Comunica experienta
MonitorulJuridic.ro
În temeiul prevederilor <>art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii, precum şi ale art. 17 alin. (2) şi ale <>art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor în formã electronicã,
preşedintele Autoritãţii Naţionale pentru Comunicaţii emite prezenta decizie.
ART. 1
(1) Prezenta decizie se aplicã centrelor de date utilizate de cãtre administratorii de arhive electronice, în conformitate cu prevederile <>Legii nr. 135/2007 privind arhivarea documentelor în formã electronicã.
(2) Prezenta decizie stabileşte procedura şi condiţiile privind acordarea, suspendarea şi retragerea deciziei de autorizare a centrelor de date, emise de cãtre Autoritatea Naţionalã pentru Comunicaţii, denumitã în continuare ANC, precum şi conţinutul, durata de valabilitate şi efectele suspendãrii sau retragerii deciziei de autorizare.
ART. 2
În înţelesul prezentei decizii, urmãtorii termeni se definesc astfel:
a) centru de date - spaţiu securizat, dotat cu tehnicã de calcul şi echipamente de comunicaţii prin intermediul cãrora se primesc, se stocheazã şi se transmit date în formã electronicã;
b) procedurã de autorizare - metodã de evaluare sistematicã, documentatã, periodicã şi obiectivã a performanţei centrului de date, a sistemului de management şi a proceselor destinate protecţiei arhivelor electronice, în scopul verificãrii respectãrii cerinţelor prevãzute de legislaţia în vigoare;
c) decizie de autorizare - document emis de ANC care atestã cã un centru de date îndeplineşte toate condiţiile cerute de legislaţia în vigoare în vederea desfãşurãrii operaţiunilor de arhivare electronicã;
d) backup - activitatea de copiere a unor fişiere sau baze de date în vederea conservãrii şi recuperãrii acestora în cazul unei avarii sau al altui eveniment neprevãzut;
e) UPS (Uninterruptible Power Supply) - dispozitiv care permite calculatorului sã funcţioneze pentru o perioadã scurtã de timp în cazul în care sursa principalã de energie este întreruptã, respectiv care asigurã protecţie împotriva suprasarcinilor tranzitorii;
f) firewall- dispozitiv hardware sau aplicaţie software care monitorizeazã şi filtreazã permanent transmisiile de date realizate între reţeaua protejatã şi alte reţele, pe baza unui set de reguli şi criterii;
g) router - dispozitiv hardware sau aplicaţie software care conecteazã douã sau mai multe reţele de calculatoare;
h) upgrade - proces de îmbunãtãţire a unui echipament tehnic sau a unei aplicaţii software;
i) redundanţã - introducere de dispozitive suplimentare faţã de cel de baza, care sã asigure funcţionarea unui sistem în cazul în care unul dintre dispozitivele cu aceeaşi funcţie a ieşit întâmplãtor din uz.
ART. 3
Centrele de date utilizate de cãtre administratorii de arhive electronice trebuie sã dispunã de dotãrile tehnice şi sã aplice politicile şi procedurile de management şi de securitate necesare pentru a îndeplini condiţiile prevãzute la <>art. 17 alin. (1) din Legea nr. 135/2007 .
ART. 4
(1) Persoana fizicã sau juridicã care intenţioneazã sã obţinã autorizarea unui centru de date în vederea desfãşurãrii activitãţilor legate de arhivarea electronicã a documentelor, denumitã în continuare solicitant, va transmite ANC o cerere scrisã în acest sens. Forma şi conţinutul acestei cereri sunt prevãzute în anexa nr. 1.
(2) Cererea prevãzutã la alin. (1) va fi însoţitã de urmãtoarele documente:
a) descrierea politicilor şi procedurilor de lucru, incluzând enumerarea posturilor şi funcţiilor personalului, precum şi calificãrile/atestãrile profesionale ale acestuia;
b) descrierea generalã a echipamentelor utilizate în procesul de arhivare;
c) procedurile pentru asigurarea disponibilitãţii serviciului;
d) politica generalã de securitate, politicile privind utilizatorii, parolele şi accesul la sisteme.
(3) Cererea şi documentele anexate se transmit la sediul central al ANC în unul dintre urmãtoarele moduri:
a) prin depunere, personal sau de cãtre reprezentantul legal, sub luare de semnãturã;
b) printr'adun serviciu poştal;
c) ca înscris în formã electronicã, cãruia i s-a încorporat, ataşat sau i s-a asociat logic o semnãturã electronicã extinsã, bazatã pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generatã cu ajutorul unui dispozitiv securizat de creare a semnãturii electronice.
(4) Este consideratã datã a transmiterii, dupã caz, data înscrierii în registrul general de intrare-ieşire a corespondenţei al ANC, data confirmãrii primirii documentelor la sediul central al ANC printr'adun serviciu poştal cu confirmare de primire sau data confirmãrii primirii înscrisului în formã electronicã.
(5) În cazul în care documentaţia nu îndeplineşte condiţiile prevãzute de prezenta decizie, ANC va solicita completarea acesteia, în termen de 10 zile de la transmiterea solicitãrii de completare.
(6) În cazul în care documentaţia transmisã potrivit alin. (1)-(3) este completã sau a fost completatã în conformitate cu prevederile alin. (5), ANC demareazã procedura de autorizare a centrului de date.
ART. 5
(1) Verificarea îndeplinirii condiţiilor în vederea autorizãrii se face de cãtre personalul ANC cu atribuţii în acest sens, în cadrul procedurii de autorizare.
(2) Pe perioada desfãşurãrii procedurii de autorizare, ANC poate solicita orice documente referitoare la activitatea centrului de date care are legãturã cu activitatea de arhivare electronicã şi poate efectua acţiuni de control pentru a verifica conformitatea dintre informaţiile declarate în cursul procedurii de autorizare şi realitate.
ART. 6
În vederea autorizãrii, centrul de date trebuie sã îndeplineascã condiţiile prevãzute la <>art. 17 alin. (1) din Legea nr. 135/2007 , obiectivele principale urmãrite de ANC în cursul procedurii de autorizare pentru verificarea îndeplinirii acestor condiţii fiind urmãtoarele:
a) asigurarea securitãţii şi integritãţii datelor, la nivel de securitate fizicã şi acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare electronicã şi backup-ul informaţiilor stocate.
ART. 7
În cursul procedurii de autorizare, ANC va verifica îndeplinirea de cãtre centrul de date, în mod cumulativ, a condiţiilor prevãzute la art. 8-12.
ART. 8
Spaţiul în care funcţioneazã centrul de date trebuie sã fie amenajat astfel încât sã fie posibilã respectarea cerinţelor de securitate specifice şi sã asigure funcţionarea echipamentelor la parametrii optimi prevãzuţi de producãtorii acestora. În acest sens, se va asigura:
a) instalarea unor sisteme de climatizare care sã asigure valorile optime de temperaturã şi umiditate în vederea funcţionãrii echipamentelor în condiţii de siguranţã;
b) utilizarea de materiale ignifuge şi instalarea unor sisteme de prevenire şi stingere a incendiilor, concepute special pentru evitarea deteriorãrii echipamentelor;
c) dimensionarea corespunzãtoare a reţelei electrice, în funcţie de consumurile echipamentelor folosite;
d) garantarea siguranţei la defecţiunile previzibile ale sistemelor de utilitãţi (apã, gaze etc.) care deservesc spaţiul care gãzduieşte centrul de date.
ART. 9
Asigurarea redundanţei şi realizarea backup-ului trebuie sã fie implementate prin urmãtoarele mãsuri:
a) utilizarea de dispozitive UPS şi/sau generatoare electrice, care sã asigure funcţionarea neîntreruptã a echipamentelor în cazul opririi alimentãrii cu curent electric de la reţeaua principalã; timpul de asigurare a alimentãrii din sursa de urgenţã va fi calculat în funcţie de timpii estimaţi pentru remedierea posibilelor avarii care ar surveni la reţeaua electricã principalã;
b) duplicarea tuturor elementelor reţelei electrice şi asigurarea posibilitãţii comutãrii automate de pe reţeaua principalã pe reţeaua de rezervã;
c) utilizarea procedurilor de lucru care sã asigure efectuarea de backup periodic al tuturor informaţiilor pãstrate în centrul de date şi stocarea acestora în alt spaţiu, diferit de spaţiul principal al centrului de date, cu asigurarea aceloraşi condiţii de securitate ca şi cele ale spaţiului principal, aflate la o distanţã faţã de spaţiul principal care sã corespundã normelor europene în domeniu;
d) asigurarea unor proceduri de mentenanţã pentru echipamente şi pentru infrastructurã, respectând recomandãrile producãtorilor echipamentelor respective, astfel încât sã se minimizeze riscul apariţiei de probleme tehnice;
e) în cazul echipamentelor critice (a cãror funcţionare permanentã este esenţialã în asigurarea continuitãţii funcţionãrii centrului de date) se vor asigura echipamente de rezervã, care vor fi folosite pe perioada efectuãrii operaţiunilor de mentenanţã ce implicã oprirea sau deconectarea respectivului echipament şi pe perioada în care echipamentul principal este afectat de defecţiuni tehnice.
ART. 10
Centrul de date trebuie sã aibã o structurã scalabilã, atât în ceea ce priveşte echipamentele informatice utilizate, cât şi infrastructura, cu scopul de a pãstra performanţele sistemului la un nivel constant în cazul apariţiei de condiţii noi (mãrirea capacitãţii centrului de date, facilitãţi noi etc).
ART. 11
(1) Centrul de date trebuie sã asigure securitatea şi integritatea informaţiilor stocate atât în ceea ce priveşte accesul fizic la echipamentele utilizate, cât şi accesul prin mijloace electronice la documentele arhivate.
(2) Securitatea fizicã presupune luarea urmãtoarelor mãsuri:
a) acces controlat la echipamentele centrului de date utilizate pentru arhivarea electronicã a documentelor, cu precizarea mai multor niveluri de drepturi de acces ale personalului care opereazã sistemele;
b) utilizarea echipamentelor speciale de evitare şi detecţie a intruziunilor fizice.
(3) Pentru asigurarea securitãţii accesului prin mijloace electronice la documentele arhivate, trebuie utilizate urmãtoarele mãsuri tehnice:
a) sisteme de detecţie a intruziunilor (Intrusion Detection System - IDS);
b) firewall (software şi/sau hardware), routere pentru filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de autentificare şi de autorizare a accesului la date;
e) jurnalizarea automatã a acţiunilor efectuate în sistem.
ART. 12
Operarea centrului de date trebuie realizatã respectându-se strategii, politici şi proceduri bine determinate în ceea ce priveşte managementul, controlul şi securitatea sistemelor. În realizarea acestor politici şi proceduri se vor respecta urmãtoarele cerinţe minimale:
a) jurnalizarea cronologicã a acţiunilor efectuate în sistem (accesul fizic la echipamente, comutãri de pe un sistem pe altul, procese de mentenanţã, acţiuni ale operatorului etc);
b) evaluarea la intervale regulate a infrastructurii centrului de date, a sistemului de securitate şi a echipamentelor informatice folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calitãţii;
d) evaluarea efectelor extinderilor şi upgrade-urilor;
e) realizarea auditului regulat al planului de securitate;
f) evaluarea şi perfecţionarea periodicã a personalului;
g) implementarea unor politici de resurse umane care sã asigure operarea centrului de date de cãtre personal specializat care sã dispunã de certificãri în domeniu.
ART. 13
(1) În termen de 30 de zile de la primirea documentaţiei în conformitate cu prevederile art. 4 alin. (1)-(3) sau a completãrilor solicitate în conformitate cu prevederile art. 4 alin. (5), ANC emite decizia de autorizare a centrului de date sau decizia de respingere a cererii de autorizare, motivatã în mod corespunzãtor.
(2) Forma şi conţinutul deciziei de autorizare a centrului de date sunt prevãzute în anexa nr. 2.
ART. 14
(1) Decizia de autorizare este valabilã pentru o perioadã de 3 ani de la data emiterii acesteia.
(2) Autorizarea poate fi reînnoitã, procedura de reautorizare fiind identicã cu cea de autorizare.
(3) Pe durata valabilitãţii deciziei de autorizare, ANC are dreptul de a efectua acţiuni de control periodice, pentru verificarea menţinerii condiţiilor de funcţionare a centrului de date.
ART. 15
(1) Constatarea de cãtre personalul de control de specialitate din cadrul ANC a neîndeplinirii condiţiilor minime de funcţionare a centrului de date atrage suspendarea deciziei de autorizare pe o perioadã de 30 de zile. În aceastã perioadã, centrul de date nu poate primi spre stocare documente în formã electronicã.
(2) Dacã deficienţele survenite în funcţionarea centrului de date nu sunt remediate în intervalul de timp prevãzut la alin. (1), ANC va retrage autorizarea, prin decizie a preşedintelui.
(3) În cazul expirãrii duratei de valabilitate a deciziei de autorizare, precum şi în cazul retragerii autorizãrii de cãtre ANC în condiţiile alin. (2), centrul de date nu mai poate furniza servicii legate de arhivarea electronicã în sensul <>Legii nr. 135/2007 .
(4) În cazul intenţiei de încetare a activitãţii centrului de date autorizat în condiţiile prezentei decizii, ANC va fi informatã, cu cel puţin 30 de zile în avans, despre aceastã intenţie şi despre existenţa şi natura împrejurãrii care justificã imposibilitatea de continuare a activitãţii. ANC va retrage autorizarea la data încetãrii activitãţii centrului de date.
ART. 16
Pentru funcţionarea corespunzãtoare a centrelor de date se recomandã aplicarea şi respectarea urmãtoarelor standarde sau a unor standarde echivalente:
a) SR ISO/CEI 17799:2006 Tehnologia informaţiei. Tehnici de securitate. Cod de bunã practicã pentru managementul securitãţii informaţiei;
b) SR ISO/IEC 27001:2006 Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securitãţii informaţiei. Cerinţe;
c) SR ISO/CEI 15408-1:2004 Tehnologia informaţiei. Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei informaţiei. Partea 1: Introducere si model general;
d) ISO/IEC 20000-1:2005 Tehnologia informaţiei - Managementul securitãţii - Partea 1: Specificaţii;
e) ISO/IEC 20000-2:2005 Tehnologia informaţiei - Managementul securitãţii - Partea a 2-a: Cod de practicã;
f) TIA/EIA 942 2005 Standard privind infrastructura de telecomunicaţii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea 1: Cerinţe generale.
ART. 17
Anexele nr. 1 şi 2 fac parte integrantã din prezenta decizie.
ART. 18
(1) Prezenta decizie se publicã în Monitorul Oficial al României, Partea I, şi intrã în vigoare la 3 zile de la data publicãrii.
(2) Prezenta decizie a fost adoptatã cu respectarea prevederilor <>Hotãrârii Guvernului nr. 1.016/2004 privind mãsurile pentru organizarea şi realizarea schimbului de informaţii în domeniul standardelor şi reglementãrilor tehnice, precum şi al regulilor referitoare la serviciile societãţii informaţionale între România şi statele membre ale Uniunii Europene, precum si Comisia Europeanã, cu modificãrile ulterioare.
Preşedintele Autoritãţii Naţionale pentru Comunicaţii,
Dorin Liviu Nistoran
Bucureşti, 19 noiembrie 2008.
Nr. 1.131.
ANEXA 1
CERERE
pentru începerea procedurii de autorizare
Cãtre: AUTORITATEA NAŢIONALĂ PENTRU COMUNICAŢII
Stimate Domnule Preşedinte,
Având în vedere prevederile <>Legii nr. 135/2007 privind arhivarea documentelor în formã electronicã, precum şi ale Deciziei nr. 1131/2008 privind normele metodologice de autorizare a centrelor de date, vã solicitãm sã dispuneţi începerea procedurii de autorizare a centrului de date aparţinând ........./(numele şi prenumele/denumirea solicitantului)/................. având domiciliul/sediul în ......./(adresa completã, inclusiv telefon şi fax)/........... înregistratã în Registrul Comerţului al Municipiului..................................... cod numeric personal/cod unic de înregistrare/cod de identificare fiscalã ............................................... reprezentatã legal prin ............./(numele si prenumele)/............................ domiciliat (ã) în .............../(adresa completã, inclusiv telefon) ...................., identificat (ã) prin ................./(actul de identitate: seria, numãrul, codul numeric personal)/ ........ .
Numele şi prenumele/Denumirea solicitantului
............................................
Semnãtura reprezentantului legal şi ştampila solicitantului
...........................................................
Data
.......
ANEXA 2
DECIZIE
de autorizare a centrului de date
În temeiul prevederilor <>art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii, precum şi ale art. 17 alin. (2) şi ale <>art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor în formã electronicã,
având în vedere dispoziţiile Deciziei preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 1131/2008 privind normele metodologice de autorizare a centrelor de date,
preşedintele Autoritãţii Naţionale pentru Comunicaţii emite prezenta decizie.
Art. 1. - Începând cu data comunicãrii prezentei decizii, centrul de date aparţinând .........../(numele şi prenumele/denumirea solicitantului autorizãrii)/......... este autorizat sã desfãşoare operaţiuni de arhivare electronicã în condiţiile <>Legii nr. 135/2007 privind arhivarea documentelor în formã electronicã.
Art. 2. - Se certificã faptul cã centrul de date îndeplineşte condiţiile stabilite de dispoziţiile <>art. 17 din Legea nr. 135/2007 şi prevederile art. 8-12 din Decizia preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 1131/2008 privind normele metodologice de autorizare a centrelor de date.
Art. 3. - Autorizarea se acordã pe o perioadã de 3 ani de la data comunicãrii prezentei decizii şi poate fi reînnoitã pe baza procedurii prevãzute în Decizia preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 1131/2008.
Art. 4. - Prezenta decizie se comunicã ................../(numele şi prenumele/denumirea persoanei care opereazã centrul de date)/......... atât pe suport de hârtie, cât şi în formã electronicã, semnatã electronic.
Preşedinte,
............
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect: