METODOLOGIE din 27 martie 2019

redactia-lex24
Redacția Lex24 10/12/2024
0 comentarii
Redacția Lex24
Publicat in Repertoriu legislativ, 10/12/2024

Vă rugăm să vă conectați la marcaj Închide

Informatii Document

Emitent: OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT
Publicat în: MONITORUL OFICIAL nr. 317 din 23 aprilie 2019
Actiuni Suferite
Actiuni Induse
Refera pe
Referit de
Nu exista actiuni suferite de acest act
Nu exista actiuni induse de acest act
Acte referite de acest act:

SECTIUNE ACTREFERA PEACT NORMATIV
ActulREFERIRE LAORDIN 116 27/03/2019
Acte care fac referire la acest act:

SECTIUNE ACTREFERIT DEACT NORMATIV
ActulAPROBAT DEORDIN 116 27/03/2019
ActulCONTINUT DEORDIN 116 27/03/2019
ActulREFERIT DEORDIN 116 27/03/2019





Notă
Aprobată prin ORDINUL nr. 116 din 27 martie 2019, publicat în Monitorul Oficial al României, Partea I, nr. 317 din 23 aprilie 2019. + 
Capitolul IIntroducere + 
Secţiunea 1Aspecte generale + 
Articolul 1Pot desfășura activități de producție în domeniul TEMPEST numai persoane juridice de drept public sau privat acreditate de către Oficiul Registrului Național al Informațiilor Secrete de Stat, denumit în continuare ORNISS, conform prevederilor Metodologiei privind acreditarea entităților care desfășoară activități de producție în domeniul TEMPEST – INFOSEC 15, denumită în continuare metodologia. Etapele procesului de acreditare a entităților producătoare sunt prezentate în capitolul II. + 
Articolul 2Persoanele juridice care desfășoară în prezent activități de producție în domeniul TEMPEST trebuie să finalizeze procesul de acreditare în maximum un an de la data intrării în vigoare a prezentei metodologii. După această dată, persoanele juridice producătoare în domeniul TEMPEST care nu sunt acreditate vor fi eliminate din Catalogul național cu pachete, produse și profile de protecție INFOSEC. + 
Articolul 3În baza prezentei metodologii, o persoană juridică poate solicita:a)acreditarea ca entitate producătoare în domeniul TEMPEST fără capacități de evaluare TEMPEST;b)acreditarea ca entitate producătoare în domeniul TEMPEST cu capacități de evaluare TEMPEST. + 
Secţiunea a 2-aDomeniu de aplicabilitate + 
Articolul 4Metodologia se adresează persoanelor juridice de drept public sau privat române care sunt implicate în activități de producție în domeniul TEMPEST și ORNISS în calitate de Autoritate TEMPEST Națională. + 
Articolul 5În ceea ce privește capacitățile de evaluare TEMPEST ale entităților producătoare în curs de acreditare, ORNISS poate solicita sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul autorităților desemnate de securitate, denumite în continuare ADS. + 
Articolul 6Aplicarea prevederilor prezentei metodologii este obligatorie pentru produsele TEMPEST destinate sistemelor informatice și de comunicații care stochează, procesează sau transmit informații naționale clasificate secret de stat, informații NATO clasificate, informații UE clasificate sau informații echivalente care fac obiectul tratatelor, acordurilor sau înțelegerilor internaționale la care România este parte. + 
Secţiunea a 3-aDefiniții + 
Articolul 7În sensul prezentei metodologii, termenii și expresiile de mai jos au următorul înțeles:a)acreditarea unei entități producătoare în domeniul TEMPEST – aprobarea acordată de ORNISS unei persoane juridice de drept public sau privat prin care aceasta este autorizată să desfășoare activități de producție în domeniul TEMPEST;b)activitate de producție în domeniul TEMPEST – proiectarea, realizarea, testarea pe linia de producție a produselor protejate TEMPEST, precum și asigurarea întreținerii și service-ului acestora;c)emisii electromagnetice compromițătoare – semnale neintenționate care dacă sunt interceptate și prelucrate permit reconstituirea informațiilor procesate, transmise sau stocate;d)evaluare TEMPEST – verificarea conformității cu prevederile standardelor TEMPEST în vigoare;e)produs protejat TEMPEST – echipament sau incintă care asigură o atenuare a emisiilor electromagnetice compromițătoare la un nivel prevăzut de standardele specifice domeniului;f)prototip – primul exemplar al unui produs protejat TEMPEST care se testează și se validează înaintea producerii în serie;g)TEMPEST – ansamblu de măsuri tehnice, organizatorice și procedurale desfășurate pentru studierea, investigarea și reducerea emisiilor electromagnetice compromițătoare generate de echipamentele electronice sau electromecanice care procesează informații, cu scopul de a se împiedica refacerea informațiilor procesate;h)testare pe linia de producție – activitate care vizează conformitatea din punct de vedere funcțional, electric, electromagnetic, mecanic, termic etc. cu prevederile specificației de produs. + 
Capitolul IIAcreditarea entităților care desfășoară activități de producție în domeniul TEMPEST + 
Secţiunea 1Scop. Obiective + 
Articolul 8Procesul de acreditare a persoanelor juridice care desfășoară activități de producție în domeniul TEMPEST are drept scop asigurarea faptului că produsele protejate TEMPEST dezvoltate de acestea sunt conforme cu standardele în domeniu recunoscute la nivel național. + 
Articolul 9Metodologia de acreditare a entităților producătoare TEMPEST are următoarele obiective:a)asigurarea faptului că persoana juridică solicitantă a implementat un sistem de asigurare a calității procesului de producție TEMPEST, certificat conform ISO 9001 și, după caz, de evaluare TEMPEST, certificat conform ISO 17025;b)asigurarea faptului că personalul entității solicitante are nivelul de pregătire tehnică necesară pentru desfășurarea activităților aferente proceselor de producție în domeniul TEMPEST și, după caz, aferente procesului de evaluare TEMPEST;c)asigurarea faptului că persoana juridică care solicită acreditare ca producător cu capacități de evaluare TEMPEST are dotarea tehnică minimă necesară desfășurării măsurătorilor prevăzute în standardele de evaluare TEMPEST;d)în cazul producătorilor de echipamente TEMPEST cu capacități de evaluare TEMPEST, asigurarea faptului că persoana juridică solicitantă are implementat un sistem de protecție a informațiilor clasificate, care să îi permită accesul la standardele de evaluare TEMPEST. + 
Articolul 10În vederea acreditării de către ORNISS, persoana juridică solicitantă trebuie să îndeplinească o serie de criterii de acreditare, prevăzute în anexa care face parte din prezenta metodologie. + 
Secţiunea a 2-aCriterii de eligibilitate + 
Articolul 11O persoană juridică de drept public sau privat poate solicita acreditarea pentru a desfășura activități de producție în domeniul TEMPEST numai în condițiile în care îndeplinește următoarele cerințe minime:a)este persoană juridică de drept public sau privat română;b)deține capacități de producție și, după caz, capacități de evaluare TEMPEST, potrivit solicitării de acreditare;c)deține personal cu pregătire de specialitate în activitatea de producție în domeniul TEMPEST și, după caz, de evaluare TEMPEST. + 
Secţiunea a 3-aEtapele procesului de acreditare + 
Articolul 12Procesul de acreditare a persoanelor juridice pentru a desfășura activități de producție în domeniul TEMPEST constă în următoarele etape principale:a)solicitarea acreditării și pregătirea documentației necesare susținerii procesului de acreditare;b)analiza documentației de acreditare;c)inspecția de acreditare;d)luarea unei decizii privind acreditarea și emiterea documentelor conform cu decizia de acreditare;e)activități post-acreditare. + 
Articolul 13Activitățile aferente procesului de acreditare și documentația necesar a fi întocmită sunt specifice fiecărui tip de acreditare solicitată: acreditarea ca entitate producătoare fără capacități de evaluare TEMPEST sau entitate producătoare cu capacități de evaluare TEMPEST. + 
Articolul 14Figura de mai jos*) prezintă schematic aceste activități și structurile responsabile cu realizarea acestora.*) Figura este reprodusă în facsimil. + 
Secţiunea a 4-aDescrierea procesului de acreditare + 
Articolul 15Solicitarea acreditării se realizează prin transmiterea către ORNISS, de către reprezentantul legal al persoanei juridice solicitante, a unei cereri de acreditare, în condițiile în care sunt îndeplinite criteriile stabilite la art. 11. + 
Articolul 16Cererea trebuie să specifice tipul de acreditare pentru care se solicită declanșarea procesului: acreditarea ca entitate producătoare fără capacități de evaluare TEMPEST sau entitate producătoare cu capacități de evaluare TEMPEST. + 
Articolul 17Cererea trebuie să fie însoțită de cel puțin următoarele documente:a)certificat de înregistrare emis de Oficiul Național al Registrului Comerțului – copie;b)certificat constatator emis de Oficiul Național al Registrului Comerțului – copie;c)document care să ateste că persoana juridică are în obiectul de activitate producția de sisteme de calcul sau dezvoltarea de soluții de securitate a informațiilor;d)documente care să ateste că persoana juridică activează în domeniul producției de sisteme de calcul sau dezvoltării de soluții de securitate a informațiilor (portofoliu activități);e)modalitatea de respectare a criteriilor prevăzute în anexa la metodologie;f)copie a documentului care confirmă certificarea conform ISO 9001 privind procesul de producție TEMPEST. În cazul în care entitatea solicitantă aplică pentru recunoașterea ca producător TEMPEST la nivelul NATO și/sau UE și/sau pentru acreditarea la nivel național ca entitate producătoare care deține capacități de evaluare TEMPEST, aceasta trebuie să transmită copii ale certificării conform ISO 17025;g)tipurile de produse ce urmează a fi dezvoltate în baza acreditării (sisteme de calcul, incinte ecranate etc.);h)proceduri tehnice de lucru aferente procesului de producție pentru tipurile de produse specificate conform lit. g) și evaluare TEMPEST, după caz;i)acordul solicitantului ca documentele prevăzute la lit. h) să poată fi puse la dispoziția entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS. + 
Articolul 18Pentru ca persoana juridică să fie acreditată ca producător TEMPEST și pentru păstrarea statutului de producător TEMPEST acreditat, reprezentantul legal trebuie să se angajeze în scris să îndeplinească următoarele:a)să asigure respectarea criteriilor de acreditare stabilite în anexa la metodologie;b)să cunoască și să respecte prezenta metodologie și să asigure condițiile necesare pentru realizarea activităților de inspecție;c)să analizeze recomandările formulate de ORNISS și să asigure implementarea de măsuri corective, în termenele prevăzute de ORNISS;d)să notifice ORNISS, în termen de maximum 30 de zile, cu privire la orice modificare majoră care poate afecta activitatea de producție în domeniul TEMPEST, cum ar fi:(i)modificarea statutului juridic, a structurii organizatorice, a acționariatului sau a obiectului de activitate;(ii)modificări ale politicilor și procedurilor interne de securitate, după caz;(iii)modificarea sediului;(iv)modificări privind personalul, echipamente, ale mediului operațional sau ale altor resurse, având relevanță pentru procesul de producție sau evaluare, după caz, în domeniul TEMPEST;(v)orice alte aspecte care pot afecta activitatea de producție sau evaluare, după caz, în domeniul TEMPEST sau respectarea de către aceasta a criteriilor de acreditare;e)să returneze ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditării, în cazurile în care ORNISS decide să retragă acest document, precum și la inițiativa sa, odată cu notificarea ORNISS despre decizia de a renunța la efectuarea activităților de producție sau evaluare, după caz, în domeniul TEMPEST;f)să returneze ORNISS documentele clasificate care au stat la baza desfășurării activității de producție sau evaluare, după caz, în domeniul TEMPEST, în cazul încetării acreditării ca producător TEMPEST, dacă astfel de documente au fost transmise de către ORNISS. + 
Articolul 19Dacă documentația de acreditare nu este completă, în sensul existenței documentelor precizate la art. 17, ORNISS informează persoana juridică solicitantă asupra acestui fapt, în vederea furnizării informațiilor adiționale necesare. + 
Articolul 20Dacă documentația de susținere a procesului de acreditare este completă, ORNISS înștiințează persoana juridică solicitantă și demarează etapa de analiză a documentației. + 
Articolul 21În cazul în care apar modificări ale datelor cuprinse în documentația transmisă, versiunile modificate ale documentelor sau copii ale acestora, după caz, trebuie transmise ORNISS, în maximum 30 zile de la data producerii acestor modificări. + 
Articolul 22În procesul de analiză a procedurilor tehnice de lucru aferente procesului de evaluare TEMPEST [art. 17 lit. h)], ORNISS poate solicita sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5. + 
Articolul 23În termen de maximum 45 de zile lucrătoare de la primirea documentației de acreditare, ORNISS întocmește și transmite persoanei juridice solicitante concluziile analizei acestei documentații. + 
Articolul 24(1)În cazul în care documentația de acreditare necesită completări sau modificări, ORNISS informează persoana juridică solicitantă în acest sens.(2)După corectarea deficiențelor, persoana juridică solicitantă transmite ORNISS noua versiune a documentației de acreditare, care va fi reanalizată și va face obiectul unui nou document cu concluzii. + 
Articolul 25În cazul în care se constată faptul că documentația de acreditare este completă și corect întocmită, ORNISS informează solicitantul cu privire la posibilitatea continuării procesului de acreditare. + 
Articolul 26Procesul de acreditare cuprinde etape diferite, în funcție de tipul de acreditare solicitat, și anume acreditarea ca producător TEMPEST cu capacități de evaluare TEMPEST sau fără capacități de evaluare TEMPEST.3.1.Inspecția de acreditare + 
Articolul 27În momentul în care documentația de acreditare este completă și corectă, o comisie formată din reprezentanți ai ORNISS efectuează inspecția de acreditare la sediul unde se intenționează a se realiza activitatea de producție în domeniul TEMPEST. + 
Articolul 28Inspecția de acreditare este activitatea prin care comisia de inspecție verifică modul în care persoana juridică ce solicită acreditarea pentru a desfășura activități de producție în domeniul TEMPEST îndeplinește criteriile de acreditare. Totodată, în cursul inspecției se verifică dacă persoana juridică solicitantă are capacitatea tehnică pentru a desfășura activități de producție în domeniul TEMPEST. + 
Articolul 29ORNISS comunică în scris persoanei juridice solicitante perioada în care urmează să se desfășoare inspecția de acreditare, precum și componența comisiei de inspecție. + 
Articolul 30În urma inspecției, comisia întocmește un raport care conține constatările, recomandările formulate și concluziile privind conformitatea procedurilor cu criteriile de acreditare și cu capacitatea tehnică existentă. + 
Articolul 31În termen de maximum 45 de zile lucrătoare de la data finalizării inspecției, ORNISS notifică în scris persoana juridică solicitantă cu privire la rezultatele evaluării și, dacă este cazul, formulează recomandări care trebuie implementate de persoana juridică solicitantă în vederea obținerii acreditării pentru a desfășura activități de producție în domeniul TEMPEST. + 
Articolul 32După implementarea recomandărilor conținute de raport, persoana juridică solicitantă notifică ORNISS modul în care acestea au fost puse în aplicare. + 
Articolul 33În funcție de tipul și natura recomandărilor, ORNISS poate decide asupra necesității efectuării unei noi inspecții la sediul persoanei juridice solicitante pentru a verifica modul de implementare a acestora.3.2.Decizia privind acreditarea + 
Articolul 34După parcurgerea activităților menționate la art. 27-33, directorul general al ORNISS decide cu privire la acreditarea persoanei juridice solicitante. + 
Articolul 35Opțiunile referitoare la acreditare sunt următoarele:a)acreditarea – se acordă pentru o perioadă de maximum 3 ani, în cazul în care criteriile de acreditare sunt respectate;b)neacreditarea – reprezintă decizia luată în cazul în care se identifică deficiențe în îndeplinirea criteriilor de acreditare. + 
Articolul 36În cazul în care se ia decizia acreditării, directorul general al ORNISS emite certificatul de acreditare corespunzător. + 
Articolul 37ORNISS actualizează Catalogul național cu pachete, produse și profile de protecție INFOSEC prin adăugarea entității producătoare în Lista producătorilor TEMPEST naționali. + 
Articolul 38Ca urmare a acreditării, persoana juridică solicitantă, denumită în continuare entitatea producătoare, trebuie să stabilească o delimitare clară între activitățile autorizate prin certificatul de acreditare emis de ORNISS și celelalte activități pe care le realizează. Această delimitare trebuie să se reflecte în toate documentele oficiale emise de entitatea producătoare (oferte, contracte etc.). + 
Articolul 39Toate produsele realizate de entitățile producătoare acreditate fără capacități de evaluare TEMPEST vor fi supuse spre evaluare entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, conform reglementărilor naționale în vigoare.4.1.Obținerea accesului la informații naționale, NATO și UE clasificate + 
Articolul 40Persoana juridică solicitantă va întreprinde demersurile necesare obținerii accesului la informații naționale, NATO și UE clasificate, potrivit reglementărilor în vigoare privind securitatea industrială și securitatea informațiilor vehiculate prin intermediul sistemelor informatice și de comunicații, având nivelul minim NATO SECRET și echivalent. + 
Articolul 41După finalizarea procesului prevăzut la art. 40, ORNISS pune la dispoziția persoanei juridice solicitante standardele aplicabile în domeniul evaluării produselor TEMPEST.4.2.Implementarea măsurilor prevăzute de standardele de evaluare TEMPEST + 
Articolul 42Pe baza standardelor de evaluare TEMPEST puse la dispoziție de ORNISS, persoana juridică solicitantă va implementa măsurile tehnice și procedurale prevăzute de acestea. + 
Articolul 43Procedurile de lucru privind evaluarea TEMPEST, elaborate la nivelul persoanei juridice solicitante sunt transmise ORNISS, spre analiză, cu specificarea acordului conducerii persoanei juridice că acestea pot fi puse la dispoziția entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS. + 
Articolul 44În procesul de analiză a procedurilor de lucru privind evaluarea TEMPEST, prevăzute la art. 43, ORNISS poate solicita sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5. + 
Articolul 45În termen de maximum 45 de zile lucrătoare de la primirea procedurilor de lucru, ORNISS întocmește și transmite persoanei juridice solicitante concluziile analizei acestei documentații. + 
Articolul 46(1)În cazul în care procedurile de lucru privind evaluarea TEMPEST prevăzute la art. 43 necesită completări sau modificări, ORNISS informează persoana juridică solicitantă în acest sens.(2)După corectarea deficiențelor, persoana juridică solicitantă transmite ORNISS noua versiune a documentației, care va fi reanalizată și va face obiectul unui nou document cu concluzii. + 
Articolul 47În cazul în care se constată faptul că documentația este completă și corect întocmită, ORNISS informează solicitantul cu privire la posibilitatea continuării procesului de acreditare. + 
Articolul 48Procesul de acreditare va urma în continuare etapele descrise la punctele 3.1 și 3.2. Pentru aceste activități, ORNISS poate solicita sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu prevederile art. 5. + 
Articolul 49Entitățile producătoare acreditate cu capacități de evaluare TEMPEST vor putea opta pentru certificarea loturilor de produse realizate pe baza prototipurilor aprobate, prin evaluarea unor eșantioane din acestea de către entitățile evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu reglementările emise de ORNISS. + 
Articolul 50Entitatea producătoare de echipamente TEMPEST, acreditată de ORNISS, care deține capacități de evaluare a acestora și nu face parte din cadrul ADS, poate realiza evaluări ale echipamentelor din această categorie numai pentru propriile produse, realizate pe baza unui prototip aprobat conform reglementărilor naționale în vigoare. + 
Secţiunea a 5-aActivități post-acreditare + 
Articolul 51Pe toată perioada de valabilitate a certificatului de acreditare, ORNISS desfășoară inspecții post-acreditare pentru a verifica menținerea respectării criteriilor de acreditare. + 
Articolul 52Verificările post-acreditare sunt realizate anual sau ori de câte ori ORNISS primește notificarea de la reprezentantul legal al entității producătoare cu privire la modificări survenite în organizarea sau activitatea din domeniul TEMPEST, modificări care pot influența procesul de producție sau evaluare, după caz, precum și în cazul în care ORNISS primește sesizări privind neconformități în derularea acestor activități sau privind nerespectarea criteriilor în baza cărora a fost acordată acreditarea. + 
Articolul 53În cazul în care verificările implică și inspecții la sediul entității producătoare, acestea vor fi realizate de către o comisie formată din reprezentanți ai ORNISS. Pentru aceste activități, ORNISS poate solicita sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, în conformitate cu art. 5. + 
Articolul 54Verificările au ca scop analiza modului de menținere a respectării criteriilor în baza cărora a fost emisă acreditarea și a faptului că nu au avut loc modificări ale proceselor de producție, de evaluare sau ale produselor aprobate. + 
Articolul 55Pe durata inspecțiilor, entitatea producătoare are obligația să permită accesul comisiei de inspecție la facilitățile de producție sau evaluare, după caz, și să pună la dispoziția acesteia documentele relevante scopului inspecției. + 
Articolul 56Entitatea producătoare are obligația de a raporta ORNISS orice modificare de natură organizatorică, funcțională sau structurală care poate afecta îndeplinirea criteriilor în baza cărora a fost emisă acreditarea. + 
Articolul 57În funcție de natura modificării, ORNISS poate decide cu privire la reluarea tuturor etapelor procesului de acreditare, a anumitor etape aferente acestui proces sau la retragerea acreditării. + 
Secţiunea a 6-aPrelungirea acreditării + 
Articolul 58(1)Reprezentantul legal al entității producătoare poate solicita ORNISS prelungirea certificatului de acreditare.(2)Solicitarea se transmite ORNISS cu cel puțin 90 de zile lucrătoare înainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care îl deține. + 
Articolul 59(1)În această etapă ORNISS verifică, atât scriptic, cât și la fața locului, menținerea conformității cu criteriile de acreditare, modul în care au fost îndeplinite obligațiile ce revin entității producătoare prin certificatul de acreditare.(2)În urma verificării prevăzute la alin. (1), directorul general al ORNISS ia decizia privind reacreditarea. + 
Articolul 60(1)În cazul în care entitatea producătoare nu dorește reînnoirea acreditării, transmite ORNISS originalul certificatului de acreditare în termen de maximum 10 zile lucrătoare de la data expirării acestuia.(2)În situația prevăzută la alin. (1), entitatea producătoare returnează ORNISS documentele clasificate puse la dispoziție în vederea derulării activităților în domeniul TEMPEST. + 
Articolul 61ORNISS actualizează Catalogul național cu pachete, produse și profile de protecție INFOSEC prin ștergerea entității producătoare din Lista producătorilor TEMPEST naționali. + 
Secţiunea a 7-aAnularea certificatului de acreditare acordat entității producătoare + 
Articolul 62În cazul în care ORNISS constată faptul că entitatea producătoare nu mai îndeplinește criteriile de acreditare, directorul general al ORNISS poate lua decizia anulării certificatului de acreditare. + 
Articolul 63Procedura de anulare a certificatului de acreditare poate fi declanșată în următoarele situații:a)entitatea producătoare nu mai îndeplinește condițiile de acces la informații clasificate;b)entitatea producătoare nu și-a respectat obligațiile ce îi revin conform certificatului de acreditare;c)entitatea producătoare nu a informat ORNISS sau a furnizat date false cu privire la activitățile din domeniu TEMPEST;d)în cazul în care în cadrul entității producătoare au loc incidente de securitate, care pot afecta activitatea TEMPEST;e)entitatea producătoare nu și-a îndeplinit obligațiile de raportare periodică a situației produselor TEMPEST fabricate/livrate, conform reglementărilor naționale în vigoare;f)din motive ce privesc apărarea națională sau siguranța statului;g)entității producătoare i-au fost anulate aprobările pentru două sau mai multe produse TEMPEST. + 
Articolul 64ORNISS notifică entitatea producătoare, în scris, cu privire la intenția de a anula certificatul de acreditare, precizând motivele pentru care a luat o astfel de decizie. + 
Articolul 65ORNISS acordă entității producătoare un termen de maximum 14 zile lucrătoare în care entitatea poate prezenta argumente cu privire la necesitatea menținerii acreditării și măsurile aplicate menite să corecteze neconformitățile. + 
Articolul 66După analiza de către ORNISS, cu sprijinul entităților evaluatoare în domeniul TEMPEST acreditate în cadrul ADS, conform art. 5, a aspectelor formulate de către entitatea producătoare, directorul general al ORNISS ia o decizie cu privire la anularea certificatului de acreditare. + 
Articolul 67Decizia se comunică în scris entității producătoare, precizându-se data de la care se aplică. + 
Articolul 68De la momentul notificării prevăzute la art. 64 până la momentul comunicării deciziei, prevăzute la art. 67, activitatea producătorului în domeniul TEMPEST se suspendă. + 
Articolul 69În termen de 10 zile lucrătoare de la data anulării, entitatea producătoare returnează ORNISS certificatul anulat, precum și toate informațiile și materialele clasificate puse la dispoziție în baza acreditării, pentru desfășurarea de activități în domeniul TEMPEST. + 
Articolul 70ORNISS actualizează Catalogul național cu pachete, produse și profile de protecție INFOSEC prin eliminarea entității producătoare din Lista producătorilor TEMPEST naționali.  + 
Articolul 71Entitatea producătoare poate solicita demararea unui nou proces de acreditare, după remedierea deficiențelor constatate. + 
ANEXĂla metodologie
CRITERII DE ACREDITAREA.ManagementA.1.Cerințe privind statutul juridicC1Entitatea ce solicită acreditarea pentru desfășurarea de activități în domeniul TEMPEST trebuie să aibă personalitate juridică română.A.2.Cerințe privind organizareaC2În cazul în care persoana juridică solicitantă face parte din structura organizatorică a unei persoane juridice cu un obiect de activitate mai larg, schema de organizare (organigrama) trebuie să reflecte în mod distinct compartimentul TEMPEST, iar responsabilitățile personalului de conducere trebuie clar definite, pentru a evita eventuale conflicte de interese cu alte compartimente.C3Organizarea persoanei juridice solicitante și responsabilitățile acesteia trebuie atent și clar definite. Atribuirea responsabilităților trebuie să fie făcută conform regulamentului intern de organizare și funcționare. Suplimentar, acest regulament trebuie să specifice:• modul de organizare generală a persoanei juridice solicitante și structura managementului, cu precizarea responsabilităților fiecărei poziții în activitățile de producție;• modul de organizare a activităților tehnice și existența următoarelor funcții:– director tehnic – responsabil de operațiile tehnice, gestionează resursele necesare asigurării calității activităților din domeniul TEMPEST;– directorul pentru asigurarea calității – (nu poate deține în același timp și funcția de director tehnic) are responsabilitatea și autoritatea de a asigura implementarea sistemului calității. Directorul pentru asigurarea calității trebuie să participe la procesul de luare a deciziilor privind probleme de politici sau legate de resursele entității producătoare;– șeful structurii de securitate/funcționarul de securitate al entității producătoare – (nu poate deține în același timp și funcția de director tehnic) este însărcinat cu definirea, implementarea, verificarea aplicării și menținerea procedurilor de securitate în cadrul persoanei juridice solicitante. El va verifica aplicarea procedurilor de securitate stabilite la nivelul persoanei juridice solicitante.Aceeași persoană poate deține una sau mai multe funcții dacă acest lucru este aprobat de directorul general, cu excepția cazurilor menționate mai sus.C4Pentru personalul persoanei juridice solicitante implicat în activitățile din domeniul TEMPEST trebuie clar definite responsabilitatea, autoritatea și căile de raportare.A.3.Sistemul de asigurare a calitățiiC5Persoana juridică solicitantă trebuie să implementeze și să mențină un sistem al calității adecvat pentru activitățile din domeniul TEMPEST, certificat conform ISO 9001 de către o autoritate de certificare autorizată.A.4.Cerințe de securitateC6Persoana juridică solicitantă trebuie să definească o politică de securitate, specificând metodele și condițiile referitoare la protecția informațiilor clasificate aflate în posesia sa, necesare în activitatea în domeniul TEMPEST. Toate persoanele participante la activitatea de producție în domeniul TEMPEST trebuie să cunoască și să respecte această politică. Politica de securitate trebuie să precizeze modul în care se asigură protecția informațiilor clasificate în toate etapele activităților din domeniul TEMPEST.A.4.1.Proceduri de securitateC7Politica de securitate trebuie să definească:• obiectivele securității;• structura desemnată cu implementarea și verificarea măsurilor pentru îndeplinirea acestor obiective;• procedurile de securitate pentru:– protecția/securitatea fizică a locațiilor în care se desfășoară activitățile din domeniul TEMPEST și se păstrează documente clasificate;– securitatea personalului;– conștientizarea personalului implicat în activitățile din domeniul TEMPEST;– protecția informațiilor legate de activitățile din domeniul TEMPEST pentru care se solicită acreditarea;– controlul accesului la informații;– protecția arhivelor și a comunicațiilor;– accesul vizitatorilor în locațiile în care se desfășoară activitățile din domeniul TEMPEST și în acelea în care se gestionează documente clasificate.Lista nu este exhaustivă, fiind prezentată cu titlu exemplificativ.C8Politica de securitate trebuie să stabilească managementul informațiilor clasificate, indiferent de formatul acestora (hârtie, electronic).A.4.2.Securitatea personaluluiC9Dacă în cursul activităților pe care le desfășoară personalul persoanei juridice solicitante trebuie să aibă acces la informații clasificate, acesta trebuie să dețină certificare de securitate, conform prevederilor legislației naționale în domeniul protecției informațiilor clasificate.C10Personalul implicat în activitățile din domeniul TEMPEST pentru care se solicită acreditarea trebuie să semneze un angajament din care să reiasă faptul că a luat la cunoștință și se angajează să aplice prevederile legislației naționale în domeniul protecției informațiilor clasificate și procedurile de securitate aplicabile în cadrul entității producătoare.C11Personalul trebuie să fie instruit să aplice procedurile de securitate stabilite prin politica de securitate.A.4.3.Securitatea informațiilorC12Persoana juridică solicitantă trebuie să asigure protecția informațiilor clasificate, cu respectarea principiului „nevoii de a cunoaște“.C13Persoana juridică solicitantă trebuie să dezvolte și să aplice proceduri prin care să asigure protecția informațiilor gestionate în contextul activităților din domeniul TEMPEST. Aceste proceduri trebuie să includă următoarele elemente, dar să nu se limiteze la acestea:– separarea accesului la date (separarea datelor aferente activității din domeniul TEMPEST de cele aferente altor activități, separarea datelor referitoare la procese de producție sau evaluare, după caz, diferite, protejarea datelor transmise în afara entității producătoare etc.);– gestionarea documentelor clasificate corespunzător tipului și nivelului maxim de clasificare a acestora;– protecția informațiilor vehiculate în format electronic, concretizată în acreditarea de securitate a sistemelor informatice pe care se vehiculează astfel de informații;– protecția datelor (arhivare, copii de siguranță, refacerea datelor etc.).B.Locațiile în care se desfășoară activitatea de producțieB.1.Locațiile și mediulC14Persoana juridică solicitantă trebuie să dețină locații tehnice bine delimitate pentru desfășurarea activităților în domeniul TEMPEST.C15Măsurile de securitate fizică și controalele de mediu implementate trebuie să fie în concordanță cu activitățile pentru care se solicită acreditarea.B.2.Instrumente și echipamenteC16Persoana juridică solicitantă trebuie să dispună de instrumente și echipamente adecvate pentru derularea eficientă a procesului de producție în domeniul TEMPEST și a procesului de evaluare TEMPEST, după caz.C17Fiecare echipament sau produs software care poate influența activitatea în domeniul TEMPEST trebuie luat în evidență și marcat în mod unic.C18Echipamentele pot fi utilizate numai de către personalul autorizat. Operarea și administrarea instrumentelor trebuie să se realizeze conform unor instrucțiuni cunoscute de către personalul autorizat.C.Pregătirea personalului în domeniul tehnicC19Persoana juridică solicitantă trebuie să aibă personal cu experiența necesară pentru desfășurarea activităților în domeniul TEMPEST.C20Conducerea persoanei juridice solicitante are responsabilitatea de a asigura instruirea personalului implicat în activitățile din domeniul TEMPEST, precum și pregătirea specifică a angajaților desemnați să utilizeze instrumente specifice. Angajații aflați în perioada de instruire trebuie supravegheați de personal cu experiență.C21Procedura de recrutare a personalului persoanei juridice solicitante trebuie să reflecte responsabilitățile care revin entității ca urmare a acreditării. Procedura va include o verificare a candidaților, pentru a se asigura faptul că întrunesc criteriile de acreditare.C22Fiecare angajat al persoanei juridice solicitante trebuie înștiințat de responsabilitățile sale. Acest lucru implică o definire a tuturor responsabilităților legate de activitatea în domeniul TEMPEST.C23Persoana juridică solicitantă trebuie să precizeze obiectivele programelor de instruire și perfecționare a angajaților săi. Programul de instruire trebuie să fie coerent și bazat pe nevoile specifice ale entității.C24Angajații persoanei juridice solicitante pot fi implicați în alte activități decât cele în domeniul TEMPEST, pe perioade limitate, dar activitatea lor de bază trebuie să fie cea în domeniul TEMPEST.D.Metode și proceduri de lucruC25Fiecare dintre produsele TEMPEST realizate de către persoana juridică solicitantă trebuie să aibă la bază un proiect.C26În documentele interne care stabilesc modul de organizare și funcționare a persoanei juridice solicitante trebuie să se stabilească funcțiile care au responsabilitatea întocmirii și, respectiv, avizării și aprobării proiectelor de produs.C27În documentele interne care stabilesc modul de organizare și funcționare a persoanei juridice solicitante trebuie să se stabilească etapele de elaborare pentru un proiect de realizare a unui produs TEMPEST.C28Se va preciza dacă în cadrul realizării unui produs se va apela la determinări (teste) efectuate în cadrul unei entități evaluatoare în domeniul TEMPEST acreditate în cadrul ADS sau realizarea se bazează exclusiv pe teste executate în cadrul entității producătoare.C29Persoana juridică solicitantă trebuie să dispună de capacități de testare pe linia de producție și de evaluare TEMPEST, după caz.C30Procedurile tehnice de lucru privind activitatea de producție în domeniul TEMPEST trebuie să precizeze:– procedura de selectare a componentelor sau subansamblelor critice din punct de vedere TEMPEST și de control al conformității acestora din punct de vedere TEMPEST, înainte de introducerea în producție;– procedura prin care se asigură reproductibilitatea TEMPEST a echipamentelor produse;– testele pe linia de producție și de evaluare TEMPEST, după caz;– proceduri privind asigurarea pieselor de schimb din punct de vedere TEMPEST;– proceduri privind asigurarea întreținerii (service-ului) produselor livrate. Procedurile trebuie să stabilească modul în care se procedează pentru verificarea conformității TEMPEST a produsului, în urma intervenției efectuate.C31Procedurile de evaluare TEMPEST trebuie să fie în acord cu standardele specializate pentru această activitate.C32Persoana juridică solicitantă trebuie să elaboreze un manual (proceduri) de întreținere hardware a produselor TEMPEST.C33Persoana juridică solicitantă trebuie să aibă proceduri cu privire la instruirea utilizatorilor produselor TEMPEST asupra modului de păstrare a caracteristicilor critice de atenuare a emisiilor compromițătoare, respectiv integritatea TEMPEST a produselor, restricții și precauții ce se impun în acest sens.C34Sistemul calității implementat de persoana juridică solicitantă trebuie să se reflecte asupra activității în domeniul TEMPEST.C35Persoana juridică solicitantă trebuie să păstreze documente care să precizeze testele efectuate pe parcursul procesului de producție și evaluare, după caz, și rezultatele acestor teste.C36Persoana juridică solicitantă trebuie să aibă proceduri privind realizarea testelor de anduranță asupra produselor TEMPEST realizate.C37Persoana juridică solicitantă trebuie să aibă proceduri privind ambalarea produselor TEMPEST în vederea transportului, pentru a evita degradarea caracteristicilor TEMPEST.C38Persoana juridică solicitantă trebuie să aibă proceduri privind modul în care se asigură transportul produselor TEMPEST, pentru a se garanta integritatea TEMPEST a acestora.C39Persoana juridică solicitantă trebuie să aibă proceduri privind efectuarea intervențiilor asupra produselor care au fost deja testate.C40Persoana juridică solicitantă trebuie să păstreze un registru de evidență a reparațiilor (intervențiilor) efectuate asupra produselor TEMPEST.C41Persoana juridică solicitantă trebuie să aibă proceduri privind asigurarea calității TEMPEST a produselor livrate, în perioada de garanție.C42Persoana juridică solicitantă trebuie să aibă proceduri privind desfășurarea relației cu entitatea evaluatoare în domeniul TEMPEST acreditată în cadrul ADS, inclusiv elementele care se pun la dispoziția entității evaluatoare, pentru a asigura coerența și eficiența procesului de evaluare.––

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Monitorul Oficial Partea I
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile
0
Opinia dvs. este importantă, adăugați un comentariu.x

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .