Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X
ORDIN nr. 1.000 din 26 noiembrie 2010 pentru modificarea si completarea Ordinului ministrului comunicatiilor si societatii informationale nr. 473/2009 privind procedura de acordare, suspendare si retragere a deciziei de acreditare a furnizorilor de servicii de certificare
Având în vedere prevederile <>art. 36 şi 37 din Legea nr. 455/2001 privind semnãtura electronicã, precum şi ale <>art. 16-20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnãtura electronicã, aprobate prin <>Hotãrârea Guvernului nr. 1.259/2001, cu modificãrile ulterioare, în temeiul art. 4 alin. (1) pct. 55 şi al <>art. 6 alin. (6) din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare,
ministrul comunicaţiilor şi societãţii informaţionale emite prezentul ordin.
ART. I <>Ordinul ministrului comunicaţiilor şi societãţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat în Monitorul Oficial al României, Partea I, nr. 411 din 16 iunie 2009, se modificã şi se completeazã dupã cum urmeazã:
1. La articolul 1, alineatul (2) se modificã şi va avea urmãtorul cuprins: "(2) Prezentul ordin stabileşte condiţiile, conţinutul, durata de valabilitate şi efectele suspendãrii sau retragerii deciziei de acreditare a furnizorilor de servicii de certificare."
2. Dupã articolul 3 se introduc opt noi articole, articolele 3^1-3^8, cu urmãtorul cuprins: "Art. 3^1. - (1) În vederea acreditãrii, furnizorul de certificate calificate trebuie sã facã dovada deţinerii: a) a cel puţin 5 angajaţi care au diplomã de absolvire a unei forme de învãţãmânt superior de lungã duratã, eliberatã de o instituţie de învãţãmânt superior acreditatã, având înscrisã una dintre urmãtoarele specializãri: automaticã, calculatoare, informaticã, matematicã, ciberneticã, electronicã. Angajaţii trebuie sã aibã cunoştinţe în domeniul securitãţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deţinerea cel puţin a uneia dintre certificãrile CISA, CISM sau CISSP recunoscute la nivel internaţional. Schema de personal va fi înaintatã autoritãţii şi publicatã în registrul furnizorilor. Orice modificare a schemei de personal va fi notificatã cãtre autoritate în termen de 10 zile lucrãtoare de la producerea acesteia; b) unei scheme de personal care sã asigure un flux continuu de emitere, suspendare şi revocare a certificatelor şi segregarea rolurilor angajaţilor, asigurând acoperirea cel puţin a urmãtoarelor roluri: operator pentru crearea cererilor de certificare (cel puţin douã persoane), operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin douã persoane), administrator al sistemului de certificare, administrator de securitate şi auditor intern. Schema de personal va fi înaintatã autoritãţii şi publicatã în registrul furnizorilor. Orice modificare a schemei de personal va fi notificatã cãtre autoritate în termen de 10 zile lucrãtoare de la producerea acesteia; c) unei arhitecturi distribuite a sistemului de certificare şi sistemului de înregistrare, separând logic şi fizic funcţionalitãţile publice: înregistrarea cererilor de certificate, registrul de certificate şi validarea certificatelor de emitere a certificatelor digitale. Furnizorul trebuie sã dovedeascã disponibilitatea lunarã de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor, precum şi a registrului de certificare. Disponibilitatea reprezintã capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcţionare în orice moment din intervalul de observaţie de o lunã calendaristicã. Disponibilitatea se calculeazã dupã formula:
T(O) - T(Î) D = ─────────── * 100 [%], T(O)
unde: T(O) = durata unei luni calendaristice, aproximatã la 30 zile * 24 ore * 60 minute = 43.200 minute; T(Î) = durata însumatã a întreruperilor de serviciu în minute. Arhitectura tehnicã şi dovada îndeplinirii condiţiilor de disponibilitate a soluţiei vor fi înaintate autoritãţii şi publicate în registrul furnizorilor;
d) unui sediu de rezervã pentru continuarea operaţiunilor în cazul apariţiei unui eveniment care sã împiedice utilizarea sediului principal. Sediul de rezervã trebuie sã rãspundã aceloraşi condiţii tehnice ca şi sediul principal şi sã parcurgã aceleaşi proceduri de audit. Documentaţia privind sediul de rezervã şi rapoartele de audit vor fi înaintate autoritãţii şi publicate în registrul furnizorilor; e) unor sisteme de management al calitãţii, management al securitãţii informaţionale, management de mediu şi management al sãnãtãţii şi securitãţii ocupaţionale, certificate în conformitate cu standardele ISO 9001, ISO 27001, ISO 14001, respectiv OHSAS 18001, sau ultimele versiuni ale acestora ori standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autoritãţii şi publicate în registrul furnizorilor. (2) Furnizorii de certificate calificate deja acreditaţi vor trebui sã facã dovada îndeplinirii condiţiilor prevãzute la alin. (1) lit. a)-e) în cel mult 6 luni de la data publicãrii în Monitorul Oficial al României, Partea I, a prezentului ordin. Art. 3^2. - Solicitarea acreditãrii se poate face nu înainte de un an de la începerea activitãţii ca furnizor de certificate calificate. Art. 3^3. - Raportul de audit care demonstreazã îndeplinirea condiţiilor de funcţionare ca furnizor acreditat va fi obligatoriu publicat de cãtre autoritate în registrul furnizorilor. Art. 3^4. - Orice modificare a soluţiei tehnice sau a procedurilor de lucru ale furnizorului va presupune reluarea procedurii de reînnoire a acreditãrii. În acest caz furnizorul este obligat sã reia procedura de acreditare în cel mult 10 zile de la producerea modificãrilor. Art. 3^5. - Pentru marcarea riguroasã a creãrii semnãturii electronice extinse şi verificarea ulterioarã a faptului cã la acel moment certificatul utilizat pentru crearea semnãturii nu era suspendat sau revocat, aşa cum este definit în <>art. 5 din Legea nr. 455/2001, se va realiza o marcã temporalã, aşa cum este definitã în <>Legea nr. 451/2004 privind marca temporalã. Art. 3^6. - Verificarea informaţiilor din cererea de eliberare a certificatului va fi realizatã atât la înregistrarea cererii, cât şi la emiterea certificatului, numai de personalul încadrat în schema de personal al furnizorului cu atribuţii în acest scop. Art. 3^7. - Autoritatea poate dispune suspendarea activitãţii furnizorului pânã la încetarea cauzelor care au determinat luarea mãsurii şi în urmãtoarele situaţii: 1. furnizorul nu îndeplineşte cerinţele privind personalul sau nu anunţã modificarea schemei de personal, aşa cum este prevãzut la art. 3^1 alin. (1) lit. a) şi b); 2. furnizorul nu asigurã disponibilitatea soluţiei sau nu anunţã modificãrile tehnice prevãzute la art. 3^1 alin. (1) lit. c); 3. furnizorul nu mai îndeplineşte cerinţele tehnice definite la art. 3^1 alin. (1) lit. d) şi e) şi la art. 3^5; 4. furnizorul nu îndeplineşte cerinţele definite la art. 3^6. Toate certificatele emise fãrã respectarea acestei prevederi vor fi revocate. Art. 3^8. - În cazurile prevãzute la art. 3^7 pct. 1-4, autoritatea are dreptul de a emite pretenţii asupra scrisorii de garanţie bancarã sau a poliţei de asigurare, în limita prejudiciului creat."
ART. II Prezentul ordin se publicã în Monitorul Oficial al României, Partea I.
Ministrul comunicaţiilor şi societãţii informaţionale, Valerian Vreme
Bucureşti, 26 octombrie 2010. Nr. 1.000.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
