Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 7 din 2 februarie 2010 pentru aprobarea Directivei INFOSEC privind Catalogul national cu pachete, produse si profile de protectie INFOSEC-INFOSEC 5
EMITENT: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT PUBLICAT: MONITORUL OFICIAL nr. 92 din 10 februarie 2010
ORDIN nr. 7 din 2 februarie 2010
pentru aprobarea Directivei INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC-INFOSEC 5
EMITENT: OFICIUL REGISTRULUI NAŢIONAL AL INFORMAŢIILOR SECRETE DE STAT
PUBLICAT ÎN: MONITORUL OFICIAL nr. 92 din 10 februarie 2010
În temeiul <>art. 1 alin. (4) lit. b) şi al <>art. 3 alin. (6) din Ordonanţa de urgenţã a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobatã prin <>Legea nr. 101/2003 , cu modificãrile şi completãrile ulterioare, şi al <>art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptãrii/aprobãrii, aprobat prin <>Hotãrârea Guvernului nr. 561/2009 ,
directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.
ART. 1
Se aprobã Directiva INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC-INFOSEC 5, prevãzutã în anexa care face parte integrantã din prezentul ordin.
ART. 2
Pe data intrãrii în vigoare a prezentului ordin se abrogã <>Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 11/2006 pentru aprobarea Directivei INFOSEC privind Catalogul naţional cu produse, profile şi pachete de protecţie INFOSEC-INFOSEC 5, publicat în Monitorul Oficial al României, Partea I, nr. 135 din 13 februarie 2006.
ART. 3
Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.
Directorul general al
Oficiului Registrului Naţional al
Informaţiilor Secrete de Stat,
Marius Petrescu
Bucureşti, 2 februarie 2010.
Nr. 7.
ANEXÃ
DIRECTIVA INFOSEC
privind Catalogul naţional cu pachete, produse şi profile de protecţie
INFOSEC-INFOSEC 5
CAP. I
Scop
ART. 1
Directiva INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5 este elaboratã de cãtre Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, ca parte a politicii naţionale de protecţie a informaţiilor clasificate.
ART. 2
Directiva stabileşte procesul şi procedurile de realizare, actualizare şi pãstrare a Catalogului naţional cu pachete, produse şi profile de protecţie INFOSEC, denumit în continuare Catalog naţional.
ART. 3
Scopul Catalogului naţional este de a furniza persoanelor juridice de drept public sau privat care au în administrare sisteme informatice şi de comunicaţii, denumite în continuare SIC, care vehiculeazã informaţii clasificate şi altor entitãţi care au responsabilitãţi în domeniul protecţiei informaţiilor clasificate o listã de pachete, produse şi profile de protecţie INFOSEC certificate, care pot fi achiziţionate în scopul îndeplinirii cerinţelor operaţionale de securitate.
CAP. II
Definiţii
ART. 4
În sensul prezentei directive, urmãtorii termeni se definesc dupã cum urmeazã:
a) nivel de evaluare a asigurãrii (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune, care reprezintã un punct pe scara de asigurare predefinitã a Criteriilor comune;
b) pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate;
c) pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare - acele pachete, produse şi profile de protecţie INFOSEC dezvoltate în serie limitatã destinatã strict utilizãrii în cadrul uneia sau mai multor autoritãţi desemnate de securitate, denumite în continuare ADS;
d) produs - un pachet de software, firmware şi/sau hardware IT care furnizeazã o funcţionalitate destinatã utilizãrii sau incorporãrii într-o multitudine de sisteme;
e) profil de protecţie (PP) - un set de cerinţe de securitate independent de implementare pentru o categorie de ţinte de evaluare care satisface cerinţe specifice ale consumatorilor;
f) ţintã de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentã de utilizator şi administrator care constituie subiectul unei evaluãri;
g) ţintã de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bazã pentru evaluarea unei ţinte de evaluare identificate;
h) utilizator - orice entitate (utilizator uman sau entitate IT externã) din afara TOE care interacţioneazã cu TOE.
CAP. III
Domeniul de aplicabilitate
ART. 5
Prezenta directivã este obligatorie pentru persoanele juridice care prezintã pachete, produse şi profile de protecţie INFOSEC pentru a fi incluse în Catalogul naţional.
ART. 6
(1) În raport cu destinaţia de utilizare, pachetele, produsele şi profilele de protecţie INFOSEC se împart în douã categorii: cu utilizare la nivel naţional şi cu regim limitat de distribuţie şi utilizare.
(2) Pachetele, produsele şi profilele de protecţie INFOSEC cu utilizare la nivel naţional se introduc în Catalogul naţional.
(3) Pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare se introduc în registrele de evidenţã a pachetelor, produselor şi profilelor de protecţie INFOSEC, constituite şi pãstrate la nivelul ADS cu competenţe în coordonarea şi controlul mãsurilor de protecţie a informaţiilor clasificate ce vor fi protejate cu acestea.
(4) ADS transmit la ORNISS lista produselor cu regim limitat de distribuţie şi utilizare care pot fi puse la dispoziţia altor ADS, precizând numele, destinaţia, modelul, versiunea şi nivelul de clasificare pentru care au fost certificate, precum şi eventualele condiţii de utilizare.
CAP. IV
Responsabilitãţi
ART. 7
(1) În calitate de autoritate naţionalã de securitate, ORNISS are responsabilitatea de a asigura implementarea prezentei directive.
(2) ORNISS este responsabil de coordonarea procesului de certificare a tuturor pachetelor, produselor, profilelor de protecţie INFOSEC destinate protecţiei informaţiilor naţionale clasificate, care, dupã certificare, se includ în Catalogul naţional.
(3) ORNISS este responsabil de elaborarea, actualizarea şi publicarea Catalogului naţional.
ART. 8
Persoanele juridice care au pachete, produse sau profile de protecţie INFOSEC certificate şi care solicitã ORNISS introducerea acestora în Catalogul naţional trebuie sã punã la dispoziţie toate informaţiile necesare desfãşurãrii acestui proces, referitoare la:
a) obiectivele de securitate;
b) cerinţele funcţionale;
c) categoriile de ţinte de evaluare.
ART. 9
Dacã pânã la expirarea perioadei de valabilitate a certificãrii elementelor incluse în Catalogul naţional nu se ia o decizie cu privire la recertificarea acestora, pachetul, produsul, profilul de protecţie INFOSEC respectiv este scos de pe listã.
ART. 10
(1) ADS care au certificat pachete, produse şi profile de protecţie INFOSEC cu regim limitat de distribuţie au obligaţia de a actualiza registrele de evidenţã a acestora ori de câte ori este necesar.
(2) Pachetele, produsele şi profilele de protecţie INFOSEC sunt incluse în registrul de evidenţã numai dupã certificarea lor.
(3) Certificarea pachetelor, produselor şi profilelor de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare se realizeazã în cadrul ADS, de cãtre structura internã INFOSEC acreditatã de ORNISS, ce are competenţe privind coordonarea şi controlul mãsurilor de protecţie a informaţiilor clasificate, pe baza raportului de evaluare realizat de entitatea evaluatoare acreditatã de ORNISS.
(4) În cazul în care în cadrul ADS nu existã structura INFOSEC prevãzutã la alin. (3), certificarea se realizeazã de cãtre ORNISS.
CAP. V
Conţinutul Catalogului naţional
ART. 11
Catalogul naţional conţine urmãtoarele categorii de liste:
a) produse şi mecanisme criptografice;
b) dispozitive de încãrcare a cheilor criptografice;
c) produse pentru securitatea emisiilor;
d) produse pentru securitatea tehnologiei informaţiei (IT);
e) instrumente de securitate;
f) pachete şi profile de protecţie.
ART. 12
În cadrul listelor prevãzute la art. 11 pot fi incluse în Catalogul naţional urmãtoarele tipuri de pachete, produse, profile de protecţie INFOSEC:
a) dezvoltate pe plan naţional, evaluate de entitãţi naţionale acreditate de ORNISS şi certificate de ORNISS;
b) certificate într-un stat membru NATO sau UE ori de cãtre structuri specializate din cadrul NATO sau UE, particularizate şi certificate pe plan naţional;
c) certificate într-un stat membru NATO sau UE;
d) certificate de structurile specializate din cadrul NATO sau UE;
e) certificate conform Criteriilor comune de evaluare de securitate a tehnologiei informaţiei;
f) certificate în alte state decât cele membre ale NATO sau UE.
ART. 13
Includerea în Catalogul naţional a pachetelor, produselor şi profilelor de protecţie INFOSEC utilizate la nivel naţional se poate face ca urmare a:
a) certificãrii naţionale de cãtre ORNISS a produselor dezvoltate integral în România;
b) certificãrii de cãtre ORNISS a modului de implementare a acestora în scopul particularizãrii naţionale a pachetelor, produselor şi profilelor de protecţie INFOSEC certificate într-un stat membru NATO sau UE ori de cãtre structuri specializate din cadrul NATO sau UE;
c) recunoaşterii naţionale de cãtre ORNISS a certificãrii produselor NATO şi/sau UE;
d) recunoaşterii naţionale de cãtre ORNISS a certificãrii conforme Criteriilor comune de evaluare de securitate a tehnologiei informaţiei;
e) recunoaşterii reciproce de cãtre ORNISS a certificãrilor naţionale, prin înţelegeri, acorduri, aranjamente bilaterale, încheiate la nivel guvernamental sau departamental.
ART. 14
Certificarea sau recunoaşterea certificãrii produselor destinate protecţiei informaţiilor naţionale clasificate care se includ în Catalogul naţional se realizeazã în conformitate cu normele aprobate prin ordin al directorului general al ORNISS.
SECŢIUNEA 1
Produse şi mecanisme criptografice
ART. 15
Produsele şi mecanismele criptografice din Catalogul naţional se utilizeazã în funcţie de tipul, clasa şi nivelul informaţiilor clasificate, respectiv naţionale, NATO, UE ori ale statelor sau organizaţiilor internaţionale cu care România a încheiat tratate, înţelegeri sau acorduri care prevãd protecţia informaţiilor clasificate, conform certificãrii acestora şi menţiunilor din Catalogul naţional.
ART. 16
Pentru protecţia criptograficã a informaţiilor naţionale clasificate procesate, stocate sau transmise în format electronic se utilizeazã numai produse şi mecanisme criptografice certificate şi incluse în Catalogul naţional sau în registrele de evidenţã a produselor cu regim limitat de distribuţie, în urma evaluãrii acestora de cãtre entitãţi evaluatoare naţionale acreditate de ORNISS.
ART. 17
(1) ORNISS emite un document de aprobare pentru includerea produselor şi mecanismelor criptografice în lista produselor şi a mecanismelor criptografice din cuprinsul Catalogului naţional.
(2) Documentul de aprobare specificã:
a) tipul, clasa şi nivelul de secretizare a informaţiilor clasificate pentru care sunt destinate produsele;
b) cerinţele de utilizare.
SECŢIUNEA a 2-a
Dispozitive de încãrcare a cheilor criptografice
ART. 18
(1) Lista dispozitivelor de încãrcare a cheilor criptografice conţine dispozitive care sunt aprobate pentru stocarea, procesarea sau transmiterea materialului cu chei criptografice naţional, NATO, UE ori care fac obiectul tratatelor, înţelegerilor şi acordurilor bilaterale sau multilaterale la care România este parte.
(2) Dispozitivele sunt grupate în douã categorii, astfel:
a) dispozitive care gestioneazã cheile în formã clarã;
b) dispozitive care aplicã un mecanism criptografic ce permite stocarea, procesarea şi transmiterea cheii în formã criptatã.
ART. 19
Sunt eligibile spre a fi incluse în Catalogul naţional numai dispozitivele de încãrcare a cheilor criptografice care sunt dezvoltate la nivel naţional ori într-un stat membru NATO sau UE şi care sunt evaluate şi aprobate în conformitate cu politica naţionalã, respectiv NATO sau UE, de protecţie a informaţiilor clasificate.
SECŢIUNEA a 3-a
Produse pentru securitatea emisiilor
ART. 20
(1) În cadrul Catalogului naţional, lista produselor pentru securitatea emisiilor cuprinde:
a) lista producãtorilor naţionali, precum şi modelele de produse dezvoltate la nivel naţional, produse evaluate de o entitate naţionalã acreditatã de ORNISS şi certificate de ORNISS ca fiind corespunzãtoare categoriilor de produse TEMPEST, prevãzute de standardele TEMPEST în vigoare;
b) lista producãtorilor externi, precum şi modelele de produse recomandate de NATO;
c) lista producãtorilor externi, precum şi a modelelor de produse certificate din punctul de vedere al protecţiei TEMPEST fie de ORNISS, fie de o entitate acreditatã la nivel naţional în ţara de origine a echipamentelor, cu condiţia ca între ORNISS şi ţara de origine sã existe o înţelegere în acest sens.
(2) Schimbarea de componente între diferite serii de producţie poate schimba profilul de protecţie, ceea ce implicã reevaluarea produsului.
SECŢIUNEA a 4-a
Produse de securitate IT
ART. 21
Scopul listei cu produse de securitate IT din cadrul Catalogului naţional este sã furnizeze autoritãţilor operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC), structurilor de planificare şi implementare a sistemelor informatice şi de comunicaţii, personalului implicat în proiect şi utilizatorilor sistemelor informatice şi de comunicaţii care vehiculeazã informaţii clasificate secret de stat un set de produse certificate şi de informaţii de bazã referitoare la acestea, set care poate fi folosit drept ghid în vederea îndeplinirii cerinţelor naţionale de securitate privind protecţia informaţiilor clasificate.
ART. 22
(1) Produsele din lista prevãzutã la art. 21 sunt evaluate şi certificate în baza Criteriilor comune pentru evaluarea securitãţii produselor IT (ISO 15408).
(2) Fiecãrui produs i se atribuie un pachet de componente de asigurare, de exemplu, un nivel de încredere (EAL sau echivalent).
(3) În cazul în care un produs a fost evaluat sau propus spre evaluare în baza unui set de criterii naţionale, trebuie sã fie furnizate detalii privind corespondenţele dintre criteriile naţionale şi Criteriile comune.
ART. 23
(1) Produsele din listã pot fi împãrţite în urmãtoarele categorii, fãrã a se limita la acestea:
a) dispozitive şi sisteme de control al accesului;
b) dispozitive şi sisteme de protecţie a perimetrului;
c) baze de date;
d) dispozitive şi sisteme de detecţie a intruziunilor;
e) semnãturã digitalã;
f) protecţia datelor;
g) circuite integrate, dispozitive şi sisteme Smart Card;
h) sisteme de management al cheilor;
i) reţele, sisteme şi dispozitive de reţea;
j) sisteme de operare;
k) alte dispozitive şi sisteme.
(2) Produsele cu modul criptografic încorporat pot fi incluse în listã în mai multe categorii sau sub o altã categorie decât criptografia (de exemplu, un sistem de operare nu va fi numit produs criptografic, deşi face uz de criptografie).
ART. 24
Informaţiile necesare includerii în listã a produselor pentru securitate IT conţin cel puţin urmãtoarele elemente, dupã caz:
a) denumirea şi producãtorul;
b) informaţii descriptive privind produsul, care vor include: funcţionalitatea produsului şi pachetul componentelor de siguranţã (de exemplu, un nivel de încredere);
c) raport de certificare;
d) acord de recunoaştere reciprocã;
e) versiunile Criteriilor comune şi Metodologiei comune de evaluare utilizate.
SECŢIUNEA a 5-a
Instrumente de securitate
ART. 25
Lista instrumentelor de securitate din cadrul Catalogului naţional se adreseazã autoritãţilor operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC), structurilor de planificare şi implementare a sistemelor informatice şi de comunicaţii şi personalului implicat în proiectarea sistemelor informatice şi de comunicaţii. Aceasta este o listã a instrumentelor de securitate conforme cu prevederile Directivei INFOSEC tehnice şi de implementare privind cerinţele instrumentelor de securitate, selectarea, aprobarea şi implementarea acestora - INFOSEC 9, aprobatã prin <>Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 390/2004 , publicat în Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004.
ART. 26
Lista include urmãtoarele tipuri de instrumente:
a) instrumente pentru identificarea vulnerabilitãţilor sistemelor;
b) instrumente pentru îmbunãtãţirea securitãţii sistemului;
c) instrumente pentru detectarea intruziunilor;
d) instrumente pentru raportarea stãrii sistemului;
e) instrumente pentru monitorizarea traficului din reţea;
f) instrumente pentru administrarea sistemului.
ART. 27
Descrierea fiecãrui instrument trebuie sã includã urmãtoarele informaţii:
a) denumirea şi producãtorul;
b) caracteristicile funcţionale;
c) beneficiile care vor fi obţinute în urma utilizãrii instrumentului;
d) vulnerabilitãţile, dacã este cazul, care apar prin utilizarea instrumentului;
e) constrângeri privind utilizarea instrumentului;
f) resurse/experienţa/suportul/pregãtirea necesare operãrii.
ART. 28
Lista instrumentelor de securitate nu include detaliile cu privire la vulnerabilitãţi. Lista face referire doar la raportul de evaluare a instrumentului. Informaţiile privind vulnerabilitãţile sunt puse la dispoziţie numai acelor autoritãţi ale sistemelor informatice şi de comunicaţii şi de securitate care au o "nevoie de a cunoaşte" corespunzãtoare.
SECŢIUNEA a 6-a
Pachete şi profile de protecţie
ART. 29
Solicitantul trebuie sã furnizeze cel puţin urmãtoarele informaţii:
a) denumirea pachetului/profilului de protecţie şi a producãtorului;
b) o declaraţie din care sã reiasã dacã pachetul sau profilul de protecţie este propus ca o nouã poziţie în listã ori ca înlocuire a unei poziţii din listã;
c) menţiuni speciale, în situaţia în care pachetul sau profilul de protecţie conţin informaţii clasificate, care intrã sub incidenţa drepturilor de autor/proprietate intelectualã sau care nu pot fi fãcute publice.
ART. 30
Informaţiile necesare includerii în listã a pachetelor/profilelor de protecţie vor trata cel puţin aspectele privitoare la:
a) denumirea pachetului/profilului de protecţie;
b) autor;
c) autoritatea de certificare;
d) entitatea care a efectuat evaluarea;
e) nivelul de încredere;
f) data certificãrii;
g) versiunile Criteriilor comune şi ale Metodologiei comune de evaluare utilizate.
CAP. VI
Gestionarea Catalogului naţional
ART. 31
Catalogul naţional este actualizat periodic, pe mãsura certificãrii de noi produse naţionale şi în conformitate cu modificãrile survenite în listele cu produse recomandate de NATO sau UE.
ART. 32
Catalogul naţional este distribuit de ORNISS persoanelor juridice de drept public sau privat îndreptãţite.
ART. 33
ORNISS va conlucra în mod continuu cu producãtorii naţionali de produse INFOSEC pentru a asigura informaţiile necesare pentru fiecare pachet, produs ori profil de protecţie care urmeazã sã fie adãugat în catalog sau pentru orice produs care trebuie sã fie îndepãrtat din catalog.
__________
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
