Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   ORDIN nr. 21 din 28 martie 2012  privind aprobarea Metodologiei de evaluare si certificare a pachetelor, produselor si profilelor de protectie INFOSEC-INFOSEC 14    Twitter Facebook
Cautare document

ORDIN nr. 21 din 28 martie 2012 privind aprobarea Metodologiei de evaluare si certificare a pachetelor, produselor si profilelor de protectie INFOSEC-INFOSEC 14

EMITENT: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT
PUBLICAT: MONITORUL OFICIAL nr. 240 din 10 aprilie 2012

    În temeiul:
    - art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţã a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobatã prin Legea nr. 101/2003, cu modificãrile şi completãrile ulterioare;
    - art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptãrii/aprobãrii, aprobat prin Hotãrârea Guvernului nr. 561/2009,

    directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.

    ART. 1
    Se aprobã Metodologia de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, prevãzutã în anexa care face parte integrantã din prezentul ordin.
    ART. 2
    La data intrãrii în vigoare a prezentului ordin se abrogã Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 8/2010 privind aprobarea Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, publicat în Monitorul Oficial al României, Partea I, nr. 92 din 10 februarie 2010.
    ART. 3
    Procesele de certificare/recertificare aflate în curs de derulare la data prezentului ordin se desfãşoarã în conformitate cu prevederile Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, aprobatã prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 8/2010.
    ART. 4
    Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.


                  Directorul general
        al Oficiului Registrului Naţional
         al Informaţiilor Secrete de Stat,
                   Marius Petrescu


    Bucureşti, 28 martie 2012.
    Nr. 21.


    ANEXÃ

                            METODOLOGIE
      de evaluare şi certificare a pachetelor, produselor şi profilelor
                       de protecţie INFOSEC-INFOSEC 14

    CAP. I
    Introducere

    SECŢIUNEA 1
    Scop

    ART. 1
    Prezenta metodologie stabileşte activitãţile aferente proceselor de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC, denumite în continuare produse INFOSEC, destinate protecţiei informaţiilor naţionale clasificate, vehiculate în sistemele informatice şi de comunicaţii naţionale, civile sau militare.
    ART. 2
    Procesele de evaluare şi certificare a produselor INFOSEC au urmãtoarele obiective:
    a) crearea posibilitãţii de utilizare a unor produse INFOSEC în sisteme informatice şi de comunicaţii care vehiculeazã informaţii clasificate;
    b) verificarea şi confirmarea nivelului de încredere ce poate fi acordat funcţiilor de securitate ale unui produs INFOSEC;
    c) stabilirea unei baze de comparaţie între diferite produse INFOSEC;
    d) perfecţionarea procedurilor naţionale de evaluare a produselor INFOSEC.

    SECŢIUNEA a 2-a
    Definiţii

    ART. 3
    În sensul prezentei metodologii, urmãtorii termeni şi sintagme se definesc dupã cum urmeazã:
    a) certificare - emiterea unui document oficial, bazat pe o analizã independentã a unei evaluãri şi a rezultatelor acestei evaluãri, conform cãruia produsul evaluat satisface parametrii de securitate predefiniţi. Prin certificare se analizeazã rezultatele evaluãrii şi se stabileşte dacã criteriile şi metodele de evaluare au fost aplicate în mod corect. Procesul de certificare verificã uniformitatea şi corectitudinea procedurilor de evaluare, precum şi consecvenţa şi compatibilitatea rezultatelor evaluãrii;
    b) evaluare - examinarea detaliatã, din punct de vedere tehnic şi funcţional, a produselor INFOSEC, din punct de vedere al securitãţii.Prin procesul de evaluare se verificã cel puţin:
    (i) prezenţa facilitãţilor/funcţiilor de securitate cerute;
    (ii) absenţa efectelor secundare compromiţãtoare care ar putea decurge din implementarea facilitãţilor de securitate;
    (iii) funcţionalitatea globalã a produsului INFOSEC;
    (iv) nivelul de încredere al produsului INFOSEC;
    c) imparţialitate - principiu conform cãruia nu existã factori care pot influenţa desfãşurarea procesului de evaluare şi rezultatele acestui proces;
    d) nivel de evaluare a asigurãrii (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune, care reprezintã un punct pe scara de asigurare predefinitã a Criteriilor comune;
    e) obiectivitate - principiu conform cãruia rezultatele unor teste de evaluare trebuie sã se bazeze pe fapte concrete, nu pe opiniile subiective ale evaluatorului. Obiectivitatea poate fi consolidatã, prin supunerea produsului la cel puţin douã evaluãri realizate de entitãţi independente (reproductibilitate);
    f) pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate;
    g) produs - un pachet de software, firmware şi/sau hardware IT, care furnizeazã o funcţionalitate destinatã utilizãrii sau incorporãrii într-o multitudine de sisteme;
    h) profil de protecţie - un set de cerinţe de securitate independent de implementare pentru o categorie de TOE care satisface cerinţe specifice ale consumatorilor;
    i) repetabilitate - principiu conform cãruia repetarea evaluãrii aceluiaşi produs, în funcţie de aceeaşi ţintã de securitate, de cãtre aceeaşi entitate evaluatoare conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluãri a produsului;
    j) reproductibilitate - principiu conform cãruia repetarea evaluãrii aceluiaşi produs, în funcţie de aceeaşi ţintã de securitate, de cãtre o altã entitate evaluatoare conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluãri a produsului;
    k) solicitant - persoanã juridicã de drept public sau privat care solicitã evaluarea, certificarea şi aprobarea de includere în Catalogul naţional cu produse, profile şi pachete de protecţie a unui produs INFOSEC. Solicitantul poate fi şi o altã persoanã juridicã diferitã de producãtor (de exemplu, dezvoltator, utilizator, comerciant, integrator);
    l) ţintã de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentã de utilizator şi administrator care constituie subiectul unei evaluãri;
    m) ţintã de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bazã pentru evaluarea unei TOE identificate.
    ART. 4
    În cuprinsul prezentei metodologii, prin produs criptografic se înţeleg acele produse criptografice care nu fac parte din categoria cifrului de stat.
    ART. 5
    În raport cu destinaţia de utilizare, produsele INFOSEC se împart în douã categorii: cu utilizare la nivel naţional şi cu regim limitat de distribuţie şi utilizare la nivelul Autoritãţilor desemnate de Securitate, denumite în continuare ADS, cu competenţe în coordonarea şi controlul mãsurilor de protecţie a informaţiilor naţionale clasificate ce vor fi protejate cu acestea.

    SECŢIUNEA a 3-a
    Cadru general

    ART. 6
    (1) Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, este responsabil de coordonarea proceselor de certificare a tuturor produselor INFOSEC destinate utilizãrii la nivel naţional, pentru care se solicitã includerea în Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC, denumit în continuare Catalog naţional.
    (2) Pentru produsele INFOSEC, altele decât cele criptografice:
    a) Evaluarea se realizeazã de cãtre o entitate acreditatã de cãtre ORNISS;
    b) ORNISS realizeazã certificarea, pe baza elementelor din Raportul tehnic de evaluare, denumit în continuare RTE, întocmit de entitatea care a realizat evaluarea.
    (3) Pentru produsele criptografice:
    a) Evaluarea şi certificarea se realizeazã de cãtre douã entitãţi evaluatoare aparţinând Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apãrãrii Naţionale (MApN);
    b) ORNISS emite certificatul, pe baza analizei documentelor transmise la ORNISS de cãtre cele douã instituţii ale cãror entitãţi evaluatoare au realizat evaluarea şi certificarea; din documente trebuie sã reiasã conformitatea produselor cu standardele aplicabile, precum şi eventuale condiţii şi termene de valabilitate a rezultatelor testãrii, eventuale cerinţe/condiţii/ instrucţiuni de utilizare.
    (4) În situaţii excepţionale, când se apreciazã cã existã o ameninţare semnificativã la adresa securitãţii sistemelor informatice şi de comunicaţii naţionale, astfel încât existã riscul major de prejudiciere în mod deosebit de grav a intereselor naţionale, ORNISS poate decide asupra necesitãţii unor evaluãri suplimentare a produselor INFOSEC, altele decât cele criptografice.
    ART. 7
    (1) Certificarea produselor INFOSEC cu regim limitat de distribuţie şi utilizare, cu excepţia produselor criptografice, se realizeazã în cadrul ADS, de cãtre structura internã INFOSEC acreditatã de ORNISS, cu competenţe în coordonarea şi controlul mãsurilor de protecţie a informaţiilor naţionale clasificate, pe baza RTE realizat de o entitate evaluatoare acreditatã de ORNISS.
    (2) Aprobarea produselor criptografice cu regim limitat de distribuţie şi utilizare destinate protecţiei informaţiilor naţionale clasificate se realizeazã în cadrul ADS, de cãtre structura internã INFOSEC acreditatã de ORNISS, în urma evaluãrii şi certificãrii acestora de cãtre douã entitãţi evaluatoare aparţinând SIE, SRI sau MApN.
    (3) În cazul în care în cadrul ADS nu existã o structurã internã INFOSEC acreditatã de ORNISS, certificarea se realizeazã de cãtre ORNISS.
    (4) La nivelul SIE, SRI şi MApN utilizarea produselor criptografice destinate protecţiei informaţiilor naţionale clasificate şi constituirea registrelor de evidenţã a pachetelor, produselor şi profilelor de protecţie INFOSEC se stabilesc prin norme proprii.

    CAP. II
    Descrierea metodologiei de evaluare

    Etapa 1 - Demararea procesului de evaluare

    ART. 8
    În vederea demarãrii procesului de evaluare a unui produs INFOSEC destinat utilizãrii la nivel naţional, persoanele juridice trebuie sã adreseze ORNISS o solicitare scrisã.
    ART. 9
    Solicitarea de demarare a procesului de evaluare trebuie sã fie însoţitã de documentaţie care sã precizeze cel puţin urmãtoarele aspecte:
    a) descrierea generalã a produsului pentru care se solicitã evaluarea;
    b) ţinta de securitate;
    c) clasa şi, dupã caz, nivelul de secretizare pentru care se doreşte a fi utilizat produsul;
    d) manualul de administrare şi utilizare (hârtie/electronic);
    e) copii dupã certificate anterioare, dacã este cazul.
    ART. 10
    ORNISS, prin Agenţia de Securitate pentru Informaticã şi Comunicaţii (ASIC) din cadrul sãu, analizeazã solicitarea primitã.
    ART. 11
    În cazul în care se constatã cã datele cuprinse în cererea de certificare sau în documentaţia anexatã nu sunt complete, ORNISS informeazã solicitantul, în vederea furnizãrii informaţiilor adiţionale necesare.
    ART. 12
    Dacã cererea conţine toate datele menţionate, se vor întreprinde urmãtoarele demersuri, dupã caz:
    a) În cazul produselor INFOSEC, cu excepţia celor criptografice:
    (i) ORNISS notificã solicitantul în vederea identificãrii entitãţii evaluatoare disponibile pentru efectuarea evaluãrii;
    (ii) Solicitantul identificã entitatea evaluatoare şi notificã ORNISS cu privire la selectarea acesteia;
    (iii) ORNISS transmite cãtre entitatea evaluatoare o adresã de solicitare a activitãţii de evaluare.
    b) În cazul produselor criptografice, ORNISS notificã SIE, SRI şi MApN, care vor stabili de comun acord asupra celor douã entitãţi care vor efectua evaluarea şi vor informa ORNISS cu privire la selectarea acestor entitãţi.
    c) Notificãrile transmise de ORNISS cãtre entitãţile evaluatoare includ toate datele prevãzute la art. 9.
    ART. 13
    Dupã analiza documentaţiei prevãzute la art. 9, în caz de neacceptare a procesului de evaluare, entitatea evaluatoare notificã ORNISS, care va informa solicitantul cu privire la aceastã decizie.
    ART. 14
    (1) În cazul în care entitatea/entitãţile evaluatoare acceptã sã demareze procesul de evaluare, solicitantul pune la dispoziţia acesteia/acestora cel puţin urmãtoarele elemente:
    a) produsul de evaluat, incluzând:
    (i) componentele hardware, software şi firmware;
    (ii) eventual alte componente necesare realizãrii infrastructurii de testare;
    b) documentaţie tehnicã, care, în funcţie de tipul produsului, trebuie sã includã cel puţin:
    (i) documentaţie tehnicã, proceduri operaţionale de securitate;
    (ii) descrierea arhitecturii fizice şi logice;
    (iii) specificaţii algoritm, cod sursã, mod de lucru, vectori de test, în cazul produselor criptografice;
    (iv) descrierea parametrilor critici de securitate;
    c) teste proprii, platforme de testare şi documentaţie aferentã, incluzând rezultatele testelor anterioare.
    (2) În funcţie de tipul informaţiilor care trebuie puse la dispoziţia entitãţii/entitãţilor evaluatoare, între solicitant şi entitatea/entitãţile evaluatoare se pot încheia acorduri de confidenţialitate, în baza cãrora aceste informaţii sunt transmise.
    ART. 15
    Procesul de evaluare se considerã demarat dupã încheierea unui document de acceptare, de exemplu, contract, acord etc., între solicitant şi entitatea/entitãţile evaluatoare.
    ART. 16
    Evaluatorul întocmeşte lista cu elementele necesare evaluãrii şi stabileşte datele la care acestea trebuie sã îi fie puse la dispoziţie.
    ART. 17
    În cazul în care solicitantul evaluãrii nu este acelaşi cu producãtorul produsului supus evaluãrii, în vederea asigurãrii protecţiei unor informaţii specifice, acestea pot fi puse la dispoziţia evaluatorului direct de producãtor.
    ART. 18
    Este important ca obiectivele evaluãrii sã fie clar definite de solicitant, înţelese de evaluator şi transmise cãtre toate pãrţile implicate în procesul de evaluare a produsului. Persoana responsabilã cu coordonarea procesului de evaluare trebuie sã verifice cã toate persoanele implicate în acest proces cunosc scopul şi obiectivele evaluãrii, precum şi responsabilitãţile pe care le au în acest proces.

    Etapa a 2-a - Desfãşurarea procesului de evaluare

    1. Elemente generale
    ART. 19
    Evaluarea produselor INFOSEC se realizeazã de cãtre entitãţi evaluatoare acreditate, potrivit reglementãrilor în vigoare.
    ART. 20
    (1) Procesul de evaluare a produselor INFOSEC se desfãşoarã pe baza a 3 elemente:
    a) criterii;
    b) metodologie;
    c) modul de derulare a proceselor de evaluare şi certificare de securitate.
    (2) Criteriile reprezintã normele şi principiile faţã de care poate fi mãsuratã securitatea unui produs INFOSEC, în vederea evaluãrii, dezvoltãrii şi achiziţiei, iar metodologia stabileşte modul în care trebuie realizatã evaluarea, în baza criteriilor.
    ART. 21
    Evaluarea securitãţii pe care o pot asigura produsele INFOSEC se realizeazã în conformitate cu standarde naţionale sau standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO sau UE.

    2. Obiectivele evaluãrii
    ART. 22
    Obiectivul principal al procesului de evaluare de securitate constã în verificarea faptului cã funcţiile de securitate ale produsului sunt conforme cu ţinta de securitate.
    ART. 23
    Procesul de evaluare de securitate asigurã un anumit nivel de încredere în faptul cã produsul nu prezintã vulnerabilitãţi care pot fi exploatate.
    ART. 24
    În contextul evaluãrii şi certificãrii produselor INFOSEC trebuie acordatã o atenţie deosebitã principiilor repetabilitãţii, reproductibilitãţii, imparţialitãţii şi obiectivitãţii.
    ART. 25
    Respectarea acestor 4 principii trebuie sã fie verificatã de ORNISS în cursul procesului de certificare.

    3. Întocmirea planului de activitãţi privind evaluarea
    ART. 26
    Pentru a descrie structura unui proces de evaluare, precum şi conexiunile dintre diferitele activitãţi aferente procesului, evaluatorul trebuie sã întocmeascã un plan de activitãţi privind evaluarea, denumit în continuare PAE.
    ART. 27
    PAE trebuie sã descrie modul în care sunt organizate activitãţile legate de procesul de evaluare şi interrelaţionarea acestor activitãţi.
    ART. 28
    PAE trebuie întocmit astfel încât sã fie aplicabil atât pentru evaluarea unei game de produse, cât şi pentru diferite niveluri ale evaluãrii.
    ART. 29
    Acest document oferã o prezentare generalã asupra modului în care trebuie realizatã evaluarea, în conformitate cu criterii şi metodologii de evaluare specifice.

    4. Desfãşurarea evaluãrii
    ART. 30
    Activitatea entitãţii evaluatoare trebuie sã fie conformã cu cerinţele standardelor de calitate şi cu criteriile stabilite în Metodologia de acreditare a entitãţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12.
    ART. 31
    Procesul de evaluare trebuie sã includã cel puţin urmãtoarele activitãţi:
    a) verificarea faptului cã elementele necesare evaluãrii sunt conforme cu cerinţele criteriilor de evaluare;
    b) verificarea faptului cã cerinţele de securitate specificate în ţinta de securitate sunt implementate în mod adecvat;
    c) verificarea faptului cã produsul operaţional nu prezintã vulnerabilitãţi exploatabile.
    ART. 32
    Prezenta metodologie stabileşte cadrul general al activitãţilor legate de procesul de evaluare şi certificare, iar la implementarea sa trebuie ţinut cont de faptul cã pentru fiecare produs specific pot fi necesare diferite activitãţi şi niveluri de evaluare.
    ART. 33
    Anexa nr. 1 prezintã o listã exemplificativã cu activitãţi aferente procesului de evaluare.
    ART. 34
    Observaţiile şi rezultatele fiecãrei activitãţi din procesul de evaluare trebuie consemnate într-un RTE.
    ART. 35
    Pe toatã durata procesului de evaluare oricare dintre pãrţile implicate poate solicita organizarea unor şedinţe de lucru sau informaţii suplimentare, pentru clarificarea aspectelor de naturã tehnicã.
    ART. 36
    În situaţia în care unele activitãţi aferente procesului de evaluare impun efectuarea unor teste la sediul solicitantului sau dezvoltatorului, producãtorului sau utilizatorului produsului, acestea trebuie sã se realizeze în baza unor înţelegeri scrise între pãrţile implicate şi, în cazul unor testãri care presupun acces la informaţii clasificate secret de stat, notificarea prealabilã a ORNISS.
    ART. 37
    În cazul în care ORNISS considerã necesar, poate participa la testele efectuate la sediul solicitantului sau dezvoltatorului.
    ART. 38
    În cazul în care evaluarea este întreruptã din diferite cauze, de exemplu rezilierea contractului/încetarea acordului, entitatea evaluatoare trebuie sã notifice ORNISS cu privire la acest lucru.

    Etapa a 3-a - Finalizarea procesului de evaluare

    Întocmirea RTE

    ART. 39
    La finalul activitãţilor de evaluare, evaluatorul are obligaţia sã întocmeascã un RTE.
    ART. 40
    RTE are urmãtoarea structurã:
    a) descrierea activitãţilor desfãşurate în procesul de evaluare;
    b) prezentarea rezultatelor obţinute şi a concluziilor rezultate din activitãţile desfãşurate.
    ART. 41
    Entitatea evaluatoare transmite cãtre solicitantul evaluãrii elemente din RTE, cu respectarea principiului necesitãţii de a cunoaşte.
    ART. 42
    În cazul în care dezvoltatorul produsului nu este totodatã şi solicitantul evaluãrii, existã posibilitatea transmiterii anumitor pãrţi din RTE cãtre dezvoltator, dar numai cu acordul solicitantului evaluãrii.
    ART. 43
    Anexa nr. 2 prezintã un model de RTE, detaliind conţinutul fiecãrui capitol şi al fiecãrei secţiuni.
    ART. 44
    (1) În vederea certificãrii produselor INFOSEC, altele decât cele criptografice, entitatea evaluatoare transmite la ORNISS un document de sintezã a RTE, care sã cuprindã cel puţin urmãtoarele elemente:
    a) denumirea şi descrierea caracteristicilor funcţionale şi de securitate ale produsului evaluat;
    b) configuraţia şi condiţiile în care a fost testat produsul;
    c) standardele şi metodologiile în conformitate cu care s-a realizat testarea şi evaluarea produsului;
    d) testele realizate şi rezultatele acestora;
    e) concluziile finale ale procesului de evaluare;
    f) condiţii şi termene de valabilitate a rezultatelor testãrii, eventuale cerinţe/condiţii/instrucţiuni de utilizare a produsului, astfel încât sã se asigure pãstrarea caracteristicilor de securitate şi funcţionale;
    g) numãrul RTE întocmit.
    (2) Pentru clarificarea unor aspecte specifice, ORNISS poate solicita entitãţii evaluatoare sã îi punã la dispoziţie o copie a RTE.
    (3) În cazul produselor criptografice, cele douã entitãţi care au realizat evaluarea şi certificarea transmit la ORNISS documente din care sã reiasã conformitatea produselor cu standardele aplicabile, precum şi eventuale condiţii şi termene de valabilitate a rezultatelor testãrii, eventuale cerinţe/condiţii/instrucţiuni de utilizare, astfel încât sã se asigure pãstrarea caracteristicilor de securitate şi funcţionale.

    CAP. III
    Descrierea metodologiei de certificare

    SECŢIUNEA 1
    Demararea procesului de certificare

    ART. 45
    Principalul obiectiv al certificãrii este acela de a furniza o confirmare independentã a faptului cã procesul de evaluare a fost realizat în mod corect, în conformitate cu criteriile, procedurile şi metodologiile recunoscute şi rezultatele evaluãrii sunt conforme cu elementele constatate. Totodatã, certificarea are rolul de a crea un climat de încredere şi de a confirma faptul cã entitãţile evaluatoare opereazã în conformitate cu aceleaşi standarde şi cã rezultatele obţinute de oricare dintre entitãţile evaluatoare sunt demne de încredere în egalã mãsurã.
    ART. 46
    Încrederea trebuie sã aibã la bazã respectarea principiilor imparţialitãţii, obiectivitãţii, repetabilitãţii şi reproductibilitãţii.
    ART. 47
    O descriere schematicã a procesului de certificare este prezentatã în schema de mai jos.

            Schema procesului de certificare a produselor INFOSEC utilizate
              în SIC care vehiculeazã informaţii naţionale clasificate



                   ┌────────────────────────────────┐
                   │ Solicitare adresatã ORNISS │
                   │ privind certificarea, anexând │
     Solicitant │ concluziile primite de la │
                   │entitatea/entitãţile evaluatoare│
                   └──────────────┬─────────────────┘ Solicitant
                                  │
                                  │ ┌─────────────────┐
                                  │◄─────────────────┤Furnizare de date│
                                  │ │ suplimentare │
                                  │ └─────────────────┘
                                  ▼ ▲
                        ┌───────────────────┐ │
     ORNISS │Analiza solicitãrii│ │
                        └─────────┬─────────┘ │
                                  │ │
                                  ▼ │
                                  . │
                                 . . │
                                . . │
                               . . │
                              . . │
                             . . │
                            . Condiţii . │
                           . de . NU ┌─────┴──────┐
                          . certificare .────────────►│ Informare │
                           . îndeplinite . │ solicitant │
                            . . └────────────┘
                             . . ORNISS
                              . .
                               . .
                                . .
                                 . .
                                  .
                                  │DA
                                  │
                       ┌──────────┴─────────────┐
     ORNISS │Întocmirea Raportului de│
                       │ certificare │
                       └──────────┬─────────────┘
                                  │
                       ┌──────────┴─────────────┐
     ORNISS │Emiterea certificatului │
                       │ de conformitate │
                       └──────────┬─────────────┘
                                  │
                                  ▼
                       ┌────────────────────────┐
     ORNISS │Includerea produsului în│
                       │ Catalogul naţional │
                       └────────────────────────┘



    ART. 48
    (1) Demararea procesului de certificare se realizeazã printr-o solicitare adresatã ORNISS de cãtre solicitant.
    (2) Solicitarea trebuie sã fie însoţitã de concluziile formulate de entitatea/entitãţile evaluatoare în urma procesului de testare-evaluare a produsului.
    (3) În cazul în care documentaţia nu este completã, ORNISS notificã solicitantul, specificând elementele care trebuie completate.
    ART. 49
    În cadrul etapei de certificare de securitate, ORNISS, prin ASIC realizeazã o analizã independentã a rezultatelor obţinute în urma etapei de evaluare, precum şi a modalitãţii în care s-a desfãşurat aceastã activitate.
    ART. 50
    Procesul de certificare trebuie sã analizeze urmãtoarele aspecte:
    a) criteriile, metodologiile şi procedurile de lucru utilizate în procesul de evaluare;
    b) resursele folosite în cadrul evaluãrii de securitate, de exemplu echipamente, documentaţie, timp etc.;
    c) personalul care a realizat evaluarea de securitate, de exemplu calificare, obiectivitate, imparţialitate etc.;
    d) rezultatele testelor de evaluare;
    e) RTE sau elemente din acesta, dupã caz.

    SECŢIUNEA a 2-a
    Întocmirea Raportului de certificare

    ART. 51
    Rezultatele activitãţii de certificare trebuie sã facã obiectul unui raport de certificare.
    ART. 52
    Raportul de certificare trebuie sã identifice în mod clar produsul şi sã conţinã recomandãri cu privire la decizia privind certificarea produsului evaluat.
    ART. 53
    Dacã în urma analizei documentaţiei pusã la dispoziţie în vederea certificãrii se constatã cã, atât rezultatele obţinute în urma activitãţii de evaluare, cât şi modalitatea în care aceasta s-a realizat sunt conforme standardelor şi normelor în vigoare, precum şi faptul cã produsul îndeplineşte cerinţele de securitate conform ţintei de securitate, Raportul de certificare include propuneri privind certificarea produsului.
    ART. 54
    În cazul în care, în urma analizei, se constatã deficienţe în procesul de evaluare a produsului, atunci ORNISS notificã entitatea evaluatoare, în vederea remedierii acestor deficienţe.
    ART. 55
    Pentru desfãşurarea corespunzãtoare a etapei de certificare, ORNISS, prin ASIC, poate solicita entitãţii evaluatoare alte documente cu relevanţã pentru aceastã activitate.
    ART. 56
    Raportul de certificare va fi elaborat în termen de maximum 30 de zile de la primirea documentului de sintezã emis de entitatea/entitãţile evaluatoare pe baza RTE sau, dupã caz, a ultimului document solicitat de ASIC entitãţii evaluatoare.
    ART. 57
    Anexa nr. 3 prezintã un set minim de elemente ale Raportului de certificare.

    SECŢIUNEA a 3-a
    Luarea deciziei privind certificarea produsului

    ART. 58
    Dupã parcurgerea activitãţilor necesare luãrii unei decizii privind certificarea unui produs, se desprind douã variante posibile:
    a) certificarea produsului şi emiterea Certificatului de conformitate şi aprobarea includerii în Catalogul naţional;
    b) refuzul certificãrii - decizie datoratã identificãrii unor deficienţe grave referitoare la atingerea de cãtre produs a parametrilor de securitate predefiniţi.
    ART. 59
    Certificatul de conformitate emis de directorul general al ORNISS confirmã faptul cã produsul îndeplineşte standardele de securitate în baza cãrora a fost evaluat, pentru ţinta de securitate propusã.
    ART. 60
    Produsele certificate vor fi incluse în Catalogul naţional, cu ocazia urmãtoarei actualizãri a acestuia, în conformitate cu prevederile Directivei INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC-INFOSEC 5.
    ART. 61
    Anexa nr. 4 cuprinde o bibliografie a unor acte normative şi documente cu relevanţã în domeniu.
    ART. 62
    Anexele nr. 1-4 fac parte integrantã din prezenta metodologie.

    ANEXA 1
    la metodologie

                        Exemple de activitãţi
                    aferente procesului de evaluare

    1. Prezentãm în continuare o listã exemplificativã cu activitãţi aferente procesului de evaluare:
    a) verificarea analizei de conformitate;
    b) verificarea analizei caracterului unitar;
    c) examinarea eficienţei mecanismelor de asigurare a securitãţii;
    d) examinarea vulnerabilitãţilor constructive;
    e) examinarea uşurinţei de utilizare;
    f) examinarea vulnerabilitãţilor operaţionale;
    g) verificarea cerinţelor;
    h) verificarea proiectului de arhitecturã a produsului;
    i) verificarea proiectului detaliat;
    j) verificarea implementãrii mecanismelor de asigurare a securitãţii;
    k) verificarea mediului de dezvoltare;
    l) verificarea documentaţiei de operare;
    m) verificarea mediului operaţional;
    n) realizarea de teste de penetrare;
    o) întocmirea raportului de evaluare.
    2. Pentru claritate, precizãm cã termenul de "verificare" implicã analiza elementelor de evaluare, în timp ce "examinarea" furnizeazã date de intrare pentru realizarea testelor de penetrare. Deşi testele de penetrare sunt în mod explicit corelate cu activitãţile anterioare, acestea au fost specificate ca activitate distinctã din douã motive:
    a) pentru a sublinia faptul cã analizele anterioare trebuie consolidate şi apoi trebuie concepute testele, pe baza acestor analize;
    b) pentru a indica faptul cã, în general, diferitele teste de penetrare sunt realizate împreunã.
    3. Prin activitatea de verificare a analizei de conformitate, evaluatorul verificã analiza efectuatã de dezvoltatorul produsului INFOSEC. Verificarea poate pune în evidenţã unele vulnerabilitãţi rezultate, din cauza faptului cã anumite funcţii de securitate nu asigurã atingerea unuia dintre obiectivele securitãţii, în condiţiile unei ameninţãri identificate în ţinta de securitate.
    4. Activitatea de verificare a analizei caracterului unitar constã în examinarea analizei efectuate de dezvoltatorul produsului INFOSEC şi stabileşte dacã setul de funcţii de securitate implementate, luate ca ansamblu, asigurã în mod adecvat îndeplinirea obiectivelor securitãţii.
    5. Prin examinarea eficienţei mecanismelor de asigurare a securitãţii evaluatorul identificã eventualele mecanisme care nu ating eficienţa minimã cerutã prin ţinta de securitate.
    6. În procesul de examinare a vulnerabilitãţilor rezultate din procesul de construcţie a produsului INFOSEC, evaluatorul trebuie sã identifice eventuale astfel de vulnerabilitãţi ale acestuia. Erorile identificate în procesul de evaluare a corectitudinii procesului de dezvoltare a produsului reprezintã o sursã de vulnerabilitãţi constructive. Aceastã activitate presupune examinarea erorilor, precum şi a diferitelor funcţionalitãţi introduse în fiecare etapã a dezvoltãrii produsului.
    7. Examinarea uşurinţei de utilizare presupune identificarea modurilor de operare nesigure a produsului INFOSEC. Prin urmare, aceastã activitate este strâns legatã de cerinţe operaţionale.
    8. Activitatea de evaluare a vulnerabilitãţilor operaţionale presupune ca evaluatorul sã examineze modul de operare a produsului INFOSEC, pentru a identifica eventuale vulnerabilitãţi apãrute în cursul acestui proces.
    9. Vulnerabilitãţile operaţionale trateazã aspecte la limita dintre mãsurile de securitate IT şi cele non-IT, cum ar fi proceduri operaţionale privind securitatea fizicã, modalitãţi nonelectronice de management al cheilor, distribuţia ecusoanelor de securitate etc. Mãsurile de securitate non-IT trebuie sã facã obiectul preocupãrilor entitãţii evaluatoare în urmãtoarele situaţii:
    a) apar ca parte a documentaţiei de operare;
    b) ţinta de securitate este formulatã pe baza unei politici de securitate a sistemului;
    c) apar ca parte a documentaţiei produsului INFOSEC.
    10. În procesul de analizã a vulnerabilitãţilor operaţionale ale produsului INFOSEC, evaluatorii trebuie sã analizeze dacã mãsurile de securitate non-IT implementate contracareazã vulnerabilitãţile constructive identificate.
    11. Activitatea de verificare a cerinţelor presupune ca evaluatorul sã determine dacã ţinta de securitate defineşte în mod corect funcţiile care asigurã implementarea securitãţii. Ţinta de securitate trebuie sã identifice clar aceste funcţii, nivelul de evaluare solicitat, precum şi mãsurile de securitate implementate şi care trebuie avute în vedere în procesul de evaluare a produsului INFOSEC.
    12. Prima etapã în procesul de dezvoltare a produsului, de la faza de cerinţe la cea de proiect de arhitecturã, prezintã o importanţã deosebitã, avându-se în vedere faptul cã asigurã corespondenţa dintre funcţiile abstracte şi componentele logice şi fizice ale produsului INFOSEC. În acest context, una dintre principalele activitãţi din procesul de evaluare este verificarea proiectului de arhitecturã, în urma cãreia evaluatorul decide dacã existã o separare bine definitã între funcţionalitãţile care asigurã securitatea şi celelalte funcţionalitãţi ale produsului INFOSEC. În acest caz, activitatea de evaluare poate fi focalizatã asupra elementelor care contribuie la asigurarea securitãţii, iar ţinta de securitate poate fi urmãritã cu uşurinţã, pe mãsurã ce proiectul este analizat mai în detaliu.
    13. Activitatea de verificare a proiectului detaliat presupune analiza modului în care este respectatã politica privind separarea componentelor care asigurã securitatea de celelalte componente, precum şi verificarea faptului cã toate componentele care asigurã implementarea securitãţii sunt corect implementate.
    14. Verificarea implementãrii presupune analiza modului în care sunt implementate mecanismele de asigurare a securitãţii, într-un mod mai detaliat decât în cursul activitãţii de verificare a proiectului. Analiza se bazeazã pe concluziile activitãţii de verificare a proiectului detaliat, dupã care devine posibilã testarea funcţionalã.
    15. Prin activitatea de verificare a mediului de dezvoltare se analizeazã în special standardele conform cãrora este dezvoltat produsul. În cursul acestei activitãţi se analizeazã:
    a) controlul configuraţiei;
    b) limbajele de programare şi compilatoarele;
    c) mãsurile de securitate implementate de dezvoltator.
    16. Activitatea de verificare a documentaţiei de operare presupune verificarea faptului cã produsul INFOSEC poate fi administrat şi utilizat în acord cu obiectivele sale de securitate.
    17. Verificarea mediului de operare presupune ca evaluatorul sã analizeze dacã produsul operaţional este identic cu produsul rezultat din procesul de dezvoltare şi dacã acesta poate fi operat în conformitate cu obiectivele securitãţii.
    18. Testele de penetrare au rolul de a identifica eventuale vulnerabilitãţi, care pot fi exploatate în procesul de utilizare a produsului INFOSEC.
    19. Observaţiile şi rezultatele fiecãrei activitãţi din procesul de evaluare trebuie consemnate în RTE.


    ANEXA 2
    la metodologie

                                  - Model -
                       Raportul tehnic de evaluare (RTE)

    CAP. I
    Introducere

    SECŢIUNEA 1
    Elemente generale

    1. Aceastã secţiune conţine date generale cu privire la procesul de evaluare şi trebuie sã prezinte cel puţin urmãtoarele elemente:
    a) denumirea, numãrul de identificare şi versiunea/modelul produsului INFOSEC supus evaluãrii;
    b) date referitoare la dezvoltatorul produsului INFOSEC şi, dacã este cazul, la subcontractanţii care au contribuit la dezvoltarea produsului INFOSEC;
    c) date cu privire la solicitantul evaluãrii;
    d) programarea activitãţilor aferente procesului de evaluare;
    e) date cu privire la entitatea evaluatoare.

    SECŢIUNEA a 2-a
    Obiective

    2. Aceastã secţiune trebuie sã prezinte obiectivele RTE.
    3. În principal, obiectivele sunt:
    a) prezentarea elementelor necesare susţinerii unei anumite concluzii cu privire la produsul INFOSEC supus evaluãrii;
    b) susţinerea procesului de reevaluare a produsului INFOSEC, în cazul în care solicitantul doreşte acest lucru.

    SECŢIUNEA a 3-a
    Domeniu de aplicabilitate

    4. Aceastã secţiune trebuie sã sublinieze faptul cã RTE se referã la întreaga activitate desfãşuratã în cursul procesului de evaluare.
    5. În caz contrar, trebuie specificate motivele pentru care RTE nu acoperã întreaga activitate de evaluare.

    SECŢIUNEA a 4-a
    Structurã

    6. Aceastã secţiune trebuie sã prezinte structura RTE.

    CAP. II
    Sumar

    7. Acest capitol furnizeazã date cu privire la rezultatele evaluãrii.
    8. Totodatã, acest capitol trebuie sã conţinã informaţiile generale necesare introducerii produsului INFOSEC în Catalogul naţional, dupã certificare.
    9. Prin urmare, sumarul nu trebuie sã conţinã informaţii clasificate.
    10. Acest capitol trebuie sã conţinã:
    a) date cu privire la entitatea evaluatoare;
    b) nivelul de evaluare atins efectiv;
    c) numãrul de identificare şi versiunea/modelul produsului INFOSEC;
    d) sumarul principalelor concluzii ale evaluãrii;
    e) date cu privire la solicitantul evaluãrii;
    f) scurtã descriere a produsului INFOSEC supus evaluãrii;
    g) scurtã descriere a caracteristicilor de securitate ale produsului INFOSEC supus evaluãrii.

    CAP. III
    Descrierea produsului INFOSEC supus evaluãrii

    SECŢIUNEA 1
    Funcţionalitatea produsului INFOSEC

    11. Aceastã secţiune trebuie sã conţinã o prezentare succintã a rolului operaţional al produsului INFOSEC, precum şi a funcţiunilor pentru care a fost proiectat. Descrierea trebuie sã conţinã cel puţin urmãtoarele elemente:
    a) tipul de date care pot fi procesate utilizând produsul (nivel de clasificare etc.);
    b) categoriile de utilizatori care vor utiliza produsul INFOSEC (corelat cu precizãrile de la punctul anterior).

    SECŢIUNEA a 2-a
    Etapele procesului de dezvoltare

    12. Aceastã secţiune trebuie sã prezinte etapele parcurse în realizarea produsului INFOSEC.
    13. De asemenea, trebuie prezentate metodologiile, tehnicile, instrumentele şi standardele relevante pentru realizarea produsului INFOSEC.
    14. Totodatã, aceastã secţiune trebuie sã includã descrierea elementelor necesare evaluãrii puse la dispoziţia entitãţii evaluatoare de cãtre solicitant. Descrierea trebuie sã includã data la care au fost puse la dispoziţie aceste elemente şi numãrul de înregistrare cu care a fost luat în evidenţã fiecare element.

    SECŢIUNEA a 3-a
    Arhitectura produsului INFOSEC

    15. Aceastã secţiune trebuie sã conţinã un sumar al proiectului general al produsului INFOSEC. Trebuie sã se precizeze gradul de separare între componentele care asigurã implementarea securitãţii şi celelalte componente. SECŢIUNEA va prezenta şi modul de implementare şi distribuţia între componentele hardware, firmware şi software a elementelor care asigurã implementarea securitãţii.
    16. Toate numerele modelelor/versiunilor acestor componente trebuie specificate într-o anexã la RTE (anexa C).

    SECŢIUNEA a 4-a
    Descrierea componentelor hardware

    17. Descrierea componentelor hardware trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare, la nivel de arhitecturã.

    SECŢIUNEA a 5-a
    Descrierea componentelor firmware

    18. Descrierea componentelor firmware trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare.

    SECŢIUNEA a 6-a
    Descrierea software

    19. Descrierea componentelor software trebuie sã prezinte în detaliu toate componentele relevante pentru procesul de evaluare. Descrierea trebuie sã furnizeze legãtura dintre componentele software şi cele hardware şi firmware.

    CAP. IV
    Caracteristici de securitate ale produsului INFOSEC

    20. Trebuie subliniat cã înţelegerea ţintei de securitate este un element esenţial pentru înţelegerea RTE. De aceea, este recomandabil ca acest capitol sã includã descrierea completã a ţintei de securitate.
    21. Capitolul trebuie sã abordeze cel puţin urmãtoarele aspecte:
    a) politica de securitate pentru produsul INFOSEC;
    b) specificarea funcţiilor de implementare a securitãţii;
    c) specificarea mecanismelor de securitate;
    d) precizarea nivelului minim estimat de eficienţã a mecanismelor de securitate;
    e) nivelul de evaluare solicitat.

    CAP. V
    Evaluarea

    22. Prevederile prezentului capitol detaliazã activitãţile efectuate în procesul de evaluare, cu specificarea tuturor problemelor identificate, atât a celor de naturã tehnicã, cât şi a celor de naturã managerialã.
    23. Capitolul trebuie sã conţinã date care sã sprijine activitatea comisiei de certificare de securitate, în analiza aspectelor de naturã tehnicã şi managerialã. Totodatã, datele cuprinse în acest capitol pot sã contribuie şi la eficientizarea activitãţii entitãţii evaluatoare.

    SECŢIUNEA 1
    Etapele evaluãrii

    24. Aceastã secţiune este similarã celei în care sunt prezentate etapele procesului de dezvoltare şi trebuie sã includã date cu privire la:
    a) data la care a fost demarat procesul de evaluare;
    b) data la care au fost furnizate elementele necesare evaluãrii, inclusiv ţinta de securitate a produsului INFOSEC;
    c) perioada în care au fost realizate testele de penetrare;
    d) eventuale vizite efectuate la sediile dezvoltatorului sau ale utilizatorului final al produsului;
    e) data la care s-au încheiat activitãţile tehnice.
    25. Secţiunea trebuie sã precizeze toate metodele, tehnicile, instrumentele şi standardele utilizate în procesul de evaluare.

    SECŢIUNEA a 2-a
    Procedura de evaluare

    26. Aceastã secţiune trebuie sã conţinã un sumar al PAE. Sumarul trebuie sã includã:
    a) activitãţile desfãşurate de evaluator, conform PAE;
    b) totalitatea activitãţilor desfãşurate în procesul de evaluare, cu evidenţierea activitãţilor care nu au fost cuprinse în PAE, dar au fost efectuate în practicã; va fi precizatã motivaţia existenţei acestor discrepanţe.

    SECŢIUNEA a 3-a
    Domeniul de aplicare a evaluãrii

    27. Aceastã secţiune trebuie sã precizeze componentele care au fãcut obiectul evaluãrii, precum şi ipotezele fãcute cu privire la componentele care nu au fost examinate.

    SECŢIUNEA a 4-a
    Constrângeri şi ipoteze

    28. Aceastã secţiune trebuie sã precizeze eventualele constrângeri asupra procesului de evaluare şi ipotezele fãcute în cursul acestui proces.

    CAP. VI
    Sumarul rezultatelor evaluãrii

    29. Prevederile prezentului capitol trebuie sã prezinte sumarul rezultatelor evaluãrii, pentru toate activitãţile efectuate în cursul procesului.
    30. Se recomandã structurarea pe secţiuni care sã corespundã fiecãreia dintre activitãţile desfãşurate.
    31. Fiecare secţiune trebuie sã fie corelatã cu setul de activitãţi desfãşurate.
    32. Prezentãm în continuare, cu titlu de exemplu, o listã de aspecte care fac obiectul acestui capitol:
    a) Eficienţa constructivã
    - Aspect 1 - Conformitatea funcţionalitãţii
    - Aspect 2 - Interrelaţionarea funcţionalitãţilor
    - Aspect 3 - Eficienţa mecanismelor
    - Aspect 4 - Evaluarea vulnerabilitãţilor constructive
    b) Eficienţa operaţionalã
    - Aspect 1 - Flexibilitatea în utilizare
    - Aspect 2 - Evaluarea vulnerabilitãţilor operaţionale
    c) Realizarea produsului - Procesul de dezvoltare
    - Etapa 1 - Cerinţe
    - Etapa 2 - Proiectul arhitecturii
    - Etapa 3 - Proiectul detaliat
    - Etapa 4 - Implementarea
    d) Realizarea produsului - Mediul de dezvoltare
    - Aspect 1 - Controlul configuraţiei
    - Aspect 2 - Limbaje de programare şi compilatoare
    - Aspect 3 - Mãsurile de securitate implementate de cãtre dezvoltator
    e) Operare - Documentaţia de operare
    - Aspect 1 - Documentaţia de utilizare
    - Aspect 2 - Documentaţia de administrare
    f) Operare - Mediul operaţional
    - Aspect 1 - Livrarea şi configurarea produsului
    - Aspect 2 - Punerea în funcţiune şi operarea

    SECŢIUNEA 1
    Teste de penetrare

    33. Rezultatele testelor de penetrare au fost analizate separat deoarece testele de penetrare sunt de cele mai multe ori realizate ca parte a unei anumite activitãţi.
    34. Prezenta secţiune trebuie sã prezinte toate opţiunile de configurare folosite în timpul testelor de penetrare.

    SECŢIUNEA a 2-a
    Vulnerabilitãţi exploatabile identificate

    35. Prezenta secţiune trebuie sã descrie vulnerabilitãţile ce pot fi exploatate, care au fost identificate în timpul evaluãrii, precizând:
    a) funcţia de implementare a securitãţii la care a fost identificatã vulnerabilitatea;
    b) descrierea vulnerabilitãţii;
    c) acţiunile întreprinse de evaluator în momentul identificãrii vulnerabilitãţii;
    d) activitatea în cursul cãreia a fost identificatã vulnerabilitatea;
    e) persoana care a identificat vulnerabilitatea (dezvoltatorul sau evaluatorul);
    f) data la care a fost identificatã vulnerabilitatea;
    g) dacã vulnerabilitatea a fost remediatã (se menţioneazã data) sau nu;
    h) sursa generatoare a vulnerabilitãţii (dacã este posibil).

    SECŢIUNEA a 3-a
    Observaţii legate de vulnerabilitãţi ce nu pot fi exploatate
    36. Prezenta secţiune trebuie sã descrie vulnerabilitãţile ce nu pot fi exploatate şi au fost identificate în cadrul evaluãrii (subliniindu-le pe cele rãmase în produsul operaţional).

    SECŢIUNEA a 4-a
    Erori identificate

    37. Prezenta secţiune trebuie sã precizeze impactul pe care îl pot avea erorile identificate în cadrul procesului de evaluare.

    CAP. VII
    Ghid pentru reevaluare şi analizã a impactului

    Prezentul capitol este opţional. Poate fi omis dacã solicitantul evaluãrii a declarat cã nu necesitã informaţii privind o reevaluare sau analizã a impactului.
    38. Dacã va fi inclus, acest capitol trebuie sã precizeze:
    a) includerea fiecãrei componente a produsului INFOSEC în una dintre urmãtoarele categorii: componente care asigurã implementarea securitãţii, componente relevante pentru securitate sau componente care nu sunt relevante pentru securitate;
    b) identificarea instrumentelor de dezvoltare care sunt relevante pentru securitate;
    c) modalitatea în care constrângerile sau ipotezele fãcute în procesul de evaluare pot avea impact în cazul reevaluãrii sau refolosirii produsului INFOSEC;
    d) orice concluzii privind tehnici de evaluare sau instrumente care pot fi utile în cazul unei reevaluãri;
    e) detalii de arhivare necesare reînceperii evaluãrii;
    f) pregãtire specificã necesarã reevaluatorilor pentru demararea unui proces de reevaluare.

    CAP. VIII
    Concluzii şi recomandãri

    39. Prezentul capitol trebuie sã prezinte concluziile şi recomandãrile evaluãrii. Concluzia principalã va preciza dacã produsul INFOSEC îndeplineşte obiectivul de securitate stabilit şi dacã are vulnerabilitãţi ce pot fi exploatate.
    40. Trebuie sã se specifice faptul cã recomandãrile se referã la componentele produsului care au fãcut obiectul evaluãrii şi cã pot exista şi alţi factori de care evaluatorii nu sunt conştienţi, iar aceşti factori pot influenţa procesul de certificare a produsului INFOSEC.
    41. Recomandãrile pot include sugestii cãtre alte entitãţi, precum solicitantul evaluãrii sau dezvoltatorul produsului INFOSEC, pentru a fi înaintate comisiei despre certificare de securitate.
    42. Trebuie sã se specifice faptul cã rezultatele evaluãrii sunt valabile numai pentru o anumitã versiune a produsului INFOSEC, configuratã într-un anumit mod, iar comisia de certificare de securitate trebuie informatã despre orice schimbãri aduse produsului INFOSEC.

    CAP. IX
    Anexele RTE

    Anexa A - Lista elementelor necesare evaluãrii
    43. Aceastã anexã trebuie sã identifice, cu numerele versiunii şi datele la care au fost recepţionate, toate elementele necesare evaluãrii sau se face o referire la lista elementelor.

    Anexa B - Lista de acronime/Glosar de termeni
    44. Aceastã anexã trebuie sã explice toate acronimele şi abrevierile folosite în RTE. De asemenea, trebuie sã defineascã termenii specifici utilizaţi.

    Anexa C - Configuraţia evaluatã
    45. Configuraţiile produsului INFOSEC examinate în cadrul evaluãrii (în special configuraţii folosite la testele de penetrare, verificare a fiabilitãţii) trebuie identificate clar.
    46. Trebuie precizate orice presupuneri fãcute sau configuraţii care nu au fost luate în considerare.

    Descrierea componentelor hardware
    47. Descrierea componentelor hardware trebuie sã furnizeze informaţii despre configuraţie, privind toate componentele la nivel arhitectural ce sunt relevante pentru evaluare şi, în consecinţã, pentru implementarea securitãţii.

    Descrierea componentelor firmware
    48. Descrierea componentelor firmware trebuie sã furnizeze informaţii despre configuraţie, despre toate componentele care sunt relevante pentru procesul de evaluare şi, în consecinţã, pentru implementarea securitãţii.

    Descrierea componentelor software
    49. Descrierea componentelor software trebuie sã furnizeze informaţii despre configuraţie privind pãrţi ale aplicaţiilor software utilizate de produsul INFOSEC care sunt relevante pentru procesul de evaluare şi, în consecinţã, pentru implementarea securitãţii.

    Anexa D - Rapoartele activitãţilor de evaluare
    50. Aceastã anexã nu este necesarã dacã toate rapoartele de activitate sunt incluse în cap. VI al RTE.
    51. Dacã este inclusã, aceastã anexã trebuie sã cuprindã înregistrãri ale tuturor activitãţilor de evaluare (incluzând rezultatele testelor efectuate, tehnici şi instrumente utilizate).

    Anexa E - Probleme identificate
    52. Aceastã anexã trebuie sã cuprindã rapoarte cu privire la toate problemele identificate în cursul procesului de evaluare.
    53. Rapoartele pot fi emise şi înainte de finalizarea evaluãrii şi trebuie sã conţinã cel puţin urmãtoarele elemente:
    a) numãrul şi versiunea produsului INFOSEC supus evaluãrii;
    b) activitatea în cursul cãreia a fost identificatã problema;
    c) descrierea problemei identificate.


    ANEXA 3
    la metodologie

                  Elemente ale raportului de certificare

    Un raport de certificare trebuie sã includã cel puţin urmãtoarele elemente:
    a) Introducere:
    - date generale cu privire la produsul INFOSEC supus evaluãrii.
    b) Rezumat:
    - detalii cu privire la entitatea de evaluare;
    - identificarea completã a produsului INFOSEC supus evaluãrii, inclusiv a codului de identificare, versiunii etc.;
    - sumarul concluziilor formulate de evaluator;
    - date privind dezvoltatorul şi, dacã este cazul, a subcontractanţilor acestuia care au contribuit la dezvoltarea produsului INFOSEC;
    - date privind solicitantul certificãrii;
    - nivelul de evaluare atins efectiv.
    c) Prezentarea produsului INFOSEC:
    - descrierea produsului INFOSEC, în configuraţia supusã evaluãrii;
    - descrierea hardware;
    - descrierea firmware;
    - descrierea software;
    - descrierea documentaţiei produsului INFOSEC.
    d) Evaluarea:
    - descrierea sumarã a ţintei de securitate, care sã cuprindã şi descrierea caracteristicilor de securitate ale produsului INFOSEC;
    - elemente de identificare ale RTE;
    - sumarul principalelor concluzii formulate de entitatea de evaluare.
    e) Certificarea:
    - propuneri referitoare la luarea unei decizii cu privire la certificarea produsului INFOSEC;
    - specificarea eventualelor restricţii care trebuie avute în vedere în procesul de utilizare a produsului INFOSEC (de exemplu: limitarea nivelului de clasificare a informaţiilor, utilizare în medii operaţionale specifice etc.).

    ANEXA 4
    la metodologie

                                 Bibliografie

    1. Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotãrârea Guvernului nr. 585/2002, publicatã în Monitorul Oficial al României, Partea I, nr. 485 din 5 iulie 2002, cu modificãrile şi completãrile ulterioare.
    2. Normele privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, aprobate prin Hotãrârea Guvernului nr. 353/2002, publicatã în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificãrile ulterioare.
    3. Metodologia de acreditare a entitãţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobatã prin ordin al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat.
    4. North Atlantic Council, Guidelines for the security evaluation and certification of communication and information systems (CIS) - AC/35-D/1019-REV1, 2008.
    5. Procedure CER/P/01.1 - Certification of the security provided by IT products and systems, February 9, 2004 - Secretariat General de la Defense Nationale, France.
    6. Common Methodology for the Information Technology Security Evaluation v. 3.1, rev. 3 2009.
    7. SP-001 Certification and Evaluation Scheme - Scheme overview, Swedish Certification Body for IT Security, November 2011.
    8. Common Criteria Evaluation and Validation Scheme For Information Technology Security, Guidance to Validators of IT Security Evaluations, Version 2.0, September 2008, National Institute for Standards and Technologies, U.S.

                   __________
Da, vreau sa primesc newsletterul zilnic cu stiri, noutati, articole, dezbateri pe teme juridice

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele de Contracte, Cereri si Notificari modificate conform GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele de Contracte, Cereri si Notificari modificate conform GDPR"


Da, vreau sa primesc newsletterul zilnic cu stiri, noutati, articole, dezbateri pe teme juridice