Upload File

ordin 86 2013 infosec1

prev
next
out of 15
Download Ordin 86 2013 Infosec1

Upload: iliuta-monica

Post on 12-Mar-2016

27 views

Category:

Documents


2 download

Report

DESCRIPTION

ordin 8 din 2013

TRANSCRIPT

  • G U V E R N U L R O M N I E IOFICIUL REGISTRULUI NAIONAL AL INFORMAIILOR SECRETE DE STAT

    O R D I Npentru aprobarea Directivei privind structurile cu responsabiliti

    n domeniul INFOSEC INFOSEC 1

    n temeiul:- art.1 alin.(4) lit.b) i art.3 alin.(6) din Ordonana de urgen a Guvernului nr.153/2002

    privind organizarea i funcionarea Oficiului Registrului Naional al Informaiilor Secrete deStat, aprobat prin Legea nr.101/2003, cu modificrile i completrile ulterioare,

    - art.55 alin.(1) din Regulamentul privind procedurile, la nivelul Guvernului, pentruelaborarea, avizarea i prezentarea proiectelor de documente de politici publice, a proiectelor deacte normative, precum i a altor documente, n vederea adoptrii/aprobrii, aprobat prinHotrrea Guvernului nr.561/2009,

    DIRECTORUL GENERAL AL OFICIULUI REGISTRULUI NAIONALAL INFORMAIILOR SECRETE DE STAT

    emite prezentulO R D I N:

    Art.1 Se aprob Directiva privind structurile cu responsabiliti n domeniul INFOSEC INFOSEC 1, prevzut n anexa care face parte integrant din prezentul ordin.

    Art.2 - La data intrrii n vigoare a prezentului ordin se abrog Ordinul directoruluigeneral al Oficiului Registrului Naional al Informaiilor Secrete de Stat nr. 482/2003 pentruaprobarea Directivei privind structurile cu responsabiliti n domeniul INFOSEC INFOSEC1, publicat n Monitorul Oficial al Romniei, Partea I, nr. 874 din 9 decembrie 2003.

    Art.3 Oficiul Registrului Naional al Informaiilor Secrete de Stat va duce landeplinire prevederile prezentului ordin.

    DIRECTOR GENERAL

    MARIUS PETRESCU

    Bucureti,Nr. 86/2013

  • Anex

    DIRECTIVA PRIVIND STRUCTURILE CU RESPONSABILITIN DOMENIUL INFOSEC INFOSEC 1

    CAPITOLUL IINTRODUCERE

    Art.1 - Prezenta directiv stabilete i definete structurile i funciile cu atribuii ndomeniul INFOSEC, precum i principalele responsabiliti ale acestora, la nivel naional, nscopul asigurrii proteciei corespunztoare a informaiilor clasificate.

    Art.2 - n cuprinsul prezentei directive, n cazul n care nu se fac precizri suplimentare,prin informaii clasificate se definesc informaii naionale clasificate secret de stat, informaiiNATO clasificate, informaii UE clasificate sau informaii clasificate care fac obiectul unortratate, acorduri sau nelegeri internaionale la care Romnia este parte.

    CAPITOLUL IIStructuri cu responsabiliti n domeniul INFOSEC

    Art.3 - Protecia informaiilor clasificate stocate, procesate sau transmise n sistemeinformatice, de comunicaii i alte sisteme electronice, denumite n continuare SIC, estecoordonat la nivel naional de ctre Oficiul Registrului Naional al Informaiilor Secrete de Stat(ORNISS) prin intermediul Ageniei de Acreditare de Securitate (AAS), Ageniei de Securitatepentru Informatic i Comunicaii (ASIC) i al Ageniei pentru Distribuirea MaterialuluiCriptografic (ADMC).

    Art.4 - Responsabilitile generale ale ORNISS n domeniul INFOSEC sunt urmtoarele:a) asistarea structurilor/funcionarilor de securitate din cadrul persoanelor juridice de

    drept public sau privat naionale pentru asigurarea securitii informaiilor clasificate stocate,procesate sau transmise prin intermediul SIC;

    b) efectuarea de inspecii periodice privind msurile de securitate pentru proteciainformaiilor clasificate stocate, procesate sau transmise n SIC naionale, pentru a determinadac aceste msuri sunt adecvate i n conformitate cu prevederile NATO, UE i naionale nvigoare, referitoare la domeniul INFOSEC, sau care fac obiectul unor tratate, acorduri saunelegeri internaionale la care Romnia este parte;

    c) asigurarea pe plan naional a cadrului de reglementare privind accesul la informaiileclasificate stocate, procesate sau transmise n SIC, n conformitate cu prevederile politicilor desecuritate NATO, UE i naionale n vigoare, referitoare la domeniul INFOSEC, sau care facobiectul unor tratate, acorduri sau nelegeri internaionale la care Romnia este parte;

  • d) asigurarea, prin reglementri i acreditri, a compatibilizrii sistemelor naionale deprotecie a informaiilor clasificate, stocate, procesate sau transmise n SIC cu sisteme din statelemembre NATO sau UE, ori din state cu care Romnia a ncheiat tratate, acorduri sau nelegeri.

    Art.5 - Agenia de Acreditare de Securitate (AAS) este o structur component aORNISS, specializat n principal n gestionarea procesului de acreditare de securitate pentruSIC naionale care vehiculeaz informaii clasificate i a entitilor care sprijin procesul deacreditare de securitate.

    Art.6 - Principalele responsabiliti ale AAS sunt:a) acordarea de consultan cu privire la implementarea standardelor INFOSEC

    autoritilor operaionale ale SIC, funcionarilor/structurilor de securitate, managerilor deproiect, autoritilor responsabile cu achiziiile, entitilor care sprijin procesul de acreditare desecuritate;

    b) gestionarea procesului de acreditare de securitate pentru SIC care proceseaz,stocheaz sau transmit informaii clasificate;

    c) stabilirea strategiei de acreditare de securitate, care detaliaz criteriile, etapele itermenele aferente procesului de acreditare de securitate. Procedurile de acreditare de securitatepot s difere n funcie de situaie, dar trebuie s fie ntotdeauna n conformitate cu politicileNATO, UE i naional de securitate, precum i cu prevederile tratatelor, acordurilor saunelegerilor internaionale la care Romnia este parte;

    d) verificarea, evaluarea i formularea de propuneri cu privire la aprobarea documentaieicare susine procesul de acreditare de securitate a SIC;

    e) verificarea implementrii i meninerii msurilor de securitate n cadrul SIC supuseacreditrii de securitate, n principal prin inspecii periodice, desfurate conform strategiei deacreditare de securitate;

    f) formularea de propuneri care stau la baza deciziei privind acreditarea de securitate aSIC;

    g) acordarea de consultan autoritilor operaionale ale SIC n ceea ce priveteevaluarea riscului de securitate, reluarea periodic a procesului de management al riscului desecuritate i acceptarea riscului rezidual;

    h) acordarea de consultan autoritilor operaionale ale SIC i structurilor/funcionarilorde securitate n procesul de investigare a incidentelor INFOSEC, estimarea prejudiciului creat,adoptarea de msuri corective;

    i) acordarea de consultan autoritilor operaionale ale SIC cu privire la implicaiileoricror propuneri de modificare a arhitecturii SIC, din punct de vedere al riscurilor de securitatei al msurilor de securitate corespunztoare;

  • j) asigurarea dialogului cu alte autoriti de acreditare de securitate n cazulinterconectrii SIC, situaie n care stabilete, mpreun cu aceste autoriti, documentaia desecuritate necesar interconectrii;

    k) aprobarea sau, dup caz, participarea la aprobarea comun a interconectrii SIC;l) gestionarea procesului de acreditare a structurilor interne INFOSEC din cadrul

    Autoritilor Desemnate de Securitate, denumite n continuare ADS;m) stabilirea modului de derulare a unor activiti specifice procesului de acreditare de

    securitate a SIC, de ctre structurile interne INFOSEC, din cadrul ADS, acreditate de ORNISS;n) gestionarea procesului de acreditare a entitilor care sprijin procesul de acreditare de

    securitate a SIC;o) pstrarea evidenei i raportarea incidentelor de securitate din SIC acreditate ctre

    structurile abilitate din cadrul NATO, UE sau ctre structurile prevzute de tratatele, acordurilesau nelegerile internaionale la care Romnia este parte;

    p) gestionarea evidenei SIC acreditate, n curs de acreditare sau cu acreditare expirat.Art.7 - Agenia de Securitate pentru Informatic i Comunicaii (ASIC) este o structur

    component a ORNISS specializat n reglementarea i verificarea implementrii mecanismelorde protecie a informaiilor clasificate stocate, procesate sau transmise n SIC naionale.

    Art.8 - Principalele responsabiliti ale ASIC sunt:a) asigurarea faptului c sistemele, produsele i mecanismele criptografice utilizate

    pentru protecia informaiilor clasificate, altele dect cele din categoria cifrului de stat, suntselectate, operate, utilizate i ntreinute n mod adecvat;

    b) coordonarea dialogului pe problematica securitii comunicaiilor i a altor aspectetehnice din domeniul INFOSEC cu structurile NATO, UE i naionale abilitate;

    c) elaborarea i promovarea de politici de securitate i reglementri privind domeniulINFOSEC i monitorizarea eficienei acestora;

    d) asigurarea concordanei dintre msurile INFOSEC selectate i implementate pentruprotecia informaiilor clasificate i politicile relevante care reglementeaz aceste msuri;

    e) coordonarea activitii de formare i dezvoltare a culturii de securitate n domeniulproteciei informaiilor vehiculate prin SIC;

    f) aprobarea msurilor de securitate TEMPEST aplicate pentru protecia informaiilorclasificate;

    g) emiterea certificatelor de conformitate pentru produsele criptografice destinateproteciei informaiilor naionale clasificate, altele dect cele din categoria cifrului de stat;

    h) certificarea produselor INFOSEC destinate proteciei informaiilor clasificate, alteledect cele precizate la lit. g), conform reglementrilor naionale n domeniu;

  • i) analizarea cauzelor provocatoare de incidente INFOSEC i gestionarea bazei de dateprivind vulnerabilitile din SIC, necesar pentru evaluarea modului de realizare amanagementului riscului de securitate al SIC;

    j) recomandarea de msuri de securitate care s conduc la diminuarea riscurilor desecuritate identificate;

    k) derularea, mpreun cu AAS, de inspecii de securitate periodice sau inopinate, pentruverificarea modului de implementare i meninere a msurilor de securitate n cadrul SIC supuseacreditrii de securitate, pe ntreg ciclul de via al SIC.

    Art.9 - Agenia pentru Distribuirea Materialului Criptografic (ADMC) este o structurcomponent a ORNISS specializat n managementul i distribuirea materialelor criptograficeNATO, UE sau a celor care fac obiectul unor tratate, acorduri sau nelegeri internaionale lacare Romnia este parte.

    Art.10 - Principalele responsabiliti ale ADMC sunt:a) asigurarea managementului i evidenei centralizate a materialelor criptografice;b) verificarea modului de implementare a msurilor de securitate criptografic n locaiile

    destinate pstrrii i/sau utilizrii materialelor criptografice;c) asigurarea distribuirii materialelor criptografice ctre destinatarii finali;d) raportarea incidentelor de securitate criptografic la ASIC, precum i la structurile

    specializate din cadrul NATO, UE sau prevzute de tratatele, acordurile sau nelegerileinternaionale la care Romnia este parte.

    Art.11 - Autoritatea Desemnat de Securitate (ADS) este instituia abilitat prin lege sstabileasc, pentru domeniul su de activitate i responsabilitate, structuri i msuri propriiprivind coordonarea i controlul activitilor referitoare la protecia informaiilor secrete de stat,inclusiv a celor stocate, procesate sau transmise n SIC.

    Art.12 - Principalele responsabiliti ale ADS n domeniul INFOSEC sunt urmtoarele:a) organizarea sistemelor de protecie a informaiilor clasificate n instituie;b) organizarea i executarea auditului intern al sistemelor de securitate;c) gestionarea, prin intermediul structurilor interne INFOSEC acreditate de ORNISS, a

    procesului de acreditare de securitate a SIC care stocheaz, proceseaz sau transmit informaiinaionale clasificate secret de stat, aflate n administrare proprie;

    d) elaborarea de norme i msuri specifice de securitate;e) derularea periodic a procesului de management al riscului la adresa securitii

    informaiilor clasificate procesate, stocate sau transmise prin intermediul SIC;f) cooperarea cu ORNISS pentru asigurarea unui nivel adecvat de protecie a

    informaiilor clasificate, n conformitate cu prevederile legislaiei naionale, ale standardelorNATO i UE n domeniu, precum i ale tratatelor, acordurilor sau nelegerilor internaionale lacare Romnia este parte.

  • Art.13 - Structura/funcionarul de securitate reprezint punctul de contact peproblematica INFOSEC dintre organizaia n cadrul creia i desfoar activitatea i ORNISS.

    Art.14 - Structura/funcionarul de securitate are urmtoarele responsabiliti n domeniulINFOSEC:

    a) elaborarea normelor interne privind protecia informaiilor clasificate, care trebuie sinclud i prevederi referitoare la domeniul INFOSEC;

    b) coordonarea activitii interne de protecie a informaiilor clasificate n toatecomponentele acesteia, care includ i domeniul INFOSEC;

    c) asigurarea relaionrii cu ageniile din cadrul ORNISS abilitate s coordonezeactivitatea n domeniul INFOSEC i asigurarea controlului msurilor referitoare la proteciainformaiilor clasificate vehiculate n SIC;

    d) monitorizarea intern privind aplicarea normelor de protecie a informaiilorclasificate vehiculate n SIC i a modului de respectare a acestora;

    e) asigurarea consultanei pentru conducerea organizaiei din care face parte, n domeniulsecuritii informaiilor clasificate;

    f) informarea conducerii organizaiei din care face parte cu privire la riscurile desecuritate asociate SIC i propunerea de msuri pentru diminuarea acestora;

    g) organizarea de programe de pregtire specific a persoanelor care au acces lainformaii clasificate, care s includ i problematica specific domeniului INFOSEC;

    h) efectuarea de controale privind modul de aplicare a msurilor de protecie ainformaiilor clasificate care includ i domeniul INFOSEC;

    i) stabilirea autoritii operaionale a SIC care rspunde de implementarea i exploatareaoperaional a SIC din organizaia n cadrul creia i desfoar activitatea.

    Art.15 - Autoritatea Operaional a SIC, denumit n continuare AOSIC, estecompartimentul care rspunde de implementarea i meninerea msurilor de securitate, precumi de exploatarea operaional a SIC.

    Art.16 (1) - Principalele responsabiliti ale AOSIC sunt urmtoarele :a) elaborarea i actualizarea documentaiei de securitate aferent procesului de acreditare

    de securitate a SIC din responsabilitatea sa;b) propunerea de msuri INFOSEC n vederea implementrii acestora n SIC din

    responsabilitatea sa, n cooperare cu structura de planificare a SIC i asigurarea faptului cmsurile INFOSEC sunt implementate i meninute;

    c) stabilirea, nc de la nceputul ciclului de via a sistemului, a resurselor necesareaplicrii standardelor INFOSEC;

    d) participarea la selectarea i testarea msurilor de securitate asociate SIC dinresponsabilitate i supravegherea punerii lor n aplicare, pentru a se asigura c instalarea,

  • configurarea, exploatarea i ntreinerea acestora se realizeaz n conformitate cu documentaiade securitate aprobat;

    e) asigurarea formrii i dezvoltrii culturii de securitate n domeniul protecieiinformaiilor vehiculate prin SIC;

    f) asigurarea derulrii eficiente a procesului de acreditare de securitate a SIC; solicitareareacreditrii de securitate, n conformitate cu cerinele stabilite de ctre AAS;

    g) asigurarea implementrii i meninerii msurilor de securitate asociate SIC nconformitate cu documentaia de securitate aprobat;

    h) verificarea periodic a implementrii i meninerii msurilor de securitate asociateSIC, pentru a se asigura c acestea sunt n conformitate cu documentaia de securitate aprobat;

    i) investigarea cazurilor de nclcare sau a celor n care se suspecteaz nclcareamsurilor de securitate, evaluarea prejudiciului cauzat i raportarea concluziilor ctre structurade planificare a SIC i ctre AAS;

    j) asigurarea managementului materialului criptografic i asigurarea custodieielementelor criptografice i celor controlate i, dac este cazul, asigurarea generrii variabilelorcriptografice.

    (2) n funcie de complexitatea SIC, AOSIC poate conine, pe lng administratorul desecuritate al SIC i administratorul de sistem, i alte persoane, cum ar fi administratorul desecuritate al componentei de comunicaii a SIC, administratori de securitate pentru zoneleterminalelor SIC etc., care pot avea atribuii similare cu cele ale administratorului de securitateal SIC, corespunztoare domeniului lor de responsabilitate.

    (3) AOSIC asigur controlul i evidena activitilor desfurate de utilizatorii SIC. ncazul n care SIC este interconectat cu alte SIC aflate sub controlul altor AOSIC, aceasta trebuies colaboreze cu celelalte AOSIC pentru a se asigura c securitatea SIC propriu nu este afectat.

    (4) n cazul interconectrii mai multor SIC, trebuie ncheiat un acord oficial ntre AOSICimplicate, acord care s stabileasc limitele de responsabilitate ale fiecrei pri, cerinele desecuritate i cerinele privind acreditarea de securitate pentru fiecare dintre SIC interconectate.

    Art.17 (1) Structura de planificare a SIC rspunde de planificarea, la nivelulorganizaiei, a ntregii activiti referitoare la un SIC, de exemplu durata etapelor, resurselefinanciare, resursele materiale i resursele umane necesare asigurrii securitii SIC, pe duratantregului ciclu de via a acestuia.

    (2) Responsabilitile structurii de planificare a SIC, referitoare la domeniul INFOSEC,corespunztoare fiecrei etape a ciclului de via a unui SIC, sunt cele specificate n Directivaprincipal privind domeniul INFOSEC - INFOSEC 2.

  • CAPITOLUL IIIFuncii cu responsabiliti n domeniul INFOSEC

    Art.18 - Toate SIC, indiferent de complexitatea lor, trebuie s aib un administrator desecuritate al SIC. Administratorul de securitate rspunde de aspectele de securitate asociate SIC,inclusiv de administrarea zilnic a securitii acestuia.

    Art.19 (1) Atribuiile administratorului de securitate al SIC trebuie s includurmtoarele:

    a) elaborarea i actualizarea documentaiei de securitate a SIC din responsabilitate iasigurarea diseminrii acesteia ctre ceilali administratori ai sistemului i ctre utilizatori, nprile care i privesc;

    b) pstrarea evidenei privind luarea la cunotin, de ctre administratorii i utilizatoriiSIC, a documentaiei de securitate;

    c) asigurarea formrii i dezvoltrii culturii de securitate n domeniul protecieiinformaiilor vehiculate prin SIC, pentru administratorii i utilizatorii SIC. Acest proces esteperiodic i poate fi realizat n urmtoarele moduri:

    - prin afiarea pe ecranele staiilor de lucru ale utilizatorilor SIC a unor mesaje deavertizare de tip banner, la deschiderea sesiunilor de lucru pe sistem;

    - prin distribuirea unor afie de contientizare privind securitatea SIC;- prin efectuarea unor demonstraii practice privind msurile tehnice i procedurale de

    securitate aplicate n SIC.d) Meninerea evidenei persoanelor autorizate s utilizeze SIC, a

    autorizaiilor/certificatelor de acces la informaii clasificate deinute de acestea, a necesitii de acunoate informaiile stocate, procesate sau transmise prin intermediul SIC;

    e) controlarea i emiterea de parole sau alte elemente ale sistemului de control alaccesului i asigurarea faptului c administratorii i utilizatorii gestioneaz n mod adecvataceste elemente;

    f) verificarea implementrii i meninerii msurilor de securitate aprobate pentrucomponentele hardware, firmware i software ale SIC, pentru a se asigura c acestea sunt nconformitate cu documentaia aprobat;

    g) asigurarea aplicrii corecte a msurilor de securitate a transmisiei, emisiei icriptografice, inclusiv a celor referitoare la gestionarea, ntreinerea i protecia materialuluicriptografic conform reglementrilor n vigoare;

    h) asigurarea gestionrii adecvate a mediilor de stocare ale SIC;i) asigurarea faptului c mediile de stocare coninnd informaii clasificate sunt utilizate

    numai n SIC acreditate n mod corespunztor;

  • j) executarea, la intervale stabilite, a unor verificri prin sondaj privind existena fizic amediilor de stocare clasificate i corectitudinea marcrii acestora, precum i pstrarea uneievidene a verificrilor efectuate;

    k) verificarea faptului c mediile de stocare sunt declasificate prin mecanisme aprobate;l) verificarea informaiilor de audit privind activitile utilizatorilor;m) verificarea i testarea copiilor de siguran (back-up), precum i a altor elemente

    relevante pentru restaurarea sistemului;n) gestionarea aspectelor de management al configuraiei din perspectiva modificrilor

    relevante pentru securitate i a documentelor asociate;o) raportarea ctre AOSIC a oricror incidente/suspiciuni de incidente/prejudicii/

    vulnerabiliti/anomalii n ceea ce privete securitatea SIC;p) asigurarea implementrii i meninerii msurilor de securitate aplicate locaiilor n care

    sunt instalate elementele componente ale SIC;r) acordarea de consultan celorlali administratori i utilizatorilor SIC;s) asigurarea faptului c activitile de ntreinere a SIC se efectueaz fr a fi afectat

    securitatea acestuia;t) participarea, mpreun cu AAS i ceilali membri ai AOSIC, la investigarea cazurilor

    de nclcare a securitii sau a ncercrilor de nclcare a securitii SIC, care privescinformaiile clasificate.

    (2) n cazul n care administratorul de securitate are drepturi de administrare depline,acesta trebuie s dein certificat de securitate sau autorizaie de acces la informaii clasificate denivel superior nivelului de clasificare a informaiilor procesate, stocate sau transmise n SIC.

    Art.20 - Toate SIC, indiferent de complexitatea lor, trebuie s aib un administrator desistem. Administratorul de sistem rspunde de funcionarea sistemului n conformitate cudocumentaia de securitate aprobat.

    Art.21 (1) - Principalele responsabiliti ale administratorului de sistem sunturmtoarele:

    a) implementarea msurilor de securitate aplicabile configuraiei hardware i software,activitate realizat sub coordonarea administratorului de securitate;

    b) crearea/blocarea/dezactivarea conturilor;c) implementarea modificrilor i mbuntirilor configuraiei SIC, astfel nct

    obiectivele securitii SIC s nu fie afectate;d) asigurarea utilizrii echipamentelor SIC n condiii optime;e) gestionarea i repartizarea capacitilor hardware i software;f) asigurarea ntreinerii i reparrii echipamentelor SIC;g) actualizarea evidenelor privind funcionarea SIC;

  • h) raportarea ctre AOSIC a oricror incidente/suspiciuni deincidente/prejudicii/vulnerabiliti/anomalii n ceea ce privete funcionarea sistemului.

    (2) n cazul n care administratorul de sistem are drepturi de administrare depline, acestatrebuie s dein certificat de securitate sau autorizaie de acces la informaii clasificate de nivelsuperior nivelului de clasificare a informaiilor procesate, stocate sau transmise n SIC.

    Art.22 - n funcie de complexitatea SIC, poate fi numit i un administrator COMSEC.Administratorul COMSEC al SIC rspunde de aspectele referitoare la securitateaechipamentelor de comunicaii ale SIC. De asemenea, administratorul COMSEC rspunde i deaplicarea i respectarea normelor privind securitatea emisiilor (TEMPEST) pentruechipamentele i locaiile SIC.

    Art.23 - Principalele responsabiliti ale administratorului COMSEC privind securitateaechipamentelor de comunicaii ale SIC sunt urmtoarele:

    a) participarea la elaborarea i actualizarea documentaiei de securitate, potrivitdomeniului su de responsabilitate;

    b) acordarea de consultan pentru AOSIC i utilizatorii SIC, privind securitateaechipamentelor de comunicaii ale SIC;

    c) garantarea faptului c ntregul personal care are acces la echipamentele de comunicaiiale SIC deine certificat de securitate corespunztor, cunoate regulile de securitate local i estesupravegheat pe durata desfurrii activitii;

    d) pstrarea evidenei tuturor persoanelor autorizate s utilizeze echipamentele decomunicaii ale SIC i a punctelor de unde pot s le utilizeze;

    e) garantarea faptului c n cadrul SIC se asigur:- securitatea echipamentelor de comunicaii ale SIC n conformitate cu prevederile legale

    n vigoare;- proceduri i mecanisme pentru identificarea i autentificarea corespondentului;- controlul accesului;- auditul activitilor;f) participarea la pregtirea i finalizarea acordurilor privind interconectarea SIC, din

    punct de vedere al securitii echipamentelor de comunicaii ale SIC;g) asigurarea implementrii modificrilor i mbuntirilor hardware, firmware i

    software ale echipamentelor de comunicaii ale SIC, n scopul asigurrii faptului c obiectivelesecuritii SIC nu sunt afectate;

    h) pstrarea evidenei nlocuirilor, modificrilor i defectelor hardware, firmware isoftware ale echipamentelor de comunicaii i analizarea periodic a evidenei acestora;

    i) asigurarea faptului c activitile de ntreinere a echipamentelor de comunicaii aleSIC se efectueaz fr a fi afectat securitatea acestora;

  • j) pstrarea i analizarea jurnalelor privind funcionarea echipamentelor de comunicaiiale SIC. Aceste jurnale trebuie s conin suficiente detalii privind activitile SIC care spermit reconstituirea istoricului evenimentelor, inclusiv monitorizarea i nregistrareaactivitilor (ora i data) care afecteaz securitatea echipamentelor de comunicaii ale SIC;

    k) realizarea i gestionarea adecvat a copiilor de siguran (back-up) aferenteechipamentelor de comunicaii ale SIC;

    l) monitorizarea aspectelor privind managementul configuraiei, referitoare laschimbrile hardware, firmware sau sofware, precum i ale documentaiei asociate, care potafecta securitatea echipamentelor de comunicaii ale SIC;

    m) raportarea ctre AOSIC a oricror incidente/suspiciuni de incidente /prejudicii/vulnerabiliti/anomalii n ceea ce privete securitatea comunicaiilor;

    n) participarea, mpreun cu AAS i ceilali membri ai AOSIC, la investigarea cazurilorde nclcare sau a ncercrilor de nclcare a securitii echipamentelor de comunicaii ale SIC;

    o) pstrarea legturii cu AAS, prin intermediul AOSIC, privind toate aspectele referitoarela securitatea echipamentelor de comunicaii ale SIC.

    Art.24 - Principalele responsabiliti ale administratorului COMSEC privind securitateaemisiilor (TEMPEST) sunt urmtoarele:

    a) acordarea de consultan structurii de planificare a SIC, managerului de proiect iAOSIC privind msurile de securitate a emisiilor (TEMPEST) necesar a fi aplicate i criteriilede selectare i instalare a echipamentelor SIC n locaiile acestuia;

    b) gestionarea proceselor de implementare a msurilor de securitate a emisiilor(TEMPEST), a procesului de zonare a locaiilor n care urmeaz s fie instalate echipamentelesistemului i a procesului de selectare, evaluare, certificare i instalare a echipamentelorTEMPEST;

    c) executarea de verificri periodice n scopul asigurrii faptului c nu au fost instalateechipamente i dispozitive neautorizate sau c echipamentele SIC nu au fost supuse ncercrilorde acces neautorizat;

    d) asigurarea msurilor de securitate fizic n vederea contracarrii unor fenomeneelectromagentice, de exemplu: ecranare prin panouri/paravane/armtur, EMI/EMP, bariere RFI(garnituri/manoane RFI), sigilii etc.;

    e) asigurarea faptului c echipamentele utilizate temporar, pe durata unor activitispecifice, nu ncalc regulile de securitate a emisiilor existente i nu perturb funcionareacelorlalte echipamente permanente ale SIC;

    f) pstrarea evidenei tuturor derogrilor de la msurile TEMPEST care au fost aprobatepentru SIC;

  • g) Pstrarea evidenei tuturor echipamentelor protejate TEMPEST implementate nsistem, eviden care s includ sigiliile TEMPEST aplicate i valabilitatea certificatului fiecruiechipament.

    Art.25 - n funcie de complexitatea SIC, poate fi numit i un administrator TRANSEC.Administratorul TRANSEC al SIC poate fi numit, de exemplu, numai pentru SIC interconectatei rspunde de aspectele referitoare la securitatea transmisiei informaiilor prin intermediulsistemelor electromagnetice, indiferent de formatul acestora (ex.: audio, date, mesaje, grafic).

    Art.26 - Principalele responsabiliti ale administratorului TRANSEC sunt urmtoarele:a) participarea la elaborarea i actualizarea documentaiei de securitate, potrivit

    domeniului su de responsabilitate;b) asigurarea implementrii i meninerii msurilor de securitate a transmisiilor;c) acordarea de consultan pentru AOSIC i utilizatorii SIC referitoare la aspecte de

    securitate a transmisiilor;d) elaborarea rapoartelor referitoare la securitatea transmisiilor;e) prezentarea/expunerea problemelor de specialitate n cadrul pregtirii/instruirii

    personalului SIC;f) raportarea ctre AOSIC a oricror incidente/suspiciuni de incidente/prejudicii/

    vulnerabiliti/anomalii n ceea ce privete securitatea transmisiilor.Art.27 - n cazul n care n SIC este folosit material criptografic NATO sau UE, trebuie

    numit i un administrator CRIPTO. Administratorul CRIPTO rspunde de aspectele referitoarela securitatea materialului criptografic deinut.

    Art.28 - Principalele responsabiliti ale administratorului CRIPTO privind securitateacriptografic n cadrul SIC sunt urmtoarele:

    a) asigurarea nemijlocit a managementului i controlului materialului criptografic pecare l are n custodie (nregistrat n evidenele sale);

    b) asigurarea primirii, verificrii, pstrrii, transferului, proteciei i distrugeriimaterialului criptografic, pstrarea i actualizarea evidenei rapoartelor referitoare la materialulcriptografic din custodia sa, n conformitate cu prevederile instruciunilor n vigoare pentrudomeniul criptografic;

    c) aplicarea procedurilor de folosire a materialului criptografic;d) realizarea periodic a inventarierii materialului criptografic;e) distrugerea materialul criptografic;f) asigurarea faptului c materialul criptografic este pus numai la dispoziia persoanelor

    autorizate corespunztor, ale cror sarcini de serviciu implic accesul la acesta. AdministratorulCRIPTO le va face cunoscut obligaia de a proteja materialul pe perioada de timp ct se afl nposesia acestuia.

  • g) raportarea ctre ADMC a tuturor aspectelor referitoare la nclcarea sau ncercrile denclcare a securitii criptografice (probabile, posibile sau efective), care au legtur cugestionarea materialului criptografic n conformitate cu prevederile legale n vigoare.

    Art.29 - nlocuitorul administratorului CRIPTO particip, alturi de administratorulCRIPTO, la toate activitile de management al materialului criptografic NATO sau UE iasigur continuitatea acestora n absena administratorului CRIPTO.

    Art.30 - Atribuiile nlocuitorului administratorului CRIPTO sunt urmtoarele:a) cunoaterea activitii zilnice specifice, pentru a fi n msur s preia i s-i asume

    responsabilitile administratorului CRIPTO atunci cnd este cazul, fr a provoca ntreruperi nactivitatea criptografic;

    b) ndeplinirea tuturor responsabilitilor administratorului CRIPTO pe perioada abseneiacestuia.

    Art31 - Pentru gestionarea de material criptografic UE, administratorul CRIPTO inlocuitorul acestuia trebuie s dein certificat de acces la informaii clasificate de nivel minimSECRET UE/EU SECRET. n cazul n care n cadrul contului COMSEC sunt gestionate zecesau mai multe titluri scurte de material criptografic SECRET UE/EU SECRET, administratorulCRIPTO i nlocuitorul acestuia trebuie s dein certificat de acces la informaii TRESSECRET UE/EU TOP SECRET.

    Art.32 - Pentru gestionarea de material criptografic NATO, administratorul CRIPTO inlocuitorul acestuia trebuie s dein certificat de acces la informaii clasificate corespunztornivelului maxim de clasificare a materialelor deinute n contul COMSEC. n cazul n care ncadrul contului COMSEC sunt gestionate zece sau mai multe titluri scurte de materialcriptografic NATO SECRET, administratorul CRIPTO i nlocuitorul acestuia trebuie s deincertificat de acces la informaii COSMIC TOP SECRET.

    Art.33 - Administratorul CRIPTO i nlocuitorul acestuia trebuie s urmeze un programde pregtire specific pentru desfurarea activitii criptografice.

    Art.34 - Administratorul de securitate al obiectivului SIC este responsabil de asigurareaimplementrii i meninerii msurilor de securitate fizic referitoare la domeniul INFOSEC,aplicabile locaiilor SIC. De asemenea, este responsabil de raportarea ctre AOSIC a oricrornclcri ale msurilor de securitate fizic.

    Art.35 - Responsabilitile unui administrator de securitate al obiectivului SIC pot findeplinite de ctre structura/funcionarul de securitate al instituiei respective, ca parte andatoririlor sale profesionale.

    Art.36 - Administratorul de securitate al obiectivului SIC are urmtoareleresponsabiliti:

    a) participarea la elaborarea i actualizarea documentaiei de securitate, potrivitdomeniului su de responsabilitate;

  • b) monitorizarea permanent a tuturor aspectelor privind securitatea fizic specifice SIC;c) implementarea i meninerea msurilor de securitate fizic, aprobate prin documentaia

    de securitate a SIC;d) asigurarea accesului n locaiile SIC numai pentru personalul autorizat;e) pstrarea i actualizarea evidenei tuturor persoanelor care au autorizaie de acces n

    locaiile SIC;f) aplicarea msurilor adecvate de control al accesului n obiectivul SIC, controlarea

    i/sau furnizarea elementelor de identificare a personalului referitoare la accesul n locaiile SIC;g) asigurarea implementrii, testrii i ntreinerii sistemului de securitate fizic aferent

    locaiilor SIC;h) pstrarea evidenei evenimentelor referitoare la securitatea fizic a SIC;i) supravegherea modului de efectuare a oricror modificri care privesc securitatea

    fizic a locaiilor SIC;j) asigurarea faptului c ntregul personal al SIC i cunoate responsabilitile cu privire

    la securitatea fizic a locaiilor SIC;k) asigurarea faptului c evidenele i nregistrrile coninnd informaii referitoare la

    acces i controlul accesului n locaiile SIC sunt pstrate i consultate n conformitate cuprevederile documentaiei de securitate;

    l) asigurarea verificrii periodice a modului de aciune n situaii de urgen;m) asigurarea instruirii i pregtirii corespunztoare a administratorilor de securitate ai

    zonei terminalelor, conform domeniului su de competen;n) raportarea ctre AOSIC a oricror incidente/suspiciuni de incidente/prejudicii/

    vulnerabiliti/anomalii n sistemul de securitate fizic al SIC.Art.37 - n cazul n care un SIC are terminale sau alte echipamente aflate la distan (de

    exemplu, n alte cldiri sau n zone separate de locaia principal), se poate numi cte unadministrator de securitate pentru fiecare astfel de zon.

    Art.38 - Administratorul de securitate al zonei terminalelor SIC are urmtoareleresponsabiliti principale:

    a) implementarea politicii de securitate a SIC n zona de care rspunde;b) aplicarea msurilor de securitate specifice terminalelor i celorlalte echipamente

    aferente aflate n zona sa de responsabilitate;c) raportarea ctre AOSIC a oricror incidente/suspiciuni de incidente/prejudicii/

    vulnerabiliti/anomalii privind zona sa de responsabilitate.Art.39 - Utilizatorii SIC au obligaia de a respecta prevederile documentaiei de

    securitate a sistemului, n prile care i privesc.Art.40 - Utilizatorii au urmtoarele responsabiliti principale:a) nsuirea i respectarea procedurilor de securitate;

  • b) raportarea imediat ctre administratorul de securitate al SIC a oricrorincidente/suspiciuni de incidente/prejudicii/vulnerabiliti/anomalii privind SIC.

    Art.41 - Managerul de proiect este persoana care rspunde de proiectul SIC pe duratantregului ciclu de via a sistemului.

    Art.42 - Responsabilitile managerului de proiect referitoare la domeniul INFOSEC,corespunztoare fiecrei etape generice a ciclului de via a unui SIC sunt cele specificate nDirectiva principal privind domeniul INFOSEC - INFOSEC 2.


ORDIN Nr. 2021 din 17 decembrie 2013

Metodologie Ordin 72 Din 2013

0715Bis.pdf-Ordin 460-2013

Ordin 634 Actualizat Pana 22 02 2013

ordin 65-2013.pdf

ORDIN nr. 146 din 24 octombrie 2013

Dacia Magazin Nr. 86 2013

Ordin ME nr. 2034 din 4 octombrie 2013

Ordin CNAS 268/2013

ORDIN nr 146 din 2013.doc

ORDIN Programe Nr 190 Din 2013

OMAI 86 12-06-2013 Prevenirea Coruptiei

Ordin nr. 536 din 8 aug. 2013

ORDIN 1191 MFE 19 Nov 2014 Instructiune Ordin MFE 1120 Din 2013

CD 8.5.1 CURRICULUM DISCIPLINĂchirurgieomf.usmf.md/wp-content/blogs.dir/86/files/sites/86/2013/... · să posede determinarea ocluziei statice si dinamice la pacienții ortodontici;

ORDIN 162-2013

Ordin Normativ 189-2013 Persoane Cu Handicap

Ordin 78 CNSP Clearinghouse 2013.Doc

Proiect Ordin Contract Cadru 2013

ORDIN Nr. 1229 din 31 octombrie 2013

ORDIN Nr1142 Din 2013 Cu Anexa

ORDIN 422 din 2013 (1)

ORDIN Nr11 Din 2013 Regulament Autorizare Electricieni

ORDIN ADMINISTRATIE PUBLICA Vigoare 5294/2013...1 ORDIN ADMINISTRATIE PUBLICA 5294/2013 Vigoare Emitent: Ministerul Educatiei si Cercetarii Domenii: Invatamint M.O. 698/2013 Ordin

Ordin nr M9 din 6 februarie 2013.docx

Ordin nr. 4204/2013 - CNFIS

ORDIN ADMINISTRATIE PUBLICA 1227/2013 Vigoare Emitent

Ordin 23-2013 Regulament atestare

ORDIN 23 DIN 17 04 2013

86 Teremia

ORDIN nr. 1.567 din 24 decembrie 2013 EMITENT: MINISTERUL ... MT/ORDIN 1567 24-12-2013.pdf · ORDIN nr. 1.567 din 24 decembrie 2013 pentru modificarea si completarea Normelor metodologice

Ordin NR_ 963 Din 09 Octombrie 2013

Ordin 290-2013 Tarife Cnadnr

proiect 86

Ordin 1512 / 2013 recoltare probe biologice