Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   METODOLOGIA din 2 februarie 2010  de evaluare si certificare a pachetelor, produselor si profilelor de protectie INFOSEC-INFOSEC 14    Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

METODOLOGIA din 2 februarie 2010 de evaluare si certificare a pachetelor, produselor si profilelor de protectie INFOSEC-INFOSEC 14

EMITENT: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT
PUBLICAT: MONITORUL OFICIAL nr. 92 din 10 februarie 2010
METODOLOGIA din 2 februarie 2010
de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14
EMITENT: OFICIUL REGISTRULUI NAŢIONAL AL INFORMAŢIILOR SECRETE DE STAT
PUBLICAT ÎN: MONITORUL OFICIAL nr. 92 din 10 februarie 2010


1. Introducere
1.1. Scop
ART. 1
Prezenta metodologie stabileşte activitãţile aferente proceselor de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC, denumite în continuare produse INFOSEC, destinate protecţiei informaţiilor naţionale clasificate, vehiculate în sistemele informatice şi de comunicaţii naţionale, civile şi militare.
ART. 2
Procesele de evaluare şi certificare a produselor INFOSEC au urmãtoarele obiective:
a) crearea posibilitãţii de utilizare a unor produse INFOSEC în sisteme informatice şi de comunicaţii care vehiculeazã informaţii clasificate;
b) verificarea şi confirmarea nivelului de încredere ce poate fi acordat funcţiilor de securitate ale unui produs INFOSEC;
c) stabilirea unei baze de comparaţie între diferite produse INFOSEC;
d) perfecţionarea procedurilor naţionale de evaluare a produselor INFOSEC.
1.2. Definiţii
ART. 3
În sensul prezentei metodologii, urmãtorii termeni şi sintagme se definesc dupã cum urmeazã:
a) certificare - emiterea unui document oficial, bazat pe o analizã independentã a unei evaluãri şi a rezultatelor acestei evaluãri, conform cãruia produsul evaluat satisface parametrii de securitate predefiniţi. Prin certificare se analizeazã rezultatele evaluãrii şi se stabileşte dacã criteriile şi metodele de evaluare au fost aplicate în mod corect. Procesul de certificare verificã uniformitatea şi corectitudinea procedurilor de evaluare, precum şi consecvenţa şi compatibilitatea rezultatelor evaluãrii;
b) evaluare -- examinarea detaliatã, din punct de vedere tehnic şi funcţional, a aspectelor de securitate ale produselor INFOSEC. Prin procesul de evaluare se verificã cel puţin:
(i) prezenţa facilitãţilor/funcţiilor de securitate cerute;
(ii) absenţa efectelor secundare compromiţãtoare care ar putea decurge din implementarea facilitãţilor de securitate;
(iii) funcţionalitatea globalã a produsului INFOSEC;
(iv) nivelul de încredere al produsului INFOSEC;
c) imparţialitate - principiu conform cãruia nu existã factori care pot influenţa desfãşurarea procesului de evaluare şi rezultatele acestui proces;
d) nivel de evaluare a asigurãrii (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune, care reprezintã un punct pe scara de asigurare predefinitã a Criteriilor comune;
e) obiectivitate - principiu conform cãruia rezultatele unor teste de evaluare trebuie sã se bazeze pe fapte concrete, nu pe opiniile subiective ale evaluatorului. Obiectivitatea poate fi consolidatã, prin supunerea produsului la cel puţin douã evaluãri realizate de entitãţi independente (reproductibilitate);
f) pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate;
g) produs - un pachet de software, firmware şi/sau hardware IT, care furnizeazã o funcţionalitate destinatã utilizãrii sau incorporãrii într-o multitudine de sisteme;
h) profil de protecţie - un set de cerinţe de securitate independent de implementare pentru o categorie de TOE care satisface cerinţe specifice ale consumatorilor;
i) repetabilitate - principiu conform cãruia repetarea evaluãrii aceluiaşi produs, în funcţie de aceeaşi ţintã de securitate, de cãtre aceeaşi entitate evaluatoare, conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluãri a produsului;
j) reproductibilitate - principiu conform cãruia repetarea evaluãrii aceluiaşi produs, în funcţie de aceeaşi ţintã de securitate, de cãtre o altã entitate evaluatoare, conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluãri a produsului;
k) solicitant - persoanã juridicã de drept public sau privat care solicitã evaluarea, certificarea şi aprobarea de includere în Catalogul naţional cu produse, profile şi pachete de protecţie a unui produs INFOSEC. Solicitantul poate fi şi o altã persoanã juridicã diferitã de producãtor (de exemplu, dezvoltator, utilizator, comerciant, integrator);
l) ţintã de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentã de utilizator şi administrator care constituie subiectul unei evaluãri;
m) ţintã de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bazã pentru evaluarea unei TOE identificate.
ART. 4
Procesul de evaluare a produselor INFOSEC se desfãşoarã prin parcurgerea urmãtoarelor etape, aşa cum sunt prezentate în figura nr. 1:



┌───────────────────────────────────┐
Solicitant │Solicitare adresatã ORNISS privind │
│ demararea evaluãrii │
└────────────────┬──────────────────┘


┌───────────────────────────────────┐
ORNISS │Notificarea entitãţii/entitãţilor │
│ evaluatoare │
└────────────────┬──────────────────┘


.
. .
. .
. .
. .
┌──────────┐ .Entitatea.
Entitatea │ Informare│ NU .evaluatoare.
evaluatoare │ ORNISS şi│◄──────── . acceptã .
│solicitant│ . demararea .
└──────────┘ .evaluãrii.
. .
. .
. .
. .
.


│ DA


┌───────────────────────────────────┐
Entitatea │ Informare ORNISS şi solicitant │
evaluatoare └────────────────┬──────────────────┘

┌────────────────┴──────────────────┐
│Transmiterea TOE şi a elementelor │
Solicitant │necesare evaluãrii cãtre entitatea │
│ evaluatoare │
└────────────────┬──────────────────┘

┌────────────────┴──────────────────┐
Entitatea │ Întocmirea planului privind │
evaluatoare │ activitatea de evaluare │
└────────────────┬──────────────────┘


┌───────────────────────────────────┐
Entitatea │Desfãşurarea procesului de evaluare│
evaluatoare └────────────────┬──────────────────┘

┌────────────────┴──────────────────┐
Entitatea │ Întocmirea raportului tehnic de │
evaluatoare │ evaluare │
└────────────────┬──────────────────┘


┌───────────────────────────────────┐
Entitatea │Transmiterea concluziilor evaluãrii│
evaluatoare │ cãtre solicitant şi cãtre ORNISS │
└───────────────────────────────────┘



Figura nr. 1 - Schema procesului de evaluare a securitãţii produselor INFOSEC utilizate în sistemele informatice şi de comunicaţii care vehiculeazã informaţii naţionale clasificate
2. Descrierea metodologiei de evaluare
2.1. Etapa 1: Demararea procesului de evaluare
ART. 5
În vederea demarãrii procesului de evaluare a unui produs INFOSEC, persoanele juridice trebuie sã adreseze Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, o solicitare scrisã în acest sens.
ART. 6
Solicitarea de demarare a procesului de evaluare trebuie sã fie însoţitã de documentaţie care sã precizeze cel puţin urmãtoarele aspecte:
a) descrierea generalã a produsului pentru care se solicitã evaluarea;
b) ţinta de securitate;
c) clasa şi, dupã caz, nivelul de secretizare pentru care se doreşte a fi utilizat produsul;
d) manualul de administrare şi utilizare (hârtie/electronic);
e) numele entitãţii/entitãţilor evaluatoare acreditate de ORNISS, selectatã(e) de solicitant pentru realizarea evaluãrii;
f) copii de pe certificate anterioare, dacã este cazul.
ART. 7
(1) În cazul produselor criptografice destinate protecţiei informaţiilor naţionale clasificate, altele decât cele din categoria cifrului de stat, se aplicã cerinţele de evaluare şi certificare prevãzute în anexa nr. 1.
(2) În cazul celorlalte produse INFOSEC, altele decât cele criptografice, ORNISS decide cu privire la certificare în baza analizei rezultatelor prezentate de o singurã entitate evaluatoare acreditatã de ORNISS.
(3) În situaţii excepţionale, când se apreciazã cã existã o ameninţare semnificativã la adresa securitãţii sistemelor informatice şi de comunicaţii naţionale, astfel încât existã riscul major de prejudiciere în mod deosebit de grav a intereselor naţionale, ORNISS poate decide asupra necesitãţii unor evaluãri suplimentare a produselor INFOSEC, altele decât cele criptografice prevãzute la alin. (1).
ART. 8
Agenţia de Securitate pentru Informaticã şi Comunicaţii din cadrul ORNISS analizeazã solicitarea primitã.
ART. 9
În cazul în care se constatã cã datele cuprinse în cererea de certificare sau în documentaţia anexatã nu sunt complete, ORNISS informeazã solicitantul, în vederea furnizãrii informaţiilor adiţionale necesare.
ART. 10
Dacã cererea conţine toate datele menţionate, ORNISS notificã entitatea/entitãţile evaluatoare cu privire la selectarea acesteia/acestora de cãtre solicitant pentru efectuarea evaluãrii. Notificarea transmisã de ORNISS include toate datele primite de la solicitant.
ART. 11
(1) Dupã analiza documentaţiei prevãzute la art. 6, entitatea/entitãţile evaluatoare notificã ORNISS cu privire la acceptarea sau neacceptarea realizãrii procesului de evaluare.
(2) ORNISS notificã solicitantului cu privire la decizia comunicatã de entitatea/entitãţile evaluatoare.
ART. 12
(1) În cazul în care entitatea evaluatoare acceptã sã demareze procesul de evaluare, solicitantul pune la dispoziţia entitãţii evaluatoare cel puţin urmãtoarele elemente:
a) produsul de evaluat, incluzând:
(i) componentele hardware, software şi firmware;
(ii) eventual alte componente necesare realizãrii infrastructurii de testare;
b) documentaţie tehnicã, care, în funcţie de tipul produsului, trebuie sã includã cel puţin:
(i) documentaţie tehnicã, proceduri operaţionale de securitate;
(ii) descrierea arhitecturii fizice şi logice;
(iii) specificaţii algoritm, cod sursã, mod de lucru, vectori de test, în cazul produselor criptografice;
(iv) descrierea parametrilor critici de securitate;
c) teste proprii, platforme de testare şi documentaţie aferentã incluzând rezultatele testelor anterioare;
d) în cazul în care existã certificãri anterioare, se vor furniza şi rapoartele tehnice de evaluare.
(2) În funcţie de tipul informaţiilor care trebuie puse la dispoziţia entitãţii evaluatoare, între solicitant şi entitatea evaluatoare se poate încheia un acord de confidenţialitate, în baza cãruia aceste informaţii sunt transmise.
ART. 13
Procesul de evaluare se considerã demarat dupã încheierea unui document de acceptare (contract, acord etc.) între solicitant şi entitatea evaluatoare.
ART. 14
Evaluatorul întocmeşte lista cu elementele necesare evaluãrii şi stabileşte datele la care acestea trebuie sã îi fie puse la dispoziţie.
ART. 15
În cazul în care solicitantul evaluãrii nu este acelaşi cu producãtorul produsului supus evaluãrii, în vederea asigurãrii protecţiei unor informaţii specifice, acestea pot fi puse la dispoziţia evaluatorului direct de cãtre producãtor.
ART. 16
Este important ca obiectivele evaluãrii sã fie clar definite de solicitant, înţelese de evaluator şi transmise cãtre toate pãrţile implicate în procesul de evaluare a produsului. Persoana responsabilã cu coordonarea procesului de evaluare trebuie sã verifice cã toate persoanele implicate în acest proces cunosc scopul şi obiectivele evaluãrii, precum şi responsabilitãţile pe care le au în acest proces.
2.2. Etapa 2: Desfãşurarea procesului de evaluare
2.2.1. Elemente generale
ART. 17
Evaluarea produselor INFOSEC se realizeazã de cãtre entitãţi evaluatoare acreditate de ORNISS, în conformitate cu prevederile Metodologiei de acreditare a entitãţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobate prin <>Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 167/2006 .
ART. 18
(1) Procesul de evaluare a produselor INFOSEC se desfãşoarã pe baza a 3 elemente:
a) criterii;
b) metodologie;
c) modul de derulare a proceselor de evaluare şi certificare de securitate.
(2) Criteriile reprezintã normele şi principiile faţã de care poate fi mãsuratã securitatea unui produs INFOSEC, în vederea evaluãrii, dezvoltãrii şi achiziţiei, iar metodologia stabileşte modul în care trebuie realizatã evaluarea, în baza criteriilor.
ART. 19
Evaluarea securitãţii pe care o pot asigura produsele INFOSEC se realizeazã în conformitate cu standarde naţionale sau standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO sau UE.
2.2.2. Obiectivele evaluãrii
ART. 20
Obiectivul principal al procesului de evaluare de securitate constã în verificarea faptului cã funcţiile de securitate ale produsului sunt conforme cu ţinta de securitate.
ART. 21
Procesul de evaluare de securitate asigurã un anumit nivel de încredere în faptul cã produsul nu prezintã vulnerabilitãţi care pot fi exploatate.
ART. 22
În contextul evaluãrii şi certificãrii produselor INFOSEC, trebuie acordatã o atenţie deosebitã principiilor repetabilitãţii, reproductibilitãţii, imparţialitãţii şi obiectivitãţii.
ART. 23
Respectarea acestor 4 principii trebuie sã fie verificatã de ORNISS în cursul procesului de certificare.
2.2.3. Întocmirea planului de activitãţi privind evaluarea
ART. 24
Pentru a descrie structura unui proces de evaluare, precum şi conexiunile dintre diferitele activitãţi aferente procesului, evaluatorul trebuie sã întocmeascã un plan de activitãţi privind evaluarea, denumit în continuare PAE.
ART. 25
PAE trebuie sã descrie modul în care sunt organizate activitãţile legate de procesul de evaluare şi interrelaţionarea acestor activitãţi.
ART. 26
PAE trebuie întocmit astfel încât sã fie aplicabil atât pentru evaluarea unei game de produse, cât şi pentru diferite niveluri ale evaluãrii.
ART. 27
Acest document oferã o prezentare generalã asupra modului în care trebuie realizatã evaluarea, în conformitate cu criterii şi metodologii de evaluare specifice.
2.2.4. Desfãşurarea evaluãrii
ART. 28
Activitatea entitãţii evaluatoare trebuie sã fie conformã cu cerinţele standardelor de calitate şi cu criteriile stabilite în Metodologia de acreditare a entitãţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobate prin <>Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 167/2006 .
ART. 29
Procesul de evaluare trebuie sã includã cel puţin urmãtoarele activitãţi:
a) verificarea faptului cã elementele necesare evaluãrii sunt conforme cu cerinţele criteriilor de evaluare;
b) verificarea faptului cã cerinţele de securitate specificate în ţinta de securitate sunt implementate în mod adecvat;
c) verificarea faptului cã produsul operaţional nu prezintã vulnerabilitãţi exploatabile.
ART. 30
Prezenta metodologie stabileşte cadrul general al activitãţilor legate de procesul de evaluare şi certificare, iar la implementarea sa trebuie ţinut cont de faptul cã pentru fiecare produs specific pot fi necesare diferite activitãţi şi niveluri de evaluare.
ART. 31
Lista demonstrativã cu activitãţi aferente procesului de evaluare este prevãzutã în anexa nr. 2.
ART. 32
Observaţiile şi rezultatele fiecãrei activitãţi din procesul de evaluare trebuie consemnate într-un raport tehnic de evaluare, denumit în continuare RTE.
ART. 33
Pe toatã durata procesului de evaluare oricare dintre pãrţile implicate poate solicita organizarea unor şedinţe de lucru sau informaţii suplimentare pentru clarificarea aspectelor de naturã tehnicã.
ART. 34
În situaţia în care unele activitãţi aferente procesului de evaluare impun efectuarea unor teste la sediul solicitantului sau dezvoltatorului, producãtorului sau utilizatorului produsului, acestea trebuie sã se realizeze în baza unor înţelegeri scrise între pãrţile implicate şi, în cazul unor testãri clasificate secret de stat, notificarea prealabilã a ORNISS.
ART. 35
În cazul în care ORNISS considerã necesar, poate participa la testele efectuate la sediul solicitantului sau dezvoltatorului.
ART. 36
În cazul în care evaluarea este întreruptã din diferite cauze (rezilierea contractului/încetarea acordului), entitatea evaluatoare trebuie sã notifice ORNISS cu privire la acest lucru.
2.3. Etapa 3: Finalizarea procesului de evaluare
2.3.1. Întocmirea RTE
ART. 37
La finalul activitãţilor de evaluare, evaluatorul are obligaţia sã întocmeascã un RTE.
ART. 38
RTE are urmãtoarea structurã:
a) descrierea activitãţilor desfãşurate în procesul de evaluare;
b) prezentarea rezultatelor obţinute şi a concluziilor rezultate din activitãţile desfãşurate.
ART. 39
RTE se adreseazã, în principal:
a) ORNISS, în calitate de certificator;
b) solicitantului evaluãrii;
c) entitãţii de evaluare, în vederea pregãtirii altor activitãţi de evaluare.
ART. 40
În cazul în care dezvoltatorul produsului nu este totodatã şi solicitantul evaluãrii, existã posibilitatea transmiterii anumitor pãrţi din RTE cãtre dezvoltator, dar numai cu acordul solicitantului evaluãrii.
ART. 41
Modelul RTE, cu detalierea conţinutului fiecãrui capitol sau fiecãrei secţiuni, este prevãzut în anexa nr. 3.
ART. 42
(1) În vederea certificãrii produsului INFOSEC, entitatea evaluatoare transmite la ORNISS un document de sintezã a RTE, care sã cuprindã cel puţin urmãtoarele elemente:
a) denumirea şi descrierea caracteristicilor funcţionale şi de securitate ale produsului evaluat;
b) configuraţia şi condiţiile în care a fost testat produsul;
c) standardele şi metodologiile în conformitate cu care s-a realizat testarea şi evaluarea produsului;
d) testele realizate şi rezultatele acestora;
e) concluziile finale ale procesului de evaluare;
f) condiţii şi termene de valabilitate a rezultatelor testãrii, eventuale cerinţe/condiţii/instrucţiuni de utilizare a produsului, astfel încât sã se asigure pãstrarea caracteristicilor de securitate şi funcţionale;
g) numãrul RTE întocmit.
(2) Pentru clarificarea unor aspecte specifice, ORNISS poate solicita entitãţii evaluatoare sã îi punã la dispoziţie o copie a RTE.
3. Descrierea metodologiei de certificare
3.1. Demararea procesului de certificare
ART. 43
Principalul obiectiv al certificãrii este acela de a furniza o confirmare independentã a faptului cã procesul de evaluare a fost realizat în mod corect, în conformitate cu criteriile, procedurile şi metodologiile recunoscute şi rezultatele evaluãrii sunt conforme cu elementele constatate. Totodatã, certificarea are rolul de a crea un climat de încredere şi de a confirma faptul cã entitãţile evaluatoare opereazã în conformitate cu aceleaşi standarde şi cã rezultatele obţinute de oricare dintre entitãţile evaluatoare sunt demne de încredere în egalã mãsurã.
ART. 44
Încrederea trebuie sã aibã la bazã respectarea principiilor imparţialitãţii, obiectivitãţii, repetabilitãţii şi reproductibilitãţii.
ART. 45
O descriere schematicã a procesului de certificare este prezentatã în figura nr. 2.
ART. 46
(1) Demararea procesului de certificare se realizeazã printr-o solicitare adresatã ORNISS de cãtre solicitant.
(2) Solicitarea trebuie sã fie însoţitã de raportul sau, dupã caz, rapoartele tehnic(e) de evaluare a produsului, emis(e) de entitatea/entitãţile evaluatoare selectate.
(3) În cazul în care documentaţia nu este completã, ORNISS notificã solicitantului, specificând elementele care trebuie completate.
ART. 47
În cadrul etapei de certificare de securitate, ORNISS, prin Agenţia de Securitate pentru Informaticã şi Comunicaţii, realizeazã o analizã independentã a rezultatelor obţinute în urma etapei de evaluare, precum şi a modalitãţii în care s-a desfãşurat aceastã activitate.
ART. 48
Procesul de certificare trebuie sã analizeze urmãtoarele aspecte:
a) criteriile, metodologiile şi procedurile de lucru utilizate în procesul de evaluare;
b) resursele folosite în cadrul evaluãrii de securitate (echipamente, documentaţie, timp etc.);
c) personalul care a realizat evaluarea de securitate (calificare, obiectivitate, imparţialitate etc.);
d) rezultatele testelor de evaluare;
e) RTE.


┌───────────────────────────┐
│Solicitare adresatã ORNISS │
│privind certificarea, │
Solicitant │anexând concluziile primite│
│de la entitatea/entitãţile │
│ evaluatoare │
└───────────────────────────┘ Solicitant

│ ┌───────────────┐
▼◄─────────────────┤Furnizare date │
│ suplimentare │
└───────────────┘
┌───────────────────┐ ▲
ORNISS sau │Analiza solicitãrii│ │
comisia coordonatã └───────────────────┘ │
de ORNISS │ │
│ │
▼ │
. │
. . │
. . │
. . │
. . │
. . │
. Condiţii . │
. de . NU ┌────────────────────┐
. certificare .───────►│Informare solicitant│
. îndeplinite . └────────────────────┘
. . ORNISS
. .
. .
. .
.

│DA

ORNISS sau ┌────────────┴────────────────┐
comosia │Întocmirea raportului privind│
coordonatã de │ certificarea │
ORNISS └────────────┬────────────────┘

┌────────────┴────────────────┐
ORNISS │Emiterea certificatului de │
│ conformitate │
└────────────┬────────────────┘


┌─────────────────────────────┐
ORNISS │Includerea produsului în │
│ Catalogul naţional │
└─────────────────────────────┘



Figura nr. 2 - Schema procesului de certificare a produselor INFOSEC utilizate în sistemele informatice şi de comunicaţii c care vehiculeazã informaţii naţionale clasificate

3.2. Întocmirea raportului privind certificarea
ART. 49
Rezultatele activitãţii de certificare trebuie sã facã obiectul unui raport privind certificarea.
ART. 50
Raportul privind certificarea trebuie sã identifice în mod clar produsul şi sã conţinã recomandãri cu privire la decizia privind certificarea produsului evaluat.
ART. 51
Dacã în urma analizei documentaţiei puse la dispoziţie în vederea certificãrii se constatã cã atât rezultatele obţinute în urma activitãţii de evaluare, cât şi modalitatea în care aceasta s-a realizat sunt conforme standardelor şi normelor în vigoare, precum şi faptul cã produsul îndeplineşte cerinţele de securitate conform ţintei de securitate, raportul privind certificarea include propuneri privind certificarea produsului.
ART. 52
În cazul în care în urma analizei se constatã deficienţe în procesul de evaluare a produsului, atunci ORNISS notificã entitãţii evaluatoare, în vederea remedierii acestor deficienţe.
ART. 53
Pentru desfãşurarea corespunzãtoare a etapei de certificare, Agenţia de Securitate pentru Informaticã şi Comunicaţii poate solicita entitãţii evaluatoare alte documente cu relevanţã pentru aceastã activitate.
ART. 54
Raportul privind certificarea va fi elaborat în termen de maximum 30 de zile de la primirea documentului de sintezã emis de entitatea/entitãţile evaluatoare pe baza RTE sau, dupã caz, a ultimului document solicitat de Agenţia de Securitate pentru Informaticã şi Comunicaţii entitãţii evaluatoare.
ART. 55
Un set minim de elemente care trebuie sã fie cuprinse în raportul privind certificarea este prevãzut în anexa nr. 4.
3.3. Luarea deciziei privind certificarea produsului
ART. 56
Dupã parcurgerea activitãţilor necesare luãrii unei decizii privind certificarea unui produs, se desprind douã variante posibile:
a) certificarea produsului şi emiterea Certificatului de conformitate şi aprobarea includerii în Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC;
b) refuzul certificãrii - decizie datoratã identificãrii unor deficienţe grave referitoare la atingerea de cãtre produs a parametrilor de securitate predefiniţi.
ART. 57
Certificatul de conformitate emis de ORNISS confirmã faptul cã produsul îndeplineşte standardele de securitate în baza cãrora a fost evaluat, pentru ţinta de securitate propusã.
ART. 58
Produsele certificate vor fi incluse în Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC, cu ocazia urmãtoarei actualizãri a acestuia, în conformitate cu prevederile Directivei INFOSEC privind Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5, aprobatã prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 7/2010.
ART. 59
Anexa nr. 5 cuprinde o bibliografie a unor acte normative şi documente cu relevanţã în domeniu.
ART. 60
Anexele nr. 1-5 fac parte integrantã din prezenta metodologie.


ANEXA 1


───────
la metodologie
──────────────

CERINŢE
de evaluare şi certificare a sistemelor criptografice destinate protecţiei
informaţiilor naţionale clasificate, altele decât cele din categoria
cifrului de stat

Pentru protecţia informaţiilor naţionale clasificate sunt utilizate sisteme criptografice evaluate şi certificate, dupã cum urmeazã:
A. Sisteme criptografice dezvoltate pe plan naţional
a) Pentru protecţia informaţiilor clasificate SECRET DE SERVICIU, sistemele criptografice trebuie sã fie:
(i) evaluate de o entitate evaluatoare acreditatã de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS; şi
(ii) certificate de o comisie coordonatã de ORNISS.
b) Pentru protecţia informaţiilor clasificate SECRET, sistemele criptografice trebuie sã fie:
(i) evaluate de o entitate evaluatoare acreditatã de ORNISS; şi
(ii) certificate de ORNISS.
c) Pentru protecţia informaţiilor clasificate STRICT SECRET, sistemele criptografice trebuie sã fie:
(i) evaluate de douã entitãţi evaluatoare acreditate de ORNISS; şi
(ii) certificate de ORNISS;
(iii) în cazul în care nu existã douã entitãţi evaluatoare acreditate care sã aibã capacitatea de a realiza evaluarea, sistemele trebuie sã fie:
1. evaluate de o entitate evaluatoare acreditatã de ORNISS; şi
2. certificate de o comisie coordonatã de ORNISS şi formatã din reprezentanţi ai tuturor entitãţilor evaluatoare acreditate de ORNISS pentru a desfãşura activitãţi de evaluare criptograficã.
d) Pentru protecţia informaţiilor clasificate STRICT SECRET DE IMPORTANŢÃ DEOSEBITÃ, sistemele criptografice trebuie sã fie:
(i) evaluate de douã entitãţi evaluatoare acreditate de ORNISS; şi
(ii) certificate de o comisie coordonatã de ORNISS şi formatã din reprezentanţi ai entitãţilor evaluatoare implicate.
B. Sisteme criptografice realizate de producãtori externi
a) Pentru protecţia informaţiilor clasificate SECRET DE SERVICIU pot fi utilizate sistemele aflate în una dintre urmãtoarele situaţii:
(i) certificate pentru cel puţin nivelul echivalent de clasificare de cãtre una dintre urmãtoarele:
1. structuri specializate ale NATO;
2. structuri specializate ale UE;
3. un stat membru NATO sau UE;
4. state cu care România a încheiat înţelegeri, acorduri, aranjamente bilaterale, la nivel guvernamental sau departamental;
(ii) evaluate de o entitate evaluatoare acreditatã de ORNISS şi certificate de o comisie coordonatã de ORNISS.
b) Pentru protecţia informaţiilor clasificate SECRET pot fi utilizate sistemele aflate în una dintre urmãtoarele situaţii:
(i) certificate pentru un nivel superior de clasificare de cãtre una dintre urmãtoarele:
1. structuri specializate ale NATO;
2. structuri specializate ale UE;
(ii) certificate pentru un nivel superior de clasificare de cãtre structuri specializate din state membre NATO sau UE, evaluate de douã entitãţi evaluatoare acreditate de ORNISS şi certificate de ORNISS;
(iii) certificate pentru un nivel superior de clasificare de cãtre autoritãţi competente din state cu care România a încheiat aranjamente de securitate privind recunoaşterea reciprocã a certificatelor de conformitate pentru produse de securitate IT, evaluate de douã entitãţi evaluatoare acreditate de ORNISS şi certificate de ORNISS.
c) Pentru protecţia informaţiilor clasificate STRICT SECRET pot fi utilizate sisteme care îndeplinesc cumulativ urmãtoarele cerinţe:
(i) sunt modele certificate pentru un nivel echivalent de clasificare de cãtre structuri ale NATO, UE, autoritãţi competente din state membre NATO sau UE, state cu care România a încheiat aranjamente de securitate privind recunoaşterea reciprocã a certificatelor de conformitate pentru produse de securitate IT;
(ii) particularizate prin implementarea de algoritmi criptografici naţionali certificaţi;
(iii) evaluate de douã entitãţi evaluatoare acreditate de ORNISS;
(iv) certificate de ORNISS.
d) Pentru protecţia informaţiilor clasificate STRICT SECRET DE IMPORTANŢÃ DEOSEBITÃ nu este permisã utilizarea de sisteme criptografice realizate de producãtori externi.
Prin excepţie de la prevederile lit. A şi B, sistemele criptografice utilizate de autoritãţile desemnate de securitate (ADS) pentru destinaţii specifice se evalueazã de cãtre o entitate evaluatoare acreditatã de ORNISS şi sunt certificate de cãtre structura INFOSEC acreditatã de ORNISS în cadrul ADS. În cazul în care nu existã o structurã INFOSEC acreditatã, certificarea produselor se realizeazã de cãtre ORNISS.


ANEXA 2
───────
la metodologie
──────────────

LISTA DEMONSTRATIVÃ
cu activitãţi aferente procesului de evaluare

1. Prezentãm în continuare o listã exemplificativã cu activitãţi aferente procesului de evaluare:
a) verificarea analizei de conformitate;
b) verificarea analizei caracterului unitar;
c) examinarea eficienţei mecanismelor de asigurare a securitãţii;
d) examinarea vulnerabilitãţilor constructive;
e) examinarea uşurinţei de utilizare;
f) examinarea vulnerabilitãţilor operaţionale;
g) verificarea cerinţelor;
h) verificarea proiectului de arhitecturã a produsului;
i) verificarea proiectului detaliat;
j) verificarea implementãrii mecanismelor de asigurare a securitãţii;
k) verificarea mediului de dezvoltare;
l) verificarea documentaţiei de operare;
m) verificarea mediului operaţional;
n) realizarea de teste de penetrare;
o) întocmirea raportului de evaluare.
2. Pentru claritate, precizãm cã termenul "verificare" implicã analiza elementelor de evaluare, în timp ce termenul "examinarea" furnizeazã date de intrare pentru realizarea testelor de penetrare. Deşi testele de penetrare sunt în mod explicit corelate cu activitãţile anterioare, acestea au fost specificate ca activitate distinctã din douã motive:
a) pentru a sublinia faptul cã analizele anterioare trebuie consolidate şi apoi trebuie concepute testele, pe baza acestor analize;
b) pentru a indica faptul cã, în general, diferitele teste de penetrare sunt realizate împreunã.
3. Prin activitatea de verificare a analizei de conformitate evaluatorul verificã analiza efectuatã de dezvoltatorul produsului. Verificarea poate pune în evidenţã unele vulnerabilitãţi rezultate, din cauza faptului cã anumite funcţii de securitate nu asigurã atingerea unuia dintre obiectivele securitãţii, în condiţiile unei ameninţãri identificate în ţinta de securitate.
4. Activitatea de verificare a analizei caracterului unitar constã în examinarea analizei efectuate de dezvoltatorul produsului şi stabileşte dacã setul de funcţii de securitate implementate, luate ca ansamblu, asigurã în mod adecvat îndeplinirea obiectivelor securitãţii.
5. Prin examinarea eficienţei mecanismelor de asigurare a securitãţii evaluatorul identificã eventualele mecanisme care nu ating eficienţa minimã cerutã prin ţinta de securitate.
6. În procesul de examinare a vulnerabilitãţilor rezultate din procesul de construcţie a produsului, evaluatorul trebuie sã identifice eventuale astfel de vulnerabilitãţi ale acestuia. Erorile identificate în procesul de evaluare a corectitudinii procesului de dezvoltare a produsului reprezintã o sursã de vulnerabilitãţi constructive. Aceastã activitate presupune examinarea erorilor, precum şi a diferitelor funcţionalitãţi introduse în fiecare etapã a dezvoltãrii produsului.
7. Examinarea uşurinţei de utilizare presupune identificarea modurilor de operare nesigure ale produsului. Prin urmare, aceastã activitate este strâns legatã de cerinţele operaţionale.
8. Activitatea de evaluare a vulnerabilitãţilor operaţionale presupune ca evaluatorul sã examineze modul de operare a produsului, pentru a identifica eventuale vulnerabilitãţi apãrute în cursul acestui proces.
9. Vulnerabilitãţile operaţionale trateazã aspecte la limita dintre mãsurile de securitate IT şi cele non-IT, cum ar fi proceduri operaţionale privind securitatea fizicã, modalitãţi nonelectronice de management al cheilor, distribuţia ecusoanelor de securitate etc. Mãsurile de securitate non-IT trebuie sã facã obiectul preocupãrilor entitãţii evaluatoare în urmãtoarele situaţii:
a) apar ca parte a documentaţiei de operare;
b) ţinta de securitate este formulatã pe baza unei politici de securitate a sistemului;
c) apar ca parte a documentaţiei produsului.
10. În procesul de analizã a vulnerabilitãţilor operaţionale ale produsului, evaluatorii trebuie sã analizeze dacã mãsurile de securitate non-IT implementate contracareazã vulnerabilitãţile constructive identificate.
11. Activitatea de verificare a cerinţelor presupune ca evaluatorul sã determine dacã ţinta de securitate defineşte în mod corect funcţiile care asigurã implementarea securitãţii. Ţinta de securitate trebuie sã identifice clar aceste funcţii, nivelul de evaluare solicitat, precum şi mãsurile de securitate implementate şi care trebuie avute în vedere în procesul de evaluare a produsului.
12. Prima etapã în procesul de dezvoltare a produsului, de la faza de cerinţe la cea de proiect de arhitecturã, prezintã o importanţã deosebitã, avându-se în vedere faptul cã asigurã corespondenţa dintre funcţiile abstracte şi componentele logice şi fizice ale produsului. În acest context, una dintre principalele activitãţi din procesul de evaluare este verificarea proiectului de arhitecturã, în urma cãreia evaluatorul decide dacã existã o separare bine definitã între funcţionalitãţile care asigurã securitatea şi celelalte funcţionalitãţi ale produsului. În acest caz, activitatea de evaluare poate fi focalizatã asupra elementelor care contribuie la asigurarea securitãţii, iar ţinta de securitate poate fi urmãritã cu uşurinţã, pe mãsurã ce proiectul este analizat mai în detaliu.
13. Activitatea de verificare a proiectului detaliat presupune analiza modului în care este respectatã politica privind separarea componentelor care asigurã securitatea de celelalte componente, precum şi verificarea faptului cã toate componentele care asigurã implementarea securitãţii sunt corect implementate.
14. Verificarea implementãrii presupune analiza modului în care sunt implementate mecanismele de asigurare a securitãţii, într-un mod mai detaliat decât în cursul activitãţii de verificare a proiectului. Analiza se bazeazã pe concluziile activitãţii de verificare a proiectului detaliat, dupã care devine posibilã testarea funcţionalã.
15. Prin activitatea de verificare a mediului de dezvoltare se analizeazã în special standardele conform cãrora este dezvoltat produsul. În cursul acestei activitãţi se analizeazã:
a) controlul configuraţiei;
b) limbajele de programare şi compilatoarele;
c) mãsurile de securitate implementate de dezvoltator.
16. Activitatea de verificare a documentaţiei de operare presupune verificarea faptului cã produsul poate fi administrat şi utilizat în acord cu obiectivele sale de securitate.
17. Verificarea mediului de operare presupune ca evaluatorul sã analizeze dacã produsul operaţional este identic cu produsul rezultat din procesul de dezvoltare şi dacã acesta poate fi operat în conformitate cu obiectivele securitãţii.
18. Testele de penetrare au rolul de a identifica eventuale vulnerabilitãţi, care pot fi exploatate în procesul de utilizare a produsului.
19. Observaţiile şi rezultatele fiecãrei activitãţi din procesul de evaluare trebuie consemnate în raportul tehnic de evaluare.


ANEXA 3
────────
la metodologie
───────────────

MODEL DE RAPORT TEHNIC DE EVALUARE (RTE)

CAP. I
Introducere

SECŢIUNEA 1
Elemente generale

1. Prezenta secţiune conţine date generale cu privire la procesul de evaluare şi trebuie sã prezinte cel puţin urmãtoarele elemente:
a) denumirea, numãrul de identificare şi versiunea/modelul produsului INFOSEC supus evaluãrii;
b) date privind dezvoltatorul produsului şi, dacã este cazul, date privind subcontractanţii care au contribuit la dezvoltarea produsului;
c) date privind solicitantul evaluãrii;
d) programarea activitãţilor aferente procesului de evaluare;
e) date cu privire la entitatea evaluatoare.

SECŢIUNEA a 2-a
Obiective

2. Prezenta secţiune trebuie sã prezinte obiectivele RTE.
3. În principal, obiectivele sunt:
a) prezentarea elementelor necesare susţinerii unei anumite concluzii cu privire la produsul supus evaluãrii;
b) susţinerea procesului de reevaluare a produsului, în cazul în care solicitantul doreşte acest lucru.

SECŢIUNEA a 3-a
Domeniu de aplicabilitate

4. Prezenta secţiune trebuie sã sublinieze faptul cã RTE se referã la întreaga activitate desfãşuratã în cursul procesului de evaluare.
5. În caz contrar, trebuie specificate motivele pentru care RTE nu acoperã întreaga activitate de evaluare.

SECŢIUNEA a 4-a
Structurã

6. Prezenta secţiune trebuie sã prezinte structura RTE.

CAP. II
Sumar

7. Prevederile prezentului capitol furnizeazã date cu privire la rezultatele evaluãrii.
8. Dispoziţiile prezentului capitol trebuie sã conţinã informaţiile generale necesare introducerii produsului INFOSEC în Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC, dupã certificare.
9. Prin urmare, sumarul nu trebuie sã conţinã informaţii clasificate.
10. Prezentul capitol trebuie sã conţinã:
a) date cu privire la entitatea evaluatoare;
b) nivelul de evaluare atins efectiv;
c) numãrul de identificare şi versiunea/modelul produsului INFOSEC;
d) sumarul principalelor concluzii ale evaluãrii;
e) date cu privire la solicitantul evaluãrii;
f) scurtã descriere a produsului INFOSEC supus evaluãrii;
g) scurtã descriere a caracteristicilor de securitate ale produsului INFOSEC supus evaluãrii.

CAP. III
Descrierea produsului INFOSEC supus evaluãrii

SECŢIUNEA 1
Funcţionalitatea produsului INFOSEC

11. Prezenta secţiune trebuie sã conţinã o prezentare succintã a rolului operaţional al produsului, precum şi a funcţiunilor pentru care a fost proiectat. Descrierea trebuie sã conţinã cel puţin urmãtoarele elemente:
a) tipul de date care pot fi procesate utilizând produsul (nivel de clasificare etc.);
b) categoriile de utilizatori care vor utiliza produsul (corelat cu precizãrile de la punctul anterior).

SECŢIUNEA a 2-a
Etapele procesului de dezvoltare

12. Prezenta secţiune trebuie sã prezinte etapele parcurse în realizarea produsului.
13. De asemenea, trebuie prezentate metodologiile, tehnicile, instrumentele şi standardele relevante pentru realizarea produsului.
14. Totodatã, prezenta secţiune trebuie sã includã descrierea elementelor necesare evaluãrii puse la dispoziţia entitãţii evaluatoare de cãtre solicitant. Descrierea trebuie sã includã data la care au fost puse la dispoziţie aceste elemente şi numãrul de înregistrare cu care a fost luat în evidenţã fiecare element.

SECŢIUNEA a 3-a
Arhitectura produsului

15. Prezenta secţiune trebuie sã conţinã un sumar al proiectului general al produsului. Trebuie sã se precizeze gradul de separare între componentele care asigurã implementarea securitãţii şi celelalte componente. Secţiunea va prezenta şi modul de implementare şi distribuţia între componentele hardware, firmware şi software a elementelor care asigurã implementarea securitãţii.
16. Toate numerele modelelor/versiunilor acestor componente trebuie specificate într-o anexã la RTE (anexa C).

SECŢIUNEA a 4-a
Descrierea componentelor hardware

17. Descrierea componentelor hardware trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare, la nivel de arhitecturã.

SECŢIUNEA a 5-a
Descrierea componentelor firmware

18. Descrierea componentelor firmware trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare.

SECŢIUNEA a 6-a
Descrierea componentelor software

19. Descrierea componentelor software trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare. Descrierea trebuie sã furnizeze legãtura dintre componentele software şi cele hardware şi firmware.

CAP. IV
Caracteristici de securitate ale produsului INFOSEC

20. Trebuie subliniat cã înţelegerea ţintei de securitate este un element esenţial pentru înţelegerea RTE. De aceea, este recomandabil ca acest capitol sã includã descrierea completã a ţintei de securitate.
21. Capitolul trebuie sã abordeze cel puţin urmãtoarele aspecte:
a) politica de securitate pentru produsul INFOSEC;
b) specificarea funcţiilor de implementare a securitãţii;
c) specificarea mecanismelor de securitate;
d) precizarea nivelului minim estimat de eficienţã a mecanismelor de securitate;
e) nivelul de evaluare solicitat.

CAP. V
Evaluarea

22. Prevederile prezentului capitol detaliazã activitãţile efectuate în procesul de evaluare, cu specificarea tuturor problemelor identificate, atât a celor de naturã tehnicã, cât şi a celor de naturã managerialã.
23. Capitolul trebuie sã conţinã date care sã sprijine activitatea comisiei de certificare de securitate, în analiza aspectelor de naturã tehnicã şi managerialã. Totodatã, datele cuprinse în acest capitol pot sã contribuie şi la eficientizarea activitãţii entitãţii evaluatoare.

SECŢIUNEA 1
Etapele evaluãrii

24. Aceastã secţiune este similarã celei în care sunt prezentate etapele procesului de dezvoltare şi trebuie sã includã date cu privire la:
a) data la care a fost demarat procesul de evaluare;
b) data la care au fost furnizate elementele necesare evaluãrii, inclusiv ţinta de securitate a produsului;
c) perioada în care au fost realizate testele de penetrare;
d) eventuale vizite efectuate la sediile dezvoltatorului sau ale utilizatorului final al produsului;
e) data la care s-au încheiat activitãţile tehnice.
25. Secţiunea trebuie sã precizeze toate metodele, tehnicile, instrumentele şi standardele utilizate în procesul de evaluare.

SECŢIUNEA a 2-a
Procedura de evaluare

26. Aceastã secţiune trebuie sã conţinã un sumar al PAE. Sumarul trebuie sã includã:
a) activitãţile desfãşurate de evaluator, conform PAE;
b) totalitatea activitãţilor desfãşurate în procesul de evaluare, cu evidenţierea activitãţilor care nu au fost cuprinse în PAE, dar au fost efectuate în practicã; va fi precizatã motivaţia existenţei acestor discrepanţe.

SECŢIUNEA a 3-a
Domeniul de aplicare a evaluãrii

27. Prezenta secţiune trebuie sã precizeze componentele care au fãcut obiectul evaluãrii, precum şi ipotezele fãcute cu privire la componentele care nu au fost examinate.

SECŢIUNEA a 4-a
Constrângeri şi ipoteze

28. Prezenta secţiune trebuie sã precizeze eventualele constrângeri asupra procesului de evaluare şi ipotezele fãcute în cursul acestui proces.

CAP. VI
Sumarul rezultatelor evaluãrii

29. Prevederile prezentului capitol trebuie sã prezinte sumarul rezultatelor evaluãrii, pentru toate activitãţile efectuate în cursul procesului.
30. Se recomandã structurarea pe secţiuni care sã corespundã fiecãreia dintre activitãţile desfãşurate.
31. Fiecare secţiune trebuie sã fie corelatã cu setul de activitãţi desfãşurate.
32. Prezentãm în continuare, cu titlu de exemplu, o listã de aspecte care fac obiectul acestui capitol:
a) Eficienţa constructivã
- Aspect 1 - Conformitatea funcţionalitãţii
- Aspect 2 - Interrelaţionarea funcţionalitãţilor
- Aspect 3 - Eficienţa mecanismelor
- Aspect 4 - Evaluarea vulnerabilitãţilor constructive
b) Eficienţa operaţionalã
- Aspect 1 - Flexibilitatea în utilizare
- Aspect 2 - Evaluarea vulnerabilitãţilor operaţionale
c) Realizarea produsului - Procesul de dezvoltare
- Etapa 1 - Cerinţe
- Etapa 2 - Proiectul arhitecturii
- Etapa 3 - Proiectul detaliat
- Etapa 4 - Implementarea
d) Realizarea produsului - Mediul de dezvoltare
- Aspect 1 - Controlul configuraţiei
- Aspect 2 - Limbaje de programare şi compilatoare
- Aspect 3 - Mãsurile de securitate implementate de cãtre dezvoltator
e) Operare - Documentaţia de operare
- Aspect 1 - Documentaţia de utilizare
- Aspect 2 - Documentaţia de administrare
f) Operare - Mediul operaţional
- Aspect 1 - Livrarea şi configurarea produsului
- Aspect 2 - Punerea în funcţiune şi operarea.

SECŢIUNEA 1
Teste de penetrare

33. Rezultatele testelor de penetrare au fost analizate separat deoarece testele de penetrare sunt de cele mai multe ori realizate ca parte a unei anumite activitãţi.
34. Prezenta secţiune trebuie sã prezinte toate opţiunile de configurare folosite în timpul testelor de penetrare.

SECŢIUNEA a 2-a
Vulnerabilitãţi exploatabile identificate

35. Prezenta secţiune trebuie sã descrie vulnerabilitãţile ce pot fi exploatate, care au fost identificate în timpul evaluãrii, precizând:
a) funcţia de implementare a securitãţii la care a fost identificatã vulnerabilitatea;
b) descrierea vulnerabilitãţii;
c) acţiunile întreprinse de evaluator în momentul identificãrii vulnerabilitãţii;
d) activitatea în cursul cãreia a fost identificatã vulnerabilitatea;
e) persoana care a identificat vulnerabilitatea (dezvoltatorul sau evaluatorul);
f) data la care a fost identificatã vulnerabilitatea;
g) dacã vulnerabilitatea a fost remediatã (se menţioneazã data) sau nu;
h) sursa generatoare a vulnerabilitãţii (dacã este posibil).

SECŢIUNEA a 3-a
Observaţii legate de vulnerabilitãţi ce nu pot fi exploatate

36. Prezenta secţiune trebuie sã descrie vulnerabilitãţile ce nu pot fi exploatate şi au fost identificate în cadrul evaluãrii (subliniindu-le pe cele rãmase în produsul operaţional).

SECŢIUNEA a 4-a
Erori identificate

37. Prezenta secţiune trebuie sã precizeze impactul pe care îl pot avea erorile identificate în cadrul procesului de evaluare.

CAP. VII
Ghid pentru reevaluare şi analizã a impactului

38. Prezentul capitol este opţional. Poate fi omis dacã solicitantul evaluãrii a declarat cã nu necesitã informaţii privind o reevaluare sau analizã a impactului.
39. Dacã va fi inclus, acest capitol trebuie sã precizeze:
a) includerea fiecãrei componente a produsului INFOSEC în una dintre urmãtoarele categorii: componente care asigurã implementarea securitãţii, componente relevante pentru securitate sau componente care nu sunt relevante pentru securitate;
b) identificarea instrumentelor de dezvoltare care sunt relevante pentru securitate;
c) modalitatea în care constrângerile sau ipotezele fãcute în procesul de evaluare pot avea impact în cazul reevaluãrii sau refolosirii produsului;
d) orice concluzii privind tehnici de evaluare sau instrumente care pot fi utile în cazul unei reevaluãri;
e) detalii de arhivare necesare reînceperii evaluãrii;
f) pregãtire specificã necesarã reevaluatorilor pentru demararea unui proces de reevaluare.

CAP. VIII
Concluzii şi recomandãri

40. Prezentul capitol trebuie sã cuprindã concluziile şi recomandãrile evaluãrii. Concluzia principalã va preciza dacã produsul îndeplineşte obiectivul de securitate stabilit şi dacã are vulnerabilitãţi ce pot fi exploatate.
41. Trebuie sã se specifice faptul cã recomandãrile se referã la componentele produsului care au fãcut obiectul evaluãrii şi cã pot exista şi alţi factori de care evaluatorii nu sunt conştienţi, iar aceşti factori pot influenţa procesul de certificare a produsului.
42. Recomandãrile pot include sugestii cãtre alte entitãţi, precum solicitantul evaluãrii sau dezvoltatorul produsului, pentru a fi înaintate comisiei de certificare de securitate.
43. Trebuie sã se specifice faptul cã rezultatele evaluãrii sunt valabile numai pentru o anumitã versiune a produsului INFOSEC, configuratã într-un anumit mod, iar comisia de certificare de securitate trebuie informatã despre orice schimbãri aduse produsului.
Anexa A - Lista elementelor necesare evaluãrii
44. Aceastã anexã trebuie sã identifice, cu numerele versiunii şi datele la care au fost recepţionate, toate elementele necesare evaluãrii sau se face o referire la lista elementelor.
Anexa B - Lista de acronime/Glosar de termeni
45. Aceastã anexã trebuie sã explice toate acronimele şi abrevierile folosite în RTE. De asemenea, trebuie sã defineascã termenii specifici utilizaţi.
Anexa C - Configuraţia evaluatã
46. Configuraţiile produsului INFOSEC examinate în cadrul evaluãrii (în special configuraţii folosite la testele de penetrare, verificare a fiabilitãţii) trebuie identificate clar.
47. Trebuie precizate orice presupuneri fãcute sau configuraţii care nu au fost luate în considerare.
Descrierea componentelor hardware
48. Descrierea componentelor hardware trebuie sã furnizeze informaţii despre configuraţie, privind toate componentele la nivel arhitectural ce sunt relevante pentru evaluare şi, în consecinţã, pentru implementarea securitãţii.
Descrierea componentelor firmware
49. Descrierea componentelor firmware trebuie sã furnizeze informaţii despre configuraţie, despre toate componentele care sunt relevante pentru procesul de evaluare şi, în consecinţã, pentru implementarea securitãţii.
Descrierea componentelor software
50. Descrierea componentelor software trebuie sã furnizeze informaţii despre configuraţie privind pãrţi ale aplicaţiilor software utilizate de produsul INFOSEC care sunt relevante pentru procesul de evaluare şi, în consecinţã, pentru implementarea securitãţii.
Anexa D - Rapoartele activitãţilor de evaluare
51. Aceastã anexã nu este necesarã dacã toate rapoartele de activitate sunt incluse în cap. 6 al RTE.
52. Dacã este prezentã, aceastã anexã trebuie sã cuprindã înregistrãri ale tuturor activitãţilor de evaluare (incluzând rezultatele testelor efectuate, tehnici şi instrumente utilizate).
Anexa E - Probleme identificate
53. Aceastã anexã trebuie sã cuprindã rapoarte cu privire la toate problemele identificate în cursul procesului de evaluare.
54. Rapoartele pot fi emise şi înainte de finalizarea evaluãrii şi trebuie sã conţinã cel puţin urmãtoarele elemente:
a) numãrul şi versiunea produsului supus evaluãrii;
b) activitatea în cursul cãreia a fost identificatã problema;
c) descrierea problemei identificate.

ANEXA 4
───────
la metodologie
───────────────

Elemente ale raportului privind certificarea

Un raport privind certificarea trebuie sã includã cel puţin urmãtoarele elemente:
a) Introducere:
- date generale cu privire la produsul INFOSEC supus evaluãrii.
b) Rezumat:
- detalii cu privire la entitatea de evaluare;
- identificarea completã a produsului INFOSEC supus evaluãrii, inclusiv a codului de identificare, versiunii etc.;
- sumarul concluziilor formulate de evaluator;
- date privind dezvoltatorul şi, dacã este cazul, date privind subcontractanţii acestuia care au contribuit la dezvoltarea produsului;
- date privind solicitantul certificãrii;
- nivelul de evaluare atins efectiv.
c) Prezentarea produsului:
- descrierea produsului INFOSEC, în configuraţia supusã evaluãrii;
- descrierea hardware;
- descrierea firmware;
- descrierea software;
- descrierea documentaţiei produsului.
d) Evaluarea:
- descrierea sumarã a ţintei de securitate, care sã cuprindã şi descrierea caracteristicilor de securitate ale produsului INFOSEC;
- elemente de identificare ale RTE;
- sumarul principalelor concluzii formulate de entitatea de evaluare.
e) Certificarea:
- propuneri referitoare la luarea unei decizii cu privire la certificarea produsului INFOSEC;
- specificarea eventualelor restricţii care trebuie avute în vedere în procesul de utilizare a produsului (de exemplu: limitarea nivelului de clasificare a informaţiilor, utilizare în medii operaţionale specifice etc.).


ANEXA 5
───────
la metodologie
───────────────

BIBLIOGRAFIE

1. <>Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin <>Hotãrârea Guvernului nr. 585/2002 , publicatã în Monitorul Oficial al României, Partea I, nr. 485 din 5 iulie 2002, cu modificãrile şi completãrile ulterioare.
2. <>Normele privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, aprobate prin <>Hotãrârea Guvernului nr. 353/2002 , publicatã în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificãrile ulterioare.
3. Metodologia de acreditare a entitãţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobatã prin <>Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 167/2006 , publicat în Monitorul Oficial al României, Partea I, nr. 223 din 10 martie 2006.
4. Guidelines for the Evaluation and Certification of ADP Systems and Networks and Computer Security (COMPUSEC) Products, AC/35-N/275.
5. Procedure CER/P/01.1 - Certification of the security provided by IT products and systems, February 9, 2004 - Secretariat General de la Defense Nationale, France.
6. Information Technology Security Evaluation Manual (ITSEM), version 1.0, Commission of the European Communities.
7. Scheme overview, draft 0.3, April 15, 2005 - Swedish Certification Body for IT Security.
8. Evaluation and Certification, draft 0.9, April 15, 2005 - Swedish Certification Body for IT Security.
9. Common Criteria Evaluation and Validation Scheme For Information Technology Security, Guidance to Validators of IT Security Evaluations, Version 1.0, February 2002, National Institute for Standards and Technologies, U.S.
10. Common Criteria Evaluation and Validation Scheme Policy Letter - National Information Assurance Partnership, U.S.
11. Information Technology Security Testing - Common Criteria, April 1999, Version 1.1, U.S. Department of Commerce.
12. Guidelines for Evaluation Work Program (EWP), January 14, 1998, JEIDA Japan.
_________

Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016