METODOLOGIE DE ACREDITARE din 28 martie 2012
|
Redacția Lex24 |
| Publicat in Repertoriu legislativ, 29/11/2024 |
| |
Informatii Document
Emitent: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STATPublicat în: MONITORUL OFICIAL nr. 238 din 9 aprilie 2012
| Nu exista actiuni suferite de acest act |
| Nu exista actiuni induse de acest act |
| Acte referite de acest act: |
| SECTIUNE ACT | REFERA PE | ACT NORMATIV |
| ANEXA 5 | REFERIRE LA | ORDIN 484 21/11/2003 |
| ANEXA 5 | REFERIRE LA | ORDIN 483 21/11/2003 |
| ANEXA 5 | REFERIRE LA | HG 585 13/06/2002 |
| ANEXA 5 | REFERIRE LA | HG 353 15/04/2002 |
| ANEXA 5 | REFERIRE LA | NORMA 15/04/2002 |
| ANEXA 5 | REFERIRE LA | STANDARD 13/06/2002 |
| Acte care fac referire la acest act: |
| SECTIUNE ACT | REFERIT DE | ACT NORMATIV |
| Actul | APROBAT DE | ORDIN 23 28/03/2012 |
| Actul | CONTINUT DE | ORDIN 23 28/03/2012 |
a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii – INFOSEC 12
+
Capitolul IIntroducere +
Secţiunea 1Scop +
Articolul 1Prezenta metodologie de acreditare stabileşte cerinţele şi activităţile aferente procesului de acreditare a entităţilor evaluatoare a produselor şi soluţiilor de securitate IT, precum şi a sistemelor informatice şi de comunicaţii, naţionale, civile sau militare, denumite în continuare SIC, care vehiculează informaţii clasificate. +
Articolul 2Metodologia de acreditare a entităţilor evaluatoare are următoarele obiective:a) verificarea faptului că entitatea evaluatoare satisface criteriile de calitate impuse prin regulile şi standardele specifice sau deţine certificat de calitate emis de o autoritate recunoscută de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS;b) verificarea faptului că personalul entităţii evaluatoare are nivelul de pregătire tehnică necesar pentru desfăşurarea activităţilor aferente proceselor de evaluare;c) verificarea faptului că entitatea evaluatoare are dotarea tehnică necesară desfăşurării activităţilor pentru care solicită acreditarea;d) verificarea faptului că entitatea evaluatoare are capacitatea de a aplica criteriile de evaluare şi metodologiile asociate;e) verificarea faptului că entitatea evaluatoare are implementat un sistem de protecţie a informaţiilor, conform cerinţelor impuse de procesul de evaluare. +
Articolul 3(1) Pentru a desfăşura activitatea de evaluare a produselor şi soluţiilor de securitate IT destinate utilizării în SIC care vehiculează informaţii clasificate, entităţile evaluatoare trebuie să îndeplinească următoarele condiţii:a) pentru evaluarea de produse şi soluţii de securitate IT, altele decât cele criptografice, trebuie să fie acreditate de ORNISS;b) pentru evaluarea produselor criptografice, altele decât cele din categoria cifrului de stat, trebuie să fie desemnate ca entităţi evaluatoare în cadrul Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apărării Naţionale (MApN) ori să fie acreditate de ORNISS, cu acordul acestor instituţii.(2) Prin ordin al directorului general al ORNISS se stabileşte metodologia de acreditare a entităţilor de evaluare a produselor criptografice, altele decât cele din categoria cifrului de stat. +
Articolul 4În vederea acreditării de către ORNISS, entităţile evaluatoare trebuie să îndeplinească criteriile de acreditare prevăzute în anexa nr. 1. +
Secţiunea a 2-aDefiniţii +
Articolul 5În cuprinsul prezentei metodologii de acreditare, următorii termeni şi sintagme se definesc după cum urmează:a) acreditare – aprobarea acordată de ORNISS entităţilor evaluatoare, prin care acestea sunt autorizate să desfăşoare activităţile aferente procesului de evaluare a produselor şi soluţiilor de securitate IT, precum şi a SIC care vehiculează informaţii clasificate;b) evaluare – examinarea detaliată, din punct de vedere tehnic şi funcţional, a aspectelor de securitate ale produselor şi soluţiilor de securitate IT.Prin procesul de evaluare se verifică cel puţin:1. prezenţa facilităţilor/funcţiilor de securitate cerute;2. absenţa efectelor secundare compromiţătoare care ar putea decurge din implementarea facilităţilor de securitate;3. funcţionalitatea globală a produsului sau soluţiei de securitate IT;4. nivelul de încredere al produselor şi soluţiilor de securitate IT;c) produs de securitate IT – orice element de securitate care se încorporează într-un SIC, în scopul asigurării sau sporirii confidenţialităţii, integrităţii informaţiilor vehiculate şi a disponibilităţii informaţiilor, resurselor şi serviciilor acestuia;d) soluţie de securitate IT – ansamblu de componente specifice de securitate ale unui SIC, necesare asigurării unui nivel corespunzător de protecţie pentru informaţiile clasificate care urmează a fi stocate, procesate sau transmise prin acesta. +
Capitolul IIProcesul de acreditare +
Articolul 6Procesul de acreditare a entităţilor evaluatoare constă în parcurgerea următoarelor etape:a) solicitarea acreditării şi pregătirea documentaţiei de acreditare;b) analiza documentaţiei de acreditare;c) inspecţia de acreditare;d) realizarea unei evaluări pilot pentru un produs sau o soluţie de securitate IT;e) luarea unei decizii privind acreditarea;f) emiterea documentelor conform deciziei de acreditare;g) activităţi postacreditare. +
Articolul 7Schema de mai jos prezintă procesul de acreditare a entităţilor evaluatoare ale produselor şi soluţiilor de securitate IT. Fiecare dintre activităţile acestui proces este tratată pe larg în prezenta metodologie de acreditare. Responsabil Activităţi Documente Solicitantul Solicitarea acreditării ┌───────────────────────┐ acordării – │Solicitarea acreditării│ ◄───────┐ Adresa şi └──────────╥────────────┘ │ documentaţia ║ │ de acreditare ▼ │ Comisia de ┌───────────────────────┐ │ acreditare ┌─► │Analiza documentaţiei │ │ Raport de │ └──────────╥────────────┘ │ analiză a │ ║ │ documentaţiei ┌────────┴───────┐ ▼ │ Solicitantul │ Corectarea │ . │ acreditării │ deficienţelor │ . . │ └────────┬───────┘ . . │ │ . . │ Raport al └───────. Documentaţie . │ comisiei de NU . completă . │ acreditare . . │ . . │ . . │ . │ ║ │ ▼ DA │ ┌──────────────────┐ │ Raportul Comisia de │ Inspecţia de │ │ comisiei de acreditare │ acreditare │ │ acreditare └──────╥───────────┘ │ ║ │ ▼ │ ┌──────────────────┐ │ ┌──────────► │ Realizarea une │ │ Solicitantul ┌──────┴────────┐ │ evaluări pilot │ │ acreditării │ Corectarea │ └───────╥──────────┘ │ │ deficientelor │ ║ │ └───────────────┘ ║ ┌───────┴───────┐ ▲ ║ │ Corectarea │ Directorul┌────────┴───────────────┐ ║ │ deficienţelor │ general al│Emiterea Certificatului │ ▼ └───────────────┘ ORNISS │de acreditare temporară │ . ▲ └────────────────────────┘ . . │ ▲ . . Neacreditare │ │ . Decizia . │ Raport de └────────. privind .─────────────┘ evaluare Acreditarea . acreditarea . temporară . . . . . . . ║ Acreditare ║ deplină ▼ Directorul ┌─────────────────────────┐ Certificat de general al │Eliberarea Certificatului│ Acreditare ORNISS │ de acreditare │ Introducere în └──────────╥──────────────┘ lista entităţilor ║ evaluatoare ║ acreditate ▼ Comisi de ┌─────────────────────────┐ acreditare │Activităţi postacreditare│ └─────────────────────────┘Procesul de acreditare a entităţilor evaluatoare ale produselor şi soluţiilor de securitate IT +
Capitolul IIIDescrierea metodologiei de acreditare +
Secţiunea 1Solicitarea acreditării1. Documente care trebuie înaintate la ORNISS +
Articolul 8Solicitarea acreditării se face prin transmiterea către ORNISS, de către reprezentantul legal al entităţii evaluatoare, a unei cereri de acreditare. +
Articolul 9Cererea de acreditare trebuie să fie însoţită de următoarele documente:a) copie a documentului oficial în baza căruia se organizează şi funcţionează entitatea evaluatoare pentru care se solicită acreditarea;b) copie a certificatului conţinând codul unic de identificare al entităţii evaluatoare sau al persoanei juridice care solicită acreditarea, după caz;c) un document oficial care să precizeze cel puţin următoarele:(i) lista cuprinzând numerele de înregistrare şi denumirea documentelor interne care stabilesc politica de securitate privind protecţia informaţiilor clasificate vehiculate în cadrul entităţii evaluatoare;(îi) nivelul maxim de secretizare a informaţiilor care pot fi vehiculate în cadrul entităţii evaluatoare;(iii) faptul că personalul entităţii evaluatoare implicat în procesul de evaluare deţine certificate de securitate corespunzătoare nivelului de secretizare a informaţiilor la care acesta are acces, conform principiului necesităţii de a cunoaşte;(iv) alte tipuri de acreditări/certificări obţinute de entitatea evaluatoare, considerate relevante pentru analiza solicitării, cum ar fi Certificat de acreditare de securitate pentru SIC din cadrul entităţii evaluatoare, Certificat de zonare TEMPEST a locaţiilor entităţii evaluatoare, Certificat de caracterizare TEMPEST a echipamentelor entităţii evaluatoare etc.;d) un document oficial care să cuprindă cel puţin:(i) prezentarea generală a activităţii desfăşurate de entitatea evaluatoare până în momentul solicitării acreditării;(îi) organigrama entităţii evaluatoare;(iii) schema de relaţionare a entităţii evaluatoare cu alte structuri interne ale persoanei juridice;(iv) atribuţiile şi responsabilităţile compartimentelor din cadrul entităţii evaluatoare;e) un document oficial care să cuprindă:(i) lista cu numerele de înregistrare şi denumirile procedurilor privind sistemul calităţii (Manualul calităţii);(îi) lista instrumentelor hardware şi software din dotare şi/sau închiriate, utilizate pentru activităţile pentru care se solicită acreditarea;f) aspecte privind personalul implicat în activităţile pentru care se solicită acreditarea – pregătirea personalului din punct de vedere profesional şi al securităţii, certificări de securitate;g) descrierea măsurilor şi procedurilor de securitate ale entităţii evaluatoare (administrarea securităţii, securitatea fizică, securitatea informaţiilor, securitatea personalului, INFOSEC);h) criterii şi proceduri specifice referitoare la desfăşurarea activităţilor pentru care se solicită acreditarea;i) documente din care să reiasă experienţa acumulată de entitatea evaluatoare în domeniul prestării de servicii de evaluare a produselor şi soluţiilor de securitate IT, după caz;j) orice alte informaţii relevante privind solicitantul, corelate cu cererea sa. +
Articolul 10Documentele prevăzute la art. 9 lit. a)-j) constituie documentaţia de acreditare. O copie a acestui dosar sau referinţe la documentele interne, după caz, trebuie să fie transmise la ORNISS. +
Articolul 11În cazul în care documentaţia de acreditare nu este completă, ORNISS va informa solicitantul asupra acestui fapt, în vederea furnizării informaţiilor adiţionale necesare. +
Articolul 12Dacă documentaţia de acreditare este completă, ORNISS va înştiinţa solicitantul şi va demara etapa de analiză a documentaţiei. +
Articolul 13În cazul în care apar modificări ale documentelor care constituie dosarul de acreditare, versiunile modificate trebuie transmise la ORNISS. +
Articolul 14Anexa nr. 2 prezintă, cu titlu de exemplu, un set de tipuri de proceduri care abordează aspectele enumerate mai sus. Procedurile pot face obiectul unor documente separate sau al unui document unitar, în funcţie de decizia conducerii persoanei juridice. Toate procedurile trebuie aprobate de reprezentantul legal al persoanei juridice solicitante.2. Condiţii de acreditare +
Articolul 15Pentru ca entitatea evaluatoare să fie acreditată şi pentru păstrarea statutului de entitate evaluatoare acreditată, reprezentantul legal trebuie să se angajeze în scris să îndeplinească următoarele cerinţe:a) să asigure respectarea criteriilor de acreditare stabilite în anexa nr. 1;b) să cunoască şi să respecte prezenta metodologie de acreditare şi să asigure condiţiile necesare pentru realizarea activităţilor de verificare şi inspecţie;c) să analizeze recomandările formulate de ORNISS şi să asigure implementarea de măsuri corective, după caz;d) să respecte condiţiile impuse de ORNISS cu privire la modul de utilizare a certificatului de acreditare, conform prevederilor anexei nr. 3;e) să notifice ORNISS, în termen de maximum 30 de zile, orice modificare majoră care poate afecta activitatea entităţii evaluatoare, cum ar fi:(i) modificarea statutului juridic, a structurii organizatorice sau a acţionariatului;(îi) modificări ale politicilor şi procedurilor interne de securitate, după caz;(iii) modificări ale locaţiei;(iv) schimbarea reprezentantului legal sau a personalului abilitat să semneze rapoartele de evaluare;(v) modificări de personal, de echipamente, ale mediului operaţional sau ale altor resurse, dacă sunt semnificative pentru activităţile pentru care entitatea evaluatoare este acreditată;(vi) orice alte aspecte care pot afecta activitatea entităţii evaluatoare sau respectarea de către aceasta a criteriilor de acreditare;f) să returneze la ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditării, în cazurile în care ORNISS constată că nu mai sunt menţinute condiţiile pentru care a fost acordată acreditarea, precum şi la iniţiativa sa, odată cu notificarea ORNISS despre decizia de a renunţa la efectuarea activităţilor pentru care a fost acreditată entitatea evaluatoare. +
Secţiunea a 2-aAnaliza documentaţiei +
Articolul 16ORNISS va întocmi şi va transmite solicitantului un raport de analiză a documentaţiei, în termen de 30 de zile de la data înregistrării la ORNISS a documentaţiei de acreditare complete, prevăzută la art. 9. +
Articolul 17La primirea solicitării, directorul general al ORNISS dispune constituirea unei comisii de acreditare şi desemnează o persoană responsabilă cu managementul procesului de acreditare (care va reprezenta şi punctul de contact al ORNISS cu solicitantul). +
Articolul 18Comisia de acreditare este responsabilă de gestionarea procesului de acreditare pe toată durata acestuia. +
Articolul 19Principalele responsabilităţi ale comisiei de acreditare desemnate pentru gestionarea procesului de acreditare sunt:a) analiza documentaţiei transmise de solicitant;b) realizarea verificării preliminare a modului în care sunt satisfăcute criteriile de acreditare de către solicitant;c) întocmirea raportului de verificare preliminară şi formularea de propuneri referitoare la acordarea acreditării temporare sau a recomandărilor necesare corectării anumitor aspecte negative constatate;d) realizarea inspecţiei de acreditare;e) întocmirea raportului de inspecţie şi formularea de propuneri privind decizia de acreditare;f) monitorizarea activităţilor desfăşurate de către entitatea evaluatoare, în baza acreditării acordate de ORNISS şi a menţinerii condiţiilor conform cărora a fost acordată acreditarea;g) formularea propunerilor cu privire la reacreditarea entităţii evaluatoare, la expirarea certificatului de acreditare, pe baza unei noi solicitări de acreditare;h) formularea propunerilor cu privire la retragerea acreditării, în cazul în care se constată modificarea condiţiilor existente la momentul acordării certificatului de acreditare. +
Articolul 20În cazul în care comisia de acreditare constată că documentaţia de acreditare este completă şi corect întocmită, va organiza inspecţia de acreditare la sediul entităţii evaluatoare. +
Articolul 21În cazul în care documentaţia de acreditare necesită completări sau modificări, ORNISS va informa entitatea evaluatoare în acest sens. După corectarea deficienţelor, entitatea evaluatoare trebuie să transmită la ORNISS noua versiune a documentaţiei de acreditare, care va fi reanalizată de comisia de acreditare, în scopul întocmirii unui nou raport de analiză. +
Secţiunea a 3-aInspecţia de acreditare +
Articolul 22Pentru a verifica posibilităţile entităţii evaluatoare solicitante de a îndeplini criteriile de acordare a certificatului de acreditare, enunţate în anexa nr. 1, ORNISS trebuie să efectueze o inspecţie de acreditare la sediul solicitantului. +
Articolul 23Inspecţia de acreditare este realizată de o echipă desemnată de către directorul general al ORNISS, la propunerea comisiei de acreditare, formată din experţi din cadrul ORNISS şi, după caz, experţi din afara ORNISS, cu pregătire tehnică adecvată şi autorizaţi corespunzător. +
Articolul 24Entitatea evaluatoare solicitantă trebuie informată cu privire la componenţa echipei de inspecţie. În cazul în care există motive obiective în ceea ce priveşte securitatea informaţiilor sau conflicte de interese, entitatea evaluatoare solicitantă poate refuza componenţa echipei de inspecţie. Motivaţia trebuie să fie scrisă, însuşită de reprezentantul legal al persoanei juridice din care face parte entitatea evaluatoare sau de reprezentantul legal al entităţii evaluatoare, dacă aceasta are personalitate juridică. +
Articolul 25Raportul întocmit de echipa care a realizat inspecţia de acreditare trebuie să precizeze dacă entitatea evaluatoare solicitantă îndeplineşte sau nu criteriile pentru continuarea procesului de acreditare. +
Articolul 26În cazul în care rezultatele acestei inspecţii de acreditare confirmă faptul că entitatea evaluatoare satisface criteriile de acreditare, aceasta este informată în scris şi poate demara etapa de evaluare-pilot. +
Secţiunea a 4-aEvaluarea-pilot +
Articolul 27În vederea verificării de către ORNISS a faptului că entitatea evaluatoare are capacitatea de a efectua în mod corect activităţile pentru care solicită acreditarea, entitatea evaluatoare are obligaţia să efectueze o evaluare-pilot. +
Articolul 28Evaluarea-pilot trebuie să se desfăşoare în conformitate cu procedurile de evaluare utilizate de solicitantul acreditării. Entitatea evaluatoare trebuie să notifice la ORNISS stadiul procesului de evaluare-pilot. +
Articolul 29După finalizarea evaluării-pilot, entitatea evaluatoare are obligaţia de a transmite la ORNISS raportul de evaluare. +
Articolul 30Comisia de acreditare poate organiza o nouă inspecţie la sediul entităţii evaluatoare, pentru a verifica, în mod special, dacă recomandările formulate în cursul inspecţiei de acreditare au fost analizate şi au condus la acţiuni corective. +
Articolul 31Membrii echipei de inspecţie întocmesc raportul de inspecţie, care trebuie să precizeze dacă entitatea evaluatoare îndeplineşte criteriile de acreditare enunţate în anexa nr. 1. +
Articolul 32Raportul întocmit de membrii echipei de inspecţie trebuie să conţină şi propuneri cu privire la decizia de acordare a acreditării entităţii evaluatoare. +
Secţiunea a 5-aDecizia privind acreditarea +
Articolul 33După parcurgerea activităţilor mai sus menţionate, la propunerea comisiei de acreditare, directorul general al ORNISS decide cu privire la acreditarea entităţii evaluatoare. +
Articolul 34Opţiunile referitoare la acreditare sunt următoarele:a) acreditarea deplină – se acordă pentru o perioadă de maximum 3 ani, în cazul în care criteriile de acreditare sunt respectate;b) acreditarea temporară – se acordă pentru o perioadă de maximum 12 luni, pentru a permite entităţii evaluatoare să realizeze evaluarea-pilot sau în cazul în care nu toate condiţiile de acreditare sunt îndeplinite. În certificatul de acreditare temporară trebuie să fie specificate condiţiile în care este acordată acreditarea temporară, precum şi activităţile ce trebuie întreprinse şi realizate de solicitant înainte de obţinerea acreditării depline;c) neacreditarea – reprezintă decizia luată în cazul în care se identifică deficienţe majore în îndeplinirea criteriilor de acreditare. +
Articolul 35În cazul în care se ia decizia acreditării depline sau temporare, directorul general al ORNISS emite certificatul de acreditare corespunzător. +
Articolul 36În certificatul de acreditare trebuie să se precizeze activităţile pentru care entitatea evaluatoare este acreditată. Anexa nr. 4 prezintă un exemplu de astfel de activităţi. Pentru fiecare tip de activităţi, pe certificat pot fi înscrise clarificări, restricţii sau completări, după caz. +
Articolul 37Certificatul de acreditare trebuie utilizat de către titular numai în scopul pentru care a fost emis. +
Articolul 38În cazul acordării acreditării, entitatea evaluatoare este inclusă în lista entităţilor evaluatoare acreditate, publicată pe site-ul web al ORNISS. +
Articolul 39Entitatea evaluatoare trebuie să stabilească o delimitare clară între activităţile autorizate prin certificatul de acreditare emis de ORNISS şi celelalte activităţi pe care le realizează. Această delimitare trebuie să se reflecte în toate documentele oficiale emise de entitatea evaluatoare (oferte de servicii, contracte, rapoarte de evaluare etc.). +
Secţiunea a 6-aActivităţi postacreditare +
Articolul 40Pe toată perioada de valabilitate a certificatului de acreditare, ORNISS trebuie să desfăşoare inspecţii postacreditare, pentru a verifica menţinerea respectării criteriilor de acreditare. +
Articolul 41Inspecţiile postacreditare sunt realizate anual sau ori de câte ori ORNISS primeşte notificarea de la reprezentantul legal al entităţii evaluatoare, cu privire la modificări survenite în organizarea sau activitatea entităţii, modificări care pot influenţa procesul de evaluare pentru care entitatea a fost acreditată. +
Articolul 42ORNISS trebuie să ofere consultanţă cu privire la implicaţiile pe care diferite modificări ale mediului operaţional le pot avea asupra desfăşurării activităţii entităţii evaluatoare şi, implicit, asupra acreditării. +
Articolul 43ORNISS trebuie să menţină o bază de date care să conţină informaţii cu privire la toate entităţile evaluatoare ale produselor şi soluţiilor de securitate IT acreditate. +
Secţiunea a 7-aModificarea domeniului de aplicabilitate a acreditării +
Articolul 44Procedura de modificare a domeniului de aplicabilitate a acreditării poate fi demarată în următoarele situaţii:a) la cererea entităţii evaluatoare de lărgire a sferei de activităţi acreditate. Spre exemplu, dacă entitatea evaluatoare recrutează noi experţi, dezvoltă metode noi sau achiziţionează echipamente noi, poate solicita o extindere a domeniului acreditării. Pentru a modifica domeniul tehnologic, trebuie înaintată o nouă solicitare către ORNISS, urmând a se relua întregul proces de acreditare;b) la cererea ORNISS, dacă se constată o restrângere a capabilităţilor entităţii evaluatoare. De exemplu, dacă experţi ce deţin cunoştinţe tehnice importante părăsesc entitatea evaluatoare, ORNISS poate restrânge domeniul pentru care a fost emis certificatul de acreditare.1. Modificări la cererea entităţii evaluatoare +
Articolul 45În cazul în care doreşte modificarea domeniului de aplicabilitate a acreditării, entitatea evaluatoare trebuie să transmită la ORNISS o solicitare în acest sens, împreună cu toate elementele care susţin această cerere. +
Articolul 46În termen de maximum 30 de zile de la data înregistrării solicitării, comisia de acreditare organizează şi efectuează o inspecţie la sediul entităţii evaluatoare pentru a verifica aceste elemente şi întocmeşte un raport în care formulează propuneri cu privire la modificarea solicitată. +
Articolul 47Directorul general al ORNISS, la propunerea comisiei de acreditare, decide cu privire la modificarea sau păstrarea domeniului de activitate pentru care a fost emis certificatul de acreditare. +
Articolul 48În cazul în care se decide modificarea domeniului de activitate, directorul general al ORNISS anulează vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximă de 3 ani. +
Articolul 49Reprezentantul legal al entităţii evaluatoare are obligaţia de a remite vechiul certificat la ORNISS, în termen de maximum 10 zile de la data intrării în vigoare a noului certificat.2. Modificarea la cererea ORNISS +
Articolul 50În cazul în care apar elemente care pot afecta calitatea activităţilor pentru care o entitate evaluatoare este acreditată, directorul general al ORNISS, la propunerea comisiei de acreditare, trimite entităţii evaluatoare acreditate o notificare în care sunt identificate aceste elemente, precum şi riscurile pe care acestea le reprezintă pentru activităţile pentru care a fost acordată acreditarea. +
Articolul 51Notificarea trebuie să precizeze un interval de timp, care să nu depăşească 6 luni, în care entitatea evaluatoare trebuie să dezvolte şi să aplice măsuri corective, pentru a avea dreptul să păstreze acreditarea. +
Articolul 52Comisia de acreditare trebuie să organizeze şi să realizeze o inspecţie la sediul entităţii evaluatoare pentru verificarea măsurilor corective implementate şi să întocmească un raport cu propuneri referitoare la modificarea certificatului de acreditare. +
Articolul 53La sfârşitul perioadei stabilite, directorul general al ORNISS, la propunerea comisiei de acreditare, decide modificarea sau păstrarea domeniului de acreditare. +
Articolul 54În cazul în care se decide modificarea domeniului de aplicabilitate a acreditării, directorul general al ORNISS anulează vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximă de 3 ani. +
Secţiunea a 8-aReînnoirea acreditării +
Articolul 55Reprezentantul legal al entităţii evaluatoare poate solicita ORNISS o reînnoire a certificatului de acreditare cu cel puţin 30 de zile înainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care îl deţine. +
Articolul 56Ca urmare a acestei solicitări, ORNISS efectuează o inspecţie la sediul entităţii evaluatoare cu scopul de a verifica menţinerea criteriilor de acreditare şi îndeplinirea obligaţiilor ce revin entităţii prin certificatul de acreditare. +
Articolul 57Raportul întocmit în urma inspecţiei trebuie să conţină propuneri cu privire la reacreditarea entităţii evaluatoare. +
Articolul 58Directorul general al ORNISS, la propunerea comisiei de acreditare, ia decizia privind reacreditarea. +
Articolul 59În cazul în care entitatea evaluatoare nu doreşte reînnoirea acreditării, este suficient să transmită originalul certificatului de acreditare care a expirat, în termen de maximum 10 zile de la expirarea acestuia. +
Articolul 60În aceste condiţii, la expirarea valabilităţii certificatului de acreditare, entitatea evaluatoare va fi înscrisă în lista entităţilor evaluatoare a căror acreditare a expirat, care se publică pe site-ul web al ORNISS. +
Secţiunea a 9-aAnularea sau suspendarea certificatului de acreditare +
Articolul 61Directorul general al ORNISS, la propunerea comisiei de acreditare, poate anula sau, după caz, suspenda certificatul de acreditare acordat unei entităţi evaluatoare, în următoarele situaţii:a) entitatea evaluatoare nu şi-a respectat obligaţiile ce îi revin conform certificatului de acreditare;b) entitatea evaluatoare nu a informat ORNISS sau a furnizat date false cu privire la informaţiile prevăzute la art.15 lit. e);c) a fost aprobată modificarea domeniului de aplicabilitate a acreditării, în conformitate cu una dintre procedurile prevăzute la secţiunea a 7-a, şi este emis un nou certificat de acreditare;d) entitatea evaluatoare îşi modifică domeniul de activitate sau îşi încetează activitatea;e) din motive ce privesc apărarea naţională sau siguranţa statului;f) în cazul în care nu sunt respectate criteriile de acreditare, au loc incidente de securitate care pot afecta calitatea activităţii de evaluare, imaginea entităţii evaluatoare etc. +
Articolul 62În cazul anulării certificatului de acreditare, entitatea evaluatoare are obligaţia de a transmite la ORNISS certificatul anulat, în termen de maximum 10 zile de la data anulării.1. Anularea sau suspendarea certificatului de acreditare la cererea entităţii evaluatoare +
Articolul 63În cazul în care entitatea evaluatoare decide să îşi modifice domeniul de activitate sau să îşi întrerupă activitatea are obligaţia de a informa ORNISS cu privire la această decizie şi de a solicita anularea sau, după caz, suspendarea certificatului de acreditare. +
Articolul 64În această situaţie, ORNISS anulează sau suspendă certificatul de acreditare şi retrage entitatea din lista entităţilor evaluatoare acreditate.2. Anularea sau suspendarea certificatului de acreditare la propunerea comisiei de acreditare +
Articolul 65Comisia de acreditare poate propune directorului general al ORNISS suspendarea certificatului de acreditare pe o perioadă care să nu depăşească 6 luni. +
Articolul 66În acest interval, entitatea evaluatoare trebuie să implementeze măsuri corective, care să conducă la îndeplinirea criteriilor de acreditare. +
Articolul 67La sfârşitul perioadei de suspendare, comisia de acreditare propune directorului general al ORNISS numirea unei noi echipe de inspecţie, care să realizeze o inspecţie la sediul entităţii evaluatoare, pentru a verifica conformitatea cu criteriile de acreditare. +
Articolul 68Ulterior inspecţiei, echipa de inspecţie întocmeşte un raport cu propuneri privind menţinerea sau anularea certificatului de acreditare. +
Articolul 69La propunerea comisiei de acreditare, directorul general al ORNISS poate anula certificatul de acreditare.3. Consecinţele anulării/suspendării acreditării +
Articolul 70Entitatea evaluatoare este scoasă din lista entităţilor evaluatoare acreditate. +
Articolul 71Entitatea evaluatoare nu mai are dreptul să demareze o nouă activitate evaluatoare aflată sub incidenţa certificatului de acreditare, iar evaluările în curs sunt suspendate. +
Articolul 72Entitatea evaluatoare trebuie să pună la dispoziţia ORNISS toate datele referitoare la evaluările efectuate în baza certificatului de acreditare emis de ORNISS. +
Articolul 73Bibliografia actelor normative şi documentelor cu relevanţă în domeniu este prevăzută în anexa nr. 5. +
Articolul 74Anexele nr. 1-5 fac parte integrantă din prezenta metodologie de acreditare. +
Anexa 1la metodologia de acreditareCRITERII DE ACREDITAREA. ManagementA.1. Cerinţe privind statutul juridicC1 Entitatea evaluatoare trebuie să aibă personalitate juridică.A.2. Cerinţe privind organizareaC2 În cazul în care entitatea evaluatoare face parte dintr-o persoană juridică cu un obiect de activitate mai larg, responsabilităţile personalului de conducere care participă la activităţile pentru care entitatea evaluatoare solicită acreditarea sau care le poate influenţa trebuie clar definite, pentru a evita eventuale conflicte de interese.C3 Entitatea evaluatoare şi personalul său nu trebuie să fie supuşi niciunor presiuni de ordin comercial, financiar sau de altă natură, care să le afecteze capacitatea de decizie sau calitatea activităţilor întreprinse.De exemplu, orice presiune asupra deciziilor privind activitatea pentru care se solicită acreditarea, exercitată de persoane sau organizaţii din afara entităţii evaluatoare, trebuie exclusă.C4 Entitatea evaluatoare nu trebuie să fie implicată în nicio activitate care poate avea un impact negativ asupra independenţei activităţilor întreprinse. Procedurile aplicabile la nivelul entităţii evaluatoare trebuie să asigure respectarea acestei cerinţe. Termenul de separare a activităţilor care pot influenţa evaluarea va fi de cel puţin 3 ani.De exemplu, dacă entitatea evaluatoare oferă şi servicii de consultanţă sau soluţii de securitate IT acestea nu trebuie în niciun fel să afecteze independenţa evaluărilor derulate de entitatea evaluatoare prin oferirea unor astfel de servicii simultan cu evaluarea.C5 Organizarea entităţii evaluatoare şi responsabilităţile acesteia trebuie atent şi clar definite. Atribuirea responsabilităţilor trebuie să fie făcută conform regulamentului intern de organizare şi funcţionare. Acest regulament trebuie să specifice, suplimentar:● persoana juridică din care face parte entitatea evaluatoare şi care este modul de subordonare al acesteia;● modul de organizare generală a entităţii evaluatoare şi structura managementului, cu precizarea responsabilităţilor fiecărei poziţii în activităţile pentru care se solicită acreditarea;● modul de organizare a activităţilor tehnice şi existenţa următoarelor funcţii:– director tehnic – responsabil de operaţiile tehnice, gestionează resursele necesare asigurării calităţii activităţii de evaluare;– director pentru asigurarea calităţii – (nu poate deţine în acelaşi timp şi funcţia de director tehnic) care are responsabilitatea şi autoritatea de a asigura implementarea sistemului calităţii. Directorul pentru asigurarea calităţii trebuie să participe la procesul de luare a deciziilor privind probleme de politici sau legate de resursele entităţii evaluatoare;– şeful structurii de securitate/funcţionarul de securitate al entităţii evaluatoare – (nu poate deţine în acelaşi timp şi funcţia de director tehnic) este însărcinat cu definirea şi implementarea procedurilor de securitate în cadrul entităţii evaluatoare. El va verifica aplicarea procedurilor.Aceeaşi persoană poate deţine una sau mai multe funcţii dacă acest lucru este aprobat de directorul general, cu excepţia cazurilor menţionate mai sus.C6 Pentru a se asigura permanenţa îndeplinirii responsabilităţilor ce revin funcţiilor de conducere, acestea pot fi delegate unor persoane nominalizate în documentaţie.C7 Responsabilitatea, autoritatea şi căile de raportare trebuie definite pentru toţi membrii entităţii evaluatoare implicaţi în activităţile pentru care se solicită acreditarea.C8 Conducerea entităţii evaluatoare trebuie să desemneze persoanele responsabile cu întocmirea şi semnarea rapoartelor aferente activităţilor pentru care se solicită acreditarea.C9 Toate detaliile comerciale privind activităţile pentru care se solicită acreditarea trebuie să fie stabilite prin contract între entitatea evaluatoare sau persoana juridică din care face parte, beneficiarul serviciilor prestate de entitatea evaluatoare şi, în anumite cazuri, subcontractori.A.3. Sistemul de asigurare a calităţiiC10 Entitatea evaluatoare trebuie să opereze şi să menţină un sistem de calitate adecvat pentru activitatea pentru care se solicită acreditarea. Deţinerea unei certificări a calităţii emise de o autoritate de certificare autorizată reprezintă un element în favoarea acordării certificatului de acreditare.C11 Entitatea evaluatoare trebuie să dezvolte şi să aplice proceduri şi instrucţiuni, pentru a asigura calitatea activităţilor pentru care se solicită acreditarea. Personalul trebuie să aibă acces la această documentaţie, să o studieze, să o înţeleagă şi să o implementeze. Toţi membrii implicaţi în activităţi pentru care se solicită acreditarea trebuie să cunoască sistemul de asigurare a calităţii implementat în cadrul entităţii evaluatoare.C12 Obiectivele sistemului de asigurare a calităţii trebuie să fie definite într-o politică de calitate (Manualul calităţii). Manualul calităţii trebuie să includă un angajament al conducerii entităţii evaluatoare privind asigurarea unei practici profesionale bune şi a unei calităţi superioare a activităţilor pentru care se solicită acreditarea. De asemenea, trebuie să includă obiectivele sistemului de calitate şi obligaţia ca personalul entităţii evaluatoare să cunoască documentaţia şi să aplice procedurile. Manualul calităţii trebuie, de asemenea, să conţină angajamentul conducerii de a respecta criteriile de acreditare.C13 Manualul calităţii trebuie să stabilească structura documentaţiei legate de sistemul de asigurare a calităţii şi trebuie să conţină sau să facă referire la procedurile implementate în cadrul entităţii evaluatoare (incluzând procedurile tehnice).C14 Manualul calităţii trebuie să stabilească rolurile şi responsabilităţile personalului de conducere şi ale celui din poziţii cheie pentru activităţile pentru care se solicită acreditarea.C15 Entitatea evaluatoare trebuie să definească procedurile necesare administrării tuturor documentelor referitoare la sistemul de asigurare a calităţii, cum sunt regulamentele, standardele, metodele de evaluare şi alte documente aferente (instrucţiuni, manuale etc.). În special trebuie definite procedurile referitoare la modificări, aprobări şi circuitul documentelor.A.4. Cerinţe de securitateC16 Entitatea evaluatoare trebuie să definească o politică de securitate, specificând metodele şi condiţiile referitoare la protecţia informaţiilor clasificate aflate în posesia sa. Politica de securitate trebuie aprobată de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), iar implementarea sa este responsabilitatea funcţionarului de securitate/structurii de securitate. Toate persoanele participante la activităţile pentru care se solicită acreditarea trebuie să cunoască şi să respecte această politică.A.4.1. Proceduri de securitateC17 Politica de securitate trebuie să definească:– obiectivele securităţii;● structura desemnată cu realizarea acestor obiective;● procedurile de securitate pentru:– protecţia/securitatea locaţiei;– securitatea personalului;– conştientizarea personalului implicat în activităţile pentru care se solicită acreditarea;– protecţia informaţiilor legate de activităţile pentru care se solicită acreditarea;– controlul accesului la informaţii;– protecţia arhivelor şi a comunicaţiilor;– accesul vizitatorilor în entitatea evaluatoare.Lista nu este exhaustivă, fiind prezentată cu titlu exemplificativ;● prevederile referitoare la situaţiile anormale identificate în aplicarea politicii şi acţiunile corective ce se impun în aceste situaţii.C18 Politica de securitate trebuie să prevadă managementul informaţiilor clasificate, indiferent de formatul acestora (hârtie, electronic).A.4.2. Securitatea personaluluiC19 Dacă în cursul activităţilor pe care le desfăşoară personalul entităţii evaluatoare trebuie să aibă acces la informaţii clasificate, acesta trebuie să deţină certificat de securitate, conform prevederilor legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat.C20 Personalul implicat în activităţile pentru care se solicită acreditarea trebuie să semneze un angajament din care să reiasă că a luat cunoştinţă de şi se angajează să aplice prevederile legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat şi procedurile de securitate aplicabile în entitatea evaluatoare.C21 Personalul trebuie să fie instruit să aplice procedurile de securitate stabilite prin politica de securitate.A.4.3. Securitatea informaţiilorC22 Entitatea evaluatoare trebuie să dezvolte şi să aplice proceduri prin care să asigure protecţia informaţiilor vehiculate în cursul activităţilor pentru care se solicită acreditarea. Aceste proceduri trebuie să includă următoarele, dar să nu se limiteze la acestea:● securitatea conturilor de utilizatori (securitatea intrărilor în sistem, proceduri de autentificare, parole etc.);● separarea accesului la date (separarea datelor aferente activităţilor acreditate de cele aferente altor activităţi, separarea datelor provenite de la diferite activităţi acreditate, protejarea datelor transmise în afara entităţii evaluatoare, inclusiv prin mecanisme criptografice etc.);● securitatea comunicaţiilor dintre entitatea evaluatoare şi partenerii săi (beneficiari, subcontractanţi), dacă este cazul, sau dintre angajaţii entităţii evaluatoare, atunci când aceştia transmit informaţii clasificate prin intermediul unor reţele nesecurizate;● protecţia datelor (arhivare, copii de siguranţă, refacerea datelor etc.).C23 Toţi membrii entităţii evaluatoare trebuie să asigure protecţia informaţiilor referitoare la contract, la client şi la activităţile pentru care se solicită acreditarea.C24 Entitatea evaluatoare trebuie să asigure protecţia informaţiilor clasificate, cu respectarea principiului "nevoii de a cunoaşte".A.5. SubcontractareaC25 Subcontractarea unor procese aferente activităţilor pentru care se solicită acreditarea trebuie să se realizeze numai în situaţii de excepţie şi trebuie notificată la ORNISS.C26 Dacă subcontractarea este necesară, aceasta se va realiza numai cu entităţi acreditate de ORNISS. Dacă subcontractantul nu este o entitate evaluatoare acreditată, trebuie ca activităţile subcontractate să nu presupună acces la informaţii clasificate.B. Locaţiile şi echipamentul entităţii evaluatoareB.1. Locaţiile şi mediulC27 Entitatea evaluatoare trebuie să deţină locaţii tehnice speciale pentru activităţile pentru care solicită acreditarea (birouri, platforme pentru testări, săli de şedinţe etc.).C28 Măsurile de securitate fizică şi controalele de mediu implementate trebuie să fie în concordanţă cu activităţile pentru care se solicită acreditarea.B.2. Instrumente şi echipamenteC29 Toate echipamentele necesare desfăşurării activităţilor pentru care se solicită acreditarea trebuie să fie disponibile în cadrul entităţii evaluatoare. Entitatea evaluatoare trebuie să aibă suficiente resurse pentru desfăşurarea activităţii solicitate.C30 Dacă, în mod excepţional, entitatea evaluatoare trebuie să utilizeze echipamente din afara persoanei juridice, trebuie să demonstreze faptul că echipamentele utilizate oferă calitatea şi măsurile de securitate necesare. Personalul entităţii evaluatoare trebuie să fie calificat pentru utilizarea echipamentelor. În plus, trebuie să se definească clar, în proceduri, măsurile de protecţie a informaţiilor clasificate procesate de echipamente.C31 Toate instrumentele utilizate în activităţile pentru care se solicită acreditarea trebuie să fie marcate şi înregistrate (de exemplu, un cod unic).Trebuie implementat un management al configuraţiei şi amplasării echipamentelor.Sistemul de management al configuraţiei trebuie să permită auditarea schimbărilor aduse instrumentelor.Fiecare echipament sau produs software ce poate influenţa activităţile pentru care se solicită acreditarea trebuie înregistrat.Trebuie să se asigure repetabilitatea şi reproductibilitatea rezultatelor evaluării.C32 Echipamentele pot fi utilizate numai de către personalul autorizat. Accesul la instrumentele evaluatoare trebuie să fie controlat. Operarea şi administrarea instrumentelor trebuie să se execute conform unor instrucţiuni cunoscute de către personalul autorizat.C. Pregătirea personalului în domeniul tehnicC33 Entitatea evaluatoare trebuie să aibă personal cu experienţa necesară pentru desfăşurarea activităţilor pentru care se solicită acreditarea.Personalul angajatC34 Personalul entităţii evaluatoare trebuie să aibă competenţa şi experienţa necesare în domeniul tehnologiei informaţiei şi în cel al evaluării produselor şi/sau soluţiilor de securitate IT.C35 Entitatea evaluatoare are responsabilitatea de a asigura instruirea angajaţilor desemnaţi să utilizeze instrumente specifice, să îndeplinească activităţi pentru care se solicită acreditarea şi să semneze rapoartele de evaluare. Angajaţii aflaţi în perioada de instruire trebuie supravegheaţi de personal cu experienţă.C36 Procedura de recrutare a personalului entităţii evaluatoare trebuie să reflecte responsabilităţile ce revin entităţii evaluatoare ca urmare a acreditării. Procedura va include o verificare a candidaţilor, pentru a se asigura faptul că întrunesc criteriile de acreditare.C37 Fiecare angajat al entităţii evaluatoare trebuie înştiinţat în legătură cu responsabilităţile sale. Acest lucru implică o definire a tuturor responsabilităţilor legate de activităţile pentru care se solicită acreditarea.C38 Entitatea evaluatoare trebuie să precizeze obiectivele programelor de instruire şi perfecţionare a angajaţilor săi. Pentru identificarea nevoilor de instructaj şi pentru realizarea unui program de instruire coerent, trebuie elaborate şi aplicate proceduri specifice. Sesiunile de perfecţionare trebuie legate de activităţile pentru care se solicită acreditarea.NOTĂ:Programul trebuie să includă o instruire în ceea ce priveşte criteriile de evaluare şi tehnologiile asociate.C39 Entitatea evaluatoare trebuie să păstreze actualizate fişele posturilor pentru personalul de conducere, personalul tehnic şi cei cu posturi cheie ce participă la activităţile pentru care se solicită acreditarea.NOTĂ:ORNISS trebuie informat de activitatea personalului entităţii evaluatoare, pentru a se asigura că asemenea activitate este compatibilă cu domeniul acreditării.C40 Entitatea evaluatoare trebuie să ia măsuri cu privire la schimbarea personalului.Este importantă evitarea încheierii unui număr prea mare de contracte pe termen scurt şi a angajării persoanelor fără experienţă în domeniu.C41 Activitatea de bază a angajaţilor entităţii evaluatoare trebuie să fie cea de evaluare a produselor şi soluţiilor de securitate IT, servicii de consultanţă sau instructaje de securitate. Angajaţii entităţii evaluatoare pot fi implicaţi în alte activităţi decât cele menţionate anterior, pe perioade limitate, dar activitatea lor trebuie să fie compatibilă cu activitatea pentru care se solicită acreditarea.D. Metode şi proceduri de lucruD.1 MetodeC42 Entitatea evaluatoare trebuie să deţină o metodologie pentru fiecare activitate inclusă în aria de acoperire a acreditării. Metodologia trebuie să fie cuprinsă într-un standard internaţional sau naţional.C43 Entitatea evaluatoare poate dezvolta metode proprii, dacă nu există alte metode sau dacă nu a fost adaptată o metodă generală. Cercetarea metodelor trebuie să fie o activitate planificată şi va fi realizată de personal calificat şi care dispune de resurse adecvate.C44 Entitatea evaluatoare trebuie să aprobe la nivel intern metodele de evaluare (incluzând testarea şi atacurile) ce au fost cercetate, în scopul confirmării faptului că sunt indicate pentru utilizarea cerută. Aprobarea se realizează cu ajutorul proiectelor-pilot.C45 Trebuie întocmită o documentaţie completă pentru toate metodele, procedurile sau instrucţiunile utilizate pentru desfăşurarea activităţilor pentru care se solicită acreditarea.C46 Pe parcursul desfăşurării activităţilor pentru care se solicită acreditarea, entitatea evaluatoare trebuie să respecte metodele aprobate.D.2 RegistreC47 Toate registrele ce conţin date referitoare la activităţile pentru care se solicită acreditarea (observaţii, date etc.) trebuie păstrate. Aceste registre trebuie să conţină suficiente informaţii pentru a permite repetarea activităţilor la parametrii cât mai apropiaţi de original. De asemenea, în registru trebuie să se specifice şi persoana care a realizat activitatea.D.3 Rapoarte de evaluareC48 Toate rapoartele de evaluare trebuie aprobate în cadrul entităţii evaluatoare, înainte de a fi oferite solicitanţilor.C49 Toate rapoartele evaluărilor, inclusiv rapoartele transmise în format electronic, înaintate solicitanţilor şi ORNISS, trebuie semnate de o persoană autorizată (conform criteriului 8).C50 Rapoartele de evaluare trebuie păstrate de entitatea evaluatoare pe o perioadă de minimum 10 ani. +
Anexa 2la metodologia de acreditareEXEMPLE DE TIPURI DE PROCEDURIA. Proceduri privind managementul activităţii entităţii evaluatoarea) Organizare
| 1. | Proceduri prin care să se evite influenţarea reciprocă, în mod negativ, a departamentelor aflate în posibile conflicte de interese (producţie, marketing, financiar) |
| 2. | Politici şi proceduri pentru evitarea implicării entităţii evaluatoare în activităţi care pot diminua încrederea în competenţa, imparţialitatea, analiza sau integritatea sa operaţională |
| 3. | Politici şi proceduri care să asigure: – protecţia informaţiilor confidenţiale despre clienţi – protecţia drepturilor de proprietate ale clienţilor – protecţia mijloacelor electronice de stocare, procesare şi de transmitere a informaţiilor |
| 4. | Proceduri privind supravegherea corespunzătoare a personalului care efectuează testările, analiza rezultatelor şi evaluările |
b) Sistemul calităţii
| 1. | Documente privind politicile, sistemele, programele, procedurile şi instrucţiunile pentru asigurarea calităţii rezultatelor evaluării |
| 2. | Politica de calitate |
| 3. | Proceduri aferente activităţii de evaluare sau care pot influenţa aceste activităţi |
c) Managementul documentelor referitoare la sistemul de calitate
| 1. | Proceduri pentru managementul tuturor documentelor, elaborate pe plan intern sau obţinute din surse externe, cum ar fi: reglementări, standarde, alte acte normative, metode de testare, precum şi schiţe, software, specificaţii, instrucţiuni, manuale etc. |
| 2. | Proceduri pentru controlul documentelor, care să stabilească modul de luare în evidenţă, modul de operare a modificărilor, situaţia revizuirii, distribuirea documentelor, managementul documentelor nule |
d) Analiza solicitărilor, propunerilor şi contractelor
| 1. | Proceduri pentru analiza solicitărilor, propunerilor şi contractelor |
e) Subcontractarea unor activităţi aferente procesului de testare
| 1. | Proceduri de subcontractare a unor activităţi aferente procesului de testare şi evaluare |
f) Achiziţionarea serviciilor şi resurselor
| 1. | Proceduri pentru selectarea şi achiziţia serviciilor şi resurselor pe care le utilizează şi care pot influenţa calitatea evaluărilor |
| 2. | Proceduri pentru achiziţionarea, primirea şi stocarea unor produse şi a unor materiale consumabile relevante pentru activităţile de evaluare |
| 3. | Proceduri care să asigure că resursele materiale achiziţionate, care influenţează calitatea evaluărilor nu sunt utilizate decât după ce au fost inspectate sau verificate pentru a se determina dacă sunt în conformitate cu specificaţiile ori cu cerinţele standard definite în metodele pentru evaluările implicate |
g) Servicii oferite clienţilor
| 1 | Proceduri privind colaborarea cu clienţii sau cu reprezentanţii lor |
h) Reclamaţii
| 1. | Proceduri pentru soluţionarea reclamaţiilor primite din partea clienţilor sau a altor părţi |
i) Controlul efectuat în cazul în care activitatea de evaluare este necorespunzătoare
| 1. | Proceduri privind managementul activităţilor neconforme, a unor potenţiale probleme în sistemul de calitate sau în activităţile de evaluare |
j) Măsuri corective
| 1 | Proceduri pentru implementarea măsurilor corective |
k) Măsuri de prevenire
| 1. | Planuri de măsuri pentru reducerea posibilităţii de apariţie a unor neconformităţi |
| 2. | Proceduri de control al eficienţei măsurilor de prevenire |
l) Controlul înregistrărilor
| 1. | Proceduri pentru identificarea, colectarea, indexarea, accesarea, îndosarierea, stocarea, întreţinerea şi dispunerea înregistrărilor (certificatelor) tehnice şi a celor privind calitatea |
| 2. | Proceduri pentru protecţia şi refacerea înregistrărilor stocate în format electronic şi pentru prevenirea accesului sau modificării neautorizate a acestor înregistrări |
m) Audit intern
| 1. | Proceduri privind efectuarea periodică a unui audit intern al entităţii evaluatoare |
n) Analizele efectuate de conducere
| 1. | Proceduri privind efectuarea periodică, de către conducerea executivă a entităţii evaluatoare, a unei analize a sistemului de calitate implementat în cadrul entităţii evaluatoare şi a activităţilor de evaluare |
B. Cerinţe tehnice privind acreditareaa) Personalul
| 1. | Proceduri privind asigurarea instruirii personalului care utilizează echipamentul specific, efectuează evaluări, evaluează rezultatele şi semnează rapoartele de testare şi certificatele de evaluare |
| 2. | Proceduri prin care să se asigure o supraveghere adecvată a personalului în curs de pregătire |
| 3. | Proceduri de actualizare a fişelor de post pentru personalul de conducere, tehnic şi personalul-cheie suplimentar implicat în efectuarea de evaluări |
b) Condiţiile de mediu şi cele referitoare la amplasare
| 1. | Proceduri de monitorizare, control şi înregistrare a condiţiilor de mediu, în situaţia în care acestea influenţează calitatea rezultatelor |
| 2. | Proceduri pentru oprirea activităţilor de evaluare atunci când condiţiile de mediu pot periclita rezultatele acestora |
| 3. | Proceduri de control al accesului şi al utilizării zonelor în care poate fi afectată calitatea evaluării |
c) Metodele de evaluare şi validarea acestor metode
| 1. | Proceduri şi metode corespunzătoare pentru evaluările din sfera de activitate a entităţii evaluatoare |
| 2. | Instrucţiuni privind utilizarea şi operarea echipamentelor relevante, precum şi mânuirea şi pregătirea elementelor în vederea evaluării |
| 3. | Proceduri de verificare a faptului că entitatea evaluatoare are capacitatea de a utiliza corespunzător metodele standard, înainte de a realiza evaluările |
| 4. | Proceduri de introducere a unor metode de evaluare proprii |
| 5. | Proceduri de validare a metodelor dezvoltate de entitatea evaluatoare înainte de a fi utilizate |
| 6. | Proceduri de estimare a gradului de incertitudine al măsurătorilor pentru toate evaluările realizate de entitatea evaluatoare |
| 7. | Proceduri pentru validarea configuraţiei/modificărilor aplicaţiilor software ale entităţii evaluatoare |
d) Echipamentul
| 1. | Procedură de marcare şi înregistrare a fiecărui echipament şi a fiecărei aplicaţii software utilizate pentru evaluare şi care sunt relevante pentru rezultatul acestui proces |
| 2. | Proceduri privind înregistrarea fiecărui echipament şi fiecărei aplicaţii software relevante pentru evaluările efectuate |
| 3. | Proceduri pentru – mânuirea, – transportul, – stocarea, – utilizarea, – întreţinerea planificată a echipamentului, pentru a se asigura funcţionarea corectă şi pentru a se preveni deteriorarea acestuia |
| 4. | Proceduri suplimentare pentru cazul în care echipamentul de măsură este utilizat pentru evaluări în afara locaţiei permanente |
| 5. | Proceduri conform cărora echipamentele care au fost supuse unei supra- solicitări sau care au fost mânuite necorespunzător, care au dat rezultate suspecte, sunt defecte ori ai căror parametrii de funcţionare sunt în afara limitelor specifice, să fie scoase din uz |
| 6. | Proceduri conform cărora, atunci când, din diferite motive, echipamentul iese în afara locaţiei permanente a entităţii evaluatoare, aceasta să verifice funcţionarea şi parametrii de funcţionare, înainte ca acesta să fie repus în funcţiune |
| 7. | Proceduri privind efectuarea verificărilor intermediare, atunci când sunt necesare, pentru a se păstra încrederea în parametrii de funcţionare ai echipamentului |
| 8. | Proceduri privind actualizarea copiilor (de exemplu, a aplicaţiilor software) în cazul în care evaluările ulterioare introduc factori corectori |
e) Trasabilitatea (urmărirea traseului) măsurătorii
| 1. | Proceduri pentru etalonarea echipamentelor utilizate în activitatea pentru care se solicită acreditarea |
| 2. | Proceduri pentru – selectarea, – utilizarea, – etalonarea, – verificarea, – controlul, – menţinerea standardelor de măsurare şi a echipamentelor de măsurare şi testare utilizate pentru efectuarea evaluărilor |
f) Stocarea de eşantioane
| 1. | Proceduri pentru stocarea de eşantioane necesare evaluării |
| 2. | Proceduri pentru înregistrarea datelor şi operaţiilor relevante legate de stocarea de eşantioane |
g) Gestionarea elementelor supuse evaluării
| 1. | Proceduri pentru – transportul, – primirea, – înregistrarea şi marcarea, – mânuirea, – protecţia, – stocarea, – păstrarea elementelor supuse evaluării, pentru protecţia integrităţii acestora şi pentru a proteja interesele entităţii evaluatoare şi ale solicitanţilor |
| 2. | Proceduri pentru evitarea deteriorării, pierderii sau degradării elementului supus evaluării, pe perioada în care acesta se află în responsabilitatea entităţii evaluatoare |
h) Asigurarea calităţii rezultatelor evaluării
| 1. | Proceduri privind controlul calităţii prin monitorizarea evaluărilor efectuate |
| 2. | Proceduri de înregistrare a datelor rezultate, care să permită detectarea tendinţelor |
| 3. | Proceduri de evaluare repetate utilizându-se aceleaşi metode sau metode diferite |
| 4. | Proceduri de corelare a rezultatelor, pentru fiecare caracteristică analizată pentru un element |
i) Raportarea rezultatelor
| 1. | Proceduri de raportare a rezultatelor evaluării |
C. Instrucţiuni de lucru specifice pentru fiecare dintre activităţile pentru care se solicită acreditareaEvaluarea securităţii pe care o pot asigura produsele şi sistemele informatice şi de comunicaţii se realizează în conformitate cu standarde naţionale şi standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO şi UE. +
Anexa 3la metodologia de acreditareCONDIŢIIde utilizare a certificatului de acreditarePentru a fi acreditat şi a menţine acest statut, entitatea evaluatoare trebuie să respecte următoarele condiţii de utilizare a certificatului de acreditare. Nerespectarea acestor condiţii poate avea ca rezultat suspendarea sau anularea acreditării.a) entitatea evaluatoare trebuie să aibă o politică şi o procedură pentru a controla utilizarea certificatului de acreditare;b) certificatul de acreditare nu trebuie să fie utilizat într-o manieră care să discrediteze Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS) sau să denatureze scopul acreditării unei entităţi evaluatoare;c) atunci când face referire la certificatul de acreditare, entitatea evaluatoare trebuie să precizeze clar statutul acreditării;d) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activităţi desfăşurate de entitatea evaluatoare, dar care nu intră în sfera acreditării emise de ORNISS, trebuie să se facă o delimitare clară a acestor date;e) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activităţi desfăşurate de subcontractanţi, trebuie să se specifice faptul că acreditarea emisă de ORNISS se referă numai la activităţile de testare efectuate de entitatea evaluatoare;f) atunci când certificatul de acreditare este menţionat într-un contract sau într-o propunere de ofertă trebuie să se specifice domeniul acreditării şi statutul acesteia. +
Anexa 4la metodologia de acreditareACTIVITĂŢIpentru care este necesară acreditarea de către Oficiul RegistruluiNaţional al Informaţiilor Secrete de Stat (ORNISS)A. SECURITATEA COMPUTERELOR – COMPUSECA.1. Audit de securitate pentru reţele IT– inspectarea on-site a serverelor, a sistemelor şi a celorlalte echipamente conectate la reţea, a aplicaţiilor care rulează;– evaluarea sistemelor active şi pasive de detecţie a intruziunilor;– interviuri cu specialiştii organizaţiei;– analize de configuraţii hardware/software;– evaluarea politicilor de securitate;– scanarea vulnerabilităţilor;– teste de penetrare.A.2. Audit de securitate pentru servere– identificarea şi cercetarea vulnerabilităţilor serverelor prin:– simularea unui atac exterior asupra serverului, folosind o serie de metodologii de depistare, identificare şi documentare a vulnerabilităţilor;– examinarea programelor şi configuraţiilor programelor care rulează pe server şi prin evaluarea nivelului de securitate oferit de sistemele de securitate pasive şi active disponibile.A.3. Evaluare produse de securitate IT*1)__________*1) Prin produs de securitate IT se înţelege orice element de securitate care se încorporează într-un sistem IT în scopul asigurării sau sporirii confidenţialităţii, integrităţii sau disponibilităţii informaţiilor vehiculate.Activitatea de evaluare poate include:– testare şi evaluare aplicaţii software:– parcurgerea codului-sursă al aplicaţiei pentru a găsi potenţiale breşe de securitate;– supunerea aplicaţiei la diverse teste de anduranţă şi fiabilitate, pentru a testa comportamentul acesteia la o utilizare intensivă, incompletă sau incorectă;– testare şi evaluare produse hardwareB. SECURITATEA COMUNICAŢIILOR – COMSECB.1. Evaluarea produselor criptograficeActivitatea de evaluare poate include:– testare şi evaluare a nivelului de securitate a produselor criptografice (hardware, software, soluţii integrate):– analiza specificaţiilor modulului criptografic;– analiza posturilor şi interfeţelor modulului criptografic;– analiza rolului, serviciilor şi a autentificării operatorului;– testarea securităţii fizice;– testarea mediului operaţional;– managementul cheilor criptografice;– interferenţe electromagnetice/compatibilitate electromagnetică.B.2. Evaluarea soluţiilor pentru infrastructura cu chei publiceActivitatea de evaluare poate include:– analiza documentaţiei de organizare şi funcţionare a autorităţii de certificare;– testarea şi evaluarea măsurilor de securitate fizice, procedurale şi de personal;– testarea şi evaluarea măsurilor tehnice de securitate:– instalarea şi generarea perechilor de chei;– protecţia cheii private;– datele de activare;– măsuri de securitate aplicabile calculatoarelor;– periodicitatea controalelor tehnice;– evaluarea modului de administrare a politicii de certificare.C. SECURITATEA EMISIILOR – EMSECActivitatea de evaluare poate include:– caracterizarea TEMPEST a echipamentelor;– măsurători de zonare TEMPEST a locaţiilor;– măsurători pentru caracterizarea camerelor ecranate şi/sau incintelor tratate electromagnetic;– teste de laborator pentru identificarea surselor de emisii compromiţătoare în cazul echipamentelor de stocare, prelucrare şi transmitere a datelor;– teste pentru depistarea discontinuităţilor de ecranare a camerelor ecranate şi/sau a incintelor tratate electromagnetic.D. ADMINISTRAREA SECURITĂŢIID.1. Managementul riscului de securitateActivitatea de evaluare poate include:– analiza riscului de securitate:– identificarea şi evaluarea bunurilor materiale şi informaţionale supuse riscului;– identificarea ameninţărilor;– identificarea vulnerabilităţilor;– analiza măsurilor de securitate;– determinarea probabilităţii de producere a unui eveniment nedorit;– analiza impactului producerii unui eveniment nedorit;– determinarea riscurilor şi a nivelurilor asociate;– recomandări privind măsurile de securitate;– raportul privind analiza riscului;– propunerea de soluţii de reducere a riscului de securitate:– ierarhizarea acţiunilor;– evaluarea măsurilor de securitate recomandate;– analiza cost-beneficiu;– selectarea măsurilor de securitate;– atribuirea responsabilităţilor;– elaborarea Planului de implementare a măsurilor de securitate selectate;– implementarea măsurilor de securitate selectate şi identificarea riscului rezidual.D.2. Planificarea măsurilor pentru continuarea activităţii în situaţii de urgenţăActivitatea de evaluare poate include:– consultanţă privind elaborarea Planului pentru continuarea activităţii în situaţii de urgenţă;– reintegrarea procedurilor, aplicaţiilor, operaţiunilor, sistemelor, reţelelor şi facilităţilor pentru continuarea activităţii. +
Anexa 5la metodologia de acreditareBIBLIOGRAFIE1. Hotărârea Guvernului nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, publicată în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificările ulterioare2. Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, publicată în Monitorul Oficial al României Partea I, nr. 485 din 5 iulie 2002, cu modificările şi completările ulterioare3. Directiva principală privind domeniul INFOSEC – INFOSEC 2, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003, publicat în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 20034. Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii – INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, publicată în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 20035. AGR/P/01.1/2004 – Licensing of Evaluation Facilities, Secretariat general de la defense naţionale, Direction centrale de la securite des systemes d'information, France6. SP 004 – Licensing of Evaluation Facilities, Swedish Certification Body for IT Security, November 20117. NIST Handbook 150, Naţional Voluntary Laboratory Accreditation Program – Procedures and General Requirements, V. R. White, D. F. Alderman, and C. D. Faison, 2006_________
