MONITORUL OFICIAL AL ROMÂNIEI Nr. 238/2012

MONITORUL OFICIAL AL ROMÂNIEI

 

P A R T E A  I

Anul XXIV - Nr. 238         LEGI, DECRETE, HOTĂRÂRI SI ALTE ACTE         Luni, 9 aprilie 2012

 

SUMAR

 

ACTE ALE ORGANELOR DE SPECIALITATE ALE ADMINISTRAŢIEI PUBLICE CENTRALE

 

23. - Ordin al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat privind aprobarea Metodologiei de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12

 

ACTE ALE ORGANELOR DE SPECIALITATE ALE ADMINISTRAŢIEI PUBLICE CENTRALE

 

GUVERNUL ROMÂNIEI

OFICIUL REGISTRULUI NAŢIONAL AL INFORMAŢIILOR SECRETE DE STAT

 

ORDIN

privind aprobarea Metodologiei de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12

 

În temeiul ari. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare, şi al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,

directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.

Art. 1. - Se aprobă Metodologia de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, prevăzută în anexa care face parte integrantă din prezentul ordin.

Art. 2. - La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 167/2006 pentru aprobarea Metodologiei de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, publicat în Monitorul Oficial al României, Partea I, nr. 223 din 10 martie 2006.

Art. 3. - Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.

 

Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat,

Marius Petrescu

 

Bucureşti, 28 martie 2012.

Nr. 23.

 

ANEXĂ

 

METODOLOGIE DE ACREDITARE

a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12

 

CAPITOLUL I

Introducere

SECŢIUNEA 1

Scop

 

Art. 1. - Prezenta metodologie de acreditare stabileşte cerinţele şi activităţile aferente procesului de acreditare a entităţilor evaluatoare a produselor şi soluţiilor de securitate IT, precum şi a sistemelor informatice şi de comunicaţii, naţionale, civile sau militare, denumite în continuare SIC, care vehiculează informaţii clasificate.

Art. 2. - Metodologia de acreditare a entităţilor evaluatoare are următoarele obiective:

a) verificarea faptului că entitatea evaluatoare satisface criteriile de calitate impuse prin regulile şi standardele specifice sau deţine certificat de calitate emis de o autoritate recunoscută de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS;

b) verificarea faptului că personalul entităţii evaluatoare are nivelul de pregătire tehnică necesar pentru desfăşurarea activităţilor aferente proceselor de evaluare;

c) verificarea faptului că entitatea evaluatoare are dotarea tehnică necesară desfăşurării activităţilor pentru care solicită acreditarea;

d) verificarea faptului că entitatea evaluatoare are capacitatea de a aplica criteriile de evaluare şi metodologiile asociate;

e) verificarea faptului că entitatea evaluatoare are implementat un sistem de protecţie a informaţiilor, conform cerinţelor impuse de procesul de evaluare.

Art. 3. - (1) Pentru a desfăşura activitatea de evaluare a produselor şi soluţiilor de securitate IT destinate utilizării în SIC care vehiculează informaţii clasificate, entităţile evaluatoare trebuie să îndeplinească următoarele condiţii:

a) pentru evaluarea de produse şi soluţii de securitate IT, altele decât cele criptografice, trebuie să fie acreditate de ORNISS;

b) pentru evaluarea produselor criptografice, altele decât cele din categoria cifrului de stat, trebuie să fie desemnate ca entităţi evaluatoare în cadrul Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apărării Naţionale (MApN) ori să fie acreditate de ORNISS, cu acordul acestor instituţii.

(2) Prin ordin al directorului general al ORNISS se stabileşte metodologia de acreditare a entităţilor de evaluare a produselor criptografice, altele decât cele din categoria cifrului de stat.

Art. 4. - În vederea acreditării de către ORNISS, entităţile evaluatoare trebuie să îndeplinească criteriile de acreditare prevăzute în anexa nr. 1.

 

SECŢIUNEA a 2-a

Definiţii

 

Art. 5. - În cuprinsul prezentei metodologii de acreditare, următorii termeni şi sintagme se definesc după cum urmează:

a) acreditare - aprobarea acordată de ORNISS entităţilor evaluatoare, prin care acestea sunt autorizate să desfăşoare activităţile aferente procesului de evaluare a produselor şi soluţiilor de securitate IT, precum şi a SIC care vehiculează informaţii clasificate;

b) evaluare - examinarea detaliată, din punct de vedere tehnic şi funcţional, a aspectelor de securitate ale produselor şi soluţiilor de securitate IT.

Prin procesul de evaluare se verifică cel puţin:

1. prezenţa facilităţilor/funcţiilor de securitate cerute;

2. absenţa efectelor secundare compromiţătoare care ar putea decurge din implementarea facilităţilor de securitate;

3. funcţionalitatea globală a produsului sau soluţiei de securitate IT;

4. nivelul de încredere al produselor şi soluţiilor de securitate IT;

c) produs de securitate IT - orice element de securitate care se încorporează într-un SIC, în scopul asigurării sau sporirii confidenţialităţii, integrităţii informaţiilor vehiculate şi a disponibilităţii informaţiilor, resurselor şi serviciilor acestuia;

d) soluţie de securitate IT - ansamblu de componente specifice de securitate ale unui SIC, necesare asigurării unui nivel corespunzător de protecţie pentru informaţiile clasificate care urmează a fi stocate, procesate sau transmise prin acesta.

 

CAPITOLUL II

Procesul de acreditare

 

Art. 6. - Procesul de acreditare a entităţilor evaluatoare constă în parcurgerea următoarelor etape:

a) solicitarea acreditării şi pregătirea documentaţiei de acreditare;

b) analiza documentaţiei de acreditare;

c) inspecţia de acreditare;

d) realizarea unei evaluări pilot pentru un produs sau o soluţie de securitate IT;

e) luarea unei decizii privind acreditarea;

f) emiterea documentelor conform deciziei de acreditare;

g) activităţi postacreditare.

Art. 7. - Schema*) de mai jos prezintă procesul de acreditare a entităţilor evaluatoare ale produselor şi soluţiilor de securitate IT Fiecare dintre activităţile acestui proces este tratată pe larg în prezenta metodologie de acreditare.


*) Schema este reprodusă în facsimil.

 

 

SCHEMA

 

Procesul de acreditare a entităţilor evaluatoare ale produselor şi soluţiilor de securitate IT

 

CAPITOLUL III

Descrierea metodologiei de acreditare

 

SECŢIUNEA 1

Solicitarea acreditării

 

1. Documente care trebuie înaintate ia ORNISS

Art. 8. - Solicitarea acreditării se face prin transmiterea către ORNISS, de către reprezentantul legal al entităţii evaluatoare, a unei cereri de acreditare.

Art. 9. - Cererea de acreditare trebuie să fie însoţită de următoarele documente:

a) copie a documentului oficial în baza căruia se organizează şi funcţionează entitatea evaluatoare pentru care se solicită acreditarea;

b) copie a certificatului conţinând codul unic de identificare al entităţii evaluatoare sau al persoanei juridice care solicită acreditarea, după caz;

c) un document oficial care să precizeze cel puţin următoarele:

(î) lista cuprinzând numerele de înregistrare şi denumirea documentelor interne care stabilesc politica de securitate privind protecţia informaţiilor clasificate vehiculate în cadrul entităţii evaluatoare;

(ii) nivelul maxim de secretizare a informaţiilor care pot fi vehiculate în cadrul entităţii evaluatoare;

(iii) faptul că personalul entităţii evaluatoare implicat în procesul de evaluare deţine certificate de securitate corespunzătoare nivelului de secretizare a informaţiilor la care acesta are acces, conform principiului necesităţii de a cunoaşte;

(iv) alte tipuri de acreditări/certificări obţinute de entitatea evaluatoare, considerate relevante pentru analiza solicitării, cum ar fi Certificat de acreditare de securitate pentru SIC din cadrul entităţii evaluatoare, Certificat de zonare TEMPEST a locaţiilor entităţii evaluatoare, Certificat de caracterizare TEMPEST a echipamentelor entităţii evaluatoare etc.;

d) un document oficial care să cuprindă cel puţin:

(i) prezentarea generală a activităţii desfăşurate de entitatea evaluatoare până în momentul solicitării acreditării;

(ii) organigrama entităţii evaluatoare;

(iii) schema de relaţionare a entităţii evaluatoare cu alte structuri interne ale persoanei juridice;

(iv) atribuţiile şi responsabilităţile compartimentelor din cadrul entităţii evaluatoare;

e) un document oficial care să cuprindă:

(î) lista cu numerele de înregistrare şi denumirile procedurilor privind sistemul calităţii (Manualul calităţii);

(ii) lista instrumentelor hardware şi software din dotare şi/sau închiriate, utilizate pentru activităţile pentru care se solicită acreditarea;

f) aspecte privind personalul implicat în activităţile pentru care se solicită acreditarea - pregătirea personalului din punct de vedere profesional şi al securităţii, certificări de securitate;

g) descrierea măsurilor şi procedurilor de securitate ale entităţii evaluatoare (administrarea securităţii, securitatea fizică, securitatea informaţiilor, securitatea personalului, INFOSEC);

h) criterii şi proceduri specifice referitoare la desfăşurarea activităţilor pentru care se solicită acreditarea;

i) documente din care să reiasă experienţa acumulată de entitatea evaluatoare în domeniul prestării de servicii de evaluare a produselor şi soluţiilor de securitate IT, după caz;

j) orice alte informaţii relevante privind solicitantul, corelate cu cererea sa.

Art. 10. - Documentele prevăzute la art. 9 lit. a)-j) constituie documentaţia de acreditare. O copie a acestui dosar sau referinţe la documentele interne, după caz, trebuie să fie transmise la ORNISS.

Art. 11. - În cazul în care documentaţia de acreditare nu este completă, ORNISS va informa solicitantul asupra acestui fapt, în vederea furnizării informaţiilor adiţionale necesare.

Art. 12. - Dacă documentaţia de acreditare este completă, ORNISS va înştiinţa solicitantul şi va demara etapa de analiză a documentaţiei.

Art. 13. - În cazul în care apar modificări ale documentelor care constituie dosarul de acreditare, versiunile modificate trebuie transmise la ORNISS.

Art. 14. - Anexa nr. 2 prezintă, cu titlu de exemplu, un set de tipuri de proceduri care abordează aspectele enumerate mai sus. Procedurile pot face obiectul unor documente separate sau al unui document unitar, în funcţie de decizia conducerii persoanei juridice.

Toate procedurile trebuie aprobate de reprezentantul legal al persoanei juridice solicitante.

2. Condiţii de acreditare

Art. 15. - Pentru ca entitatea evaluatoare să fie acreditată şi pentru păstrarea statutului de entitate evaluatoare acreditată, reprezentantul legal trebuie să se angajeze în scris să îndeplinească următoarele cerinţe:

a) să asigure respectarea criteriilor de acreditare stabilite în anexa nr. 1;

b) să cunoască şi să respecte prezenta metodologie de acreditare şi să asigure condiţiile necesare pentru realizarea activităţilor de verificare şi inspecţie;

c) să analizeze recomandările formulate de ORNISS şi să asigure implementarea de măsuri corective, după caz;

d) să respecte condiţiile impuse de ORNISS cu privire la modul de utilizare a certificatului de acreditare, conform prevederilor anexei nr. 3;

e) să notifice ORNISS, în termen de maximum 30 de zile, orice modificare majoră care poate afecta activitatea entităţii evaluatoare, cum ar fi:

(i) modificarea statutului juridic, a structurii organizatorice sau a acţionariatului;

(ii) modificări ale politicilor şi procedurilor interne de securitate, după caz;

(iii) modificări ale locaţiei;

(iv) schimbarea reprezentantului legal sau a personalului abilitat să semneze rapoartele de evaluare;

(v) modificări de personal, de echipamente, ale mediului operaţional sau ale altor resurse, dacă sunt semnificative pentru activităţile pentru care entitatea evaluatoare este acreditată;

(vi) orice alte aspecte care pot afecta activitatea entităţii evaluatoare sau respectarea de către aceasta a criteriilor de acreditare;

f) să returneze la ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditării, în cazurile în care ORNISS constată că nu mai sunt menţinute condiţiile pentru care a fost acordată acreditarea, precum şi la iniţiativa sa, odată cu notificarea ORNISS despre decizia de a renunţa la efectuarea activităţilor pentru care a fost acreditată entitatea evaluatoare.

 

SECŢIUNEA a 2-a

Analiza documentaţiei

 

Art. 16. - ORNISS va întocmi şi va transmite solicitantului un raport de analiză a documentaţiei, în termen de 30 de zile de la data înregistrării la ORNISS a documentaţiei de acreditare complete, prevăzută la art. 9.

Art. 17. - La primirea solicitării, directorul general al ORNISS dispune constituirea unei comisii de acreditare şi desemnează o persoană responsabilă cu managementul procesului de acreditare (care va reprezenta şi punctul de contact al ORNISS cu solicitantul).

Art. 18. - Comisia de acreditare este responsabilă de gestionarea procesului de acreditare pe toată durata acestuia.

Art. 19. - Principalele responsabilităţi ale comisiei de acreditare desemnate pentru gestionarea procesului de acreditare sunt:

a) analiza documentaţiei transmise de solicitant;

b) realizarea verificării preliminare a modului în care sunt satisfăcute criteriile de acreditare de către solicitant;

c) întocmirea raportului de verificare preliminară şi formularea de propuneri referitoare la acordarea acreditării temporare sau a recomandărilor necesare corectării anumitor aspecte negative constatate;

d) realizarea inspecţiei de acreditare;

e) întocmirea raportului de inspecţie şi formularea de propuneri privind decizia de acreditare;

f) monitorizarea activităţilor desfăşurate de către entitatea evaluatoare, în baza acreditării acordate de ORNISS şi a menţinerii condiţiilor conform cărora a fost acordată acreditarea;

g) formularea propunerilor cu privire la reacreditarea entităţii evaluatoare, la expirarea certificatului de acreditare, pe baza unei noi solicitări de acreditare;

h) formularea propunerilor cu privire la retragerea acreditării, în cazul în care se constată modificarea condiţiilor existente la momentul acordării certificatului de acreditare.

Art. 20. - În cazul în care comisia de acreditare constată că documentaţia de acreditare este completă şi corect întocmită, va organiza inspecţia de acreditare la sediul entităţii evaluatoare.

Art. 21. - În cazul în care documentaţia de acreditare necesită completări sau modificări, ORNISS va informa entitatea evaluatoare în acest sens. După corectarea deficienţelor, entitatea evaluatoare trebuie să transmită la ORNISS noua versiune a documentaţiei de acreditare, care va fi reanalizată de comisia de acreditare, în scopul întocmirii unui nou raport de analiză.

 

SECŢIUNEA a 3-a

Inspecţia de acreditare

 

Art. 22. - Pentru a verifica posibilităţile entităţii evaluatoare solicitante de a îndeplini criteriile de acordare a certificatului de acreditare, enunţate în anexa nr. 1, ORNISS trebuie să efectueze o inspecţie de acreditare la sediul solicitantului.

Art. 23. - Inspecţia de acreditare este realizată de o echipă desemnată de către directorul general al ORNISS, la propunerea comisiei de acreditare, formată din experţi din cadrul ORNISS şi, după caz, experţi din afara ORNISS, cu pregătire tehnică adecvată şi autorizaţi corespunzător.

Art. 24. - Entitatea evaluatoare solicitantă trebuie informată cu privire la componenţa echipei de inspecţie. În cazul în care există motive obiective în ceea ce priveşte securitatea informaţiilor sau conflicte de interese, entitatea evaluatoare solicitantă poate refuza componenţa echipei de inspecţie. Motivaţia trebuie să fie scrisă, însuşită de reprezentantul legal al persoanei juridice din care face parte entitatea evaluatoare sau de reprezentantul legal al entităţii evaluatoare, dacă aceasta are personalitate juridică.

Art. 25. - Raportul întocmit de echipa care a realizat inspecţia de acreditare trebuie să precizeze dacă entitatea evaluatoare solicitantă îndeplineşte sau nu criteriile pentru continuarea procesului de acreditare.

Art. 26. - În cazul în care rezultatele acestei inspecţii de acreditare confirmă faptul că entitatea evaluatoare satisface criteriile de acreditare, aceasta este informată în scris şi poate demara etapa de evaluare-pilot.

 

SECŢIUNEA a 4-a

Evaluarea-pilot

 

Art. 27. - În vederea verificării de către ORNISS a faptului că entitatea evaluatoare are capacitatea de a efectua în mod corect activităţile pentru care solicită acreditarea, entitatea evaluatoare are obligaţia să efectueze o evaluare-pilot.

Art. 28. - Evaluarea-pilot trebuie să se desfăşoare în conformitate cu procedurile de evaluare utilizate de solicitantul acreditării. Entitatea evaluatoare trebuie să notifice la ORNISS stadiul procesului de evaluare-pilot.

Art. 29. - După finalizarea evaluării-pilot, entitatea evaluatoare are obligaţia de a transmite la ORNISS raportul de evaluare.

Art. 30. - Comisia de acreditare poate organiza o nouă inspecţie la sediul entităţii evaluatoare, pentru a verifica, în mod special, dacă recomandările formulate în cursul inspecţiei de acreditare au fost analizate şi au condus la acţiuni corective.

Art. 31. - Membrii echipei de inspecţie întocmesc raportul de inspecţie, care trebuie să precizeze dacă entitatea evaluatoare îndeplineşte criteriile de acreditare enunţate în anexa nr. 1.

Art. 32. - Raportul întocmit de membrii echipei de inspecţie trebuie să conţină şi propuneri cu privire la decizia de acordare a acreditării entităţii evaluatoare.

 

SECŢIUNEA a 5-a

Decizia privind acreditarea

 

Art. 33. - După parcurgerea activităţilor mai sus menţionate, la propunerea comisiei de acreditare, directorul general al ORNISS decide cu privire la acreditarea entităţii evaluatoare.

Art. 34. - Opţiunile referitoare la acreditare sunt următoarele:

a) acreditarea deplină - se acordă pentru o perioadă de maximum 3 ani, în cazul în care criteriile de acreditare sunt respectate;

b) acreditarea temporară - se acordă pentru o perioadă de maximum 12 luni, pentru a permite entităţii evaluatoare să realizeze evaluarea-pilot sau în cazul în care nu toate condiţiile de acreditare sunt îndeplinite. În certificatul de acreditare temporară trebuie să fie specificate condiţiile în care este acordată acreditarea temporară, precum şi activităţile ce trebuie întreprinse şi realizate de solicitant înainte de obţinerea acreditării depline;

c) neacreditarea - reprezintă decizia luată în cazul în care se identifică deficienţe majore în îndeplinirea criteriilor de acreditare.

Art. 35. - În cazul în care se ia decizia acreditării depline sau temporare, directorul general al ORNISS emite certificatul de acreditare corespunzător.

Art. 36. - În certificatul de acreditare trebuie să se precizeze activităţile pentru care entitatea evaluatoare este acreditată. Anexa nr. 4 prezintă un exemplu de astfel de activităţi. Pentru fiecare tip de activităţi, pe certificat pot fi înscrise clarificări, restricţii sau completări, după caz.

Art. 37. - Certificatul de acreditare trebuie utilizat de către titular numai in scopul pentru care a fost emis.

Art. 38. - În cazul acordării acreditării, entitatea evaluatoare este inclusă în lista entităţilor evaluatoare acreditate, publicată pe site-ul web al ORNISS!

Art. 39. - Entitatea evaluatoare trebuie să stabilească o delimitare clară între activităţile autorizate prin certificatul de acreditare emis de ORNISS şi celelalte activităţi pe care le realizează. Această delimitare trebuie să se reflecte în toate

documentele oficiale emise de entitatea evaluatoare (oferte de servicii, contracte, rapoarte de evaluare etc.).

 

SECŢIUNEA a 6-a

Activităţi postacreditare

 

Art. 40. - Pe toată perioada de valabilitate a certificatului de acreditare, ORNISS trebuie să desfăşoare inspecţii postacreditare, pentru a verifica menţinerea respectării criteriilor de acreditare.

Art. 41. - Inspecţiile postacreditare sunt realizate anual sau ori de câte ori ORNISS primeşte notificarea de la reprezentantul legal al entităţii evaluatoare, cu privire la modificări survenite în organizarea sau activitatea entităţii, modificări care pot influenţa procesul de evaluare pentru care entitatea a fost acreditată.

Art. 42. - ORNISS trebuie să ofere consultanţă cu privire la implicaţiile pe care diferite modificări ale mediului operaţional le pot avea asupra desfăşurării activităţii entităţii evaluatoare şi, implicit, asupra acreditării.

Art. 43. - ORNISS trebuie să menţină o bază de date care să conţină informaţii cu privire la toate entităţile evaluatoare ale produselor şi soluţiilor de securitate IT acreditate.

 

SECŢIUNEA a 7-a

Modificarea domeniului de aplicabilitate a acreditării

 

Art. 44. - Procedura de modificare a domeniului de aplicabilitate a acreditării poate fi demarată în următoarele situaţii:

a) la cererea entităţii evaluatoare de lărgire a sferei de activităţi acreditate. Spre exemplu, dacă entitatea evaluatoare recrutează noi experţi, dezvoltă metode noi sau achiziţionează echipamente noi, poate solicita o extindere a domeniului acreditării. Pentru a modifica domeniul tehnologic, trebuie înaintată o nouă solicitare către ORNISS, urmând a se relua întregul proces de acreditare;

b) la cererea ORNISS, dacă se constată o restrângere a capabilităţilor entităţii evaluatoare. De exemplu, dacă experţi ce deţin cunoştinţe tehnice importante părăsesc entitatea evaluatoare, ORNISS poate restrânge domeniul pentru care a fost emis certificatul de acreditare.

1. Modificări la cererea entităţii evaluatoare

Art. 45. - În cazul în care doreşte modificarea domeniului de aplicabilitate a acreditării, entitatea evaluatoare trebuie să transmită la ORNISS o solicitare în acest sens, împreună cu toate elementele care susţin această cerere.

Art. 46. - În termen de maximum 30 de zile de la data înregistrării solicitării, comisia de acreditare organizează şi efectuează o inspecţie la sediul entităţii evaluatoare pentru a verifica aceste elemente şi întocmeşte un raport în care formulează propuneri cu privire la modificarea solicitată.

Art. 47. - Directorul general al ORNISS, la propunerea comisiei de acreditare, decide cu privire la modificarea sau păstrarea domeniului de activitate pentru care a fost emis certificatul de acreditare.

Art. 48. - În cazul în care se decide modificarea domeniului de activitate, directorul general al ORNISS anulează vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximă de 3 ani.

Art. 49. - Reprezentantul legal al entităţii evaluatoare are obligaţia de a remite vechiul certificat la ORNISS, în termen de maximum 10 zile de la data intrării în vigoare a noului certificat.

2. Modificarea la cererea ORNISS

Art. 50. - În cazul în care apar elemente care pot afecta calitatea activităţilor pentru care o entitate evaluatoare este acreditată, directorul general al ORNISS, la propunerea comisiei de acreditare, trimite entităţii evaluatoare acreditate o notificare

în care sunt identificate aceste elemente, precum şi riscurile pe care acestea le reprezintă pentru activităţile pentru care a fost acordată acreditarea.

Art. 51. - Notificarea trebuie să precizeze un interval de timp, care să nu depăşească 6 luni, în care entitatea evaluatoare trebuie să dezvolte şi să aplice măsuri corective, pentru a avea dreptul să păstreze acreditarea.

Art. 52. - Comisia de acreditare trebuie să organizeze şi să realizeze o inspecţie la sediul entităţii evaluatoare pentru verificarea măsurilor corective implementate şi să întocmească un raport cu propuneri referitoare la modificarea certificatului de acreditare.

Art. 53. - La sfârşitul perioadei stabilite, directorul general al ORNISS, la propunerea comisiei de acreditare, decide modificarea sau păstrarea domeniului de acreditare.

Art. 54. - În cazul în care se decide modificarea domeniului de aplicabilitate a acreditării, directorul general al ORNISS anulează vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximă de 3 ani.

 

SECŢIUNEA a 8-a

Reînnoirea acreditării

 

Art. 55. - Reprezentantul legal al entităţii evaluatoare poate solicita ORNISS o reînnoire a certificatului de acreditare cu cel puţin 30 de zile înainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care îl deţine.

Art. 56. - Ca urmare a acestei solicitări, ORNISS efectuează o inspecţie la sediul entităţii evaluatoare cu scopul de a verifica menţinerea criteriilor de acreditare şi îndeplinirea obligaţiilor ce revin entităţii prin certificatul de acreditare.

Art. 57. - Raportul întocmit în urma inspecţiei trebuie să conţină propuneri cu privire la reacreditarea entităţii evaluatoare.

Art. 58. - Directorul general al ORNISS, la propunerea comisiei de acreditare, ia decizia privind reacreditarea.

Art. 59. - În cazul în care entitatea evaluatoare nu doreşte reînnoirea acreditării, este suficient să transmită originalul certificatului de acreditare care a expirat, în termen de maximum 10 zile de la expirarea acestuia.

Art. 60. - În aceste condiţii, la expirarea valabilităţii certificatului de acreditare, entitatea evaluatoare va fi înscrisă în lista entităţilor evaluatoare a căror acreditare a expirat, care se publică pe site-ul web al ORNISS.

 

SECŢIUNEA a 9-a

Anularea sau suspendarea certificatului de acreditare

 

Art. 61. - Directorul general al ORNISS, la propunerea comisiei de acreditare, poate anula sau, după caz, suspenda certificatul de acreditare acordat unei entităţi evaluatoare, în următoarele situaţii:

a) entitatea evaluatoare nu şi-a respectat obligaţiile ce îi revin conform certificatului de acreditare;

b) entitatea evaluatoare nu a informat ORNISS sau a furnizat date false cu privire la informaţiile prevăzute la art. 15 lit. e);

c) a fost aprobată modificarea domeniului de aplicabilitate a acreditării, în conformitate cu una dintre procedurile prevăzute ia secţiunea a 7-a, şi este emis un nou certificat de acreditare;

d) entitatea evaluatoare îşi modifică domeniul de activitate sau îşi încetează activitatea;

e) din motive ce privesc apărarea naţională sau siguranţa statului;

f) în cazul în care nu sunt respectate criteriile de acreditare, au loc incidente de securitate care pot afecta calitatea activităţii de evaluare, imaginea entităţii evaluatoare etc.

Art. 62. - În cazul anulării certificatului de acreditare, entitatea evaluatoare are obligaţia de a transmite la ORNISS certificatul anulat, în termen de maximum 10 zile de la data anulării.

1. Anularea sau suspendarea certificatului de acreditare ia cererea entităţii evaluatoare

Art. 63. - În cazul în care entitatea evaluatoare decide să îşi modifice domeniul de activitate sau să îşi întrerupă activitatea are obligaţia de a informa ORNISS cu privire la această decizie şi de a solicita anularea sau, după caz, suspendarea certificatului de acreditare.

Art. 64. - În această situaţie, ORNISS anulează sau suspendă certificatul de acreditare şi retrage entitatea din lista entităţilor evaluatoare acreditate.

2. Anularea sau suspendarea certificatului de acreditare la propunerea comisiei de acreditare

Art. 65. - Comisia de acreditare poate propune directorului general al ORNISS suspendarea certificatului de acreditare pe o perioadă care să nu depăşească 6 luni.

Art. 66. - În acest interval, entitatea evaluatoare trebuie sa implementeze măsuri corective, care să conducă la îndeplinirea criteriilor de acreditare.

Art. 67. - La sfârşitul perioadei de suspendare, comisia de acreditare propune directorului general al ORNISS numirea unei noi echipe de inspecţie, care să realizeze o inspecţie la sediul entităţii evaluatoare, pentru a verifica conformitatea cu criteriile de acreditare.

Art. 68. - Ulterior inspecţiei, echipa de inspecţie întocmeşte un raport cu propuneri privind menţinerea sau anularea certificatului de acreditare.

Art. 69. - La propunerea comisiei de acreditare, directorul general al ORNISS poale anula certificatul de acreditare.

3. Consecinţele anulării/suspendării acreditării

Art. 70. - Entitatea evaluatoare este scoasă din lista entităţilor evaluatoare acreditate.

Art. 71. - Entitatea evaluatoare nu mai are dreptul să demareze o nouă activitate evaluatoare aflată sub incidenţa certificatului de acreditare, iar evaluările în curs sunt suspendate.

Art. 72. - Entitatea evaluatoare trebuie să pună la dispoziţia ORNISS toate datele referitoare la evaluările efectuate în baza certificatului de acreditare emis de ORNISS.

Art. 73. - Bibliografia actelor normative şi documentelor cu relevanţă în domeniu este prevăzută în anexa nr. 5.

Art. 74. - Anexele nr. 1-5 fac parte integrantă din prezenta metodologie de acreditare.

 

ANEXA Nr. 1

la metodologia de acreditare

 

CRITERII DE ACREDITARE

 

A Management

A.1. Cerinţe privind statutul juridic

C1 Entitatea evaluatoare trebuie să aibă personalitate juridică.

A.2. Cerinţe privind organizarea

C2 În cazul în care entitatea evaluatoare face parte dintr-o persoană juridică cu un obiect de activitate mai larg, responsabilităţile personalului de conducere care participă la activităţile pentru care entitatea evaluatoare solicită acreditarea sau care le poate influenţa trebuie clar definite, pentru a evita eventuale conflicte de interese.

C3 Entitatea evaluatoare şi personalul său nu trebuie să fie supuşi niciunor presiuni de ordin comercial, financiar sau de altă natură, care să le afecteze capacitatea de decizie sau calitatea activităţilor întreprinse.

De exemplu, orice presiune asupra deciziilor privind activitatea pentru care se solicită acreditarea, exercitată de persoane sau organizaţii din afara entităţii evaluatoare, trebuie exclusă.

C4 Entitatea evaluatoare nu trebuie să fie implicată în nicio activitate care poate avea un impact negativ asupra independenţei activităţilor întreprinse. Procedurile aplicabile la nivelul entităţii evaluatoare trebuie să asigure respectarea acestei cerinţe. Termenul de separare a activităţilor care pot influenţa evaluarea va fi de cel puţin 3 ani.

De exemplu, dacă entitatea evaluatoare oferă şi servicii de consultanţă sau soluţii de securitate IT acestea nu trebuie în niciun fel să afecteze independenţa evaluărilor derulate de entitatea evaluatoare prin oferirea unor astfel de servicii simultan cu evaluarea.

C5 Organizarea entităţii evaluatoare şi responsabilităţile acesteia trebuie atent şi clar definite. Atribuirea responsabilităţilor trebuie să fie făcută conform regulamentului intern de organizare şi funcţionare. Acest regulament trebuie să specifice, suplimentar:

- persoana juridică din care face parte entitatea evaluatoare si care este modul de subordonare al acesteia;

- modul de organizare generală a entităţii evaluatoare şi structura managementului, cu precizarea responsabilităţilor fiecărei poziţii în activităţile pentru care se solicită acreditarea;

- modul de organizare a activităţilor tehnice şi existenţa următoarelor funcţii:

- director tehnic - responsabil de operaţiile tehnice, gestionează resursele necesare asigurării calităţii activităţii de evaluare;

- director pentru asigurarea calităţii - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) care are responsabilitatea şi autoritatea de a asigura implementarea sistemului calităţii. Directorul pentru asigurarea calităţii trebuie să participe la procesul de luare a deciziilor privind probleme de politici sau legate de resursele entităţii evaluatoare;

- şeful structurii de securitate/funcţionarul de securitate al entităţii evaluatoare - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) este însărcinat cu definirea şi implementarea procedurilor de securitate în cadrul entităţii evaluatoare. El va verifica aplicarea procedurilor.

Aceeaşi persoană poate deţine una sau mai multe funcţii dacă acest lucru este aprobat de directorul general, cu excepţia cazurilor menţionate mai sus.

C6 Pentru a se asigura permanenţa îndeplinirii responsabilităţilor ce revin funcţiilor de conducere, acestea pot fi delegate unor persoane nominalizate în documentaţie.

C7 Responsabilitatea, autoritatea şi căile de raportare trebuie definite pentru toţi membrii entităţii evaluatoare implicaţi în activităţile pentru care se solicită acreditarea.

C8 Conducerea entităţii evaluatoare trebuie să desemneze persoanele responsabile cu întocmirea şi semnarea rapoartelor aferente activităţilor pentru care se solicită acreditarea.

C9 Toate detaliile comerciale privind activităţile pentru care se solicită acreditarea trebuie să fie stabilite prin contract între entitatea evaluatoare sau persoana juridică din care face parte, beneficiarul serviciilor prestate de entitatea evaluatoare şi, în anumite cazuri, subcontractori.

A.3. Sistemul de asigurare a calităţii

C10 Entitatea evaluatoare trebuie să opereze şi să menţină un sistem de calitate adecvat pentru activitatea pentru care se solicită acreditarea. Deţinerea unei certificări a calităţii emise de o autoritate de certificare autorizată reprezintă un element în favoarea acordării certificatului de acreditare.

C11 Entitatea evaluatoare trebuie să dezvolte şi să aplice proceduri şi instrucţiuni, pentru a asigura calitatea activităţilor pentru care se solicită acreditarea. Personalul trebuie să aibă acces la această documentaţie, să o studieze, să o înţeleagă şi să o implementeze. Toţi membrii implicaţi în activităţi pentru care se solicită acreditarea trebuie să cunoască sistemul de asigurare a calităţii implementat în cadrul entităţii evaluatoare.

C12 Obiectivele sistemului de asigurare a calităţii trebuie să fie definite într-o politică de calitate (Manualul calităţii). Manualul calităţii trebuie să includă un angajament al conducerii entităţii evaluatoare privind asigurarea unei practici profesionale bune şi a unei calităţi superioare a activităţilor pentru care se solicită acreditarea. De asemenea, trebuie să includă obiectivele sistemului de calitate şi obligaţia ca personalul entităţii evaluatoare să cunoască documentaţia şi să aplice procedurile. Manualul calităţii trebuie, de asemenea, să conţină angajamentul conducerii de a respecta criteriile de acreditare.

C13 Manualul calităţii trebuie să stabilească structura documentaţiei legate de sistemul de asigurare a calităţii şi trebuie să conţină sau să facă referire la procedurile implementate în cadrul entităţii evaluatoare (incluzând procedurile tehnice).

C14 Manualul calităţii trebuie să stabilească rolurile şi responsabilităţile personalului de conducere şi ale celui din poziţii cheie pentru activităţile pentru care se solicită acreditarea.

C15 Entitatea evaluatoare trebuie să definească procedurile necesare administrării tuturor documentelor referitoare la sistemul de asigurare a calităţii, cum sunt regulamentele, standardele, metodele de evaluare şi alte documente aferente (instrucţiuni, manuale etc.). În special trebuie definite procedurile referitoare la modificări, aprobări şi circuitul documentelor.

A.4. Cerinţe de securitate

C16 Entitatea evaluatoare trebuie să definească o politică de securitate, specificând metodele şi condiţiile referitoare la protecţia informaţiilor clasificate aflate în posesia sa. Politica de securitate trebuie aprobată de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat {ORNISS), iar implementarea sa este responsabilitatea funcţionarului de securitate/structurii de securitate. Toate persoanele participante la activităţile pentru care se solicită acreditarea trebuie să cunoască şi să respecte această politică.

A.4.1. Proceduri de securitate

C17 Politica de securitate trebuie să definească:

- obiectivele securităţii;

- structura desemnată cu realizarea acestor obiective;

- procedurile de securitate pentru:

- protecţia/securitatea locaţiei;

- securitatea personalului;

- conştientizarea personalului implicat în activităţile pentru care se solicită acreditarea;

- protecţia informaţiilor legate de activităţile pentru care se solicită acreditarea;

- controlul accesului la informaţii;

- protecţia arhivelor si a comunicaţiilor;

- accesul vizitatorilor în entitatea evaluatoare.

Lista nu este exhaustivă, fiind prezentată cu titlu exemplificativ;

- prevederile referitoare la situaţiile anormale identificate în aplicarea politicii şi acţiunile corective ce se impun în aceste situaţii.

C18 Politica de securitate trebuie să prevadă managementul informaţiilor clasificate, indiferent de formatul acestora (hârtie, electronic).

A.4.2. Securitatea personalului

Ci 9 Dacă în cursul activităţilor pe care le desfăşoară personalul entităţii evaluatoare trebuie să aibă acces la informaţii clasificate, acesta trebuie să deţină certificat de securitate, conform prevederilor legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat.

C20 Personalul implicat în activităţile pentru care se solicită acreditarea trebuie să semneze un angajament din care să reiasă că a luat cunoştinţă de şi se angajează să aplice prevederile legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat şi procedurile de securitate aplicabile în entitatea evaluatoare.

C21 Personalul trebuie să fie instruit să aplice procedurile de securitate stabilite prin politica de securitate.

A.4.3. Securitatea informaţiilor

C22 Entitatea evaluatoare trebuie să dezvolte şi să aplice proceduri prin care să asigure protecţia informaţiilor vehiculate în cursul activităţilor pentru care se solicită acreditarea. Aceste proceduri trebuie să includă următoarele, dar să nu se limiteze la acestea:

- securitatea conturilor de utilizatori (securitatea intrărilor în sistem, proceduri de autentificare, parole etc.);

- separarea accesului la date (separarea datelor aferente activităţilor acreditate de cele aferente altor activităţi, separarea datelor provenite de la diferite activităţi acreditate, protejarea datelor transmise în afara entităţii evaluatoare, inclusiv prin mecanisme criptografice etc.);

- securitatea comunicaţiilor dintre entitatea evaluatoare şi partenerii săi (beneficiari, subcontractanţi), dacă este cazul, sau dintre angajaţii entităţii evaluatoare, atunci când aceştia transmit informaţii clasificate prin intermediul unor reţele nesecurizate;

- protecţia datelor (arhivare, copii de siguranţă, refacerea datelor etc.).

C23 Toţi membrii entităţii evaluatoare trebuie să asigure protecţia informaţiilor referitoare la contract, la client şi la activităţile pentru care se solicită acreditarea.

C24 Entitatea evaluatoare trebuie să asigure protecţia informaţiilor clasificate, cu respectarea principiului „nevoii de a cunoaşte”.

A.5. Subcontractarea

C25 Subcontractarea unor procese aferente activităţilor pentru care se solicită acreditarea trebuie să se realizeze numai în situaţii de excepţie şi trebuie notificată la ORNISS.

C26 Dacă subcontractarea este necesară, aceasta se va realiza numai cu entităţi acreditate de ORNISS. Dacă subcontractantul nu este o entitate evaluatoare acreditată, trebuie ca activităţile subcontractate să nu presupună acces la informaţii clasificate.

B. Locaţiile şi echipamentul entităţii evaluatoare

B.1. Locaţiile şi mediul

C27 Entitatea evaluatoare trebuie să deţină locaţii tehnice speciale pentru activităţile pentru care solicită acreditarea (birouri, platforme pentru testări, săli de şedinţe etc.).

C28 Măsurile de securitate fizică şi controalele de mediu implementate trebuie să fie în concordanţă cu activităţile pentru care se solicită acreditarea.

B.2. Instrumente şi echipamente

C29 Toate echipamentele necesare desfăşurării activităţilor pentru care se solicită acreditarea trebuie să fie disponibile în cadrul entităţii evaluatoare. Entitatea evaluatoare trebuie să aibă suficiente resurse pentru desfăşurarea activităţii solicitate.

C30 Dacă, în mod excepţional, entitatea evaluatoare trebuie să utilizeze echipamente din afara persoanei juridice, trebuie să demonstreze faptul că echipamentele utilizate oferă calitatea şi măsurile de securitate necesare. Personalul entităţii evaluatoare trebuie să fie calificat pentru utilizarea echipamentelor. În plus, trebuie să se definească clar, în proceduri, măsurile de protecţie a informaţiilor clasificate procesate de echipamente.

C31 Toate instrumentele utilizate în activităţile pentru care se solicită acreditarea trebuie să fie marcate şi înregistrate (de exemplu, un cod unic).

Trebuie implementat un management al configuraţiei şi amplasării echipamentelor.

Sistemul de management al configuraţiei trebuie să permită auditarea schimbărilor aduse instrumentelor.

Fiecare echipament sau produs software ce poate influenţa activităţile pentru care se solicită acreditarea trebuie înregistrat.

Trebuie să se asigure repetabilitatea şi reproductibilitatea rezultatelor evaluării.

C32 Echipamentele pot fi utilizate numai de către personalul autorizat. Accesul la instrumentele evaluatoare trebuie să fie controlat. Operarea şi administrarea instrumentelor trebuie să se execute conform unor instrucţiuni cunoscute de către personalul autorizat.

C. Pregătirea personalului în domeniul tehnic

C33 Entitatea evaluatoare trebuie să aibă personal cu experienţa necesară pentru desfăşurarea activităţilor pentru care se solicită acreditarea.

Personalul angajat

C34 Personalul entităţii evaluatoare trebuie să aibă competenţa şi experienţa necesare în domeniul tehnologiei informaţiei şi în cel al evaluării produselor şi/sau soluţiilor de securitate IT.

C35 Entitatea evaluatoare are responsabilitatea de a asigura instruirea angajaţilor desemnaţi să utilizeze instrumente specifice, să îndeplinească activităţi pentru care se solicită acreditarea şi să semneze rapoartele de evaluare. Angajaţii aflaţi în perioada de instruire trebuie supravegheaţi de personal cu experienţă.

C36 Procedura de recrutare a personalului entităţii evaluatoare trebuie să reflecte responsabilităţile ce revin entităţii evaluatoare ca urmare a acreditării. Procedura va include o verificare a candidaţilor, pentru a se asigura faptul că întrunesc criteriile de acreditare.

C37 Fiecare angajat al entităţii evaluatoare trebuie înştiinţat în legătură cu responsabilităţile sale. Acest lucru implică o definire a tuturor responsabilităţilor legate de activităţile pentru care se solicită acreditarea.

C38 Entitatea evaluatoare trebuie să precizeze obiectivele programelor de instruire şi perfecţionare a angajaţilor săi. Pentru identificarea nevoilor de instructaj şi pentru realizarea unui program de instruire coerent, trebuie elaborate şi aplicate proceduri specifice. Sesiunile de perfecţionare trebuie legate de activităţile pentru care se solicită acreditarea.

NOTĂ:

Programul trebuie să includă o instruire în ceea ce priveşte criteriile de evaluare şi tehnologiile asociate.

C39 Entitatea evaluatoare trebuie să păstreze actualizate fişele posturilor pentru personalul de conducere, personalul tehnic şi cei cu posturi cheie ce participă la activităţile pentru care se solicită acreditarea.

NOTĂ:

ORNISS trebuie informat de activitatea personalului entităţii evaluatoare, pentru a se asigura că asemenea activitate este compatibilă cu domeniul acreditării.

C40 Entitatea evaluatoare trebuie să ia măsuri cu privire la schimbarea personalului.

Este importantă evitarea încheierii unui număr prea mare de contracte pe termen scurt şi a angajării persoanelor fără experienţă în domeniu.

C41 Activitatea de bază a angajaţilor entităţii evaluatoare trebuie să fie cea de evaluare a produselor şi soluţiilor de securitate IT, servicii de consultanţă sau instructaje de securitate. Angajaţii entităţii evaluatoare pot fi implicaţi în alte activităţi decât cele menţionate anterior, pe perioade limitate, dar activitatea lor trebuie să fie compatibilă cu activitatea pentru care se solicită acreditarea.

D. Metode şi proceduri de lucru

D.1 Metode

C42 Entitatea evaluatoare trebuie să deţină o metodologie pentru fiecare activitate inclusă în aria de acoperire a acreditării. Metodologia trebuie să fie cuprinsă într-un standard internaţional sau naţional.

C43 Entitatea evaluatoare poate dezvolta metode proprii, dacă nu există alte metode sau dacă nu a fost adaptată o metodă generală. Cercetarea metodelor trebuie să fie o activitate planificată şi va fi realizată de personal calificat şi care dispune de resurse adecvate.

C44 Entitatea evaluatoare trebuie să aprobe la nivel intern metodele de evaluare (incluzând testarea şi atacurile) ce au fost cercetate, în scopul confirmării faptului că sunt indicate pentru utilizarea cerută. Aprobarea se realizează cu ajutorul proiectelor-pilot.

C45 Trebuie întocmită o documentaţie completă pentru toate metodele, procedurile sau instrucţiunile utilizate pentru desfăşurarea activităţilor pentru care se solicită acreditarea.

C46 Pe parcursul desfăşurării activităţilor pentru care se solicită acreditarea, entitatea evaluatoare trebuie să respecte metodele aprobate.

D.2 Registre

C47 Toate registrele ce conţin date referitoare la activităţile pentru care se solicită acreditarea (observaţii, date etc.) trebuie păstrate. Aceste registre trebuie să conţină suficiente informaţii pentru a permite repetarea activităţilor la parametrii cât mai apropiaţi de original. De asemenea, în registru trebuie să se specifice şi persoana care a realizat activitatea.

D.3 Rapoarte de evaluare

C48 Toate rapoartele de evaluare trebuie aprobate în cadrul entităţii evaluatoare, înainte de a fi oferite solicitanţilor.

C49 Toate rapoartele evaluărilor, inclusiv rapoartele

transmise în format electronic, înaintate solicitanţilor şi ORNISS, trebuie semnate de o persoană autorizată (conform criteriului 8). C50 Rapoartele de evaluare trebuie păstrate de entitatea evaluatoare pe o perioadă de minimum 10 ani.

 

ANEXA Ni. 2

la metodologia de acreditare

 

EXEMPLE DE TIPURI DE PROCEDURI A.

Proceduri privind managementul activităţii entităţii evaluatoare a) Organizare

 

1.

 

Proceduri prin care să se evite influenţarea reciprocă, in mod negativ, a departamentelor aflate în posibile conflicte de interese (producţie, marketing, financiar)

2.

 

Politici şi proceduri pentru evitarea implicării entităţii evaluatoare în activităţi care pot diminua încrederea în competenţa, imparţialitatea, analiza sau integritatea sa operaţională

3.

 

Politici şi proceduri care să asigure:

- protecţia informaţiilor confidenţiale despre clienţi

- protecţia drepturilor de proprietate ale clienţilor

- protecţia mijloacelor electronice de stocare, procesare şi de transmitere a informaţiilor

4.

 

Proceduri privind supravegherea corespunzătoare a personalului care efectuează testările, analiza rezultatelor şi

evaluările

 

b) Sistemul calităţii

1.

 

Documente privind politicile, sistemele, programele, procedurile şi instrucţiunile pentru asigurarea calităţii rezultatelor evaluării

2.

 

Politica de calitate

3.

 

Proceduri aferente activităţii de evaluare sau care pot influenţa aceste activităţi

 

c) Managementul documentelor referitoare la sistemul de calitate

1.

 

Proceduri pentru managementul tuturor documentelor, elaborate pe plan intern sau obţinute din surse externe, cum ar fi: reglementări, standarde, alte acte normative, metode de testare, precum şi schiţe, software, specificaţii, instrucţiuni, manuale etc.

2.

 

Proceduri pentru controlul documentelor, care să stabilească modul de luare în evidenţă, modul de operare a modificărilor, situaţia revizuirii, distribuirea documentelor, managementul documentelor nule

 

d) Analiza solicitărilor, propunerilor şi contractelor

1.

 

Proceduri pentru analiza solicitărilor, propunerilor şi contractelor

 

e) Subcontractarea unor activităţi aferente procesului de testare

1.

 

Proceduri de subcontractare a unor activităţi aferente procesului de testare şi evaluare

 

f) Achiziţionarea serviciilor şi resurselor

1.

 

Proceduri pentru selectarea şi achiziţia serviciilor şi resurselor pe care le utilizează şi care pot influenţa calitatea evaluărilor

2.

 

Proceduri pentru achiziţionarea, primirea şi stocarea unor produse şi a unor materiale consumabile relevante pentru activităţile de evaluare

3.

 

Proceduri care să asigure că resursele materiale achiziţionate, care influenţează calitatea evaluărilor nu sunt utilizate decât după ce au fost inspectate sau verificate pentru a se determina dacă sunt în conformitate cu specificaţiile ori cu cerinţele standard definite în metodele pentru evaluările implicate

 

g) Servicii oferite clienţilor

1

 

Proceduri privind colaborarea cu clienţii sau cu reprezentanţii lor

 

h) Reclamaţii

1.

 

Proceduri pentru soluţionarea reclamaţiilor primite din partea clienţilor sau a altor părţi

 

i) Controlul efectuat în cazul în care activitatea de evaluare este necorespunzătoare

1.

 

Proceduri privind managementul activităţilor neconforme, a unor potenţiale probleme în sistemul de calitate sau în activităţile de evaluare


 

j) Măsuri corective

1

 

Proceduri pentru implementarea măsurilor corective

 

k) Măsuri de prevenire

1.

 

Planuri de măsuri pentru reducerea posibilităţii de apariţie a unor neconformităţi

2.

 

Proceduri de control al eficienţei măsurilor de prevenire

 

I) Controlul înregistrărilor

1.

 

Proceduri pentru identificarea, colectarea, indexarea, accesarea, îndosarierea, stocarea, întreţinerea şi dispunerea înregistrărilor (certificatelor) tehnice şi a celor privind calitatea

2.

 

Proceduri pentru protecţia şi refacerea înregistrărilor stocate în format electronic şi pentru prevenirea accesului sau modificării neautorizate a acestor înregistrări

 

m) Audit intern

1.

 

Proceduri privind efectuarea periodică a unui audit intern al entităţii evaluatoare

 

n) Analizele efectuate de conducere

1.

 

Proceduri privind efectuarea periodică, de către conducerea executivă a entităţii evaluatoare, a unei analize a sistemului de calitate implementat în cadrul entităţii evaluatoare şi a activităţilor de evaluare

 

B. Cerinţe tehnice privind acreditarea a) Personalul

1.

 

Proceduri privind asigurarea instruirii personalului care utilizează echipamentul specific, efectuează evaluări, evaluează rezultatele şi semnează rapoartele de testare şi certificatele de evaluare

2.

 

Proceduri prin care să se asigure o supraveghere adecvată a personalului în curs de pregătire

3.

 

Proceduri de actualizare a fişelor de post pentru personalul de conducere, tehnic şi personalul-cheie suplimentar implicat în efectuarea de evaluări

 

b) Condiţiile de mediu şi cele referitoare la amplasare

1.

 

Proceduri de monitorizare, control şi înregistrare a condiţiilor de mediu, în situaţia în care acestea influenţează calitatea rezultatelor

2.

 

Proceduri pentru oprirea activităţilor de evaluare atunci când condiţiile de mediu pot periclita rezultatele acestora

3.

 

Proceduri de control al accesului şi al utilizării zonelor în care poate fi afectată calitatea evaluării

 

c) Metodele de evaluare şi validarea acestor metode

1.

 

Proceduri şi metode corespunzătoare pentru evaluările din sfera de activitate a entităţii evaluatoare

2.

 

Instrucţiuni privind utilizarea şi operarea echipamentelor relevante, precum şi mânuirea şi pregătirea elementelor în vederea evaluării

3.

 

Proceduri de verificare a faptului că entitatea evaluatoare are capacitatea de a utiliza corespunzător metodele standard. Înainte de a realiza evaluările

4.

 

Proceduri de introducere a unor metode de evaluare proprii

5.

 

Proceduri de validare a metodelor dezvoltate de entitatea evaluatoare înainte de a fi utilizate

6.

 

Proceduri de estimare a gradului de incertitudine al măsurătorilor pentru toate evaluările realizate de entitatea evaluatoare

7.

 

Proceduri pentru validarea configuraţiei/modificărilor aplicaţiilor software ale entităţii evaluatoare


 

d) Echipamentul

1

 

Procedura de marcare şi înregistrare a fiecărui echipament şi a fiecărei aplicaţii software utilizate pentru evaluare şi care sunt relevante pentru rezultatul acestui proces

2.

 

Proceduri privind înregistrarea fiecărui echipament şi fiecărei aplicaţii software relevante pentru evaluările efectuate

3.

 

Proceduri pentru

- mânuirea,

- transportul,

- stocarea,

- utilizarea,

- întreţinerea

planificată a echipamentului, pentru a se asigura funcţionarea corectă şi pentru a se preveni deteriorarea acestuia

4.

 

Proceduri suplimentare pentru cazul în care echipamentul de măsură este utilizat pentru evaluări în afara locaţiei permanente

5.

 

Proceduri conform cărora echipamentele care au fost supuse unei suprasolicitări sau care au fost mânuite necorespunzător, care au dat rezultate suspecte, sunt defecte ori ai căror parametrii de funcţionare sunt în afara limitelor specifice, să fie scoase din uz

6.

 

Proceduri conform cărora, atunci când, din diferite motive, echipamentul iese în afara locaţiei permanente a entităţii evaluatoare, aceasta să verifice funcţionarea şi parametrii de funcţionare, înainte ca acesta să fie repus în funcţiune

7.

 

Proceduri privind efectuarea verificărilor intermediare, atunci când sunt necesare, pentru a se păstra încrederea în parametrii de funcţionare ai echipamentului

8.

 

Proceduri privind actualizarea copiilor (de exemplu, a aplicaţiilor software) în cazul în care evaluările ulterioare introduc factori corectori

 

e) Trasabilitatea (urmărirea traseului) măsurătorii

1.

 

Proceduri pentru etalonarea echipamentelor utilizate în activitatea pentru care se solicită acreditarea

2.

 

Proceduri pentru

- selectarea,

- utilizarea,

- etalonarea,

- verificarea,

- controlul,

- menţinerea

standardelor de măsurare şi a echipamentelor de măsurare şi testare utilizate pentru efectuarea evaluărilor

 

f) Stocarea de eşantioane

1.

 

Proceduri pentru stocarea de eşantioane necesare evaluării

2.

 

Proceduri pentru înregistrarea datelor şi operaţiilor relevante legate de stocarea de eşantioane

 

g) Gestionarea elementelor supuse evaluării

1.

 

Proceduri pentru - transportul,

- primirea,

- înregistrarea şi marcarea,

- mânuirea,

- protecţia,

- stocarea,

- păstrarea

elementelor supuse evaluării, pentru protecţia integrităţii acestora şi pentru a proteja interesele entităţii evaluatoare şi ale solicitanţilor

2.

 

Proceduri pentru evitarea deteriorării, pierderii sau degradării elementului supus evaluării, pe perioada în care acesta se află în responsabilitatea entităţii evaluatoare


 

h) Asigurarea calităţii rezultatelor evaluării

1.

 

Proceduri privind controlul calităţii prin monitorizarea evaluărilor efectuate

2.

 

Proceduri de înregistrare a datelor rezultate, care să permită detectarea tendinţelor

3.

 

Proceduri de evaluare repetate utilizându-se aceleaşi metode sau metode diferite

4.

 

Proceduri de corelare a rezultatelor, pentru fiecare caracteristică analizată pentru un element

 

i) Raportarea rezultatelor

1.

 

Proceduri de raportare a rezultatelor evaluării

 

C. Instrucţiuni de lucru specifice pentru fiecare dintre activităţile pentru care se solicită acreditarea

Evaluarea securităţii pe care o pot asigura produsele şi sistemele informatice şi de comunicaţii se realizează în conformitate cu standarde naţionale şi standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO şi UE.

 

ANEXA Nr. 3

la metodologia de acreditare

 

CONDIŢII

de utilizare a certificatului de acreditare

 

Pentru a fi acreditat şi a menţine acest statut, entitatea evaluatoare trebuie să respecte următoarele condiţii de utilizare a certificatului de acreditare. Nerespectarea acestor condiţii poate avea ca rezultat suspendarea sau anularea acreditării.

a) entitatea evaluatoare trebuie să aibă o politică şi o procedură pentru a controla utilizarea certificatului de acreditare;

b) certificatul de acreditare nu trebuie să fie utilizat într-o manieră care să discrediteze Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS) sau să denatureze scopul acreditării unei entităţi evaluatoare;

c) atunci când face referire la certificatul de acreditare, entitatea evaluatoare trebuie să precizeze clar statutul acreditării;

d) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activităţi desfăşurate de entitatea evaluatoare, dar care nu intră în sfera acreditării emise de ORNISS, trebuie să se facă o delimitare clară a acestor date;

e) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activităţi desfăşurate de subcontractanţi, trebuie să se specifice faptul că acreditarea emisă de ORNISS se referă numai la activităţile de testare efectuate de entitatea evaluatoare;

f) atunci când certificatul de acreditare este menţionat într-un contract sau într-o propunere de ofertă trebuie să se specifice domeniul acreditării şi statutul acesteia.

 

ANEXA Nr. 4

la metodologia de acreditare

 

ACTIVITĂŢI

pentru care este necesară acreditarea de către Oficiul Registrului National al informaţiilor Secrete de Stat (ORNISS)

 

A. SECURITATEA COMPUTERELOR - COMPUSEC

A.1. Audit de securitate pentru reţele IT

- inspectarea on-site a serverelor, a sistemelor şi a celorlalte echipamente conectate la reţea, a aplicaţiilor care rulează;

- evaluarea sistemelor active şi pasive de detecţie a intruziunilor;

- interviuri cu specialiştii organizaţiei;

- analize de configuraţii hardware/software;

- evaluarea politicilor de securitate;

- scanarea vulnerabilităţilor;

- teste de penetrare.

A.2. Audit de securitate pentru servere

- identificarea şi cercetarea vulnerabilităţilor serverelor prin:

- simularea unui atac exterior asupra serverului, folosind o serie de metodologii de depistare, identificare şi documentare a vulnerabilităţilor;

- examinarea programelor şi configuraţiilor programelor care rulează pe server şi prin evaluarea nivelului de securitate oferit de sistemele de securitate pasive şi active disponibile.

A.3. Evaluare produse de securitate IT1

Activitatea de evaluare poate include:

- testare şi evaluare aplicaţii software:

- parcurgerea codului-sursă al aplicaţiei pentru a găsi potenţiale breşe de securitate;

- supunerea aplicaţiei la diverse teste de anduranţă şi fiabilitate, pentru â testa comportamentul acesteia la o utilizare intensivă, incompletă sau incorectă;

- testare şi evaluare produse hardware

B. SECURITATEA COMUNICAŢIILOR - COMSEC

B.1. Evaluarea produselor criptografice

Activitatea de evaluare poate include:

- testare şi evaluare a nivelului de securitate a produselor criptografice (hardware, software, soluţii integrate):

1 Prin produs de securitate IT se înţelege orice element de securitate care se încorporează într-un sistem IT în scopul asigurării sau sporirii confidenţialităţii, integrităţii sau disponibilităţii informaţiilor vehiculate.

- analiza specificaţiilor modulului criptografic;

- analiza posturilor şi interfeţelor modulului criptografic;

- analiza rolului, serviciilor şi a autentificării operatorului;

- testarea securităţii fizice;

- testarea mediului operaţional;

- managementul cheilor criptografice;

- interferenţe electromagnetice/compatibilitate electromagnetică.

B.2. Evaluarea soluţiilor pentru infrastructura cu chei publice

Activitatea de evaluare poate include:

- analiza documentaţiei de organizare şi funcţionare a autorităţii de certificare;

- testarea şi evaluarea măsurilor de securitate fizice, procedurale şi de personal;

- testarea şi evaluarea măsurilor tehnice de securitate:

- instalarea şi generarea perechilor de chei;

- protecţia cheii private;

- datele de activare;

- măsuri de securitate aplicabile calculatoarelor;

- periodicitatea controalelor tehnice;

- evaluarea modului de administrare a politicii de certificare.

C. SECURITATEA EMISIILOR - EMSEC

Activitatea de evaluare poate include:

- caracterizarea TEMPEST a echipamentelor;

- măsurători de zonare TEMPEST a locaţiilor;

- măsurători pentru caracterizarea camerelor ecranate şi/sau incintelor tratate electromagnetic;

- teste de laborator pentru identificarea surselor de emisii compromiţătoare în cazul echipamentelor de stocare, prelucrare şi transmitere a datelor;

- teste pentru depistarea discontinuităţilor de ecranare a camerelor ecranate şi/sau a incintelor tratate electromagnetic.

D. ADMINISTRAREA SECURITĂŢII

D.1. Managementul riscului de securitate

Activitatea de evaluare poate include:

- analiza riscului de securitate:

- identificarea şi evaluarea bunurilor materiale şi informaţionale supuse riscului;

- identificarea ameninţărilor;

- identificarea vulnerabilităţilor;

- analiza măsurilor de securitate;

- determinarea probabilităţii de producere a unui eveniment nedorit;

- analiza impactului producerii unui eveniment nedorit;

- determinarea riscurilor şi a nivelurilor asociate;

- recomandări privind măsurile de securitate;

- raportul privind analiza riscului;

- propunerea de soluţii de reducere a riscului de securitate:

- ierarhizarea acţiunilor;

- evaluarea măsurilor de securitate recomandate:

- analiza cost-beneficiu;

- selectarea măsurilor de securitate;

- atribuirea responsabilităţilor;

- elaborarea Planului de implementare a măsurilor de securitate selectate;

- implementarea măsurilor de securitate selectate şi identificarea riscului rezidual.

D.2. Planificarea măsurilor pentru continuarea activităţii în situaţii de urgenţă

Activitatea de evaluare poate include:

- consultanţă privind elaborarea Planului pentru continuarea activităţii în situaţii de urgenţă;

- reintegrarea procedurilor, aplicaţiilor, operaţiunilor, sistemelor, reţelelor şi facilităţilor pentru continuarea activităţii.

 

ANEXA Nr. 5

la metodologia de acreditare

 

BIBLIOGRAFIE

 

1. Hotărârea Guvernului nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, publicată în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificările ulterioare

2. Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, publicată în Monitorul Oficial al României Partea I, nr. 485 din 5 iulie 2002, cu modificările şi completările ulterioare

3. Directiva principală privind domeniul INFOSEC - INFOSEC 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003, publicat în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 2003

4. Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, publicată în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 2003

5. AGR/P/01.1/2004 - Licensing of Evaluation Facilities, Secretariat general de la defense naţionale, Direction centrale de la securite des systemes dinformation, France

6. SP 004 - Licensing of Evaluation Facilities, Swedish Certification Body for IT Security, November 2011

7. NIST Handbook 150, National Voluntary Laboratory Accreditation Program - Procedures and General Requirements, V. R. White, D. F. Alderman, and C. D. Faison, 2006


Copyright 1998-2024
DSC.NET All rights reserved.