Sunteți pe pagina 1din 9

Republica Moldova COMISIA NAIONAL A PIEII FINANCIARE

Regulamentul privind sistemele informaionale utilizate pentru crearea bazei de date a biroului istoriilor de credit
Aprobat prin HOTRREA Nr. 8/15 din 26.02.2009

I. NOIUNI GENERALE 1. Regulamentul privind sistemele informaionale utilizate pentru crearea bazei de date a biroului istoriilor de credit (n continuare Regulament) stabilete cerine fa de organizarea sistemului informaional n scopul formrii i utilizrii istoriilor de credit, pstrrii n condiii de securitate a bazei de date a biroului istoriilor de credit (n continuare birou), cerine minime fa de utilizarea mijloacelor de protecie la colectarea, pstrarea, stocarea, prelucrarea, transmiterea i distrugerea (radierea) informaiilor din istoriile de credit, cerine minime fa de echipamentul tehnic i de program i este obligatoriu pentru toate persoanele juridice care dein licen de activitate a biroului istoriilor de credit. 2. n sensul prezentului Regulament se definesc urmtoarele noiuni: complex de mijloace software i hardware totalitatea programelor i mijloacelor tehnice care asigur realizarea proceselor informaionale; mijloacele semnturii digitale mijloacele tehnice i/sau de program ce asigur crearea cheii publice i cheii private, crearea semnturii digitale i/sau verificarea autenticitii acesteia; mijloacele de protecie criptografic a informaiei mijloace tehnice, de program i tehnicoaplicative, sisteme i complexe de sisteme ce realizeaz algoritmi de conversie criptografic a informaiei, destinate s asigure integritatea i confidenialitatea informaiei n procesul de prelucrare, depozitare i transmitere a acesteia prin canalele de comunicaii; protecia informaiei contra extorcrii ansamblu de msuri ndreptate spre prevenirea rspndirii neautorizate a informaiei protejate prin canalele tehnice sau prin canalele secundare cu ajutorul mijloacelor tehnice speciale; protecia informaiei contra accesului neautorizat ansamblu de msuri orientate spre prevenirea, identificarea i nlturarea sustragerii informaiei protejate prin nclcarea regulilor de acces stabilite de actele normative sau de proprietarul (deintorul) informaiei; protecia informaiei contra aciunilor neintenionate ansamblu de msuri orientate spre prevenirea aciunilor neintenionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaiei, dar care duc la distorsiunea, distrugerea, copierea, blocarea accesului la informaie, precum i la pierderea, distrugerea acesteia sau la defectarea suportului material al informaiei; norme de securitate informaional totalitatea deciziilor documentate de administrare, ndreptate spre protejarea informaiei, a mijloacelor tehnice i de program ale sistemelor informaionale;

securitate informaional protecia sistemului informaional de aciuni premeditate sau neintenionate cu caracter natural sau artificial, care au ca rezultat cauzarea prejudiciului participanilor la schimbul informaional; sistem informaional totalitatea de resurse i tehnologii informaionale interdependente, de metode i de personal, destinat pstrrii, prelucrrii i furnizrii de informaie; suporturi materiale suporturi magnetice, optice, laser sau alte suporturi al informaiei electronice, pe care se creeaz, se fixeaz, se transmite, se recepioneaz, se pstreaz sau, n alt mod, se utilizeaz informaia electronic i care permit reproducerea i folosirea ulterioar a acesteia. II. OBIECTIVELE SECURITII INFORMAIONALE 3. Participanii la schimbul informaional (n continuare participani) asigur msuri de protecie a informaiei la transmiterea, colectarea, pstrarea, stocarea, prelucrarea i distrugerea (radierea) datelor din istoriile de credit prin mijloace ce corespund cerinelor de securitate informaional stabilite de prezentul Regulament. 4. Obiectivele de baz privind asigurarea securitii informaionale snt: 1) protecia informaiei (asigurarea integritii, confidenialitii i disponibilitii informaiei) din istoriile de credit la colectarea, pstrarea, stocarea, prelucrarea, transmiterea i distrugerea acesteia ; 2) minimizarea impactului i a timpului de restabilire n cazul incidentelor de securitate; 3) gestiunea eficace a riscurilor de securitate; 4) asigurarea continuitii n activitate; 5) asigurarea securitii fizice a biroului, inclusiv a complexului de echipamente, de la deteriorare sau de ncercrile de modificare a funcionrii; 6) conformarea cu actele legislative i normative n vigoare. 5. Ansamblul msurilor i al mijloacelor de protecie a informaiei trebuie s includ: 1) protecia criptografic a informaiei, cu aplicarea mijloacelor de protecie criptografic a informaiei; 2) protecia informaiei contra accesului neautorizat i detectarea intruziunilor; 3) controlul intern permanent al sistemului securitii informaionale; 4) protecia informaiei contra aciunilor neintenionate, inclusiv copierea de rezerv i arhivarea datelor; 5) asigurarea accesibilitii, inclusiv asigurarea continuitii funcionrii complexului de echipamente tehnice i de program al biroului; 6) protecia informaiei contra extorcrii prin canalele tehnice i cele auxiliare; 7) msuri de securitate fizic a participanilor. 6. Modul de aplicare a msurilor i mijloacelor de protecie a informaiei trebuie planificat la etapa de proiectare a sistemului informaional. III. CERINE FA DE FUNCIONAREA SISTEMULUI INFORMAIONAL 7. Sistemul informaional se va elabora potrivit cerinelor prezentului Regulament n conformitate cu Sarcina tehnic de elaborare, aprobat de conductor, care va conine date despre procesul de elaborare, implementare i deservire a sistemului, inclusiv etapele de elaborare, modul de introducere a modificrilor, primirea, testarea i darea n exploatare, cerinele fa de documentarea fiecrei etape etc. 8. Sistemul informaional trebuie s asigure schimbul electronic de coresponden timp de 24 din 24 de ore. 9. Schimbul electronic de coresponden ntre participani se efectueaz numai cu utilizarea complexului software specializat, oferit de ctre birou. 10. Corespondena electronic se semneaz cu semntur digital, n conformitate cu legislaia privind documentul electronic i semntura digital. 2

11. n cadrul schimbului electronic de coresponden participanii trebuie s respecte succesiunea prescris de aciuni i s verifice autenticitatea corespondenei electronice. 12. n cadrul sistemului informaional biroul este obligat permanent: 1) s asigure funcionarea eficient i nentrerupt a sistemului informaional i nivelul stabilit de securitate la efectuarea schimbului electronic de coresponden ntre participani; 2) s implementeze protecia antivirus i antispam; 3) s efectueze deservirea tehnic a componentelor, s nlture operativ i la timp defeciunile n funcionarea sistemului informaional; 4) s ia msuri de perfecionare i eficientizare a funcionrii sistemului informaional; 5) s efectueze controlul sistemului de securitate, s fixeze cazurile i tentativele de nclcare a acestuia, precum i s ntreprind msurile ce se impun pentru prevenirea i lichidarea consecinelor; 6) s acorde asisten persoanelor autorizate ale participanilor referitor la utilizarea complexului de mijloace software i hardware oferit, precum i n alte probleme ce in de funcionarea sistemului informaional; 7) s informeze participanii despre modificrile condiiilor tehnice de funcionare a sistemului informaional. 13. n scopul ndeplinirii atribuiilor sale, biroul este n drept: 1) s acorde asisten la crearea cheilor criptografice ale participanilor, necesare pentru funcionarea sistemului informaional; 2) s solicite nlturarea cazurilor de nclcare a regulilor de exploatare a sistemului informaional. 14. n scopul funcionrii eficiente a sistemului informaional, participantul (ce nu este birou) este obligat: 1) s organizeze i s amenajeze locuri de munc pentru persoanele autorizate de prezentarea i recepionarea informaiei din istoriile de credit; 2) s asigure condiiile necesare pentru pstrarea n siguran a cheilor criptografice, inclusiv a suporturilor materiale, precum i pentru excluderea accesului terelor persoane la cheile respective; 3) s asigure respectarea condiiilor de securitate i regulilor de exploatare a sistemului informaional; 4) s utilizeze informaia obinut n rezultatul participrii la schimbul informaional doar n scopurile stabilite de Legea nr.122-XVI din 29 mai 2008 Privind birourile istoriilor de credit ; 5) s anune nentrziat, n form verbal i scris, persoana responsabil a biroului n caz de depistare a nclcrii securitii sistemului informaional. 15. n scopul respectrii cerinelor prezentului Regulament la colectarea, pstrarea, stocarea, prelucrarea, transmiterea i distrugerea (radierea) informaiei din istoriile de credit, biroul va elabora i aproba norme privind funcionarea sistemului informaional, care vor conine: 1) drepturile i obligaiile biroului i celorlali participani la schimbul informaional n raport cu sistemul informaional; 2) procedura de expediere i primire a corespondenei electronice, precum i utilizarea, modificarea, radierea ulterioar a acesteia; 3) descrierea formatelor de date aprobate de ctre birou; 4) ordinea de prezentare a raportului de credit; 5) modul de accesare a resurselor informaionale ale biroului; 6) condiiile generale de asigurare a securitii sistemului informaional, n concordan cu care se vor realiza activiti i implementa mijloace concrete de protecie a informaiei; 7) procedurile de gestionare i algoritmul aciunilor n cazul compromiterii sistemului securitii informaionale; 8) procedura de aducere la cunotina participanilor a normelor menionate i msurilor de securitate informaional, de acceptare i asumare a obligaiilor de respectare a acestora de ctre participani.

16. Normele privind funcionarea sistemului informaional vor fi aduse la cunotin tuturor participanilor cu care este ncheiat contract de prestare a serviciilor informaionale, confirmndu-se prin semntura persoanei responsabile. 17. La ntocmirea i prelucrarea corespondenei electronice participanii utilizeaz n mod obligatoriu mijloacele de protecie criptografic a informaiei. 18. Mijloacele semnturii digitale i de criptare a corespondenei electronice se determin n conformitate cu legislaia n vigoare n domeniul semnturii digitale i cu cerinele capitolului IX al prezentului Regulament. 19. Fiecare participant desemneaz o subdiviziune sau un colaborator (colaboratori) responsabil de asigurarea securitii informaionale la exploatarea sistemului informaional. 20. Orice situaie de for major care poate influena n mod negativ realizarea funciilor biroului trebuie adus, n form scris, n termen de o zi, la cunotina celorlali participani. 21. Aranjamentul sistemului informaional al biroului trebuie s fie flexibil, s permit dezvoltarea, fr modificri structurale, a configuraiilor mijloacelor utilizate i completarea cu noi funcii i resurse. IV. CERINE FA DE CONECTAREA (DECONECTAREA) PARTICIPANILOR LA SISTEMUL INFORMAIONAL 22. Persoana responsabil a biroului execut lucrrile necesare de instalare a software-lui, a mijloacelor de protecie criptografic a informaiei la locurile de munc autorizate ale participanilor i efectueaz conectarea acestora la sistemul informaional, cu semnarea ntre pri a actului de dare n exploatare a locurilor de munc. 23. Evidena mijloacelor de protecie criptografic a informaiei i a suporturilor materiale, utilizate de participani, este inut ntr-un registru special. Persoana autorizat a participantului semneaz n registru pentru primirea suporturilor materiale de chei criptografice, precum i confirmnd faptul c a luat cunotin de regulile privind exploatarea sistemului informaional n condiii de securitate. 24. Funcionarea sistemului informaional poate fi suspendat de birou n urmtoarele cazuri: 1) n timpul efecturii lucrrilor profilactice ale complexului de mijloace software i hardware ale sistemului; 2) la apariia circumstanelor de for major; 3) la nclcarea sistemului securitii informaionale, dac aceasta prezint pericol pentru funcionarea sistemului informaional; 4) la nclcarea de ctre participant a obligaiilor prevzute de contractul de prestare a serviciilor informaionale, actele legislative i normative n vigoare. 25. Lucrrile profilactice n complexul de mijloace software i hardware ale sistemului informaional pot fi efectuate cu notificarea participanilor cu 2 zile lucrtoare nainte de nceperea lucrrilor, indicndu-se termenele de finalizare a acestora. 26. n cazul apariiei circumstanelor de for major, precum i a avariilor sau a defeciunilor n funcionarea complexului de mijloace software i hardware ale sistemului informaional din vina terelor persoane, este posibil suspendarea funcionrii sistemului, cu notificarea ulterioar a participanilor conectai. 27. Excluderea participantului din sistemul informaional se efectueaz n temeiul cererii conductorului acestuia, n cazul rezilierii contractului de prestare a serviciilor informaionale. n termenul coordonat cu participantul se execut lucrrile necesare de nlturare a software-lui i a mijloacelor de protecie criptografic a informaiei de la locul de munc al participantului exclus, fiind semnat actul de excludere a acestuia. 28. Suporturile materiale, care conin cheile criptografice ale participantului exclus din sistemul informaional, se distrug n prezena persoanei responsabile a participantului, fcndu-se meniunea respectiv n registrul special.

V. CERINE REFERITOARE LA PROTECIA INFORMAIEI N CADRUL SISTEMULUI INFORMAIONAL 29. Biroul trebuie s exclud posibilitatea divulgrii informaiei din baza de date a biroului, cu excepiile prevzute de Legea nr.122-XVI din 29 mai 2008 Privind birourile istoriilor de credit. 30. Regimul de confidenialitate, n cazul operrii cu informaia care a devenit cunoscut biroului n rezultatul activitii sale, trebuie s asigure: 1) limitarea numrului persoanelor cu drept de acces la resursele informaionale; 2) ordinea de admitere controlat i delimitarea funcional a responsabilitilor persoanelor ce au acces la informaia din baza de date a biroului; 3) identificarea i autentificarea participanilor cu utilizarea mijloacelor moderne de autentificare i criptare a informaiei; 4) msuri de protecie a informaiei n cadrul pstrrii, prelucrrii i transmiterii acesteia prin intermediul canalelor de comunicaii. 31. Biroul va elabora i aproba norme de securitate informaional, care vor asigura respectarea regulilor, standardelor i normelor general acceptate n domeniul securitii informaionale, i vor include: 1) categoriile resurselor informaionale ale biroului cu indicarea nivelului necesar de securitate pentru fiecare categorie; 2) modelul sistemului securitii informaionale i principalele msuri tehnico-organizatorice necesare de asigurare a funcionrii acestuia; 3) planul de gestionare a riscurilor de securitate aferente sistemului informaional ale biroului, care s cuprind totalitatea msurilor tehnico-organizatorice prevzute pentru controlul acestor riscuri, inclusiv: analiza factorilor de risc (pericolelor) i impactul acestora asupra obiectivelor de baz ale sistemului de securitate al biroului, descrierea mijloacelor de control (de prevenire, detectare i restabilire) aferente riscurilor identificate, planul de tratare a riscurilor reziduale, desemnarea responsabilitilor privind gestiunea riscurilor etc.; 4) planul de aciuni privind meninerea n funciune a sistemului de securitate a biroului, inclusiv planurile de continuitate a activitii n situaii de for major, cum ar fi calamiti naturale, incendii, deconectarea energiei electrice, deteriorarea liniilor de comunicare, dezordinea public, greve, aciuni militare; 5) procedurile interne ce exclud cazurile de modificare nesancionat a software-ului i/sau a informaiei din baza de date a biroului (ex.: politica privind controlul accesului, managementul modificrilor, managementul incidentelor de securitate, proceduri operaionale de gestiune/administrare a resurselor informaionale etc.); 6) modul de pstrare a copiilor de rezerv ale resurselor informaionale i de program, cheilor private ale angajailor biroului sau cheilor secrete ale altor sisteme criptografice ale biroului etc.; 7) nomenclatorul, modul de arhivare i de distrugere a informaiei din baza de date a biroului; 8) responsabilitile personalului biroului privind asigurarea securitii informaionale; 9) proceduri de control intern al biroului privind respectarea condiiilor de securitate informaional. 32. Biroul trebuie s asigure copierea de rezerv, pstrarea i restabilirea n caz de necesitate a informaiei din baza de date a biroului i altei informaii necesare pentru activitatea sa, precum i instalarea n caz de necesitate a echipamentelor tehnice suplimentare sau de rezerv. 33. Biroul trebuie s asigure pstrarea copiei informaiei din baza de date pe fiier electronic n casete arendate n bncile comerciale de pe teritoriul Republicii Moldova. Biroul este obligat s rennoiasc copia informaiei pe fiier electronic cel puin o dat n 30 de zile lucrtoare. VI. MSURILE I MIJLOACELE DE PROTECIE A INFORMAIEI 34. Pentru micorarea riscurilor de extorcare a informaiei din baza de date a biroului, inclusiv legate de utilizarea tehnologiilor informaionale i de comunicaii, biroul elaboreaz i implementeaz un set de msuri de asigurare a securitii sistemului informaional, prin: 1) gestiunea accesului; 5

2) asigurarea integritii; 3) asigurarea accesibilitii; 4) protecia criptografic a informaiei. 35. Gestiunea accesului se realizeaz prin urmtoarele mijloace: 1) delimitarea accesului la componentele sistemului informaional n conformitate cu regulile de acces; 2) verificarea identitii persoanelor ce obin acces la componentele sistemului informaional; 3) evidena i nregistrarea evenimentelor de accesare (prsire) a sistemului informaional de ctre persoanele autorizate; 4) nregistrarea tentativelor de lansare (stopare) a mijloacelor software i hardware destinate s prelucreze resursele informaionale; 5) nregistrarea tentativelor de acces neautorizat al persoanelor la sistem, tentativelor de lansare neautorizat a mijloacelor software i hardware sau de executare a operaiilor, asigurnd blocarea tuturor operaiunilor neautorizate i ntiinnd despre acest fapt administratorul de securitate; 6) nregistrarea modificrilor drepturilor de acces al persoanelor i nregistrarea tuturor ieirilor de informaie din sistemul informaional (documente electronice, date etc.); 7) inerea evidenei resurselor informaionale protejate ale biroului i nregistrarea intrrii/ieirii suporturilor materiale ce conin informaie confidenial; 8) protejarea datelor protocolate (jurnalul de nregistrri, diverse fiiere) contra modificrilor. 36. Integritatea se menine prin stabilitatea mediului de aplicare a mijloacelor software i hardware, prin integritatea informaiei prelucrate, a mijloacelor tehnico-aplicative i a mijloacelor de protecie a informaiei, realizndu-se prin mijloacele sistemului de securitate fizic care asigur protecia echipamentelor, a resurselor informaionale i a personalului biroului, care va include: 1) gestionarea accesului n ncperile speciale ale biroului, fiind stabilite reguli de acces pentru persoanele crora le este permis accesul n aceste ncperi; 2) depistarea intruziunilor neautorizate la echipamentele biroului; 3) protecia prin mijloace tehnice i de inginerie. 37. Biroul trebuie s stabileasc responsabilitile angajailor legate de asigurarea securitii fizice. Angajaii biroului care au acces n ncperile speciale poart rspundere personal pentru permiterea accesului persoanelor tere n aceste ncperi. 38. Asigurarea accesibilitii se realizeaz prin urmtoarele mijloace: 1) funcionarea continu a sistemului informaional al biroului; 2) pstrarea resurselor informaionale ale biroului n condiii de siguran conform cerinelor prezentului Regulament, precum i posibilitatea de restabilire a lor n caz de necesitate sau n cazul situaiilor de for major; 3) accesul permanent al participanilor la resursele informaionale ale biroului, corespunztor cu normele stabilite. 39. Protecia criptografic a informaiei se realizeaz prin: 1) criptarea informaiei confideniale n sistemul informaional i n canalele de comunicaii; 2) controlul accesului personalului la operaiile de criptare i la cheile criptografice, n conformitate cu regulile de acces stabilite. VII. CERINELE REFERITOARE LA ECHIPAMENTE 40. Complexul de echipamente (mijloace software i hardware) utilizat de birou trebuie s asigure executarea de ctre acesta a funciilor de formare, prelucrare, stocare i prezentare a informaiei din istoriile de credit. 41. Exploatarea complexului de echipamente ale biroului se va efectua conform cerinelor stabilite de normele de securitate a biroului. 42. Fiecare mijloc al complexului de echipamente trebuie testat n privina posibilitii de utilizare i s fie nsoit de documentaia tehnic. 6

43. Capacitatea de funcionare a mijloacelor ce fac parte din complexul de echipamente trebuie verificat periodic pe parcursul ntregului ciclu de exploatare, cu consemnarea rezultatelor verificrii. 44. Toate mijloacele trebuie s fie asigurate cu posibiliti de reparare. Pentru dispozitivele ce necesit deservire tehnic periodic trebuie elaborate instruciuni i grafice de deservire tehnic. Toate echipamentele i dispozitivele trebuie ntreinute n condiii ce asigur integritatea acestora. 45. Complexul de echipamente ale biroului trebuie s asigure posibilitatea copierii de rezerv i pstrrii informaiei din baza de date a biroului i altei informaii necesare pentru activitatea sa, restabilirii operative i complete a informaiei n caz de refuz al deservirii, de incidente sau erori n sisteme, precum i instalrii, n caz de necesitate, a resurselor tehnice suplimentare sau de rezerv. 46. n activitatea sa biroul trebuie s utilizeze numai mijloace software i hardware liceniate i/sau certificate. 47. Biroul este obligat s asigure administrarea complexului de echipamente numai de ctre persoane autorizate s administreze, precum i s exclud modificrile nesancionate ale configuraiilor echipamentului, ale algoritmilor de funcionare a mijloacelor software. 48. Componentele noi sau modernizate ale echipamentelor tehnice i de program trebuie s fie implementate numai n conformitate cu procedurile stabilite, cu respectarea cerinelor privind asigurarea securitii informaionale. 49. Personalul biroului urmeaz s fie instruit privind funcionalitatea i regulile de administrare (exploatare) a sistemului informaional, a componentelor, a mijloacelor tehnice i de program noi sau modernizate. VIII. CERINE REFERITOARE LA PROTECIA RESURSELOR INFORMAIONALE 50. Resursele informaionale ale biroului snt formate din baza de date a biroului i alte documente i informaii legate de activitatea n calitate de birou al istoriilor de credit. 51. Resursa informaional principal a biroului este baza de date, care reprezint un ansamblu de documente electronice i documente pe suport de hrtie, incluznd informaia indicat n art.5 din Legea nr.122-XVI din 29 mai 2008 Privind birourile istoriilor de credit. 52. Resursele informaionale ale biroului trebuie s fie clasificate i definite pe categorii n funcie de nivelul de confidenialitate al acestora. Toat informaia, datele i documentele trebuie s fie prelucrate i pstrate conform nivelului de clasificare i categoriei acestei informaii. Toat informaia, datele i documentele, clasificate ca fiind confideniale trebuie pstrate n condiii speciale de protecie. 53. Biroul trebuie s fixeze termenele de utilizare i pstrare a documentelor i a informaiei, s elaboreze nomenclatorul dosarelor, n care vor fi specificate tipurile documentelor principale i perioada de pstrare a acestora. 54. Biroul trebuie s asigure pstrarea n form arhivat a urmtoarelor resurse informaionale: 1) istorii de credit din baza de date a biroului; 2) jurnale de audit al complexului de echipamente; 3) alte tipuri de documente stabilite de birou. 55. Termenul de pstrare n form arhivat a istoriilor de credit va fi de cel puin 7 ani din data ultimei modificri a informaiei despre obligaiile debitorului, coninute n istoria de credit. 56. Pregtirea pentru distrugere i efectuarea distrugerii documentelor arhivate se realizeaz de ctre o comisie, format din angajaii biroului, n modul stabilit de acesta. 57. Biroul asigur accesul utilizatorilor istoriei de credit la informaia coninut n baza de date a istoriilor de credit prin intermediul corespondenei electronice sau n form scris n conformitate cu procedurile prevzute de actele normative n vigoare. 58. Accesul la documentele arhivate de birou se realizeaz n conformitate cu legislaia n vigoare i n modul prevzut la pct.57. 59. Utilizarea resurselor informaionale ale biroului n scopuri personale de ctre angajaii biroului este interzis. 7

60. Angajaii biroului snt obligai s cunoasc riscurile legate de nclcarea regulilor de securitate a informaiei cu care lucreaz. 61. Angajaii biroului trebuie s semneze clauze de confidenialitate, n condiiile articolului 53 din Codul muncii al Republicii Moldova, precum i, dup caz, angajamente de nedivulgare a secretului comercial, valabile att pentru perioada contractului individual de munc ncheiat, ct i pentru perioada stabilit n contract dup expirarea aciunii acestuia. IX. CERINE FA DE UTILIZAREA MIJLOACELOR DE PROTECIE CRIPTOGRAFIC A INFORMAIEI 62. Biroul asigur securitatea informaiei confideniale la colectare, pstrare, prelucrare i transmitere prin canalele de comunicaii, aplicnd tehnologiile de criptare a informaiei cu utilizarea mijloacelor de protecie criptografic a informaiei (MPCI). 63. n scopul elaborrii i realizrii msurilor de asigurare a securitii informaiei i utilizrii MPCI, biroul trebuie s creeze o subdiviziune pentru protecia criptografic a informaiei (s numeasc un angajat), s elaboreze i s aprobe reguli care s reglementeze procesele de pregtire, introducere, prelucrare, pstrare i transmitere a informaiei confideniale protejate cu MPCI. 64. Subdiviziunea de protecie criptografic: 1) elaboreaz i implementeaz sistemul de protecie criptografic a informaiei; 2) elaboreaz regulile i msurile de asigurare a funcionrii i securitii MPCI utilizate; 3) asigur pstrarea i evidena suporturilor materiale ce conin MPCI i documentaiei aferente, cheile private ale angajailor biroului sau cheile secrete ale altor sisteme criptografice ale biroului, alt informaie confidenial, precum i evidena utilizatorilor ce folosesc nemijlocit MPCI; 4) instruiete utilizatorii MPCI privind regulile de lucru cu MPCI; 5) controleaz modalitatea de respectare de ctre utilizatori a normelor de utilizare a MPCI stabilite, precum i a documentaiei de exploatare i tehnice aferente MPCI; 6) verific integritatea mijloacelor tehnice i de program unde au fost instalate MPCI, precum i integritatea MPCI; 7) depisteaz faptele de nclcare a normelor de utilizare a MPCI i ntreprinde msurile necesare de evitare a urmrilor acestor nclcri. 65. Angajaii subdiviziunii de protecie criptografic snt obligai: 1) s respecte regimul de confidenialitate n procesul de ndeplinire a obligaiilor de serviciu; 2) s depisteze la timp tentativele persoanelor tere de a obine date privind informaia confidenial, MPCI utilizate i suporturile-cheie; 3) s ia msuri urgente de prevenire a cazurilor de divulgare i de extorcare a informaiei confideniale la utilizarea MPCI. 66. Angajaii subdiviziunii de protecie criptografic trebuie s posede un nivel de calificare corespunztor. 67. Biroul implementeaz i exploateaz MPCI conform documentaiei tehnice i de exploatare aferent acestor mijloace i n baza regulilor aprobate. 68. Regulile ce reglementeaz modul de exploatare n siguran a MPCI trebuie s prevad: 1) drepturile i obligaiile angajailor ce exploateaz MPCI; 2) ordinea de amplasare, instalare, pstrare i utilizare a MPCI i a documentaiei privind exploatarea acestora; 3) ordinea de creare, eviden, distribuire, pstrare i distrugere a cheilor criptografice; 4) ordinea de cercetare a faptelor de nclcare a regulilor stabilite la utilizarea MPCI, a cheilor criptografice, precum i msurile de nlturare a consecinelor acestora; 5) ordinea de control al respectrii cerinelor de asigurare a proteciei informaiei cu ajutorul MPCI. 69. Condiiile de implementare i exploatare a MPCI trebuie s exclud posibilitatea accesului neautorizat la ele, modificarea, furtul i difuzarea necontrolat a acestora.

70. n caz de necesitate, pentru asigurarea integritii cheilor criptografice pot fi create copii de rezerv, care se pstreaz conform normelor stabilite de asigurare a proteciei contra accesului neautorizat i aciunilor neintenionate. 71. Angajaii biroului poart rspundere personal pentru integritatea i securitatea cheilor criptografice. 72. Subdiviziunea de protecie criptografic ine evidena suporturilor materiale de chei criptografice. 73. Suporturile materiale de chei criptografice neutilizate sau scoase din uz snt distruse de subdiviziunea de protecie criptografic, prin distrugerea fizic a suportului material sau prin distrugerea garantat a informaiei-cheie fr deteriorarea suportului (pentru utilizarea repetat a acestuia). 74. Cheile criptografice ale MPCI trebuie schimbate periodic. Procedura de schimbare a cheilor criptografice se stabilete de ctre birou. 75. Dac exist suspiciuni privitoare la compromiterea cheilor criptografice sau MPCI, acestea snt scoase imediat din uz, iar subdiviziunea de protecie criptografic efectueaz toate aciunile de verificare a acestui fapt i de nlturare a urmrilor.