispozitivul portabil de calcul poate fi lăsat fără supraveghere (de exemplu: într-o cameră de hotel), dar trebuie luate măsurile aplicabile obiectelor de valoare.
Dispozitivul portabil de calcul trebuie purtat într-o servietă care se poate încuia, ale cărei dimensiuni permit păstrarea acesteia în permanenţă asupra posesorului.
Atunci când transportul se realizează cu linii aeriene comerciale, personalul de securitate al aeroportului poate inspecta echipamentul, cu condiţia ca această operaţiune să nu conducă la deteriorarea componentelor electronice sau la accesul la informaţiile clasificate. Trebuie luate măsuri pentru a se evita furtul dispozitivului.
La sediul la care se desfăşoară misiunea trebuie respectate regulile de securitate locale, care pot include inspecţia tehnică de securitate a dispozitivului portabil de calcul, operaţiune realizată de personal specializat. Regulile de securitate locale trebuie respectate şi în ceea ce priveşte schimbul de informaţii.
Toate mediile de stocare introduse în dispozitivul portabil de calcul trebuie verificate pentru a se identifica eventualul software maliţios.
Pierderea dispozitivelor portabile de calcul şi comunicaţii, precum şi a mediilor de stocare asociate acestora trebuie raportată imediat ... (se precizează autoritatea responsabilă din cadrul organizaţiei) ....
Echipamente proprietate privată
Este interzisă utilizarea dispozitivelor portabile de calcul pentru stocarea, procesarea sau transmiterea informaţiilor clasificate.
Luarea la cunoştinţă a responsabilităţilor
La plecarea în misiune, personalul trebuie să ia o copie a PrOpSec. Personalul trebuie să semneze o declaraţie potrivit căreia este pe deplin conştient de responsabilităţile ce îi revin în ceea ce priveşte protecţia echipamentelor şi a informaţiilor asociate.
Puncte de contact
Îndrumări suplimentare pot fi obţinute de la administratorul de sistem şi cel de securitate ...(se precizează datele de contact) .... "
(4)În situaţia în care un dispozitiv portabil de calcul sau comunicaţii conţinând mecanisme de securitate (de exemplu, mecanisme criptografice) este utilizat pentru o misiune oficială, condiţiile privind transportul, protecţia şi utilizarea trebuie stabilite în PrOpSec.
CAPITOLUL VI: Conţinutul PrOpSec pentru utilizarea dispozitivelor portabile de calcul şi de comunicaţii de către vizitatori
Art. 17
(1)PrOpSec trebuie să conţină instrucţiunile care trebuie cunoscute de către vizitatori, în cazul utilizării de dispozitive portabile de calcul şi comunicaţii în cadrul organizaţiei.
(2)Instrucţiunile detaliate trebuie înmânate vizitatorilor la sosirea în organizaţie.
(3)PrOpSec trebuie să includă prevederi de tipul:
"Dispozitivele portabile de calcul pot fi utilizate numai în cazul în care sunt acreditate de către AAS pentru stocare, procesare sau transmitere de informaţii clasificate în cadrul unor misiuni oficiale determinate.
Echipamentele şi mediile de stocare asociate trebuie să fie protejate în permanenţă în conformitate cu standardele de securitate aplicabile celui mai înalt nivel de clasificare a informaţiilor pentru care echipamentele au fost acreditate.
Mediile de stocare asociate dispozitivelor portabile de calcul ale vizitatorilor trebuie să fie utilizate pentru acele dispozitive. În cazul în care există necesitatea schimbului de informaţii, trebuie stabilite şi aprobate de către AOSIC proceduri specifice acestei activităţi.
Conectarea dispozitivelor portabile de calcul la sistemele informatice şi de comunicaţii ale ...... (denumirea organizaţiei) ...... este interzisă.
Dispozitivele portabile de calcul pot fi utilizate în camerele în care se desfăşoară şedinţe numai cu aprobarea preşedintelui de şedinţă.
Dispozitivele GSM (telefoane mobile/celulare) pot fi utilizate numai în locuri special indicate. În afara acestor locaţii dispozitivele GSM trebuie închise. Toate capacităţile de comunicaţii (de exemplu, Bluetooth) trebuie să fie dezactivate.
Atunci când dispozitivul GSM este dotat cu cameră video sau capacităţi de înregistrare audio utilizarea acestora este interzisă în zone de securitate clasa I şi clasa a II-a.
Luarea la cunoştinţă a responsabilităţilor
Persoanele trebuie să semneze o declaraţie potrivit căreia sunt pe deplin conştiente de responsabilităţile ce le revin în ceea ce priveşte protecţia informaţiilor clasificate.
Puncte de contact
Îndrumări suplimentare pot fi obţinute de la administratorul de sistem şi cel de securitate ...... (se precizează datele de contact) ..............."
CAPITOLUL VII: Conţinutul PrOpSec pentru autorităţile operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC)
SECŢIUNEA 0:
Art. 18
Prezentul capitol descrie conţinutul PrOpSec, incluzând, unde este cazul, informaţii mai detaliate.
SECŢIUNEA 1: Administrarea şi organizarea securităţii
Art. 19
(1)Cap. 1 "Administrarea şi organizarea securităţii" din cuprinsul PrOpSec conţine o introducere de tipul celei prezentate mai jos:
"Acest capitol, precum şi capitolele următoare ale acestui document constituie Procedurile operaţionale de securitate (PrOpSec) pentru stocarea, procesarea şi transmiterea informaţiilor (naţionale/NATO/UE) clasificate în (............. numele SIC ........).
PrOpSec au fost întocmite de către AOSIC împreună cu administratorii de securitate ai SIC (.... enumerarea funcţiilor ....) în conformitate cu cerinţele conţinute în reglementările naţionale privind protecţia informaţiilor clasificate, asociate cu ................ (enumerarea normelor specifice privind securitatea: instrucţiuni locale, politici ale reţelelor din care SIC face parte sau cu care se interconectează).
PrOpSec au fost aprobate de către ORNISS.
Nu este permisă nicio abatere de la conţinutul PrOpSec sau modificarea conţinutului acestui document până când nu este obţinut acordul explicit al AAS. Înainte de implementarea oricărei modificări semnificative în PrOpSec, AOSIC trebuie să obţină aprobarea AAS. Efectuarea unor modificări minore trebuie raportată de către AOSIC la AAS, dar implementarea acestora nu depinde de obţinerea unei aprobări prealabile."
(2)Capitolul menţionat la alin. (1) conţine, de asemenea, detalii referitoare la următoarele aspecte:
a)descrierea SIC - o descriere sumară a sistemului, inclusiv a interconectărilor externe şi o subliniere a capacităţilor funcţionale;
b)responsabilităţile privind securitatea personalului cu atribuţii în acest sens, potrivit Directivei privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 86/2013, denumită în continuare INFOSEC 1 (de exemplu, AOSIC, administratorii de securitate ai SIC, administratorul CRIPTO, administratorul COMSEC, inclusiv personalul având responsabilităţi în asigurarea securităţii fizice, a personalului, a informaţiilor şi, unde este cazul, a securităţii industriale);
c)detalii despre modul de operare de securitate al SIC şi nivelul de clasificare a informaţiilor vehiculate în SIC;
d)proceduri administrative pentru actualizarea sau efectuarea de modificări în Lista cu utilizatorii autorizaţi ai SIC şi drepturile de acces ale acestora;
e)prevederi pentru raportarea imediată a oricărui incident major care implică încălcarea securităţii fizice, a personalului, a informaţiilor sau a SIC către administratorii de securitate ai SIC, incident care apoi trebuie raportat de către AOSIC la AAS folosindu-se formularul din INFOSEC 3;
f)prevederi care să garanteze că întregul personal al SIC a luat la cunoştinţă, a înţeles şi şi-a însuşit conţinutul PrOpSec, în părţile care îl privesc. Într-un mediu de reţea, pentru creşterea gradului de conştientizare a personalului privind securitatea, PrOpSec sau extrase semnificative din acest document pot fi stocate pe un server central, în aşa fel încât şi utilizatorii să poată avea acces uşor la procedurile care îi interesează, cu precizarea ca PrOpSec să poată fi accesate doar de utilizatorii autorizaţi ai SIC, conform drepturilor de acces ale acestora.
(3)Capitolul prevăzut la alin. (1) conţine, de asemenea, detalii, acolo unde este cazul, referitoare la următoarele aspecte:
a)procedurile privind asistenţa de securitate a utilizatorilor din locaţiile distribuite sau aflate la distanţă ale SIC;
b)extrase din cerinţele de securitate a comunicaţiilor, pentru a include, de exemplu, procedurile operaţionale criptografice pentru produsele şi mecanismele criptografice în uz;
c)proceduri pentru controlul personalului tehnic sau al altor categorii de personal suport care necesită accesul în zona SIC sau în zonele terminalelor/staţiilor de lucru aflate la distanţă;
d)proceduri pentru controlul mediilor de stocare, a componentelor software şi hardware autorizate, care sunt proprietate privată;
e)proceduri pentru controlul echipamentelor şi componentelor software autorizate ale contractorilor.
SECŢIUNEA 2: Securitatea fizică
Art. 20
(1)Cap. 2 "Securitate fizică" din cuprinsul PrOpSec cuprinde măsurile de securitate fizică necesare pentru a asigura prevenirea accesului neautorizat la informaţii clasificate, efectuării de operaţiuni neautorizate, blocării resurselor şi serviciilor SIC şi pentru protejarea echipamentelor.
(2)Capitolul prevăzut la alin. (1) conţin detalii, acolo unde este cazul, despre următoarele:
a)definirea zonelor unde se află componentele sistemului - încăperea/sala calculatoarelor, centrul de management al SIC, camera în care sunt instalate echipamentele criptografice, locul în care se păstrează mediile de stocare, încăperea terminalelor/staţiilor de lucru, locaţiile prevăzute pentru continuarea activităţii în caz de dezastru, inclusiv localizarea, tipul şi elementele de identificare ale întregului echipament conectat. Este necesară descrierea planului de cablare, identificându-se cablurile RED/BLACK şi specificându-se distanţele de separare între aceste cabluri. Pentru terminalele/staţiile de lucru la distanţă pot fi elaborate PrOpSec separate, sumare, care trebuie să specifice procedurile minime de securitate necesare pentru permiterea conectării acestora la SIC gazdă;
b)detalii cu privire la securitatea fizică a zonelor în care sunt instalate calculatoarele/echipamentele de comunicaţii, care să includă detalii cu privire la cheile şi/sau combinaţiile încuietorilor - identitatea acestora, unde se păstrează, modul de evidenţă şi cine are permisiunea să le primească, să le predea şi/sau să le folosească;
c)proceduri pentru garantarea securităţii fizice a zonei în care sunt instalate componentele sistemului, inclusiv echipamentele de comunicaţii, în afara orelor de program, incluzând, de exemplu, setările senzorilor pentru detecţia intruziunilor;
d)controlul accesului personalului şi echipamentelor:
(i)procedurile şi modul de evidenţă pentru controlul vizitatorilor, inclusiv măsurile aplicate pentru prevenirea vizualizării neautorizate a informaţiilor de pe dispozitivele de ieşire şi afişare;
(ii)permisele - tipul de permise în uz şi cerinţele privind portul sau afişarea acestor permise, detalii referitoare la cine este responsabil pentru autorizarea şi/sau emiterea permiselor, detalii privind păstrarea evidentei acestora;
(iii)procedurile în vigoare pentru controlul introducerii, depozitării, exploatării şi scoaterii diferitelor echipamente;
e)detalii cu privire la alarmele de sesizare a intruziunilor şi a problemelor apărute în mediul operaţional - unde sunt dispuşi senzorii, regimul lor de testare, frecvenţa efectuării testelor, procedurile de setare a sistemului de alarmare şi procedurile privind reacţia la diferite alarme.
SECŢIUNEA 3: Securitatea personalului
Art. 21
(1)Cap. 3 "Securitatea personalului" din cuprinsul PrOpSec pentru AOSIC conţine detalii, unde este cazul, despre toate aspectele securităţii personalului, referitoare la:
a)certificate de securitate/autorizaţii de acces pentru utilizatori şi alte categorii de personal:
(i)cerinţele privind certificarea de securitate a utilizatorilor, administratorilor de securitate, administratorilor de sistem, administratorilor CRIPTO;
(ii)personalul care are dreptul să fie prezent în camerele în care sunt instalate echipamentele SIC pe durata procesării şi în afara orelor de program, inclusiv cerinţele privind certificarea de securitate a acestei categorii de personal;
(iii)aplicarea regulii celor două persoane în zonele în care sunt instalate echipamente ale SIC;
(iv)pentru locaţiile terminalelor/staţiilor de lucru aflate la distanţă sau pentru orice altă componentă a SIC - se vor preciza categoriile de personal care are dreptul să fie prezent în camerele în care sunt instalate echipamentele SIC pe durata procesării şi în afara orelor de program, inclusiv cerinţele privind certificarea de securitate a acestei categorii de personal şi aplicarea regulii de lucru cu două persoane;
b)personalul-cheie:
(i)detalii specifice cu privire la anumite categorii de personal - proiectanţii/analiştii/programatorii de sistem, personalul operaţional, consultanţii comerciali, inginerii de sistem şi alte categorii de personal tehnic sau de întreţinere, incluzând, ca anexă la PrOpSec, o listă a funcţiilor care intră în această categorie;
(ii)detalii cu privire la personalul auxiliar, precum personalul de curăţenie şi muncitorii care au acces în zonele în care sunt instalate componentele SIC;
(iii)detalii cu privire la persoanele care au acces în fiecare cameră, zonă, clădire etc.;
c)educaţia şi conştientizarea de securitate
(i)cerinţele de educaţie/conştientizare/pregătire de securitate pentru toate categoriile de personal care au acces la SIC, incluzând fiecare dintre aspectele securităţii: securitatea fizică, securitatea personalului, securitatea informaţiilor şi securitatea SIC;
(ii)necesitatea de asumare oficială a instrucţiunilor de securitate.
(2)Măsurile şi dispoziţiile prevăzute la alin. (1) sunt necesare avându-se în vedere următoarele aspecte:
a)orice persoană capabilă să intre în zonele în care sunt instalate componentele SIC poate fi în situaţia de a interacţiona sau de a avaria echipamentul şi poate avea acces la informaţiile clasificate afişate pe ecran sau la cele listate;
b)ameninţările la adresa securităţii SIC pot veni din partea oricărei persoane care are pregătirea profesională, cunoştinţe corespunzătoare despre SIC şi posibilitatea de acces la SIC;
c)personalul care are dreptul legitim de intrare în zonele în care sunt instalate componentele SIC poate avea posibilitatea să acceseze neautorizat informaţii sau să permită extragerea acestora de către persoane neautorizate;
d)poate exista o anumită categorie de personal-cheie (de exemplu, programatori, analişti şi ingineri de sistem, personal de întreţinere, consultanţi comerciali) care, prin cunoştinţele lor despre caracteristicile de securitate ale SIC, pot să le compromită sau să le ocolească.
SECŢIUNEA 4: Securitatea informaţiilor
Art. 22
(1)Cap. 4 "Securitatea informaţiilor" din cuprinsul PrOpSec destinate AOSIC conţine detalii, acolo unde este cazul, despre următoarele:
a)toate tipurile de documente în uz - medii de stocare fixe sau detaşabile ale calculatoarelor, documente în format hârtie;
b)marcajele de securitate, marcaje administrative suplimentare, marcajele de limitare a diseminării care trebuie aplicate diferitelor tipuri de documente aflate în uz;
c)proceduri corespunzătoare pentru marcarea nivelului de clasificare sau de sensibilitate a documentelor;
d)proceduri privind stocarea diferitelor tipuri de documente aflate în uz;
e)responsabilităţi şi proceduri pentru înregistrarea şi controlul documentelor şi evidenţa controalelor, inclusiv frecvenţa acestora;
f)procedurile pentru păstrarea, evidenţa şi controlul mediilor de stocare pentru calculatoare.
Pentru bibliotecile de medii de stocare, trebuie precizate următoarele:
(i)clasificarea, cerinţele de etichetare, localizarea în bibliotecă;
(ii)înregistrări ale tuturor operaţiunilor, inclusiv pentru documentele păstrate în alte locuri (de exemplu, mediile pentru back-up), registre de evidenţă pentru documentele clasificate (sau un sistem automat de evidenţă), formulare pentru transfer şi primire şi înregistrări ale istoricului clasificării documentelor;
(iii)metodele şi formularele de solicitare a mediilor de stocare;
(iv)îndatoririle persoanei responsabile cu biblioteca de medii de stocare;
(v)păstrarea documentelor de control;
g)procedurile pentru primirea, schimbul şi diseminarea documentelor, inclusiv rolurile persoanelor responsabile cu importul/exportul de documente şi proceduri de verificare a tuturor mediilor de stocare ale calculatoarelor (purtătoare de informaţii sau de software) pentru a identifica eventuala prezenţă a viruşilor de calculator sau a altor programe nocive;
h)responsabilităţi şi proceduri pentru declasificarea/ reclasificarea/distrugerea/disponibilizarea documentelor, care să reglementeze folosirea incineratoarelor, echipamentelor de demagnetizare, echipamentelor de dezintegrare, tocare etc., inclusiv unde şi cum trebuie să se efectueze distrugerea, cât de frecvent şi de către cine se execută operaţiunea.
(2)În SIC, volumul şi compactarea informaţiilor stocate sau procesate, accesibilitatea lor, uşurinţa şi viteza de copiere a informaţiilor, uneori şi de la staţii aflate la distanţă, subliniază nevoia luării unor măsuri stringente de securitate a informaţiilor.
(3)Securitatea informaţiilor acoperă toate formele de documente care conţin informaţii clasificate, de exemplu, documente în format hârtie (cum sunt documente tipărite, grafice, scheme, figuri, hărţi, desene, listinguri cu loguri de audit ale sistemului), medii de stocare pentru calculatoare (CD, carduri de memorii flash, dispozitive de stocare USB, benzi magnetice, casete, discuri magnetice detaşabile, dischete floppy, cartuşe de date, discuri magnetice fixe, PROMs şi EPROMs), microfilme şi microfişe, benzi de imprimantă etc. Se adresează, totodată, dispozitivelor de calcul portabile (de exemplu laptop, notebook electronic, palmtop, PDA), atunci când harddiskul sau memoria sunt utilizate pentru stocarea informaţiilor.
(4)Un document este definit ca fiind orice informaţie înregistrată, indiferent de forma sau caracteristicile sale fizice, incluzând, spre exemplu, materiale scrise sau listate, cartele şi benzi pentru procesarea datelor, hărţi, planşe, fotografii, picturi, desene, gravuri, schiţe, notiţe de lucru, indigo sau riboane, sau alte tipuri de reproduceri, precum şi sunete, voci, înregistrări magnetice, electronice, optice sau video în orice format, precum şi echipamentele IT portabile cu medii de stocare fixe şi medii de stocare detaşabile.
SECŢIUNEA 5: Securitatea SIC
Art. 23
Mecanismele de securitate hardware, firmware şi software pot contribui individual şi în combinaţie la securitatea SIC, prin furnizarea de facilităţi pentru următoarele:
a)identificarea serviciilor, dispozitivelor, mediilor şi utilizatorilor care reprezintă elemente individuale ale sistemelor de control al securităţii;
b)controlul software al accesului prin care este restricţionat accesul utilizatorilor la elementele hardware, firmware şi software şi la informaţiile la care le este permis accesul, precum şi la informaţiile pentru care este interzis accesul neautorizat;
c)detectarea activităţilor neautorizate (de exemplu, încercările de acces neautorizat), susţinută de mecanisme de reacţie şi raportare;
d)verificări care să garanteze funcţionarea corectă a celor menţionate la lit. a), b) şi c).
SECŢIUNEA 6: Securitatea calculatoarelor
SECŢIUNEA 61: Securitatea hardware
Art. 24
(1)Securitatea hardware se referă la caracteristicile de securitate asigurate de către componentele fizice ale SIC.
(2)Secţiunea "Securitatea hardware" oferă detalii despre sau, acolo unde este cazul, face referiri la următoarele aspecte ale securităţii hardware:
a)proceduri şi documentaţie de securitate referitoare la pornirea echipamentelor SIC;
b)proceduri şi documentaţie de securitate referitoare la oprirea echipamentelor SIC;
c)instrucţiuni şi proceduri referitoare la conectarea/ deconectarea echipamentelor relevante pentru securitate;
d)proceduri privind efectuarea de verificări periodice pentru punerea în evidenţă a eventualelor încercări de desfacere a echipamentelor şi pentru asigurarea faptului că modulele hardware sunt păstrate încuiate, în mod normal, în carcasa echipamentului;
e)configuraţia calculatorului utilizată pentru procesarea în diferite condiţii; de exemplu, trebuie precizat ce terminale/staţii de lucru trebuie să fie deconectate şi/sau ce periferice trebuie dezactivate într-o situaţie specifică de exploatare;
f)procedurile de securizare a configuraţiei calculatorului pregătit pentru întreţinere şi reparare, incluzând următoarele:
(i)nivelul de autorizare necesar pentru modificarea configuraţiei echipamentului, introducerea de hardware şi software nou sau schimbarea oricărei componente hardware, inclusiv placa de bază care poate stoca, procesa sau transmite informaţii clasificate;
(ii)orice restricţii impuse referitoare la momentele îi care se pot realiza sau nu întreţinerile periodice;
(iii)detalii referitoare la orice rutine de diagnosticare care se instalează fie în mod periodic, fie conform unui program de întreţinere sau unor modificări hardware, în situaţiile excepţionale în care AAS a considerat că tehnicile de diagnoză şi mentenanţă de la distanţă sunt necesare şi pot fi acceptate, trebuie specificate procedurile de securitate aplicabile;
(iv)specificaţii referitoare la programele de întreţinere periodică, inclusiv instrucţiuni pentru identificarea rapoartelor de diagnosticare care pot conţine informaţii clasificate;
(v)proceduri referitoare la identificarea, păstrarea şi controlul pieselor de schimb şi accesoriilor relevante din punctul de vedere al securităţii;
g)procedurile care trebuie urmate în caz de defecţiune hardware, cu descrierea acţiunilor care trebuie întreprinse şi a persoanelor care trebuie să întreprindă aceste acţiuni, în vederea securizării calculatorului la deconectare, şi ce date trebuie păstrate referitoare la astfel de incidente hardware;
h)procedurile pentru reconectarea terminalelor/staţiilor de lucru de la distanţă care au fost deconectate din motive de securitate;
i)în cazul în care se asigură şi protecţia TEMPEST pentru SIC, acest lucru trebuie precizat în această secţiune şi corelat cu prevederile din secţiunea "Securitatea emisiei".
SECŢIUNEA 62: Securitatea software
Art. 25
(1)Securitatea software se referă la caracteristicile de securitate asigurate de următoarele componente:
a)firmware - instrucţiuni software, de obicei scrise de furnizorii de hardware, oare simulează hardware-ul şi pot fi înlocuite prin implementarea hardware efectivă;
b)sistemul de operare;
c)programe utilitare - asigură facilităţi comune şi frecvent utilizate, cum ar fi funcţii automatizate de birou, sisteme de gestiune a bazelor de date, compilatoare de programe, sortare şi concatenare de fişiere, programe de verificare, scanare, control, audit etc.;
d)programe de aplicaţie - care satisfac cerinţele utilizatorilor.
(2)Secţiunea "Securitatea software" furnizează detalii, acolo unde este cazul, despre metoda de utilizare şi control al caracteristicilor de protecţie furnizate prin software, specificând în particular următoarele:
a)metoda de identificare (identificatorul utilizatorului) - proceduri de stabilire a conturilor utilizatorilor, a grupurilor de utilizatori şi de alocare a identificatorilor utilizatorilor, proceduri de ştergere a conturilor utilizatorilor în cazul plecării personalului de la post sau atunci când a fost detectată o compromitere a contului respectiv;
b)metoda de autentificare - include protecţia informaţiilor de autentificare (de exemplu, parole, token sau metode biometrice), procedurile de control şi schimbare, autoritatea emitentă, păstrarea înregistrărilor de control şi de către cine, frecvenţa schimbării şi procedurile utilizate pentru mecanismul de autentificare;
c)mecanismele de control al accesului - proceduri de implementare a controlului accesului discreţionar şi/sau obligatoriu la informaţii/servicii/dispozitive, proceduri pentru stabilirea drepturilor şi permisiuni utilizatorilor de accesare şi utilizarea informaţiilor, serviciilor şi resurselor SIC, detalii despre autorităţile responsabile şi păstrarea evidenţelor privind controlul;
d)evidenţa versiunii sistemului de operare, programelor utilitare şi pachetelor software, inclusiv cele care vor fi folosite în situaţii deosebite;
e)controlul asupra facilităţilor de copiere sau de modificare a sistemului de operare, cu detalii despre autoritatea şi documentaţia necesară;
f)detalii despre măsurile de precauţie ce trebuie luate înainte şi după procesare sau în timpul pregătirii diferitelor tipuri de activităţi clasificate, incluzând rutine de ştergere a memoriei principale, reguli de declasificare sau de suprascriere a versiunilor anterioare şi proceduri care să asigure că bufferele sunt curăţate şi că toate datele din fişierele jurnalelor de audit au fost listate şi suprascrise.
(3)Secţiunea software furnizează, de asemenea, unde este cazul, detalii privind software-ul de sistem şi de aplicaţii, după cum urmează:
a)responsabilităţi pentru generare şi utilizare;
b)procedurile de primire şi introducere în sistem, autorizări şi formularele necesare;
c)clasificarea;
d)controlul copierii;
e)utilizarea limbajelor de programare/compilatoarelor/macro-urilor;
f)proceduri de audit şi validare a componentelor software - ce, de către cine, cu ce frecvenţă şi ce înregistrări se păstrează;
g)copiile de siguranţă ale sistemului - ce conţin şi unde se păstrează, în ce formă, ce verificări se fac, cu ce frecvenţă şi cine este autorizat să activeze/să folosească aceste copii;
h)proceduri care trebuie urmate în caz de erori şi ce înregistrări trebuie păstrate;
i)controlul copiilor în format hârtie.
SECŢIUNEA 63: Protecţia antivirus a calculatoarelor
Art. 26
(1)Secţiunea "Protecţia antivirus a calculatoarelor" conţine un sumar al tuturor procedurilor şi mecanismelor de protecţie împotriva software-ului maliţios, atât manuale, cât şi automate, şi responsabilităţile individuale relevante pentru SIC.
(2)Secţiunea menţionată la alin. (1) include următoarele:
a)proceduri de verificare a sistemelor de operare instalate, a pachetelor software şi a programelor utilitare, privind prezenţa viruşilor sau a altui software maliţios, incluzând proceduri pentru ştergerea acestora în cazul detectării lor;
b)proceduri pentru verificarea mediilor de stocare (conţinând informaţii şi software) primite din surse externe, incluzând proceduri pentru dezinfectarea lor;
c)proceduri pentru verificarea mesajelor electronice şi a ataşamentelor primite din surse externe pentru a identifica eventuala prezenţă a software-ului maliţios;
d)proceduri care trebuie urmate de către utilizatori în cazul detectării unor evenimente cauzate de software maliţios;
e)proceduri pentru raportarea incidentelor cauzate de viruşi atât către expeditorul mediului de stocare infectat, cât şi la AAS, folosindu-se formularul din Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003.
SECŢIUNEA 64: Managementul şi auditul automat al securităţii
Art. 27
(1)Secţiunea "Managementul şi auditul automat al securităţii" conţine un sumar al tuturor măsurilor şi procedurilor automate de management al securităţii, al procedurilor de audit, atât cele manuale, cât şi cele asigurate de sistem, alocarea responsabilităţilor relevante pentru SIC.
(2)Secţiunea menţionată la alin. (1) include următoarele:
a)procedurile pentru rularea instrumentelor/programelor automate de management al securităţii şi detalii despre facilităţile de audit;
b)detalii despre evenimentele relevante pentru securitate care trebuie luate în evidenţă (logged) (de exemplu, tipul evenimentului şi informaţia asociată fiecărui tip de eveniment);
c)detalii despre modul cum sunt folosite jurnalele (log-urile) de securitate, atât pentru investigarea erorilor, cât şi pentru anumite fişiere sau categorii de personal, bazate pe urmărirea evenimentelor sau activităţilor, a tendinţelor anormale, incluzând detalii despre evenimentele care trebuie supravegheate;
d)desfăşurarea inspecţiilor/analizelor periodice ale înregistrărilor de audit, în scopul descoperirii prompte a accesului neautorizat sau a încercărilor de acces şi pentru luarea măsurilor corespunzătoare de remediere;
e)responsabilităţile persoanelor care trebuie să ruleze şi să valideze integritatea instrumentelor/programelor de management automat al securităţii şi să desfăşoare investigări şi analize în cazul descoperirii de anomalii;
f)proceduri de reacţie la evenimente specifice, de exemplu, activarea alarmelor în timp real;
g)detalii privind perioada de păstrare a fişierelor de audit;
h)proceduri care trebuie urmate în cazul apariţiei de anomalii ale auditului.
SECŢIUNEA 65: Securitatea criptografică
Art. 28
- Secţiunea "Securitatea criptografică" furnizează detalii cu privire la următoarele aspecte ale securităţii criptografice, acolo unde este cazul:
a)stabilirea persoanei responsabile cu implementarea şi controlul procedurilor privind securitatea criptografică şi cerinţele de certificare de securitate pentru această persoană;
b)stabilirea administratorului COMSEC, conform INFOSEC 1 şi instrucţiunilor privind managementul, utilizarea şi protecţia materialului criptografic în România;
c)detalii despre administratorul CRIPTO al SIC (de exemplu, funcţie, responsabilităţi) pentru acele SIC care folosesc echipament criptografic ca o componentă a sistemului;
d)proceduri specifice de utilizare a echipamentului criptografic, în special managementul materialelor criptografice. Secţiunea trebuie să facă referire la instrucţiunile privind managementul, utilizarea şi protecţia materialului criptografic în România, pentru detalii în ceea ce priveşte măsurile de protecţie a materialului criptografic şi responsabilităţile utilizatorilor acestui material.
SECŢIUNEA 66: Securitatea emisiilor
Art. 29
- Secţiunea "Securitatea emisiilor" furnizează detalii cu privire la următoarele aspecte ale securităţii emisiei, acolo unde este cazul:
a)stabilirea persoanei responsabile cu implementarea şi controlul procedurilor de securitate a emisiei;
b)proceduri de analizare a cerinţelor TEMPEST, pentru locaţiile SIC, cu acordul ORNISS;
c)proceduri pentru stabilirea locului în care echipamentele de calcul portabile şi calculatoare/staţiile de lucru de sine stătătoare pot opera în interiorul locaţiilor SIC;
d)informaţii despre metodele corespunzătoare de instalare ale echipamentului;
(i)trimiteri către informaţiile furnizate de către producător;
(ii)specificaţii în conformitate cu Directiva privind selectarea şi instalarea echipamentelor şi sistemelor care vehiculează informaţii clasificate, în format electronic - INFOSEC 6, versiunea 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 358/2008;
e)detalii cu privire la cerinţele de evaluare şi certificare a echipamentelor şi evaluare a locaţiilor în care sunt instalate echipamentele SIC.
SECŢIUNEA 67: Securitatea transmisiilor
Art. 30
- Secţiunea "Securitatea transmisiilor" furnizează detalii despre următoarele aspecte ale securităţii transmisiei, acolo unde este cazul:
a)stabilirea persoanei responsabile cu implementarea şi controlul procedurilor de securitate a transmisiei;
b)proceduri asociate cu protecţia adecvată a comunicaţiilor în sistemele autorizate, deduse din analiza secţiunilor necriptate ale acestor comunicaţii;
c)proceduri de reducere a conţinutului informaţional prin secţiunile neprotejate ale sistemelor de comunicaţii;
d)proceduri operaţionale pentru sistemele care asigură securitatea fluxului informaţional.
SECŢIUNEA 68: Planificarea măsurilor pentru situaţii de urgenţă şi pentru continuarea activităţii
Art. 31
(1)Cap. 6 "Planificarea măsurilor pentru situaţii de urgenţă şi pentru continuarea activităţii" din cuprinsul PrOpSec pentru AOSIC furnizează detalii despre procedurile obişnuite relevante pentru securitate, referitoare la efectuarea salvărilor de siguranţă (back-up), incluzând următoarele aspecte, acolo unde este cazul:
a)detalii despre metodele de salvare de siguranţă a informaţiilor relevante din punctul de vedere al securităţii şi a informaţiilor utilizatorilor;
b)frecvenţa realizării salvărilor de siguranţă;
c)cerinţe privind transmiterea şi păstrarea copiilor de back-up;
d)testarea copiilor de back-up;
e)proceduri privind accesul la copiile de back-up şi utilizarea acestora.
(2)Capitolul menţionat la alin. (1) furnizează, de asemenea, detalii despre procedurile de securitate sau face referiri la acestea, incluzând proceduri de distrugere a informaţiilor în caz de urgenţă şi proceduri de recuperare a informaţiilor în caz de dezastru, care trebuie urmate în situaţii excepţionale, de exemplu:
a)defecţiuni hardware, erori software sau descoperirea introducerii de viruşi sau de software maliţios;
b)indisponibilitatea liniilor de telecomunicaţie;
c)variaţii ale tensiunii de alimentare sau căderea acesteia;
d)aspecte privind mediul operaţional al SIC (de exemplu; fum, foc, explozii, inundaţii, scurgeri de lichide, probleme ale structurii de rezistenţă a clădirii, cutremure, furtuni şi alte calamităţi naturale);
e)acţiuni subversive, sabotaj, terorism, mişcări sociale sau ameninţări cu bombe.
(3)Capitolul precizat la alin. (1) include, unde este cazul, proceduri cu privire la distrugerea echipamentelor criptografice şi a materialului cu chei criptografice, în situaţii de urgenţă.
(4)Capitolul prevăzut la alin. (1) furnizează, de asemenea, un sumar al modului de exersare a procedurilor de urgenţă şi frecvenţa cu care se fac aceste exerciţii sau face referiri la documente interne care conţin aceste prevederi.
SECŢIUNEA 69: Managementul configuraţiei
Art. 32
(1)Managementul configuraţiei SIC constă în identificarea, controlul, păstrarea evidenţei, diseminarea şi auditul tuturor modificărilor efectuate în timpul etapelor de proiectare, dezvoltare, exploatare, întreţinere şi îmbunătăţire a ciclului de viaţă al SIC.
(2)Cap. 7 "Managementul configuraţiei" din cuprinsul PrOpSec pentru AOSIC furnizează detalii despre următoarele caracteristici ale planului de management al configuraţiei, acolo unde acestea sunt legate de aspecte ale securităţii hardware, firmware şi software:
a)responsabilităţile personalului pentru controlul şi organizarea actualizării configuraţiei;
b)documentaţia care descrie configuraţia de bază autorizată pentru SIC;
c)măsurile de securitate aplicate pentru a garanta faptul că arhitectura/configuraţia de bază autorizată pentru SIC nu poate face obiectul unor modificări neautorizate, de exemplu, prin introducerea unui software neautorizat;
d)controale care se efectuează la modificarea documentaţiei de proiectare şi de implementare;
e)controale care se efectuează la generarea unei noi versiuni a sistemului, incluzând pachetele utilitare şi cele software;
f)măsuri aplicabile în cazul actualizării sistemului de operare (service packs, hot fixes, security patches), incluzând pachetele utilitare şi de software;
g)măsurile (tehnice, fizice şi procedurale) care se efectuează pentru protecţia faţă de modificarea sau distrugerea neautorizată a copiei principale sau a copiilor tuturor celorlalte materiale utilizate pentru generarea sistemului, incluzând pachetele software şi utilitarele;
h)controale care se efectuează pentru configurarea dispozitivelor de comunicaţii (de exemplu, routere) şi a dispozitivelor de protecţie a limitelor sistemului (de exemplu, firewall);
i)procedurile pentru solicitarea modificării configuraţiei hardware, firmware şi software a SIC;
j)procedurile pentru solicitarea de modificări specifice ale configuraţiei hardware sau a mediului operaţional al sistemului, acolo unde există nevoia punerii de acord cu standardul TEMPEST şi pentru auditul implementării modificărilor specifice;
k)procedurile postimplementare necesare pentru actualizarea documentaţiei privind modificarea configuraţiei.
(3)Capitolul menţionat la alin. (1) include, de asemenea, detalii cu privire la procedurile de implementare a actualizărilor aplicaţiilor antivirus, a sistemului de operare prin service packs/hotfixes/security patches.
CAPITOLUL VIII: Proceduri operaţionale asociate
Art. 33
- Capitolul 8 "Proceduri operaţionale asociate" precizează, dacă este cazul, alte documente cu proceduri operaţionale de securitate asociate care au fost elaborate pentru a stabili responsabilităţi pentru anumite grupuri de utilizatori.
Publicat în Monitorul Oficial cu numărul 242 din data de 4 aprilie 2014