Comunica experienta
MonitorulJuridic.ro
Având în vedere prevederile art. 36 şi 37 din Legea nr. 455/2001 privind semnãtura electronicã, precum şi ale art. 16-20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnãtura electronicã, aprobate prin Hotãrârea Guvernului nr. 1.259/2001, cu modificãrile ulterioare, în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin. (6) din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare, ministrul comunicaţiilor şi societãţii informaţionale emite prezentul ordin. ART. I Ordinul ministrului comunicaţiilor şi societãţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat în Monitorul Oficial al României, Partea I, nr. 411 din 16 iunie 2009, cu modificãrile şi completãrile ulterioare, se modificã şi se completeazã dupã cum urmeazã: 1. La articolul 1, alineatul (2) se modificã şi va avea urmãtorul cuprins: "(2) Prezentul ordin stabileşte condiţiile, conţinutul, durata de valabilitate şi condiţiile suspendãrii deciziei de acreditare a furnizorilor de servicii de certificare." 2. Articolul 3^1 se modificã şi va avea urmãtorul cuprins: "Art. 3^1. - În vederea acreditãrii, furnizorul de servicii de certificare trebuie sã facã dovada: a) utilizãrii a cel puţin 5 persoane angajate în baza unor contracte individuale de muncã cu normã întreagã sau prin încheierea de contracte de prestãri de servicii cu societãţi comerciale ori persoane fizice autorizate. Persoanele implicate în generarea şi gestionarea de certificate trebuie: (i) sã deţinã diplomã de absolvire a unei forme de învãţãmânt superior de lungã duratã, eliberatã de o instituţie de învãţãmânt superior acreditatã, având înscrisã una dintre urmãtoarele specializãri: automaticã, calculatoare, informaticã, matematicã, fizicã, ciberneticã, electronicã; sau (ii) sã deţinã diplomã de masterat în una dintre specializãrile menţionate la pct. (i). Angajaţii implicaţi în generarea şi gestionarea de certificate trebuie sã aibã cunoştinţe în domeniul securitãţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deţinerea cel puţin a uneia dintre certificãrile ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internaţional. Orice modificare a schemei de personal va fi notificatã cãtre autoritate în termen de 10 zile lucrãtoare de la producerea acesteia; b) utilizãrii unei scheme de personal care sã asigure un flux continuu de emitere, suspendare şi revocare a certificatelor şi segregarea rolurilor angajaţilor, asigurând acoperirea cel puţin a urmãtoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puţin douã persoane), operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin douã persoane), administrator al sistemului de certificare, administrator de securitate şi auditor intern. Schema de personal va fi înaintatã autoritãţii; c) utilizãrii unei arhitecturi distribuite a sistemului de certificare şi sistemului de înregistrare, separând logic şi fizic funcţionalitãţile publice: înregistrarea cererilor de certificate, registrul de certificate şi validarea cererilor de emitere a certificatelor. Furnizorul trebuie sã dovedeascã disponibilitatea lunarã de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor, precum şi a registrului de certificare. Disponibilitatea reprezintã capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcţionare în orice moment din intervalul de observaţie de o lunã calendaristicã. Disponibilitatea se calculeazã dupã formula: D = [(To-Tî)/To]*100 [%], unde: To = durata unei luni calendaristice, aproximatã la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute; Tî = durata însumatã a întreruperilor de serviciu în minute. Arhitectura tehnicã şi dovada îndeplinirii condiţiilor de disponibilitate a soluţiei vor fi înaintate autoritãţii; d) deţinerii sau utilizãrii unui sediu de rezervã pentru continuarea operaţiunilor în cazul apariţiei unui eveniment care sã împiedice utilizarea sediului principal. Sediul de rezervã trebuie sã rãspundã aceloraşi condiţii tehnice ca şi sediul principal şi sã parcurgã aceleaşi proceduri de audit. Documentaţia privind sediul de rezervã şi rapoartele de audit vor fi înaintate autoritãţii; e) certificãrilor legate de sistemul de management al calitãţii şi management al securitãţii informaţionale, certificate în conformitate cu standardele ISO 9001 şi, respectiv, ISO 27001 sau Standardele naţionale de protecţie a informaţiilor clasificate definite prin Hotãrârea Guvernului nr. 585/2002 ori ultimele versiuni ale acestora sau standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autoritãţii." 3. Articolul 3^2 se modificã şi va avea urmãtorul cuprins: "Art. 3^2. - (1) Orice furnizor de servicii de certificare calificatã poate solicita iniţierea procedurii de acreditare prin bifarea opţiunii din anexa nr. 2 la Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnãtura electronicã, aprobate prin Hotãrârea Guvernului nr. 1.259/2001, cu modificãrile ulterioare. (2) Procedura de acreditare poate fi iniţiatã numai dupã începerea activitãţii de furnizare de servicii de certificare calificatã şi actualizarea registrului. Procedura de acreditare este prevãzutã în anexa nr. 4, care face parte integrantã din prezentul ordin." 4. Articolul 3^3 se modificã şi va avea urmãtorul cuprins: "Art. 3^3. - Pentru instituţiile din domeniul apãrãrii, ordinii publice şi siguranţei naţionale care emit certificate calificate ce urmeazã a fi folosite exclusiv pentru nevoi proprii şi ale cãror sisteme de generare, evidenţã şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, cuantumul garanţiei se stabileşte anual, prin decizia autoritãţii de reglementare şi supraveghere specializate în domeniu, la propunerea conducerii instituţiilor respective, proporţional cu prejudiciile create în anul anterior, stabilite prin decizii judecãtoreşti definitive. Extensia certificatului va conţine menţiuni referitoare la limitãri privind utilizarea." 5. Articolul 3^4 se modificã şi va avea urmãtorul cuprins: "Art. 3^4. - (1) Furnizorul va notifica autoritatea în legãturã cu orice modificare a soluţiei tehnice sau a procedurilor de lucru. Notificarea va fi însoţitã de opinia auditorului intern al furnizorului, opinie din care sã rezulte faptul cã furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu şi a legislaţiei în vigoare. (2) Notificarea prevãzutã la alin. (1) se va face cu 10 zile înainte de data la care modificãrile specificate la alin. (1) devin operaţionale sau în cazul unor urgenţe ori evenimente neprevãzute, justificate, în termen de maximum 24 de ore de la efectuarea modificãrilor. (3) În urma notificãrii adresate de cãtre furnizor autoritãţii, dacã se considerã cã modificãrile efectuate afecteazã major procesul de furnizare a serviciilor de certificare, în sensul nerespectãrii standardelor în domeniu sau a legislaţiei în vigoare, autoritatea poate solicita reînnoirea acreditãrii. (4) Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. În urma testãrii, acesta trebuie sã înainteze cãtre autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusã din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) şi un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilitãţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita furnizorului implementarea mãsurilor de securitate în vederea reducerii nivelului de risc. (5) Instituţiile care emit certificate calificate ce urmeazã a fi folosite exclusiv pentru nevoi proprii şi ale cãror sisteme de generare, evidenţã şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat vor realiza testele de penetrare şi auditul de securitate cu personal propriu care deţine cunoştinţe în domeniul securitãţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experienţã de cel puţin 5 ani în domeniul securitãţii sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilitãţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita instituţiei implementarea mãsurilor de securitate în vederea reducerii nivelului de risc." 6. Articolul 3^5 se abrogã. 7. Articolul 3^6 se modificã şi va avea urmãtorul cuprins: "Art. 3^6. - Verificarea informaţiilor din cererea de eliberare a certificatului va fi realizatã atât la înregistrarea cererii, cât şi la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnãtura electronicã." 8. Articolul 3^7 se modificã şi va avea urmãtorul cuprins: "Art. 3^7. - Autoritatea poate dispune suspendarea activitãţii furnizorului de servicii de certificare pânã la încetarea cauzelor care au determinat luarea mãsurii şi în urmãtoarele situaţii: 1. furnizorul nu îndeplineşte cerinţele privind personalul sau nu anunţã modificarea schemei de personal, aşa cum este prevãzut la art. 3^1 lit. a) şi b); 2. furnizorul nu asigurã disponibilitatea soluţiei sau nu anunţã modificãrile tehnice, aşa cum este prevãzut la art. 3^1 lit. c) şi art. 3^4; 3. furnizorul nu mai îndeplineşte cerinţele tehnice definite la art. 3^1 lit. d) şi e)." 9. Articolul 3^8 se modificã şi va avea urmãtorul cuprins: "Art. 3^8. - În cazurile prevãzute la art. 3^7, autoritatea are dreptul de a emite pretenţii asupra scrisorii de garanţie bancarã sau a poliţei de asigurare, în limita prejudiciului." 10. Dupã anexa nr. 3 se introduce o nouã anexã, anexa nr. 4, al cãrei cuprins este prevãzut în anexa la prezentul ordin. ART. II Prevederile prezentului ordin intrã în vigoare la 30 de zile de la publicarea sa în Monitorul Oficial al României, Partea I. Ministrul comunicaţiilor şi societãţii informaţionale, Valerian Vreme Bucureşti, 5 septembrie 2011. Nr. 888. ANEXĂ
─────
(Anexa nr. 4 la Ordinul nr. 473/2009)
─────────────────────────────────────
PROCEDURĂ DE ACREDITARE
┌───────┬──────────────────────────────────────────────┬───────────┬───────────┐
│Numãrul│ │ │ Numãrul │
│activi-│ Descrierea activitãţii │ Durata │activitãţii│
│tãţii │ │activitãţii│precedente │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 1. │Procedura de acreditare │55 de zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 2. │I. Cererea furnizorului │ 3 zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 3. │Cererea furnizorului de servicii de │ │ │
│ │certificare (FSC) circulã de la registraturã │ │ │
│ │pânã la Direcţia generalã pentru politici şi │ │ │
│ │programe în domeniul societãţii informaţionale│ │ │
│ │(DGPPSI). │ o zi │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 4. │Ministerul Comunicaţiilor şi Societãţii │ │ │
│ │Informaţionale (MCSI) verificã numai documen- │ │ │
│ │taţia transmisã de furnizor. În cazul în care │ │ │
│ │furnizorul nu a transmis documentaţia, aceasta│ │ │
│ │este solicitatã. │douã zile │ 3 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 5. │II. Procesul de alegere a auditorului │27 de zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 6. │Desemnarea echipei responsabile cu îndeplini- │ │ │
│ │rea procesului de acreditare, formatã din │ │ │
│ │reprezentanţi ai DGPPSI │douã zile │ 2 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 7. │Stabilirea de cãtre MCSI a condiţiilor de │ │ │
│ │calificare a auditorilor │douã zile │ 2 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 8. │Aprobarea procedurii cu tot ce cuprinde │douã zile │ 7 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 9. │Publicarea anunţului MCSI referitor la │ │ │
│ │lansarea procedurii de selecţie a auditorilor │ o zi │ 8 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 10. │Primirea ofertelor │ 5 zile │ 9 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 11. │Verificarea îndeplinirii condiţiilor de cãtre │ │ │
│ │auditorii care participã la procesul de │ │ │
│ │calificare │ 5 zile │ 10 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 12. │Desemnarea auditorului │12 zile │ 11 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 13. │Raportul comisiei, inclusiv lista care trebuie│ │ │
│ │aprobatã │douã zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 14. │Aprobarea listei │douã zile │ 13 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 15. │Comunicarea listei │ o zi │ 14 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 16. │Primirea rãspunsului │douã zile │ 15 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 17. │Desemnarea auditorului prin ordin al │ │ │
│ │ministrului comunicaţiilor şi societãţii │ │ │
│ │informaţionale (conform modelului din anexa │ │ │
│ │nr. 2 la Ordinul ministrului comunicaţiilor şi│ │ │
│ │societãţii informaţionale nr. 473/2009 privind│ │ │
│ │procedura de acordare, suspendare şi retragere│ │ │
│ │a deciziei de acreditare a furnizorilor de │ │ │
│ │servicii de certificare, cu modificãrile şi │ │ │
│ │completãrile ulterioare) │ 3 zile │ 16 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 18. │Comunicarea ordinului │douã zile │ 17 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 19. │III. Realizarea auditului │15 zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 20. │Efectuarea auditului şi transmiterea │ │ │
│ │raportului şi opiniei de audit cãtre MCSI │15 zile │ 18 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 21. │IV. Evaluarea şi decizia acreditãrii │10 zile │ │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 22. │DGPPSI va primi rezultatul auditului efectuat │ │ │
│ │asupra FSC │ o zi │ 20 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 23. │MCSI respinge cererea de acreditare în urma │ │ │
│ │analizei raportului de audit, precum şi în │ │ │
│ │cazul unei opinii de audit exprimate cu │ │ │
│ │rezerve. │ 4 zile │ 22 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 24. │În cazul unor observaţii referitoare la │ │ │
│ │raportul de audit prezentat, MCSI le va │ │ │
│ │comunica atât furnizorului de servicii de │ │ │
│ │certificare, cât şi auditorului, în termen de │ │ │
│ │5 zile de la prezentarea raportului. │ 4 zile │ 22 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 25. │În termen de 10 zile de la prezentarea opiniei│ │ │
│ │de audit favorabile, MCSI emite decizia de │ │ │
│ │acreditare şi înscrie în registru menţiunea │ │ │
│ │privind acreditarea FSC. │ 9 zile │ 22 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 26. │Acreditarea se face prin ordin al ministrului │ │ │
│ │comunicaţiilor şi societãţii informaţionale, │ │ │
│ │forma şi conţinutul ordinului de acreditare │ │ │
│ │fiind prevãzute în anexa nr. 3 la Ordinul │ │ │
│ │ministrului comunicaţiilor şi societãţii │ │ │
│ │informaţionale nr. 473/2009, cu modificãrile │ │ │
│ │şi completãrile ulterioare. │ 0 zile │ 25 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 27. │În cazul respingerii cererii de acreditare, │ │ │
│ │autoritatea va comunica furnizorului motivele │ │ │
│ │respingerii. │ 0 zile │ 25 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 28. │Decizia de acreditare va fi comunicatã │ │ │
│ │furnizorului pe suport hârtie şi în format │ │ │
│ │electronic, semnatã digital de cãtre MCSI. │ 0 zile │ 25 │
├───────┼──────────────────────────────────────────────┼───────────┼───────────┤
│ 29. │MCSI va înscrie în Registrul furnizorilor de │ │ │
│ │servicii de certificare menţiunea privind │ │ │
│ │acreditarea FSC. │ 0 zile │ 25 │
└───────┴──────────────────────────────────────────────┴───────────┴───────────┘
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
