Comunica experienta
MonitorulJuridic.ro
PROCEDURA, METODELE ŞI INSTRUMENTELE din 21 februarie 2023 încetării utilizării produselor şi serviciilor provenind direct sau indirect din Federaţia Rusă sau de la un operator economic aflat sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă sau al cărui capital este constituit cu participaţie provenind în mod direct sau prin firme interpuse din Federaţia Rusă ori din ale cărui organe de administrare fac parte persoane din Federaţia Rusă
EMITENT: Ministerul Cercetarii, Inovarii si Digitalizarii PUBLICAT: Monitorul Oficial nr. 167 din 27 februarie 2023
──────────
Aprobată prin ORDINUL nr. 20.281 din 21 februarie 2023, publicat în Monitorul Oficial al României, Partea I, nr. 167 din 27 februarie 2023.
──────────
ART. 1
(1) Prezenta procedură se aplică tuturor autorităţilor şi instituţiilor publice de la nivel central şi local, precum şi persoanelor fizice şi juridice care deţin reţele şi sisteme informatice prin care se gestionează informaţii clasificate, denumite în continuare entităţi.
(2) Prezenta procedură nu este obligatorie pentru autorităţile şi instituţiile publice cu atribuţii proprii în domeniul securităţii naţionale, în domeniul securităţii cibernetice, apărării naţionale şi ordinii publice, cu excepţia situaţiei în care conducătorul autorităţii sau instituţiei respective decide altfel.
(3) În vederea aplicării prezentei proceduri, autorităţile şi instituţiile publice prevăzute la alin. (2) au în vedere să nu le fie afectate următoarele:
a) activitatea de cercetare-dezvoltare şi inovare;
b) activitatea de informaţii şi contrainformaţii;
c) misiunile operative şi tactice;
d) personalul, metodele, mijloacele sau procedurile specifice exercitării atribuţiilor;
e) respectarea regimului juridic al informaţiilor clasificate;
f) capacităţile de răspuns la ameninţări, vulnerabilităţi sau riscuri la adresa securităţii naţionale a României.
ART. 2
(1) Entităţile analizează şi constată dacă produsele şi serviciile software aflate în proprietatea, administrarea sau folosinţa acestora sunt de tipul celor prevăzute la art. 2 alin. (1) din Legea nr. 354/2022 privind protecţia sistemelor informatice ale autorităţilor şi instituţiilor publice în contextul invaziei declanşate de Federaţia Rusă împotriva Ucrainei, denumită în continuare Lege, şi dacă acestea provin de la persoanele prevăzute la art. 1 alin. (1) şi (3) din Lege.
(2) Entităţile stabilesc necesităţile de înlocuire a produselor şi serviciilor software de tipul celor prevăzute la art. 2 alin. (1) din Lege şi pe care le au în proprietate, administrare sau folosinţă.
ART. 3
Entităţile constată încetarea contractelor încheiate cu operatorii economici.
ART. 4
(1) Entităţile elaborează o procedură internă de încetare a utilizării, respectiv de deconectare/dezinstalare a produselor şi serviciilor software interzise de Lege şi o pun în aplicare în termen de 60 de zile de la intrarea în vigoare a prezentului ordin.
(2) Entităţile elaborează un plan propriu de înlocuire a produselor şi serviciilor software interzise de Lege cu unele legale şi compatibile din punct de vedere tehnic şi operaţional, în acord cu necesităţile fiecărei entităţi.
(3) În vederea implementării prevederilor alin. (2), entităţile trebuie să respecte cumulativ cel puţin următoarele obligaţii:
a) perioada de tranziţie între produsele şi serviciile software interzise şi cele legale şi compatibile să fie cât mai scurtă posibil, astfel încât să nu se compromită buna funcţionare a reţelelor şi sistemelor informatice;
b) produsele şi serviciile software achiziţionate să fie instalate în mediul de test, înainte de dezinstalarea/decuplarea celor interzise de Lege;
c) să se asigure prevenirea şi combaterea atacurilor cibernetice pe perioada de tranziţie, luând în calcul toate posibilităţile disponibile în piaţă.
ART. 5
Instalarea produselor şi serviciilor software legale şi compatibile se realizează cu respectarea următorilor paşi tehnici:
1. se copiază local, pe sistemul informatic, fişierele necesare pentru instalarea produsului antivirus substituent, în funcţie de tipul sistemului de operare. Fişierele de instalare se vor descărca de pe pagina oficială a producătorului, împreună cu manualul de instalare şi utilizare a produsului;
2. se izolează sistemul informatic de la orice sursă de internet, indiferent de mediul de comunicaţii (de exemplu, infraroşu, laser), inclusiv de la reţeaua internă/locală din care face parte sistemul informatic, pentru a nu interacţiona cu alte dispozitive în timpul procesului de dezinstalare/instalare a produsului antivirus;
3. pe toată durata activităţii de dezinstalare şi instalare a produsului antivirus nu se vor efectua alte operaţiuni la nivelul sistemului informatic, precum conectarea altor dispozitive de stocare, instalarea altor programe, deschiderea fişierelor stocate pe sistem sau instalarea şi pornirea altor aplicaţii;
4. se urmează procedura standard de dezinstalare a antivirusului existent la nivelul sistemului informatic, în funcţie de sistemul de operare şi tipul produsului antivirus;
5. la finalizarea procesului de dezinstalare se reporneşte sistemul informatic;
6. după repornire se instalează produsul antivirus substituent conform paşilor recomandaţi de către producător şi se efectuează o primă scanare rapidă a sistemului informatic pentru validarea funcţionării corespunzătoare a noului antivirus şi pentru identificarea posibilelor fişiere infectate la nivelul sistemului;
7. în cazul în care nu sunt detectate fişiere infectate se continuă procesul cu pasul 9;
8. în situaţia în care au fost identificate fişiere suspecte sau infectate, acestea se transmit personalului specializat pentru analiză suplimentară. Până la stabilirea unui verdict, sistemul informatic nu va fi reconectat la reţeaua din care face parte şi nu se va continua procesul. În funcţie de tipul de malware şi capabilităţile acestuia, se procedează la ştergerea fişierelor infectate sau, după caz, la reinstalarea sistemului de operare şi se revine la pasul 6;
9. se reconectează sistemul informatic la reţeaua din care face parte sau la o sursă cu conexiune la internet, protejată, de preferat, cel puţin cu o soluţie de tip firewall;
10. se actualizează semnăturile din baza de date a produsului antivirus şi se scanează complet sistemul informatic pentru detecţia eventualelor fişiere infectate.
ART. 6
(1) În termen de 30 de zile de la data intrării în vigoare a ordinului de aprobare a prezentei proceduri, entităţile demarează procedura de achiziţie a produselor şi serviciilor software compatibile şi legale, cu respectarea legislaţiei privind achiziţiile publice, pentru asigurarea continuităţii activităţii, cu încadrarea în bugetul propriu.
(2) Documentaţia de atribuire trebuie să cuprindă elemente suficiente şi necesare care să excludă posibilitatea achiziţionării produselor şi serviciilor software interzise de Lege.
(3) În cadrul documentaţiei de atribuire pentru achiziţia de produse şi servicii de tipul celor prevăzute la art. 2 alin. (1) din Lege, entităţile sunt obligate să prevadă excluderea de la procedura de achiziţie a persoanelor prevăzute de art. 1 alin. (1) şi (3) din Lege, respectiv:
a) operatorilor economici aflaţi sub controlul direct sau indirect al unei persoane fizice sau juridice din Federaţia Rusă;
b) operatorilor al căror capital este constituit cu participaţie provenind în mod direct sau prin firme interpuse din Federaţia Rusă;
c) operatorilor economici din ale căror organe de administrare fac parte persoane din Federaţia Rusă.
ART. 7
(1) Entităţile care au în proprietate, administrare sau folosinţă produse şi servicii interzise de lege comunică Ministerului Cercetării, Inovării şi Digitalizării, Autorităţii pentru Digitalizarea României, denumită în continuare ADR, şi Directoratului Naţional de Securitate Cibernetică cel puţin următoarele:
a) tipul de produs sau serviciu software interzis de Lege şi aflat în proprietate, administrare sau folosinţă;
b) operatorul economic de la care a achiziţionat produsul sau serviciul software;
c) operatorul economic care a fabricat produsul sau serviciul software;
d) data efectivă a dezinstalării/deconectării produselor şi serviciilor software interzise prin Lege;
e) procedura internă prevăzută la art. 4 alin. (1);
f) planul de înlocuire prevăzut la art. 4 alin. (2);
g) solicitare expresă, dacă este cazul, pentru suport tehnic în ceea ce priveşte asigurarea securităţii cibernetice a reţelelor şi sistemelor informatice conectate cu produsele şi serviciile software interzise de Lege.
(2) Comunicarea prevăzută la alin. (1) se transmite prin completarea unui formular online administrat de ADR prin Sistemul electronic de achiziţii publice, care conţine întrebările prevăzute în anexa nr. 2 la ordin.
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
