Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 86 din 26 septembrie 2013 pentru aprobarea Directivei privind structurile cu responsabilitati in domeniul INFOSEC - INFOSEC 1
EMITENT: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT PUBLICAT: MONITORUL OFICIAL nr. 627 din 9 octombrie 2013
În temeiul:
- art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare;
- art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,
directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.
ART. 1
Se aprobă Directiva privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, prevăzută în anexa care face parte integrantă din prezentul ordin.
ART. 2
La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 482/2003 pentru aprobarea Directivei privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1, publicat în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 2003.
ART. 3
Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin.
ART. 4
Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Directorul general al Oficiului
Registrului Naţional al
Informaţiilor Secrete de Stat,
Marius Petrescu
Bucureşti, 26 septembrie 2013.
Nr. 86.
ANEXĂ
DIRECTIVA
privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1
CAP. I
Introducere
ART. 1
Prezenta directivă stabileşte şi defineşte structurile şi funcţiile cu atribuţii în domeniul INFOSEC, precum şi principalele responsabilităţi ale acestora la nivel naţional, în scopul asigurării protecţiei corespunzătoare a informaţiilor clasificate.
ART. 2
În cuprinsul prezentei directive, în cazul în care nu se fac precizări suplimentare, prin informaţii clasificate se definesc informaţii naţionale clasificate secret de stat, informaţii NATO clasificate, informaţii UE clasificate sau informaţii clasificate care fac obiectul unor tratate, acorduri ori înţelegeri internaţionale la care România este parte.
CAP. II
Structuri cu responsabilităţi în domeniul INFOSEC
ART. 3
Protecţia informaţiilor clasificate stocate, procesate sau transmise în sisteme informatice, de comunicaţii şi alte sisteme electronice, denumite în continuare SIC, este coordonată la nivel naţional de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS) prin intermediul Agenţiei de Acreditare de Securitate (AAS), Agenţiei de Securitate pentru Informatică şi Comunicaţii (ASIC) şi al Agenţiei pentru Distribuirea Materialului Criptografic (ADMC).
ART. 4
Responsabilităţile generale ale ORNISS în domeniul INFOSEC sunt următoarele:
a) asistarea structurilor/funcţionarilor de securitate din cadrul persoanelor juridice de drept public sau privat naţionale pentru asigurarea securităţii informaţiilor clasificate stocate, procesate sau transmise prin intermediul SIC;
b) efectuarea de inspecţii periodice privind măsurile de securitate pentru protecţia informaţiilor clasificate stocate, procesate sau transmise în SIC naţionale, pentru a determina dacă aceste măsuri sunt adecvate şi în conformitate cu prevederile NATO, UE şi naţionale în vigoare, referitoare la domeniul INFOSEC, sau care fac obiectul unor tratate, acorduri ori înţelegeri internaţionale la care România este parte;
c) asigurarea pe plan naţional a cadrului de reglementare privind accesul la informaţiile clasificate stocate, procesate sau transmise în SIC, în conformitate cu prevederile politicilor de securitate NATO, UE şi naţionale în vigoare, referitoare la domeniul INFOSEC, sau care fac obiectul unor tratate, acorduri ori înţelegeri internaţionale la care România este parte;
d) asigurarea, prin reglementări şi acreditări, a compatibilizării sistemelor naţionale de protecţie a informaţiilor clasificate stocate, procesate sau transmise în SIC cu sisteme din statele membre NATO sau UE ori din state cu care România a încheiat tratate, acorduri sau înţelegeri.
ART. 5
AAS este o structură componentă a ORNISS, specializată în principal în gestionarea procesului de acreditare de securitate pentru SIC naţionale care vehiculează informaţii clasificate şi a entităţilor care sprijină procesul de acreditare de securitate.
ART. 6
Principalele responsabilităţi ale AAS sunt:
a) acordarea de consultanţă cu privire la implementarea standardelor INFOSEC autorităţilor operaţionale ale SIC, funcţionarilor/structurilor de securitate, managerilor de proiect, autorităţilor responsabile cu achiziţiile, entităţilor care sprijină procesul de acreditare de securitate;
b) gestionarea procesului de acreditare de securitate pentru SIC care procesează, stochează sau transmit informaţii clasificate;
c) stabilirea strategiei de acreditare de securitate, care detaliază criteriile, etapele şi termenele aferente procesului de acreditare de securitate. Procedurile de acreditare de securitate pot să difere în funcţie de situaţie, dar trebuie să fie întotdeauna în conformitate cu politicile NATO, UE şi naţionale de securitate, precum şi cu prevederile tratatelor, acordurilor sau înţelegerilor internaţionale la care România este parte;
d) verificarea, evaluarea şi formularea de propuneri cu privire la aprobarea documentaţiei care susţine procesul de acreditare de securitate a SIC;
e) verificarea implementării şi menţinerii măsurilor de securitate în cadrul SIC supuse acreditării de securitate, în principal prin inspecţii periodice, desfăşurate conform strategiei de acreditare de securitate;
f) formularea de propuneri care stau la baza deciziei privind acreditarea de securitate a SIC;
g) acordarea de consultanţă autorităţilor operaţionale ale SIC în ceea ce priveşte evaluarea riscului de securitate, reluarea periodică a procesului de management al riscului de securitate şi acceptarea riscului rezidual;
h) acordarea de consultanţă autorităţilor operaţionale ale SIC şi structurilor/funcţionarilor de securitate în procesul de investigare a incidentelor INFOSEC, estimarea prejudiciului creat, adoptarea de măsuri corective;
i) acordarea de consultanţă autorităţilor operaţionale ale SIC cu privire la implicaţiile oricăror propuneri de modificare a arhitecturii SIC, din punctul de vedere al riscurilor de securitate şi al măsurilor de securitate corespunzătoare;
j) asigurarea dialogului cu alte autorităţi de acreditare de securitate în cazul interconectării SIC, situaţie în care stabileşte, împreună cu aceste autorităţi, documentaţia de securitate necesară interconectării;
k) aprobarea sau, după caz, participarea la aprobarea comună a interconectării SIC;
l) gestionarea procesului de acreditare a structurilor interne INFOSEC din cadrul Autorităţilor desemnate de securitate, denumite în continuare ADS;
m) stabilirea modului de derulare a unor activităţi specifice procesului de acreditare de securitate a SIC de către structurile interne INFOSEC din cadrul ADS, acreditate de ORNISS;
n) gestionarea procesului de acreditare a entităţilor care sprijină procesul de acreditare de securitate a SIC;
o) păstrarea evidenţei şi raportarea incidentelor de securitate din SIC acreditate către structurile abilitate din cadrul NATO, UE sau către structurile prevăzute de tratatele, acordurile ori înţelegerile internaţionale la care România este parte;
p) gestionarea evidenţei SIC acreditate, în curs de acreditare sau cu acreditare expirată.
ART. 7
ASIC este o structură componentă a ORNISS specializată în reglementarea şi verificarea implementării mecanismelor de protecţie a informaţiilor clasificate stocate, procesate sau transmise în SIC naţionale.
ART. 8
Principalele responsabilităţi ale ASIC sunt:
a) asigurarea faptului că sistemele, produsele şi mecanismele criptografice utilizate pentru protecţia informaţiilor clasificate, altele decât cele din categoria cifrului de stat, sunt selectate, operate, utilizate şi întreţinute în mod adecvat;
b) coordonarea dialogului pe problematica securităţii comunicaţiilor şi a altor aspecte tehnice din domeniul INFOSEC cu structurile NATO, UE şi naţionale abilitate;
c) elaborarea şi promovarea de politici de securitate şi reglementări privind domeniul INFOSEC şi monitorizarea eficienţei acestora;
d) asigurarea concordanţei dintre măsurile INFOSEC selectate şi implementate pentru protecţia informaţiilor clasificate şi politicile relevante care reglementează aceste măsuri;
e) coordonarea activităţii de formare şi dezvoltare a culturii de securitate în domeniul protecţiei informaţiilor vehiculate prin SIC;
f) aprobarea măsurilor de securitate TEMPEST aplicate pentru protecţia informaţiilor clasificate;
g) emiterea certificatelor de conformitate pentru produsele criptografice destinate protecţiei informaţiilor naţionale clasificate, altele decât cele din categoria cifrului de stat;
h) certificarea produselor INFOSEC destinate protecţiei informaţiilor clasificate, altele decât cele precizate la lit. g), conform reglementărilor naţionale în domeniu;
i) analizarea cauzelor provocatoare de incidente INFOSEC şi gestionarea bazei de date privind vulnerabilităţile din SIC, necesară pentru evaluarea modului de realizare a managementului riscului de securitate al SIC;
j) recomandarea de măsuri de securitate care să conducă la diminuarea riscurilor de securitate identificate;
k) derularea, împreună cu AAS, de inspecţii de securitate periodice sau inopinate, pentru verificarea modului de implementare şi menţinere a măsurilor de securitate în cadrul SIC supuse acreditării de securitate, pe întreg ciclul de viaţă al SIC.
ART. 9
ADMC este o structură componentă a ORNISS specializată în managementul şi distribuirea materialelor criptografice NATO, UE sau a celor care fac obiectul unor tratate, acorduri ori înţelegeri internaţionale la care România este parte.
ART. 10
Principalele responsabilităţi ale ADMC sunt:
a) asigurarea managementului şi evidenţei centralizate a materialelor criptografice;
b) verificarea modului de implementare a măsurilor de securitate criptografică în locaţiile destinate păstrării şi/sau utilizării materialelor criptografice;
c) asigurarea distribuirii materialelor criptografice către destinatarii finali;
d) raportarea incidentelor de securitate criptografică la ASIC, precum şi la structurile specializate din cadrul NATO, UE sau prevăzute de tratatele, acordurile ori înţelegerile internaţionale la care România este parte.
ART. 11
Autoritatea Desemnată de Securitate (ADS) este instituţia abilitată prin lege să stabilească, pentru domeniul său de activitate şi responsabilitate, structuri şi măsuri proprii privind coordonarea şi controlul activităţilor referitoare la protecţia informaţiilor secrete de stat, inclusiv a celor stocate, procesate sau transmise în SIC.
ART. 12
Principalele responsabilităţi ale ADS în domeniul INFOSEC sunt următoarele:
a) organizarea sistemelor de protecţie a informaţiilor clasificate în instituţie;
b) organizarea şi executarea auditului intern al sistemelor de securitate;
c) gestionarea, prin intermediul structurilor interne INFOSEC acreditate de ORNISS, a procesului de acreditare de securitate a SIC care stochează, procesează sau transmit informaţii naţionale clasificate secret de stat, aflate în administrare proprie;
d) elaborarea de norme şi măsuri specifice de securitate;
e) derularea periodică a procesului de management al riscului la adresa securităţii informaţiilor clasificate procesate, stocate sau transmise prin intermediul SIC;
f) cooperarea cu ORNISS pentru asigurarea unui nivel adecvat de protecţie a informaţiilor clasificate, în conformitate cu prevederile legislaţiei naţionale, ale standardelor NATO şi UE în domeniu, precum şi ale tratatelor, acordurilor sau înţelegerilor internaţionale la care România este parte.
ART. 13
Structura/Funcţionarul de securitate reprezintă punctul de contact pe problematica INFOSEC dintre organizaţia în cadrul căreia îşi desfăşoară activitatea şi ORNISS.
ART. 14
Structura/Funcţionarul de securitate are următoarele responsabilităţi în domeniul INFOSEC:
a) elaborarea normelor interne privind protecţia informaţiilor clasificate, care trebuie să includă şi prevederi referitoare la domeniul INFOSEC;
b) coordonarea activităţii interne de protecţie a informaţiilor clasificate în toate componentele acesteia, care includ şi domeniul INFOSEC;
c) asigurarea relaţionării cu agenţiile din cadrul ORNISS abilitate să coordoneze activitatea în domeniul INFOSEC şi asigurarea controlului măsurilor referitoare la protecţia informaţiilor clasificate vehiculate în SIC;
d) monitorizarea internă privind aplicarea normelor de protecţie a informaţiilor clasificate vehiculate în SIC şi a modului de respectare a acestora;
e) asigurarea consultanţei pentru conducerea organizaţiei din care face parte în domeniul securităţii informaţiilor clasificate;
f) informarea conducerii organizaţiei din care face parte cu privire la riscurile de securitate asociate SIC şi propunerea de măsuri pentru diminuarea acestora;
g) organizarea de programe de pregătire specifică a persoanelor care au acces la informaţii clasificate, care să includă şi problematica specifică domeniului INFOSEC;
h) efectuarea de controale privind modul de aplicare a măsurilor de protecţie a informaţiilor clasificate care includ şi domeniul INFOSEC;
i) stabilirea autorităţii operaţionale a SIC care răspunde de implementarea şi exploatarea operaţională a SIC din organizaţia în cadrul căreia îşi desfăşoară activitatea.
ART. 15
Autoritatea Operaţională a SIC, denumită în continuare AOSIC, este compartimentul care răspunde de implementarea şi menţinerea măsurilor de securitate, precum şi de exploatarea operaţională a SIC.
ART. 16
(1) Principalele responsabilităţi ale AOSIC sunt următoarele:
a) elaborarea şi actualizarea documentaţiei de securitate aferente procesului de acreditare de securitate a SIC din responsabilitatea sa;
b) propunerea de măsuri INFOSEC în vederea implementării acestora în SIC din responsabilitatea sa, în cooperare cu structura de planificare a SIC, şi asigurarea faptului că măsurile INFOSEC sunt implementate şi menţinute;
c) stabilirea, încă de la începutul ciclului de viaţă a sistemului, a resurselor necesare aplicării standardelor INFOSEC;
d) participarea la selectarea şi testarea măsurilor de securitate asociate SIC din responsabilitate şi supravegherea punerii lor în aplicare, pentru a se asigura că instalarea, configurarea, exploatarea şi întreţinerea acestora se realizează în conformitate cu documentaţia de securitate aprobată;
e) asigurarea formării şi dezvoltării culturii de securitate în domeniul protecţiei informaţiilor vehiculate prin SIC;
f) asigurarea derulării eficiente a procesului de acreditare de securitate a SIC; solicitarea reacreditării de securitate, în conformitate cu cerinţele stabilite de către AAS;
g) asigurarea implementării şi menţinerii măsurilor de securitate asociate SIC în conformitate cu documentaţia de securitate aprobată;
h) verificarea periodică a implementării şi menţinerii măsurilor de securitate asociate SIC, pentru a se asigura că acestea sunt în conformitate cu documentaţia de securitate aprobată;
i) investigarea cazurilor de încălcare sau a celor în care se suspectează încălcarea măsurilor de securitate, evaluarea prejudiciului cauzat şi raportarea concluziilor către structura de planificare a SIC şi către AAS;
j) asigurarea managementului materialului criptografic şi asigurarea custodiei elementelor criptografice şi celor controlate şi, dacă este cazul, asigurarea generării variabilelor criptografice.
(2) În funcţie de complexitatea SIC, AOSIC poate conţine, pe lângă administratorul de securitate al SIC şi administratorul de sistem, şi alte persoane, cum ar fi administratorul de securitate al componentei de comunicaţii a SIC, administratori de securitate pentru zonele terminalelor SIC etc., care pot avea atribuţii similare cu cele ale administratorului de securitate al SIC, corespunzătoare domeniului lor de responsabilitate.
(3) AOSIC asigură controlul şi evidenţa activităţilor desfăşurate de utilizatorii SIC. În cazul în care SIC este interconectat cu alte SIC aflate sub controlul altor AOSIC, aceasta trebuie să colaboreze cu celelalte AOSIC pentru a se asigura că securitatea SIC propriu nu este afectată.
(4) În cazul interconectării mai multor SIC, trebuie încheiat un acord oficial între AOSIC implicate, acord care să stabilească limitele de responsabilitate ale fiecărei părţi, cerinţele de securitate şi cerinţele privind acreditarea de securitate pentru fiecare dintre SIC interconectate.
ART. 17
(1) Structura de planificare a SIC răspunde de planificarea, la nivelul organizaţiei, a întregii activităţi referitoare la un SIC, de exemplu durata etapelor, resursele financiare, resursele materiale şi resursele umane necesare asigurării securităţii SIC, pe durata întregului ciclu de viaţă a acestuia.
(2) Responsabilităţile structurii de planificare a SIC referitoare la domeniul INFOSEC, corespunzătoare fiecărei etape a ciclului de viaţă a unui SIC, sunt cele specificate în Directiva principală privind domeniul INFOSEC - INFOSEC 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003.
CAP. III
Funcţii cu responsabilităţi în domeniul INFOSEC
ART. 18
Toate SIC, indiferent de complexitatea lor, trebuie să aibă un administrator de securitate al SIC. Administratorul de securitate răspunde de aspectele de securitate asociate SIC, inclusiv de administrarea zilnică a securităţii acestuia.
ART. 19
(1) Atribuţiile administratorului de securitate al SIC trebuie să includă următoarele:
a) elaborarea şi actualizarea documentaţiei de securitate a SIC din responsabilitate şi asigurarea diseminării acesteia către ceilalţi administratori ai sistemului şi către utilizatori, în părţile care îi privesc;
b) păstrarea evidenţei privind luarea la cunoştinţă de către administratorii şi utilizatorii SIC a documentaţiei de securitate;
c) asigurarea formării şi dezvoltării culturii de securitate în domeniul protecţiei informaţiilor vehiculate prin SIC pentru administratorii şi utilizatorii SIC. Acest proces este periodic şi poate fi realizat în următoarele moduri:
- prin afişarea pe ecranele staţiilor de lucru ale utilizatorilor SIC a unor mesaje de avertizare de tip banner, la deschiderea sesiunilor de lucru pe sistem;
- prin distribuirea unor afişe de conştientizare privind securitatea SIC;
- prin efectuarea unor demonstraţii practice privind măsurile tehnice şi procedurale de securitate aplicate în SIC;
d) menţinerea evidenţei persoanelor autorizate să utilizeze SIC, a autorizaţiilor/certificatelor de acces la informaţii clasificate deţinute de acestea, a necesităţii de a cunoaşte informaţiile stocate, procesate sau transmise prin intermediul SIC;
e) controlarea şi emiterea de parole sau alte elemente ale sistemului de control al accesului şi asigurarea faptului că administratorii şi utilizatorii gestionează în mod adecvat aceste elemente;
f) verificarea implementării şi menţinerii măsurilor de securitate aprobate pentru componentele hardware, firmware şi software ale SIC, pentru a se asigura că acestea sunt în conformitate cu documentaţia aprobată;
g) asigurarea aplicării corecte a măsurilor de securitate a transmisiei, emisiei şi criptografice, inclusiv a celor referitoare la gestionarea, întreţinerea şi protecţia materialului criptografic conform reglementărilor în vigoare;
h) asigurarea gestionării adecvate a mediilor de stocare ale SIC;
i) asigurarea faptului că mediile de stocare conţinând informaţii clasificate sunt utilizate numai în SIC acreditate în mod corespunzător;
j) executarea, la intervale stabilite, a unor verificări prin sondaj privind existenţa fizică a mediilor de stocare clasificate şi corectitudinea marcării acestora, precum şi păstrarea unei evidenţe a verificărilor efectuate;
k) verificarea faptului că mediile de stocare sunt declasificate prin mecanisme aprobate;
l) verificarea informaţiilor de audit privind activităţile utilizatorilor;
m) verificarea şi testarea copiilor de siguranţă (back-up), precum şi a altor elemente relevante pentru restaurarea sistemului;
n) gestionarea aspectelor de management al configuraţiei din perspectiva modificărilor relevante pentru securitate şi a documentelor asociate;
o) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii în ceea ce priveşte securitatea SIC;
p) asigurarea implementării şi menţinerii măsurilor de securitate aplicate locaţiilor în care sunt instalate elementele componente ale SIC;
q) acordarea de consultanţă celorlalţi administratori şi utilizatorilor SIC;
r) asigurarea faptului că activităţile de întreţinere a SIC se efectuează fără a fi afectată securitatea acestuia;
s) participarea, împreună cu AAS şi ceilalţi membri ai AOSIC, la investigarea cazurilor de încălcare a securităţii sau a încercărilor de încălcare a securităţii SIC, care privesc informaţiile clasificate.
(2) În cazul în care administratorul de securitate are drepturi de administrare depline, acesta trebuie să deţină certificat de securitate sau autorizaţie de acces la informaţii clasificate de nivel superior nivelului de clasificare a informaţiilor procesate, stocate ori transmise în SIC.
ART. 20
Toate SIC, indiferent de complexitatea lor, trebuie să aibă un administrator de sistem. Administratorul de sistem răspunde de funcţionarea sistemului în conformitate cu documentaţia de securitate aprobată.
ART. 21
(1) Principalele responsabilităţi ale administratorului de sistem sunt următoarele:
a) implementarea măsurilor de securitate aplicabile configuraţiei hardware şi software, activitate realizată sub coordonarea administratorului de securitate;
b) crearea/blocarea/dezactivarea conturilor;
c) implementarea modificărilor şi îmbunătăţirilor configuraţiei SIC, astfel încât obiectivele securităţii SIC să nu fie afectate;
d) asigurarea utilizării echipamentelor SIC în condiţii optime;
e) gestionarea şi repartizarea capacităţilor hardware şi software;
f) asigurarea întreţinerii şi reparării echipamentelor SIC;
g) actualizarea evidenţelor privind funcţionarea SIC;
h) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii în ceea ce priveşte funcţionarea sistemului.
(2) În cazul în care administratorul de sistem are drepturi de administrare depline, acesta trebuie să deţină certificat de securitate sau autorizaţie de acces la informaţii clasificate de nivel superior nivelului de clasificare a informaţiilor procesate, stocate ori transmise în SIC.
ART. 22
În funcţie de complexitatea SIC, poate fi numit şi un administrator COMSEC. Administratorul COMSEC al SIC răspunde de aspectele referitoare la securitatea echipamentelor de comunicaţii ale SIC. De asemenea, administratorul COMSEC răspunde şi de aplicarea şi respectarea normelor privind securitatea emisiilor (TEMPEST) pentru echipamentele şi locaţiile SIC.
ART. 23
Principalele responsabilităţi ale administratorului COMSEC privind securitatea echipamentelor de comunicaţii ale SIC sunt următoarele:
a) participarea la elaborarea şi actualizarea documentaţiei de securitate, potrivit domeniului său de responsabilitate;
b) acordarea de consultanţă pentru AOSIC şi utilizatorii SIC privind securitatea echipamentelor de comunicaţii ale SIC;
c) garantarea faptului că întregul personal care are acces la echipamentele de comunicaţii ale SIC deţine certificat de securitate corespunzător, cunoaşte regulile de securitate locală şi este supravegheat pe durata desfăşurării activităţii;
d) păstrarea evidenţei tuturor persoanelor autorizate să utilizeze echipamentele de comunicaţii ale SIC şi a punctelor de unde pot să le utilizeze;
e) garantarea faptului că în cadrul SIC se asigură:
- securitatea echipamentelor de comunicaţii ale SIC în conformitate cu prevederile legale în vigoare;
- proceduri şi mecanisme pentru identificarea şi autentificarea corespondentului;
- controlul accesului;
- auditul activităţilor;
f) participarea la pregătirea şi finalizarea acordurilor privind interconectarea SIC din punctul de vedere al securităţii echipamentelor de comunicaţii ale SIC;
g) asigurarea implementării modificărilor şi îmbunătăţirilor hardware, firmware şi software ale echipamentelor de comunicaţii ale SIC, în scopul asigurării faptului că obiectivele securităţii SIC nu sunt afectate;
h) păstrarea evidenţei înlocuirilor, modificărilor şi defectelor hardware, firmware şi software ale echipamentelor de comunicaţii şi analizarea periodică a evidenţei acestora;
i) asigurarea faptului că activităţile de întreţinere a echipamentelor de comunicaţii ale SIC se efectuează fără a fi afectată securitatea acestora;
j) păstrarea şi analizarea jurnalelor privind funcţionarea echipamentelor de comunicaţii ale SIC. Aceste jurnale trebuie să conţină suficiente detalii privind activităţile SIC care să permită reconstituirea istoricului evenimentelor, inclusiv monitorizarea şi înregistrarea activităţilor (ora şi data) care afectează securitatea echipamentelor de comunicaţii ale SIC;
k) realizarea şi gestionarea adecvată a copiilor de siguranţă (back-up) aferente echipamentelor de comunicaţii ale SIC;
l) monitorizarea aspectelor privind managementul configuraţiei, referitoare la schimbările hardware, firmware sau software, precum şi ale documentaţiei asociate, care pot afecta securitatea echipamentelor de comunicaţii ale SIC;
m) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii în ceea ce priveşte securitatea comunicaţiilor;
n) participarea, împreună cu AAS şi ceilalţi membri ai AOSIC, la investigarea cazurilor de încălcare sau a încercărilor de încălcare a securităţii echipamentelor de comunicaţii ale SIC;
o) păstrarea legăturii cu AAS, prin intermediul AOSIC, privind toate aspectele referitoare la securitatea echipamentelor de comunicaţii ale SIC.
ART. 24
Principalele responsabilităţi ale administratorului COMSEC privind securitatea emisiilor (TEMPEST) sunt următoarele:
a) acordarea de consultanţă structurii de planificare a SIC, managerului de proiect şi AOSIC privind măsurile de securitate a emisiilor (TEMPEST) necesar a fi aplicate şi criteriile de selectare şi instalare a echipamentelor SIC în locaţiile acestuia;
b) gestionarea proceselor de implementare a măsurilor de securitate a emisiilor (TEMPEST), a procesului de zonare a locaţiilor în care urmează să fie instalate echipamentele sistemului şi a procesului de selectare, evaluare, certificare şi instalare a echipamentelor TEMPEST;
c) executarea de verificări periodice în scopul asigurării faptului că nu au fost instalate echipamente şi dispozitive neautorizate sau că echipamentele SIC nu au fost supuse încercărilor de acces neautorizat;
d) asigurarea măsurilor de securitate fizică în vederea contracarării unor fenomene electromagnetice, de exemplu: ecranare prin panouri/paravane/armătură, EMI/EMP, bariere RFI (garnituri/manşoane RFI), sigilii etc.;
e) asigurarea faptului că echipamentele utilizate temporar, pe durata unor activităţi specifice, nu încalcă regulile de securitate a emisiilor existente şi nu perturbă funcţionarea celorlalte echipamente permanente ale SIC;
f) păstrarea evidenţei tuturor derogărilor de la măsurile TEMPEST care au fost aprobate pentru SIC;
g) păstrarea evidenţei tuturor echipamentelor protejate TEMPEST implementate în sistem, evidenţă care să includă sigiliile TEMPEST aplicate şi valabilitatea certificatului fiecărui echipament.
ART. 25
În funcţie de complexitatea SIC, poate fi numit şi un administrator TRANSEC. Administratorul TRANSEC al SIC poate fi numit, de exemplu, numai pentru SIC interconectate şi răspunde de aspectele referitoare la securitatea transmisiei informaţiilor prin intermediul sistemelor electromagnetice, indiferent de formatul acestora (de exemplu: audio, date, mesaje, grafică).
ART. 26
Principalele responsabilităţi ale administratorului TRANSEC sunt următoarele:
a) participarea la elaborarea şi actualizarea documentaţiei de securitate, potrivit domeniului său de responsabilitate;
b) asigurarea implementării şi menţinerii măsurilor de securitate a transmisiilor;
c) acordarea de consultanţă pentru AOSIC şi utilizatorii SIC referitoare la aspecte de securitate a transmisiilor;
d) elaborarea rapoartelor referitoare la securitatea transmisiilor;
e) prezentarea/expunerea problemelor de specialitate în cadrul pregătirii/instruirii personalului SIC;
f) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii în ceea ce priveşte securitatea transmisiilor.
ART. 27
În cazul în care în SIC este folosit material criptografic NATO sau UE, trebuie numit şi un administrator CRIPTO. Administratorul CRIPTO răspunde de aspectele referitoare la securitatea materialului criptografic deţinut.
ART. 28
Principalele responsabilităţi ale administratorului CRIPTO privind securitatea criptografică în cadrul SIC sunt următoarele:
a) asigurarea nemijlocită a managementului şi controlului materialului criptografic pe care îl are în custodie (înregistrat în evidenţele sale);
b) asigurarea primirii, verificării, păstrării, transferului, protecţiei şi distrugerii materialului criptografic, păstrarea şi actualizarea evidenţei rapoartelor referitoare la materialul criptografic din custodia sa, în conformitate cu prevederile instrucţiunilor în vigoare pentru domeniul criptografic;
c) aplicarea procedurilor de folosire a materialului criptografic;
d) realizarea periodică a inventarierii materialului criptografic;
e) distrugerea materialul criptografic;
f) asigurarea faptului că materialul criptografic este pus numai la dispoziţia persoanelor autorizate corespunzător, ale căror sarcini de serviciu implică accesul la acesta. Administratorul CRIPTO le va face cunoscută obligaţia de a proteja materialul pe perioada de timp cât se află în posesia acestora;
g) raportarea către ADMC a tuturor aspectelor referitoare la încălcarea sau încercările de încălcare a securităţii criptografice (probabile, posibile sau efective), care au legătură cu gestionarea materialului criptografic în conformitate cu prevederile legale în vigoare.
ART. 29
Înlocuitorul administratorului CRIPTO participă, alături de administratorul CRIPTO, la toate activităţile de management al materialului criptografic NATO sau UE şi asigură continuitatea acestora în absenţa administratorului CRIPTO.
ART. 30
Atribuţiile înlocuitorului administratorului CRIPTO sunt următoarele:
a) cunoaşterea activităţii zilnice specifice, pentru a fi în măsură să preia şi să îşi asume responsabilităţile administratorului CRIPTO atunci când este cazul, fără a provoca întreruperi în activitatea criptografică;
b) îndeplinirea tuturor responsabilităţilor administratorului CRIPTO pe perioada absenţei acestuia.
ART. 31
Pentru gestionarea de material criptografic UE, administratorul CRIPTO şi înlocuitorul acestuia trebuie să deţină certificat de acces la informaţii clasificate de nivel minim SECRET UE/EU SECRET. În cazul în care în cadrul contului COMSEC sunt gestionate 10 sau mai multe titluri scurte de material criptografic SECRET UE/EU SECRET, administratorul CRIPTO şi înlocuitorul acestuia trebuie să deţină certificat de acces la informaţii TRES SECRET UE/EU TOP SECRET.
ART. 32
Pentru gestionarea de material criptografic NATO, administratorul CRIPTO şi înlocuitorul acestuia trebuie să deţină certificat de acces la informaţii clasificate corespunzător nivelului maxim de clasificare a materialelor deţinute în contul COMSEC. În cazul în care în cadrul contului COMSEC sunt gestionate 10 sau mai multe titluri scurte de material criptografic NATO SECRET, administratorul CRIPTO şi înlocuitorul acestuia trebuie să deţină certificat de acces la informaţii COSMIC TOP SECRET.
ART. 33
Administratorul CRIPTO şi înlocuitorul acestuia trebuie să urmeze un program de pregătire specifică pentru desfăşurarea activităţii criptografice.
ART. 34
Administratorul de securitate al obiectivului SIC este responsabil de asigurarea implementării şi menţinerii măsurilor de securitate fizică referitoare la domeniul INFOSEC, aplicabile locaţiilor SIC. De asemenea, este responsabil de raportarea către AOSIC a oricăror încălcări ale măsurilor de securitate fizică.
ART. 35
Responsabilităţile unui administrator de securitate al obiectivului SIC pot fi îndeplinite de către structura/funcţionarul de securitate a/al instituţiei respective, ca parte a îndatoririlor sale profesionale.
ART. 36
Administratorul de securitate al obiectivului SIC are următoarele responsabilităţi:
a) participarea la elaborarea şi actualizarea documentaţiei de securitate, potrivit domeniului său de responsabilitate;
b) monitorizarea permanentă a tuturor aspectelor privind securitatea fizică specifice SIC;
c) implementarea şi menţinerea măsurilor de securitate fizică, aprobate prin documentaţia de securitate a SIC;
d) asigurarea accesului în locaţiile SIC numai pentru personalul autorizat;
e) păstrarea şi actualizarea evidenţei tuturor persoanelor care au autorizaţie de acces în locaţiile SIC;
f) aplicarea măsurilor adecvate de control al accesului în obiectivul SIC, controlarea şi/sau furnizarea elementelor de identificare a personalului referitoare la accesul în locaţiile SIC;
g) asigurarea implementării, testării şi întreţinerii sistemului de securitate fizică aferent locaţiilor SIC;
h) păstrarea evidenţei evenimentelor referitoare la securitatea fizică a SIC;
i) supravegherea modului de efectuare a oricăror modificări care privesc securitatea fizică a locaţiilor SIC;
j) asigurarea faptului că întregul personal al SIC îşi cunoaşte responsabilităţile cu privire la securitatea fizică a locaţiilor SIC;
k) asigurarea faptului că evidenţele şi înregistrările conţinând informaţii referitoare la acces şi controlul accesului în locaţiile SIC sunt păstrate şi consultate în conformitate cu prevederile documentaţiei de securitate;
l) asigurarea verificării periodice a modului de acţiune în situaţii de urgenţă;
m) asigurarea instruirii şi pregătirii corespunzătoare a administratorilor de securitate ai zonei terminalelor, conform domeniului său de competenţă;
n) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii în sistemul de securitate fizică al SIC.
ART. 37
În cazul în care un SIC are terminale sau alte echipamente aflate la distanţă (de exemplu, în alte clădiri sau în zone separate de locaţia principală), se poate numi câte un administrator de securitate pentru fiecare astfel de zonă.
ART. 38
Administratorul de securitate al zonei terminalelor SIC are următoarele responsabilităţi principale:
a) implementarea politicii de securitate a SIC în zona de care răspunde;
b) aplicarea măsurilor de securitate specifice terminalelor şi celorlalte echipamente aferente aflate în zona sa de responsabilitate;
c) raportarea către AOSIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii privind zona sa de responsabilitate.
ART. 39
Utilizatorii SIC au obligaţia de a respecta prevederile documentaţiei de securitate a sistemului în părţile care îi privesc.
ART. 40
Utilizatorii au următoarele responsabilităţi principale:
a) însuşirea şi respectarea procedurilor de securitate;
b) raportarea imediată către administratorul de securitate al SIC a oricăror incidente/suspiciuni de incidente/prejudicii/vulnerabilităţi/anomalii privind SIC.
ART. 41
Managerul de proiect este persoana care răspunde de proiectul SIC pe durata întregului ciclu de viaţă a sistemului.
ART. 42
Responsabilităţile managerului de proiect referitoare la domeniul INFOSEC, corespunzătoare fiecărei etape generice a ciclului de viaţă a unui SIC, sunt cele specificate în Directiva principală privind domeniul INFOSEC-INFOSEC 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
