Sunteți pe pagina 1din 13

DIRECTIVA din 12 octombrie 2012 privind acreditarea de securitate a sistemelor informatice i de comunicaii 1+ !

IC" care stoc#ea$%& procesea$% sau transmit informaii clasificate ' I()*!EC

CA,IT*-.- I/ Introducere !EC0I.(EA 1/ Domeniu de aplicabilitate


Art1 1
Directiva privind acreditarea de securitate a sistemelor informatice i de comunicaii (SIC) care stocheaz, proceseaz sau transmit informaii clasificate - IN !S"C #$, denumit %n continuare directiv, este apro&at de !ficiul 'e(istrului Naional al Informaiilor Secrete de Stat (!'NISS), %n aplicarea politicii naionale, N)*! i +" de securitate privind protecia informaiilor clasificate,

Art1 2
-rezenta directiv se adreseaz !'NISS, structurilor de planificare, achiziie i implementare a SIC care proceseaz, stocheaz sau transmit informaii clasificate, autoritilor operaionale ale SIC, structurilor responsa&ile cu sta&ilirea, implementarea i meninerea standardelor IN !S"C, entitilor care, %n cadrul procesului de acreditare de securitate a SIC, desfoar activiti de evaluare.certificare, precum i structurilor interne IN !S"C acreditate de !'NISS, denumite %n continuare SII, sta&ilite %n cadru l autoritilor desemnate de securitate, denumite %n continuare )DS,

Art1 +
)plicarea prevederilor prezentei directive este o&li(atorie pentru SIC care stocheaz, proceseaz sau transmit informaii clasificate,

!EC0I.(EA 2/ Definiii
Art1 2
/n cuprinsul prezentei directive, urmtorii termeni i sinta(me se definesc dup cum urmeaz0 a"informaii clasificate - informaii naionale clasificate secret de stat, informaii N)*! clasificate, informaii +" clasificate sau informaii echivalente care fac o&iectul unor tratate, acorduri sau %nele(eri internaionale la care 'om1nia este parte2 b"sistem informatic i de comunicaii (SIC) - orice sistem care permite stocarea, procesarea sau transmiterea informaiilor %n format electronic, +n SIC cuprinde toate elementele care %i sunt necesare pentru a funciona, incluz1nd infrastructura, structurile or(anizaionale,

personalul i resursele informaionale2 c"acreditarea de securitate - autorizarea acordat unui SIC s proceseze, s stocheze sau s transmit infor maii clasificate %n mediul su operaional,

!EC0I.(EA +/ Cerine de acreditare de securitate a !IC


Art1 3
!&iectivul principal al acreditrii de securitate este acceptarea riscului de securitate rezidual asociat SIC i autorizarea operrii acestuia %n conformitate cu termenii sta&ilii, -rin parcur(erea unui proces de acreditare de securitate se o&ine asi(urarea c msurile de securitate implementate %n SIC sunt conforme cu cerinele politicilor de securitate specifice tipului de informaii clasificate naionale, N)*!, +" i altele asemenea i ale documentaiei cu cerinele de securitate, denumit %n continuare DCS, ela&orat pentru respectivul SIC,

Art1 4
/n conformitate cu prevederile le(islaiei naionale, SIC care stocheaz, proceseaz sau transmit informaii clasificate tre&uie s fac o&iectul unui proces de acreditare de securitate, /n acest conte3t se aplic urmtoarele prevederi0 a"pentru SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de stat, procesul de acreditare de securitate este sta&ilit i (estionat de ctre !'NISS prin )(enia de )creditare de Securitate, denumit %n continuare ))S, sau, dup caz, de ctre SII din cadrul )DS, potrivit competenelor pentru care au fost acreditate de ctre !'NISS2 luarea deciziei privind acreditarea revine !'NISS sau SII, dup caz2 b"pentru SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de serviciu, responsa&ilitatea acreditrii de securitate revine persoanei 4uridice care are %n responsa&ilitate SIC2 c"pentru interconectarea SIC care stocheaz, proceseaz sau transmit informaii naionale clasificate secret de stat, procesul de acreditare de securitate este sta&ilit i (estionat de ctre !'NISS prin ))S sau SII, dup caz2 d"pentru SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate N)*! C!N ID"N*I)5 sau cu un nivel superior, procesul de acreditare de securitate este sta&ilit i (estionat de ctre !'NISS prin ))S, luarea deciziei privind acreditarea revenind !'NISS2 e"pentru SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate N)*! '"S*'IC*"D nu este necesar ca ))S s sta&ileasc un proces de acreditare de securitate structurat, dar procesul de acreditare tre&uie s reflecte importana o&iectivelor de securitate (confidenialitate, inte(ritate i disponi&ilitate), precum i impactul pe care %l poate avea un eveniment nedorit asupra informaiilor, resurselor i serviciilor sistemului2 pentru aceste SIC, responsa&ilitatea sta&ilirii i derulrii procesului de acreditare de securitate, precum i a lurii deciziei privind acreditarea poate fi dele(at de ctre !'NISS persoanei 4uridice care are %n responsa&ilitate un astfel de sistem, -ersoana 4uridic va respecta prevederile documentului prin care se sta&ilesc condiiile %n care se realizeaz dele(area privind autoritatea de acreditare de securitate2 f"pentru interconectarea SIC naionale care stocheaz, proceseaz sau transmit informaii N)*! clasificate cu SIC N)*! sau cu alte SIC naionale tre&uie %ndeplinite cerinele specifice stipulate %n normele tehnice i de implementare su&secvente i %n politicile de securitate ale respectivelor reele, iar luarea deciziei privind acreditarea de securitate %n vederea interconectrii revine, dup caz, !'NISS i.sau or(anismelor N)*! a&ilitate2

5"pentru SIC naionale care stocheaz, proceseaz sau transmit informaii +" clasificate, procesul de acreditare de securitate tre&uie s fie sta&ilit i (estionat de ctre !'NISS prin ))S, iar luarea deciziei privind acreditarea revine !'NISS2 #"pentru interconectarea SIC naionale care stocheaz, proceseaz sau transmit informaii +" clasificate cu SIC +" sau cu alte SIC naionale tre&uie %ndeplinite cerinele specifice stipulate %n normele tehnice i de implementare su&secvente i %n politicile de securitate ale respectivelor reele, iar luarea deciziei privind acreditarea de securitate %n vederea interconectrii revine, dup caz, !'NISS i.sau or(anismelor +" a&ilitate2 i"pentru SIC naionale care stocheaz, proceseaz sau transmit informaii echivalente care fac o&iectul unor tratate, acorduri sau %nele(eri internaionale la care 'om1nia este parte, procesul de acreditare este sta&ilit i (estionat de ctre !'NISS prin ))S, iar luarea deciziei privind acreditarea de securitate revine !'NISS, prin aplicarea prevederilor naionale i ale respectivelor tratate, acorduri sau %nele(eri internaionale la care 'om1nia este parte,

CA,IT*-.- II/ !tructurile implicate 6n procesul de acreditare de securitate a !IC


Art1 7

!'NISS prin ))S este responsa&il de mana(ementul procesului de acreditare de securitate a SIC, %n conformitate cu prevederile art, 6,

Art1 8
/n cuprinsul ane3ei nr, 7 sunt prezentate structurile implicate %n procesul de acreditare de securitate a SIC, )tri&uiile acestora sunt precizate %n Directiva privind structurile cu responsa&iliti %n domeniul IN !S"C - IN !S"C #, apro&at prin !rdinul directorului (eneral al !ficiului 'e(istrului Naional al Informaiilor Secrete de Stat nr, 2829200+,

Art1 :
1"))S se asi(ur c autoritatea operaional a SIC, denumit %n continuare )!SIC, are autoritatea necesar pentru a (estiona aspectele de securitate %n conformitate cu documentaia de securitate, 2"/n cazul %n care )!SIC nu are autoritatea necesar, ))S poate solicita luarea unor msuri speciale, de e3emplu0 a"escaladarea - %n acest caz, ))S solicit s fie identificat o alt autoritate, care s fie desemnat de ctre conductorul or(anizaiei drept )!SIC2 b"cooperarea - %n acest caz, autoritile reprezent1nd toate structurile care utilizeaz SIC coopereaz %n vederea implementrii unui set comun de cerine de securitate specifice sistemului, denumite %n continuare CSSS, /n aceast situaie, autoritatea funcioneaz ca un comitet, )ceast cooperare tre&uie susinut de un acord scris al mem&rilor i face su&iectul unui ar&itra4 al unei tere pri, care este ))S, Cooperarea dintre statele mem&re i structuri N)*!.+" poate necesita identificarea unei tere pri (cum ar fi0 !ficiul de Securitate al N)*! sau Secretariatul 8eneral al Consiliului +")2 aceasta mai poate fi, de e3emplu, un furnizor de informaii av1nd interes %n protecia informaiilor stocate, procesate sau transmise i care are posi&ilitatea stoprii transmiterii informaiilor2 c"he(emonia - %n acest caz, conducerea unei persoane 4uridice consimte s accepte autoritatea altei persoane 4uridice i s implementeze CSSS, )ceast msur opereaz similar cu aceea a cooperrii, %n cazul %n care una dintre prile acordului este dominant, posi&il datorit

faptului c este furnizorul principal de informaii, i poate s impun un CSSS celeilalte pri fr a se recur(e la ar&itra4ul unei tere pri,

Art1 10
1"/n cazul interconectrii SIC naionale care stocheaz, proceseaz sau transmit informaii N)*!.+" clasificate cu SIC N)*!.SIC +", c1nd %n administrarea i acreditarea de securitate a SIC sunt implicate i or(anisme N)*!.+", responsa&ilitatea acreditrii de securitate nu se limiteaz numai la !'NISS, 2"/n situaia prevzut la alin, (#), !'NISS i se poate solicita s recunoasc autoritatea unor structuri N)*!.+" i.sau s %i coordoneze cu acestea responsa&ilitile pe care le are la nivel naional privind acreditarea,

Art1 11
1"/n cazul interconectrii SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate, caz %n care sunt implicate mai multe )!SIC i structuri de securitate, se impune %ncheierea unor acorduri de securitate %ntre )!SIC privind interconectarea, 2")pro&area pentru interconectare prevzut la alin, (#) este acordat de ctre !'NISS sau SII, dup caz, responsa&ilitatea acreditrii de securitate a fiecrui SIC care se interconecteaz revenind !'NISS sau SII, dup caz,

Art1 12

1"/n vederea (estionrii activitilor sta&ilite prin strate(ia de acreditare de securitate a SIC se constituie o comisie de acreditare de securitate (C)S), 2"C)S se constituie, la solicitarea ))S, la %nceputul ciclului de via al proiectului i %i menine e3istena p1n %n momentul acreditrii de securitate, +"C)S este format din reprezentani ai tuturor structurilor care au responsa&iliti %n asi(urarea securitii informaiilor, serviciilor i resurselor SIC, )stfel, pe l1n( ))S, al crei reprezentat prezideaz C)S, aceasta poate avea %n componen0 a"reprezentani ai altor structuri din cadrul !'NISS2 b"reprezentani ai )DS pe domeniul de competen2 c"mana(eri de proiect2 d"reprezentani ai )!SIC implicate2 e"reprezentani ai structurilor de securitate ale entitilor care administreaz SIC2 f"reprezentani ai structurilor de planificare i implementare a SIC2 5"responsa&ili cu securitatea cripto(rafic, a transmisiilor, a emisiilor etc,2 #"reprezentani ai altor autoriti av1nd competene relevante pentru securitatea SIC, cum ar fi, de e3emplu, autoriti de evaluare i.sau certificare a unor componente ale SIC, 2"/n funcie de etapa de implementare a proiectului, ))S poate invita la reuniunile C)S i alte structuri care pot spri4ini luarea deciziei privind acreditarea de securitate a SIC, 3"C)S poate fi reactivat de ctre ))S ori de c1te ori se consider necesar, de e3emplu0 schim&ri semnificative %n cerinele operaionale i.sau %n documentaia de securitate, schim&ri ma4ore privind confi(uraia SIC, 4"-rin intermediul C)S, ))S poate cere tuturor celor responsa&ili de asi(urarea securitii SIC s se implice %n procesul de acreditare de

securitate, 7"/n cazul interconectrii SIC naionale care stocheaz, proceseaz i transmit informaii clasificate, C)S este responsa&il pentru sta&ilirea documentaiei de securitate pentru SIC care se interconecteaz, pentru analiza i apro&area documentaiei privind cerinele de securitate comunitar, denumite %n continuare CSC, precum i pentru acreditarea de securitate a interconectrii, 8"/n ane3a nr, $ este prezentat un e3emplu de re(ulament de or(anizare i funcionare a C)S,

CA,IT*-.- III/ ;a$ele acredit%rii de securitate !EC0I.(EA 1/ <eneralit%i


Art1 1+
Decizia privind acreditarea de securitate a unui SIC care stocheaz, proceseaz sau transmite informaii clasificate se fundamenteaz pe rezultatele0 a"etapei de analiz a riscului de securitate i concluziilor prezentate %n raportul de analiz a riscului2 b"evalurii documentaiei de securitate, cum ar fi0 raportul privind analiza riscului de securitate, DCS, procedurile operaionale de securitate2 c"verificrii privind implementarea principiilor securitii i re(lementrilor de securitate, de e3emplu, prin aplicarea unui plan de testare i evaluare a securitii i a analizei rezultatelor, precum i meninerea acestora %n acord cu cerinele de securitate2 d"identificrii riscurilor reziduale i relurii periodice a procesului de mana(ement al riscurilor de securitate,

!EC0I.(EA 2/ ,rocesul de mana5ement al riscului de securitate


Art1 12

1"SIC naionale care stocheaz, proceseaz sau transmit informaii clasificate tre&uie supuse unui proces de mana(ement al riscului de securitate, 2"Directiva privind mana(ementul IN !S"C pentru sisteme informatice i de comunicaii - IN !S"C $, apro&at prin !rdinul directorului (eneral al !ficiului 'e(istrului Naional al Informaiilor Secrete de Stat nr, 2829200+, sta&ilete aspectele (enerale, procesele de analiz a riscului de securitate i de mana(ement al riscului de securitate, precum i necesitatea relurii procesului de mana(ement al riscului de securitate, Detaliile privind aplicarea acesteia sunt prezentate %n (hidul 9:etodolo(ia privind mana(ementul riscului de securitate pentru sistemele informatice i de comunicaii care stocheaz, proceseaz sau transmit informaii clasificate - DS$9, apro&at prin !rdinul directorului (eneral al !ficiului 'e(istrului Naional al Informaiilor Secrete de Stat nr, +8:92002,

!EC0I.(EA +/ Documentaia de securitate


Art1 13

1"+n element important al procesului de acreditare de securitate %l constituie documentaia de securitate, compus din0 a"strate(ia de acreditare de securitate a SIC, document ela&orat, dup caz, de ))S sau SII, prin care se sta&ilesc activitile necesar a fi derulate %n cadrul procesului de acreditare de securitate a SIC, responsa&ilitile i termenele de realizare a acestora2 b"rezultatele procesului de mana(ement al riscului de securitate2 c"DCS prin care se definesc cerinele de securitate, mediile de securitate i msurile de securitate aplica&ile SIC care tre&uie acreditat2 d"procedurile operaionale de securitate (-r!pSec) care prezint modul de implementare a msurilor de securitate, a procedurilor operaionale referitoare la securitate ce tre&uie urmate i a responsa&ilitilor personalului2 e"rapoarte de evaluare.certificare a securitii informaiilor, resurselor sau serviciilor SIC, certificate de conformitate a prod uselor IN !S"C din compunerea SIC, 2"DCS constituie &aza acordului dintre ))S i )!SIC %n sensul operrii SIC %ntr-o manier si(ur, )ceasta sta&ilete msurile de securitate care asi(ur controlul i responsa&ilitatea privind accesul individual al utilizatorilor SIC la informaiile clasificate, )cest document %mpreun cu -r!pSec sta&ilete msurile de securitate necesar a fi implementate, av1nd %n vedere0 a"aspectele relevante din punctul de vedere al securitii, aflate %n afara controlului )!SIC, adic mediul de securitate (lo&al, cum ar fi, de e3emplu0 elemente privind securitatea cldirii, securitatea %ntre(ului spaiu aflat su& controlul structurii.funcionarului de securitate, securitatea sistemelor interconectate i mediul (eneral de ameninri2 b"securitatea fizic, securitatea personalului, securitatea informaiilor i msuri de securitate procedurale aflate su& controlul )!SIC %n mediul de securitate local2 c"mecanismele IN !S"C %n SIC, adic mediul de securitate electronic, implementate %ntr-o arhitectur dezvoltat pentru a corespunde funcionalitii i nivelului de asi(urare de securitate necesar,

!EC0I.(EA 2/ ,rincipiile securit%ii


Art1 14
DCS, incluz1nd i aspectele rezultate din analiza riscurilor de securitate, sta&ilete modalitatea de o&inere a proteciei informaiilor, resurselor i serviciilor SIC,

Art1 17
))S analizeaz conformitatea cerinelor de securitate sta&ilite pentru SIC cu prevederile re(lementrilor %n domeniu i cu necesitatea de contracarare a riscurilor de securitate (enerate de implementarea i operarea SIC,

Art1 18

/n cazul interconectrii SIC, cerinele de securitate se aplic i interfeei dintre sisteme, -entru sta&ilirea cerinelor de securitate se au %n vedere0 a"contracararea riscurilor de securitate inerente rezultate din necesitile operaionale, referitoare la utilizatorii autorizai ai SIC, i din

folosirea canalelor de comunicaie i a echipamentelor necesare2 b"contracararea riscurilor de securitate din afara SIC, inclusiv a atacurilor iniiate de utilizatorii SIC cu care se interconecteaz,

Art1 1:

"valuarea cerinelor de securitate pentru contracararea riscurilor de securitate prevzute la art, #; lit, a) poate fi realizat %ntr-o manier clar %ntruc1t elementele varia&ile sunt %n mare msur limitate, cum ar fi, de e3emplu0 locaia SIC, numrul utilizatorilor, certificarea de securitate a acestora, volumul i nivelul de clasificare de securitate a informaiilor stocate, procesate sau transmise,

Art1 20

1"/n evaluarea cerinelor de securitate pentru contracararea riscurilor de securitate prevzute la art, #; lit, &) e3ist $ scenarii privind confi(uraia0 a"SIC care nu se interconecteaz direct cu alte SIC, dar e3ist facilitatea de transfer off-line a informaiilor2 b"SIC care se interconecteaz i care au diferite moduri de operare de securitate sau diferite niveluri de clasificare a informaiilor ori SIC si(ur care se interconecteaz cu SIC nesi(ur, cum ar fi IN*"'N"* sau reele similare din domeniul pu&lic, /n acest conte3t este necesar adoptarea politicii de nod autoprote4at %n vederea prevenirii riscurilor la adresa confidenialitii, inte(ritii i disponi&ilitii informaiilor, precum i a inte(ritii i disponi&ilitii resurselor i serviciilor SIC2 c"un SIC acreditat care se interconecteaz cu alt SIC acreditat prin intermediul unei infrastructuri securizate, acestea put1nd coopera pentru a susine mutual securitatea, 2"/n situaia prevzut la alin, (#) lit, a) se au %n vedere ameninrile i vulnera&ilitile unui SIC independent (nec onectat - 5)N), Cerinele de securitate tre&uie s ai& %n vedere funcionalitatea i nivelul de %ncredere oferite de msurile de securitate implementate %n hard<are i soft<are, +"/n situaiile prevzute la alin, (#) lit, &) i c), DCS se sta&ilete %n funcie de flu3ul informaiilor, ameninrile i vulnera&ilitile aferente interconectrii i utilizatorilor celuilalt SIC %n termeni de securitate sau insecuritate, actorii determinani %n sta&ilirea necesitii de securitate se constituie din re(lementrile de securitate aplicate de cellalt SIC, structura i ri(oarea propriilor CSSS i nivelul de %ncredere o&inut prin msurile de securitate implementate %n hard<are i soft<are,

!EC0I.(EA 3/ Testarea i evaluarea de securitate


Art1 21
-entru acreditarea de securitate a unui SIC care stocheaz, proceseaz sau transmite informaii clasificate, ))S tre&uie s ai& certitudinea c0 a"prin cerinele de securitate sta&ilite pentru SIC se realizeaz un echili&ru corespunztor %ntre riscul de securitate i cerinele operaionale2 b"cerinele de securitate sunt implementate i respectate conform documentaiei de securitate,

Art1 22
1"=erificarea faptului c msurile de securitate sunt implementate %n conformitate cu cerinele de securitate implic efectuarea unor testri i evaluri ale securitii, Scopul acestora este de a identifica eventualele discrepane dintre msurile de securitate apro&ate i cele implementate, 2"*estarea i evaluarea securitii include aspectele privind mana(ementul confi(uraiei pentru toate produsele hard<are i soft<are relevante pentru securitate, +"'esursele necesare derulrii procesului de testare i evaluare a securitii includ personalul de testare i documentaia relevant pentru administrarea de securitate i de sistem, cum ar fi DCS, -r!pSec i datele de mana(ement al confi(uraiei, 2"-lanul de testare i evaluare a securitii tre&uie s sta&ileasc activitile necesar a fi derulate, o&iectivele fiecreia dintre aceste activiti, metoda de e3ecutare a testului i rezultatele anticipate, 'ezultatele activitii de testare i evaluare a securitii contri&uie la luarea unei decizii privind acreditarea de securitate, fiind cuprinse %ntr-un document i prezentate )!SIC,

Art1 2+
1")ctivitile de evaluare i certificare de securitate a SIC sunt parte inte(rant a procedurilor de mana(ement al %ntre(ului proiect, -entru derularea acestor activiti tre&uie avute %n vedere at1t costurile, c1t i acordarea %ntre(ului spri4in necesar entitilor de evaluare i certificare, inclusiv prin punerea la dispoziie a unei documentaii suplimentare, care s detalieze aspectele tehnice ale DCS, conform nivelului necesar de asi(urare a securitii, 2"'esponsa&ilitatea privind monitorizarea continu a activitilor de evaluare i certificare revine )!SIC,

!EC0I.(EA 4/ Riscul re$idual


Art1 22
DCS, prin care se sta&ilesc msurile de securitate necesar a fi aplicate, tre&uie, de asemenea, s identifice orice riscuri reziduale asociate SIC, care nu pot fi contracarate, cum ar fi cele din motive tehnice, i care sunt apreciate de ctre )!SIC i ))S ca fiind accepta&ile, )cestea constituie o&iectul relurii procesului de mana(ement al riscului de securitate,

Art1 23

1"/n cadrul procesului de mana(ement al riscurilor se evalueaz riscurile asociate confi(uraiei SIC, completate cu vulnera&ilitile identificate %n timpul derulrii testrii i evalurii securitii, 'ezultatul acestei analize va fundamenta decizia privind acreditarea de securitate, 2"Cu ocazia relurii periodice a procesului de mana(ement al riscului de securitate tre&uie efectuat o analiz a riscurilor de securitate, care s ia %n considerare noile vulnera&iliti i ameninri identificate i noile msuri de securitate capa&ile s elimine vulnera&ilitile care nu au fost contracarate anterior, sta&ilind dac riscurile reziduale se menin la un nivel accepta&il, +"'iscurile reziduale sunt asumate de ctre or(anizaia care are %n responsa&ilitate SIC,

CA,IT*-.- IV/ ,rincipalele etape ale procesului de acreditare de securitate !EC0I.(EA 1/ <eneralit%i
Art1 24
1")ctivitile IN !S"C sunt derulate de-a lun(ul %ntre(ului ciclu de via al SIC i tre&uie corelate cu procesul de acreditare de securitate %n conformitate cu precizrile din ane3a nr, #, 2"Succesiunea etapelor %n cadrul procesului de acreditare de securitate a SIC este iterativ i continu, ca urmare a modificrilor aduse acestuia de-a lun(ul ciclului su de via, schim&ri care impun reluarea procesului de mana(ement al riscurilor de securitate, +""tapele principale ale procesului de acreditare de securitate a SIC sunt prezentate %n urmtoarea fi(ur0 "tapele procesului de acreditare de securitate