Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   METODOLOGIE din 27 martie 2019  privind acreditarea entităţilor care desfăşoară activităţi de producţie în domeniul TEMPEST - INFOSEC 15    Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

 METODOLOGIE din 27 martie 2019 privind acreditarea entităţilor care desfăşoară activităţi de producţie în domeniul TEMPEST - INFOSEC 15

EMITENT: Oficiul Registrului Naţional al Informaţiilor Secrete de Stat
PUBLICAT: Monitorul Oficial nr. 317 din 23 aprilie 2019
──────────
    Aprobată prin ORDINUL nr. 116 din 27 martie 2019, publicat în Monitorul Oficial al României, Partea I, nr. 317 din 23 aprilie 2019.
──────────
    CAP. I
    Introducere
    SECŢIUNEA 1
    Aspecte generale
    ART. 1
    Pot desfăşura activităţi de producţie în domeniul TEMPEST numai persoane juridice de drept public sau privat acreditate de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, conform prevederilor Metodologiei privind acreditarea entităţilor care desfăşoară activităţi de producţie în domeniul TEMPEST - INFOSEC 15, denumită în continuare metodologia. Etapele procesului de acreditare a entităţilor producătoare sunt prezentate în capitolul II.

    ART. 2
    Persoanele juridice care desfăşoară în prezent activităţi de producţie în domeniul TEMPEST trebuie să finalizeze procesul de acreditare în maximum un an de la data intrării în vigoare a prezentei metodologii. După această dată, persoanele juridice producătoare în domeniul TEMPEST care nu sunt acreditate vor fi eliminate din Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC.

    ART. 3
    În baza prezentei metodologii, o persoană juridică poate solicita:
    a) acreditarea ca entitate producătoare în domeniul TEMPEST fără capacităţi de evaluare TEMPEST;
    b) acreditarea ca entitate producătoare în domeniul TEMPEST cu capacităţi de evaluare TEMPEST.


    SECŢIUNEA a 2-a
    Domeniu de aplicabilitate
    ART. 4
    Metodologia se adresează persoanelor juridice de drept public sau privat române care sunt implicate în activităţi de producţie în domeniul TEMPEST şi ORNISS în calitate de Autoritate TEMPEST Naţională.

    ART. 5
    În ceea ce priveşte capacităţile de evaluare TEMPEST ale entităţilor producătoare în curs de acreditare, ORNISS poate solicita sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul autorităţilor desemnate de securitate, denumite în continuare ADS.

    ART. 6
    Aplicarea prevederilor prezentei metodologii este obligatorie pentru produsele TEMPEST destinate sistemelor informatice şi de comunicaţii care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, informaţii NATO clasificate, informaţii UE clasificate sau informaţii echivalente care fac obiectul tratatelor, acordurilor sau înţelegerilor internaţionale la care România este parte.

    SECŢIUNEA a 3-a
    Definiţii
    ART. 7
    În sensul prezentei metodologii, termenii şi expresiile de mai jos au următorul înţeles:
    a) acreditarea unei entităţi producătoare în domeniul TEMPEST - aprobarea acordată de ORNISS unei persoane juridice de drept public sau privat prin care aceasta este autorizată să desfăşoare activităţi de producţie în domeniul TEMPEST;
    b) activitate de producţie în domeniul TEMPEST - proiectarea, realizarea, testarea pe linia de producţie a produselor protejate TEMPEST, precum şi asigurarea întreţinerii şi service-ului acestora;
    c) emisii electromagnetice compromiţătoare - semnale neintenţionate care dacă sunt interceptate şi prelucrate permit reconstituirea informaţiilor procesate, transmise sau stocate;
    d) evaluare TEMPEST - verificarea conformităţii cu prevederile standardelor TEMPEST în vigoare;
    e) produs protejat TEMPEST - echipament sau incintă care asigură o atenuare a emisiilor electromagnetice compromiţătoare la un nivel prevăzut de standardele specifice domeniului;
    f) prototip - primul exemplar al unui produs protejat TEMPEST care se testează şi se validează înaintea producerii în serie;
    g) TEMPEST - ansamblu de măsuri tehnice, organizatorice şi procedurale desfăşurate pentru studierea, investigarea şi reducerea emisiilor electromagnetice compromiţătoare generate de echipamentele electronice sau electromecanice care procesează informaţii, cu scopul de a se împiedica refacerea informaţiilor procesate;
    h) testare pe linia de producţie - activitate care vizează conformitatea din punct de vedere funcţional, electric, electromagnetic, mecanic, termic etc. cu prevederile specificaţiei de produs.


    CAP. II
    Acreditarea entităţilor care desfăşoară activităţi de producţie în domeniul TEMPEST
    SECŢIUNEA 1
    Scop. Obiective
    ART. 8
    Procesul de acreditare a persoanelor juridice care desfăşoară activităţi de producţie în domeniul TEMPEST are drept scop asigurarea faptului că produsele protejate TEMPEST dezvoltate de acestea sunt conforme cu standardele în domeniu recunoscute la nivel naţional.

    ART. 9
    Metodologia de acreditare a entităţilor producătoare TEMPEST are următoarele obiective:
    a) asigurarea faptului că persoana juridică solicitantă a implementat un sistem de asigurare a calităţii procesului de producţie TEMPEST, certificat conform ISO 9001 şi, după caz, de evaluare TEMPEST, certificat conform ISO 17025;
    b) asigurarea faptului că personalul entităţii solicitante are nivelul de pregătire tehnică necesară pentru desfăşurarea activităţilor aferente proceselor de producţie în domeniul TEMPEST şi, după caz, aferente procesului de evaluare TEMPEST;
    c) asigurarea faptului că persoana juridică care solicită acreditare ca producător cu capacităţi de evaluare TEMPEST are dotarea tehnică minimă necesară desfăşurării măsurătorilor prevăzute în standardele de evaluare TEMPEST;
    d) în cazul producătorilor de echipamente TEMPEST cu capacităţi de evaluare TEMPEST, asigurarea faptului că persoana juridică solicitantă are implementat un sistem de protecţie a informaţiilor clasificate, care să îi permită accesul la standardele de evaluare TEMPEST.


    ART. 10
    În vederea acreditării de către ORNISS, persoana juridică solicitantă trebuie să îndeplinească o serie de criterii de acreditare, prevăzute în anexa care face parte din prezenta metodologie.

    SECŢIUNEA a 2-a
    Criterii de eligibilitate
    ART. 11
    O persoană juridică de drept public sau privat poate solicita acreditarea pentru a desfăşura activităţi de producţie în domeniul TEMPEST numai în condiţiile în care îndeplineşte următoarele cerinţe minime:
    a) este persoană juridică de drept public sau privat română;
    b) deţine capacităţi de producţie şi, după caz, capacităţi de evaluare TEMPEST, potrivit solicitării de acreditare;
    c) deţine personal cu pregătire de specialitate în activitatea de producţie în domeniul TEMPEST şi, după caz, de evaluare TEMPEST.


    SECŢIUNEA a 3-a
    Etapele procesului de acreditare
    ART. 12
    Procesul de acreditare a persoanelor juridice pentru a desfăşura activităţi de producţie în domeniul TEMPEST constă în următoarele etape principale:
    a) solicitarea acreditării şi pregătirea documentaţiei necesare susţinerii procesului de acreditare;
    b) analiza documentaţiei de acreditare;
    c) inspecţia de acreditare;
    d) luarea unei decizii privind acreditarea şi emiterea documentelor conform cu decizia de acreditare;
    e) activităţi post-acreditare.


    ART. 13
    Activităţile aferente procesului de acreditare şi documentaţia necesar a fi întocmită sunt specifice fiecărui tip de acreditare solicitată: acreditarea ca entitate producătoare fără capacităţi de evaluare TEMPEST sau entitate producătoare cu capacităţi de evaluare TEMPEST.

    ART. 14
    Figura de mai jos*) prezintă schematic aceste activităţi şi structurile responsabile cu realizarea acestora.
    *) Figura este reprodusă în facsimil.
 (a se vedea imaginea asociată)


    SECŢIUNEA a 4-a
    Descrierea procesului de acreditare
    SUBSECŢIUNEA 1
    Solicitarea acreditării
    ART. 15
    Solicitarea acreditării se realizează prin transmiterea către ORNISS, de către reprezentantul legal al persoanei juridice solicitante, a unei cereri de acreditare, în condiţiile în care sunt îndeplinite criteriile stabilite la art. 11.

    ART. 16
    Cererea trebuie să specifice tipul de acreditare pentru care se solicită declanşarea procesului: acreditarea ca entitate producătoare fără capacităţi de evaluare TEMPEST sau entitate producătoare cu capacităţi de evaluare TEMPEST.

    ART. 17
    Cererea trebuie să fie însoţită de cel puţin următoarele documente:
    a) certificat de înregistrare emis de Oficiul Naţional al Registrului Comerţului - copie;
    b) certificat constatator emis de Oficiul Naţional al Registrului Comerţului - copie;
    c) document care să ateste că persoana juridică are în obiectul de activitate producţia de sisteme de calcul sau dezvoltarea de soluţii de securitate a informaţiilor;
    d) documente care să ateste că persoana juridică activează în domeniul producţiei de sisteme de calcul sau dezvoltării de soluţii de securitate a informaţiilor (portofoliu activităţi);
    e) modalitatea de respectare a criteriilor prevăzute în anexa la metodologie;
    f) copie a documentului care confirmă certificarea conform ISO 9001 privind procesul de producţie TEMPEST. În cazul în care entitatea solicitantă aplică pentru recunoaşterea ca producător TEMPEST la nivelul NATO şi/sau UE şi/sau pentru acreditarea la nivel naţional ca entitate producătoare care deţine capacităţi de evaluare TEMPEST, aceasta trebuie să transmită copii ale certificării conform ISO 17025;
    g) tipurile de produse ce urmează a fi dezvoltate în baza acreditării (sisteme de calcul, incinte ecranate etc.);
    h) proceduri tehnice de lucru aferente procesului de producţie pentru tipurile de produse specificate conform lit. g) şi evaluare TEMPEST, după caz;
    i) acordul solicitantului ca documentele prevăzute la lit. h) să poată fi puse la dispoziţia entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS.


    ART. 18
    Pentru ca persoana juridică să fie acreditată ca producător TEMPEST şi pentru păstrarea statutului de producător TEMPEST acreditat, reprezentantul legal trebuie să se angajeze în scris să îndeplinească următoarele:
    a) să asigure respectarea criteriilor de acreditare stabilite în anexa la metodologie;
    b) să cunoască şi să respecte prezenta metodologie şi să asigure condiţiile necesare pentru realizarea activităţilor de inspecţie;
    c) să analizeze recomandările formulate de ORNISS şi să asigure implementarea de măsuri corective, în termenele prevăzute de ORNISS;
    d) să notifice ORNISS, în termen de maximum 30 de zile, cu privire la orice modificare majoră care poate afecta activitatea de producţie în domeniul TEMPEST, cum ar fi:
    (i) modificarea statutului juridic, a structurii organizatorice, a acţionariatului sau a obiectului de activitate;
    (ii) modificări ale politicilor şi procedurilor interne de securitate, după caz;
    (iii) modificarea sediului;
    (iv) modificări privind personalul, echipamente, ale mediului operaţional sau ale altor resurse, având relevanţă pentru procesul de producţie sau evaluare, după caz, în domeniul TEMPEST;
    (v) orice alte aspecte care pot afecta activitatea de producţie sau evaluare, după caz, în domeniul TEMPEST sau respectarea de către aceasta a criteriilor de acreditare;

    e) să returneze ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditării, în cazurile în care ORNISS decide să retragă acest document, precum şi la iniţiativa sa, odată cu notificarea ORNISS despre decizia de a renunţa la efectuarea activităţilor de producţie sau evaluare, după caz, în domeniul TEMPEST;
    f) să returneze ORNISS documentele clasificate care au stat la baza desfăşurării activităţii de producţie sau evaluare, după caz, în domeniul TEMPEST, în cazul încetării acreditării ca producător TEMPEST, dacă astfel de documente au fost transmise de către ORNISS.


    ART. 19
    Dacă documentaţia de acreditare nu este completă, în sensul existenţei documentelor precizate la art. 17, ORNISS informează persoana juridică solicitantă asupra acestui fapt, în vederea furnizării informaţiilor adiţionale necesare.

    ART. 20
    Dacă documentaţia de susţinere a procesului de acreditare este completă, ORNISS înştiinţează persoana juridică solicitantă şi demarează etapa de analiză a documentaţiei.

    ART. 21
    În cazul în care apar modificări ale datelor cuprinse în documentaţia transmisă, versiunile modificate ale documentelor sau copii ale acestora, după caz, trebuie transmise ORNISS, în maximum 30 zile de la data producerii acestor modificări.

    SUBSECŢIUNEA a 2-a
    Analiza documentaţiei
    ART. 22
    În procesul de analiză a procedurilor tehnice de lucru aferente procesului de evaluare TEMPEST [art. 17 lit. h)], ORNISS poate solicita sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5.

    ART. 23
    În termen de maximum 45 de zile lucrătoare de la primirea documentaţiei de acreditare, ORNISS întocmeşte şi transmite persoanei juridice solicitante concluziile analizei acestei documentaţii.

    ART. 24
    (1) În cazul în care documentaţia de acreditare necesită completări sau modificări, ORNISS informează persoana juridică solicitantă în acest sens.
    (2) După corectarea deficienţelor, persoana juridică solicitantă transmite ORNISS noua versiune a documentaţiei de acreditare, care va fi reanalizată şi va face obiectul unui nou document cu concluzii.

    ART. 25
    În cazul în care se constată faptul că documentaţia de acreditare este completă şi corect întocmită, ORNISS informează solicitantul cu privire la posibilitatea continuării procesului de acreditare.

    ART. 26
    Procesul de acreditare cuprinde etape diferite, în funcţie de tipul de acreditare solicitat, şi anume acreditarea ca producător TEMPEST cu capacităţi de evaluare TEMPEST sau fără capacităţi de evaluare TEMPEST.

    SUBSECŢIUNEA a 3-a
    Etapele procesului de acreditare în cazul în care se solicită acreditarea fără capacităţi de evaluare TEMPEST
    3.1. Inspecţia de acreditare
    ART. 27
    În momentul în care documentaţia de acreditare este completă şi corectă, o comisie formată din reprezentanţi ai ORNISS efectuează inspecţia de acreditare la sediul unde se intenţionează a se realiza activitatea de producţie în domeniul TEMPEST.

    ART. 28
    Inspecţia de acreditare este activitatea prin care comisia de inspecţie verifică modul în care persoana juridică ce solicită acreditarea pentru a desfăşura activităţi de producţie în domeniul TEMPEST îndeplineşte criteriile de acreditare. Totodată, în cursul inspecţiei se verifică dacă persoana juridică solicitantă are capacitatea tehnică pentru a desfăşura activităţi de producţie în domeniul TEMPEST.

    ART. 29
    ORNISS comunică în scris persoanei juridice solicitante perioada în care urmează să se desfăşoare inspecţia de acreditare, precum şi componenţa comisiei de inspecţie.

    ART. 30
    În urma inspecţiei, comisia întocmeşte un raport care conţine constatările, recomandările formulate şi concluziile privind conformitatea procedurilor cu criteriile de acreditare şi cu capacitatea tehnică existentă.

    ART. 31
    În termen de maximum 45 de zile lucrătoare de la data finalizării inspecţiei, ORNISS notifică în scris persoana juridică solicitantă cu privire la rezultatele evaluării şi, dacă este cazul, formulează recomandări care trebuie implementate de persoana juridică solicitantă în vederea obţinerii acreditării pentru a desfăşura activităţi de producţie în domeniul TEMPEST.

    ART. 32
    După implementarea recomandărilor conţinute de raport, persoana juridică solicitantă notifică ORNISS modul în care acestea au fost puse în aplicare.

    ART. 33
    În funcţie de tipul şi natura recomandărilor, ORNISS poate decide asupra necesităţii efectuării unei noi inspecţii la sediul persoanei juridice solicitante pentru a verifica modul de implementare a acestora.


    3.2. Decizia privind acreditarea
    ART. 34
    După parcurgerea activităţilor menţionate la art. 27-33, directorul general al ORNISS decide cu privire la acreditarea persoanei juridice solicitante.

    ART. 35
    Opţiunile referitoare la acreditare sunt următoarele:
    a) acreditarea - se acordă pentru o perioadă de maximum 3 ani, în cazul în care criteriile de acreditare sunt respectate;
    b) neacreditarea - reprezintă decizia luată în cazul în care se identifică deficienţe în îndeplinirea criteriilor de acreditare.


    ART. 36
    În cazul în care se ia decizia acreditării, directorul general al ORNISS emite certificatul de acreditare corespunzător.

    ART. 37
    ORNISS actualizează Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC prin adăugarea entităţii producătoare în Lista producătorilor TEMPEST naţionali.

    ART. 38
    Ca urmare a acreditării, persoana juridică solicitantă, denumită în continuare entitatea producătoare, trebuie să stabilească o delimitare clară între activităţile autorizate prin certificatul de acreditare emis de ORNISS şi celelalte activităţi pe care le realizează. Această delimitare trebuie să se reflecte în toate documentele oficiale emise de entitatea producătoare (oferte, contracte etc.).

    ART. 39
    Toate produsele realizate de entităţile producătoare acreditate fără capacităţi de evaluare TEMPEST vor fi supuse spre evaluare entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, conform reglementărilor naţionale în vigoare.


    SUBSECŢIUNEA a 4-a
    Etapele procesului de acreditare în cazul în care se solicită acreditarea cu capacităţi de evaluare TEMPEST
    4.1. Obţinerea accesului la informaţii naţionale, NATO şi UE clasificate
    ART. 40
    Persoana juridică solicitantă va întreprinde demersurile necesare obţinerii accesului la informaţii naţionale, NATO şi UE clasificate, potrivit reglementărilor în vigoare privind securitatea industrială şi securitatea informaţiilor vehiculate prin intermediul sistemelor informatice şi de comunicaţii, având nivelul minim NATO SECRET şi echivalent.

    ART. 41
    După finalizarea procesului prevăzut la art. 40, ORNISS pune la dispoziţia persoanei juridice solicitante standardele aplicabile în domeniul evaluării produselor TEMPEST.


    4.2. Implementarea măsurilor prevăzute de standardele de evaluare TEMPEST
    ART. 42
    Pe baza standardelor de evaluare TEMPEST puse la dispoziţie de ORNISS, persoana juridică solicitantă va implementa măsurile tehnice şi procedurale prevăzute de acestea.

    ART. 43
    Procedurile de lucru privind evaluarea TEMPEST, elaborate la nivelul persoanei juridice solicitante sunt transmise ORNISS, spre analiză, cu specificarea acordului conducerii persoanei juridice că acestea pot fi puse la dispoziţia entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS.

    ART. 44
    În procesul de analiză a procedurilor de lucru privind evaluarea TEMPEST, prevăzute la art. 43, ORNISS poate solicita sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5.

    ART. 45
    În termen de maximum 45 de zile lucrătoare de la primirea procedurilor de lucru, ORNISS întocmeşte şi transmite persoanei juridice solicitante concluziile analizei acestei documentaţii.

    ART. 46
    (1) În cazul în care procedurile de lucru privind evaluarea TEMPEST prevăzute la art. 43 necesită completări sau modificări, ORNISS informează persoana juridică solicitantă în acest sens.
    (2) După corectarea deficienţelor, persoana juridică solicitantă transmite ORNISS noua versiune a documentaţiei, care va fi reanalizată şi va face obiectul unui nou document cu concluzii.

    ART. 47
    În cazul în care se constată faptul că documentaţia este completă şi corect întocmită, ORNISS informează solicitantul cu privire la posibilitatea continuării procesului de acreditare.

    ART. 48
    Procesul de acreditare va urma în continuare etapele descrise la punctele 3.1 şi 3.2. Pentru aceste activităţi, ORNISS poate solicita sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5.

    ART. 49
    Entităţile producătoare acreditate cu capacităţi de evaluare TEMPEST vor putea opta pentru certificarea loturilor de produse realizate pe baza prototipurilor aprobate, prin evaluarea unor eşantioane din acestea de către entităţile evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu reglementările emise de ORNISS.

    ART. 50
    Entitatea producătoare de echipamente TEMPEST, acreditată de ORNISS, care deţine capacităţi de evaluare a acestora şi nu face parte din cadrul ADS, poate realiza evaluări ale echipamentelor din această categorie numai pentru propriile produse, realizate pe baza unui prototip aprobat conform reglementărilor naţionale în vigoare.


    SECŢIUNEA a 5-a
    Activităţi post-acreditare
    ART. 51
    Pe toată perioada de valabilitate a certificatului de acreditare, ORNISS desfăşoară inspecţii post-acreditare pentru a verifica menţinerea respectării criteriilor de acreditare.

    ART. 52
    Verificările post-acreditare sunt realizate anual sau ori de câte ori ORNISS primeşte notificarea de la reprezentantul legal al entităţii producătoare cu privire la modificări survenite în organizarea sau activitatea din domeniul TEMPEST, modificări care pot influenţa procesul de producţie sau evaluare, după caz, precum şi în cazul în care ORNISS primeşte sesizări privind neconformităţi în derularea acestor activităţi sau privind nerespectarea criteriilor în baza cărora a fost acordată acreditarea.

    ART. 53
    În cazul în care verificările implică şi inspecţii la sediul entităţii producătoare, acestea vor fi realizate de către o comisie formată din reprezentanţi ai ORNISS. Pentru aceste activităţi, ORNISS poate solicita sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu art. 5.

    ART. 54
    Verificările au ca scop analiza modului de menţinere a respectării criteriilor în baza cărora a fost emisă acreditarea şi a faptului că nu au avut loc modificări ale proceselor de producţie, de evaluare sau ale produselor aprobate.

    ART. 55
    Pe durata inspecţiilor, entitatea producătoare are obligaţia să permită accesul comisiei de inspecţie la facilităţile de producţie sau evaluare, după caz, şi să pună la dispoziţia acesteia documentele relevante scopului inspecţiei.

    ART. 56
    Entitatea producătoare are obligaţia de a raporta ORNISS orice modificare de natură organizatorică, funcţională sau structurală care poate afecta îndeplinirea criteriilor în baza cărora a fost emisă acreditarea.

    ART. 57
    În funcţie de natura modificării, ORNISS poate decide cu privire la reluarea tuturor etapelor procesului de acreditare, a anumitor etape aferente acestui proces sau la retragerea acreditării.

    SECŢIUNEA a 6-a
    Prelungirea acreditării
    ART. 58
    (1) Reprezentantul legal al entităţii producătoare poate solicita ORNISS prelungirea certificatului de acreditare.
    (2) Solicitarea se transmite ORNISS cu cel puţin 90 de zile lucrătoare înainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care îl deţine.

    ART. 59
    (1) În această etapă ORNISS verifică, atât scriptic, cât şi la faţa locului, menţinerea conformităţii cu criteriile de acreditare, modul în care au fost îndeplinite obligaţiile ce revin entităţii producătoare prin certificatul de acreditare.
    (2) În urma verificării prevăzute la alin. (1), directorul general al ORNISS ia decizia privind reacreditarea.

    ART. 60
    (1) În cazul în care entitatea producătoare nu doreşte reînnoirea acreditării, transmite ORNISS originalul certificatului de acreditare în termen de maximum 10 zile lucrătoare de la data expirării acestuia.
    (2) În situaţia prevăzută la alin. (1), entitatea producătoare returnează ORNISS documentele clasificate puse la dispoziţie în vederea derulării activităţilor în domeniul TEMPEST.

    ART. 61
    ORNISS actualizează Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC prin ştergerea entităţii producătoare din Lista producătorilor TEMPEST naţionali.

    SECŢIUNEA a 7-a
    Anularea certificatului de acreditare acordat entităţii producătoare
    ART. 62
    În cazul în care ORNISS constată faptul că entitatea producătoare nu mai îndeplineşte criteriile de acreditare, directorul general al ORNISS poate lua decizia anulării certificatului de acreditare.

    ART. 63
    Procedura de anulare a certificatului de acreditare poate fi declanşată în următoarele situaţii:
    a) entitatea producătoare nu mai îndeplineşte condiţiile de acces la informaţii clasificate;
    b) entitatea producătoare nu şi-a respectat obligaţiile ce îi revin conform certificatului de acreditare;
    c) entitatea producătoare nu a informat ORNISS sau a furnizat date false cu privire la activităţile din domeniu TEMPEST;
    d) în cazul în care în cadrul entităţii producătoare au loc incidente de securitate, care pot afecta activitatea TEMPEST;
    e) entitatea producătoare nu şi-a îndeplinit obligaţiile de raportare periodică a situaţiei produselor TEMPEST fabricate/livrate, conform reglementărilor naţionale în vigoare;
    f) din motive ce privesc apărarea naţională sau siguranţa statului;
    g) entităţii producătoare i-au fost anulate aprobările pentru două sau mai multe produse TEMPEST.


    ART. 64
    ORNISS notifică entitatea producătoare, în scris, cu privire la intenţia de a anula certificatul de acreditare, precizând motivele pentru care a luat o astfel de decizie.

    ART. 65
    ORNISS acordă entităţii producătoare un termen de maximum 14 zile lucrătoare în care entitatea poate prezenta argumente cu privire la necesitatea menţinerii acreditării şi măsurile aplicate menite să corecteze neconformităţile.

    ART. 66
    După analiza de către ORNISS, cu sprijinul entităţilor evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, conform art. 5, a aspectelor formulate de către entitatea producătoare, directorul general al ORNISS ia o decizie cu privire la anularea certificatului de acreditare.

    ART. 67
    Decizia se comunică în scris entităţii producătoare, precizându-se data de la care se aplică.

    ART. 68
    De la momentul notificării prevăzute la art. 64 până la momentul comunicării deciziei, prevăzute la art. 67, activitatea producătorului în domeniul TEMPEST se suspendă.

    ART. 69
    În termen de 10 zile lucrătoare de la data anulării, entitatea producătoare returnează ORNISS certificatul anulat, precum şi toate informaţiile şi materialele clasificate puse la dispoziţie în baza acreditării, pentru desfăşurarea de activităţi în domeniul TEMPEST.

    ART. 70
    ORNISS actualizează Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC prin eliminarea entităţii producătoare din Lista producătorilor TEMPEST naţionali.

    ART. 71
    Entitatea producătoare poate solicita demararea unui nou proces de acreditare, după remedierea deficienţelor constatate.

    ANEXA 1

    la metodologie
    CRITERII DE ACREDITARE
    A. Management
    A.1. Cerinţe privind statutul juridic
    C1 Entitatea ce solicită acreditarea pentru desfăşurarea de activităţi în domeniul TEMPEST trebuie să aibă personalitate juridică română.

    A.2. Cerinţe privind organizarea
    C2 În cazul în care persoana juridică solicitantă face parte din structura organizatorică a unei persoane juridice cu un obiect de activitate mai larg, schema de organizare (organigrama) trebuie să reflecte în mod distinct compartimentul TEMPEST, iar responsabilităţile personalului de conducere trebuie clar definite, pentru a evita eventuale conflicte de interese cu alte compartimente.
    C3 Organizarea persoanei juridice solicitante şi responsabilităţile acesteia trebuie atent şi clar definite. Atribuirea responsabilităţilor trebuie să fie făcută conform regulamentului intern de organizare şi funcţionare. Suplimentar, acest regulament trebuie să specifice:
    • modul de organizare generală a persoanei juridice solicitante şi structura managementului, cu precizarea responsabilităţilor fiecărei poziţii în activităţile de producţie;
    • modul de organizare a activităţilor tehnice şi existenţa următoarelor funcţii:
    - director tehnic - responsabil de operaţiile tehnice, gestionează resursele necesare asigurării calităţii activităţilor din domeniul TEMPEST;
    – directorul pentru asigurarea calităţii - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) are responsabilitatea şi autoritatea de a asigura implementarea sistemului calităţii. Directorul pentru asigurarea calităţii trebuie să participe la procesul de luare a deciziilor privind probleme de politici sau legate de resursele entităţii producătoare;
    – şeful structurii de securitate/funcţionarul de securitate al entităţii producătoare - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) este însărcinat cu definirea, implementarea, verificarea aplicării şi menţinerea procedurilor de securitate în cadrul persoanei juridice solicitante. El va verifica aplicarea procedurilor de securitate stabilite la nivelul persoanei juridice solicitante.

    Aceeaşi persoană poate deţine una sau mai multe funcţii dacă acest lucru este aprobat de directorul general, cu excepţia cazurilor menţionate mai sus.

    C4 Pentru personalul persoanei juridice solicitante implicat în activităţile din domeniul TEMPEST trebuie clar definite responsabilitatea, autoritatea şi căile de raportare.

    A.3. Sistemul de asigurare a calităţii
    C5 Persoana juridică solicitantă trebuie să implementeze şi să menţină un sistem al calităţii adecvat pentru activităţile din domeniul TEMPEST, certificat conform ISO 9001 de către o autoritate de certificare autorizată.

    A.4. Cerinţe de securitate
    C6 Persoana juridică solicitantă trebuie să definească o politică de securitate, specificând metodele şi condiţiile referitoare la protecţia informaţiilor clasificate aflate în posesia sa, necesare în activitatea în domeniul TEMPEST. Toate persoanele participante la activitatea de producţie în domeniul TEMPEST trebuie să cunoască şi să respecte această politică. Politica de securitate trebuie să precizeze modul în care se asigură protecţia informaţiilor clasificate în toate etapele activităţilor din domeniul TEMPEST.
    A.4.1. Proceduri de securitate
    C7 Politica de securitate trebuie să definească:
    • obiectivele securităţii;
    • structura desemnată cu implementarea şi verificarea măsurilor pentru îndeplinirea acestor obiective;
    • procedurile de securitate pentru:
    - protecţia/securitatea fizică a locaţiilor în care se desfăşoară activităţile din domeniul TEMPEST şi se păstrează documente clasificate;
    – securitatea personalului;
    – conştientizarea personalului implicat în activităţile din domeniul TEMPEST;
    – protecţia informaţiilor legate de activităţile din domeniul TEMPEST pentru care se solicită acreditarea;
    – controlul accesului la informaţii;
    – protecţia arhivelor şi a comunicaţiilor;
    – accesul vizitatorilor în locaţiile în care se desfăşoară activităţile din domeniul TEMPEST şi în acelea în care se gestionează documente clasificate.

    Lista nu este exhaustivă, fiind prezentată cu titlu exemplificativ.

    C8 Politica de securitate trebuie să stabilească managementul informaţiilor clasificate, indiferent de formatul acestora (hârtie, electronic).

    A.4.2. Securitatea personalului
    C9 Dacă în cursul activităţilor pe care le desfăşoară personalul persoanei juridice solicitante trebuie să aibă acces la informaţii clasificate, acesta trebuie să deţină certificare de securitate, conform prevederilor legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate.
    C10 Personalul implicat în activităţile din domeniul TEMPEST pentru care se solicită acreditarea trebuie să semneze un angajament din care să reiasă faptul că a luat la cunoştinţă şi se angajează să aplice prevederile legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate şi procedurile de securitate aplicabile în cadrul entităţii producătoare.
    C11 Personalul trebuie să fie instruit să aplice procedurile de securitate stabilite prin politica de securitate.

    A.4.3. Securitatea informaţiilor
    C12 Persoana juridică solicitantă trebuie să asigure protecţia informaţiilor clasificate, cu respectarea principiului „nevoii de a cunoaşte“.
    C13 Persoana juridică solicitantă trebuie să dezvolte şi să aplice proceduri prin care să asigure protecţia informaţiilor gestionate în contextul activităţilor din domeniul TEMPEST. Aceste proceduri trebuie să includă următoarele elemente, dar să nu se limiteze la acestea:
    - separarea accesului la date (separarea datelor aferente activităţii din domeniul TEMPEST de cele aferente altor activităţi, separarea datelor referitoare la procese de producţie sau evaluare, după caz, diferite, protejarea datelor transmise în afara entităţii producătoare etc.);
    – gestionarea documentelor clasificate corespunzător tipului şi nivelului maxim de clasificare a acestora;
    – protecţia informaţiilor vehiculate în format electronic, concretizată în acreditarea de securitate a sistemelor informatice pe care se vehiculează astfel de informaţii;
    – protecţia datelor (arhivare, copii de siguranţă, refacerea datelor etc.).




    B. Locaţiile în care se desfăşoară activitatea de producţie
    B.1. Locaţiile şi mediul
    C14 Persoana juridică solicitantă trebuie să deţină locaţii tehnice bine delimitate pentru desfăşurarea activităţilor în domeniul TEMPEST.
    C15 Măsurile de securitate fizică şi controalele de mediu implementate trebuie să fie în concordanţă cu activităţile pentru care se solicită acreditarea.

    B.2. Instrumente şi echipamente
    C16 Persoana juridică solicitantă trebuie să dispună de instrumente şi echipamente adecvate pentru derularea eficientă a procesului de producţie în domeniul TEMPEST şi a procesului de evaluare TEMPEST, după caz.
    C17 Fiecare echipament sau produs software care poate influenţa activitatea în domeniul TEMPEST trebuie luat în evidenţă şi marcat în mod unic.
    C18 Echipamentele pot fi utilizate numai de către personalul autorizat. Operarea şi administrarea instrumentelor trebuie să se realizeze conform unor instrucţiuni cunoscute de către personalul autorizat.


    C. Pregătirea personalului în domeniul tehnic
    C19 Persoana juridică solicitantă trebuie să aibă personal cu experienţa necesară pentru desfăşurarea activităţilor în domeniul TEMPEST.
    C20 Conducerea persoanei juridice solicitante are responsabilitatea de a asigura instruirea personalului implicat în activităţile din domeniul TEMPEST, precum şi pregătirea specifică a angajaţilor desemnaţi să utilizeze instrumente specifice. Angajaţii aflaţi în perioada de instruire trebuie supravegheaţi de personal cu experienţă.
    C21 Procedura de recrutare a personalului persoanei juridice solicitante trebuie să reflecte responsabilităţile care revin entităţii ca urmare a acreditării. Procedura va include o verificare a candidaţilor, pentru a se asigura faptul că întrunesc criteriile de acreditare.
    C22 Fiecare angajat al persoanei juridice solicitante trebuie înştiinţat de responsabilităţile sale. Acest lucru implică o definire a tuturor responsabilităţilor legate de activitatea în domeniul TEMPEST.
    C23 Persoana juridică solicitantă trebuie să precizeze obiectivele programelor de instruire şi perfecţionare a angajaţilor săi. Programul de instruire trebuie să fie coerent şi bazat pe nevoile specifice ale entităţii.
    C24 Angajaţii persoanei juridice solicitante pot fi implicaţi în alte activităţi decât cele în domeniul TEMPEST, pe perioade limitate, dar activitatea lor de bază trebuie să fie cea în domeniul TEMPEST.

    D. Metode şi proceduri de lucru
    C25 Fiecare dintre produsele TEMPEST realizate de către persoana juridică solicitantă trebuie să aibă la bază un proiect.
    C26 În documentele interne care stabilesc modul de organizare şi funcţionare a persoanei juridice solicitante trebuie să se stabilească funcţiile care au responsabilitatea întocmirii şi, respectiv, avizării şi aprobării proiectelor de produs.
    C27 În documentele interne care stabilesc modul de organizare şi funcţionare a persoanei juridice solicitante trebuie să se stabilească etapele de elaborare pentru un proiect de realizare a unui produs TEMPEST.
    C28 Se va preciza dacă în cadrul realizării unui produs se va apela la determinări (teste) efectuate în cadrul unei entităţi evaluatoare în domeniul TEMPEST acreditate în cadrul ADS sau realizarea se bazează exclusiv pe teste executate în cadrul entităţii producătoare.
    C29 Persoana juridică solicitantă trebuie să dispună de capacităţi de testare pe linia de producţie şi de evaluare TEMPEST, după caz.
    C30 Procedurile tehnice de lucru privind activitatea de producţie în domeniul TEMPEST trebuie să precizeze:
    - procedura de selectare a componentelor sau subansamblelor critice din punct de vedere TEMPEST şi de control al conformităţii acestora din punct de vedere TEMPEST, înainte de introducerea în producţie;
    – procedura prin care se asigură reproductibilitatea TEMPEST a echipamentelor produse;
    – testele pe linia de producţie şi de evaluare TEMPEST, după caz;
    – proceduri privind asigurarea pieselor de schimb din punct de vedere TEMPEST;
    – proceduri privind asigurarea întreţinerii (service-ului) produselor livrate. Procedurile trebuie să stabilească modul în care se procedează pentru verificarea conformităţii TEMPEST a produsului, în urma intervenţiei efectuate.

    C31 Procedurile de evaluare TEMPEST trebuie să fie în acord cu standardele specializate pentru această activitate.
    C32 Persoana juridică solicitantă trebuie să elaboreze un manual (proceduri) de întreţinere hardware a produselor TEMPEST.
    C33 Persoana juridică solicitantă trebuie să aibă proceduri cu privire la instruirea utilizatorilor produselor TEMPEST asupra modului de păstrare a caracteristicilor critice de atenuare a emisiilor compromiţătoare, respectiv integritatea TEMPEST a produselor, restricţii şi precauţii ce se impun în acest sens.
    C34 Sistemul calităţii implementat de persoana juridică solicitantă trebuie să se reflecte asupra activităţii în domeniul TEMPEST.
    C35 Persoana juridică solicitantă trebuie să păstreze documente care să precizeze testele efectuate pe parcursul procesului de producţie şi evaluare, după caz, şi rezultatele acestor teste.
    C36 Persoana juridică solicitantă trebuie să aibă proceduri privind realizarea testelor de anduranţă asupra produselor TEMPEST realizate.
    C37 Persoana juridică solicitantă trebuie să aibă proceduri privind ambalarea produselor TEMPEST în vederea transportului, pentru a evita degradarea caracteristicilor TEMPEST.
    C38 Persoana juridică solicitantă trebuie să aibă proceduri privind modul în care se asigură transportul produselor TEMPEST, pentru a se garanta integritatea TEMPEST a acestora.
    C39 Persoana juridică solicitantă trebuie să aibă proceduri privind efectuarea intervenţiilor asupra produselor care au fost deja testate.
    C40 Persoana juridică solicitantă trebuie să păstreze un registru de evidenţă a reparaţiilor (intervenţiilor) efectuate asupra produselor TEMPEST.
    C41 Persoana juridică solicitantă trebuie să aibă proceduri privind asigurarea calităţii TEMPEST a produselor livrate, în perioada de garanţie.
    C42 Persoana juridică solicitantă trebuie să aibă proceduri privind desfăşurarea relaţiei cu entitatea evaluatoare în domeniul TEMPEST acreditată în cadrul ADS, inclusiv elementele care se pun la dispoziţia entităţii evaluatoare, pentru a asigura coerenţa şi eficienţa procesului de evaluare.


    ------

Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016