Comunica experienta
MonitorulJuridic.ro
HOTARARE nr. 952 din 14 august 2003 privind aprobarea normelor si procedurilor in vederea operationalizarii Sistemului informatic integrat, componenta a Sistemului Electronic National
EMITENT: GUVERNUL PUBLICAT: MONITORUL OFICIAL nr. 631 din 3 septembrie 2003
În temeiul art. 107 din Constituţie şi având în vedere prevederile <>art. 3 din Legea nr. 415/2002 privind organizarea şi funcţionarea Consiliului Suprem de Apãrare a Tarii, precum şi prevederile cuprinse în cartea I titlul II din <>Legea nr. 161/2003 privind unele mãsuri pentru asigurarea transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea coruptiei, cu modificãrile ulterioare,
Guvernul României adopta prezenta hotãrâre.
ART. 1
Se aproba normele şi procedurile în vederea operationalizarii Sistemului informatic integrat, componenta a Sistemului Electronic Naţional, aprobat conform hotãrârii Consiliului Suprem de Apãrare a Tarii. În acest scop, conceptia şi dezvoltarea Sistemului informatic integrat ca o structura informationala specializatã se vor face în contextul cooperãrii cu celelalte doua componente ale Sistemului Electronic Naţional: "Sistem e-guvernare" şi "Sistem e-administraţie", definit în cartea I titlul II <>art. 9 din Legea nr. 161/2003 privind unele mãsuri pentru asigurarea transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea coruptiei. Pentru asigurarea complementaritatii Sistemului informatic integrat cu celelalte doua componente ale Sistemului Electronic Naţional, funcţiunile acestuia se supun urmãtoarelor norme:
a) asigurarea interoperabilitatii instituţiilor conectate la Sistemul informatic integrat, conform prevederilor cãrţii I titlul II <>art. 11 lit. i) din Legea nr. 161/2003 ;
b) punerea în evidenta mai clar a responsabilitãţilor fiecãrei instituţii, precum şi a responsabilitãţii funcţionarului public în utilizarea informaţiilor furnizate de Sistemul informatic integrat;
c) prezervarea autonomiei tuturor instituţiilor participante pentru dezvoltarea reţelelor proprii de tehnologia informatiei şi comunicaţii;
d) reducerea costurilor de dezvoltare şi utilizare a reţelei (IT & C) de tehnologia informatiei şi comunicaţii pentru fiecare instituţie;
e) asigurarea, pentru toate instituţiile participante la Sistemul informatic integrat, a dublei calitãţi de furnizor şi beneficiar al informaţiilor existente în sistem;
f) reorientarea activitãţii instituţionale atât la nivel central, cat şi teritorial cãtre creşterea eficientei, corectitudinii şi transparenţei în serviciile oferite, datoritã cooperãrii generate de arhitectura de interoperabilitate a Sistemului informatic integrat;
g) scurtarea timpului de implementare a proiectelor proprii;
h) creşterea posibilitatii de gestionare şi implementare a proiectelor naţionale şi a soluţiilor ce implica cooperare interdisciplinara; reducerea paralelismului unor proiecte şi eliminarea proiectelor mici, neeficiente.
ART. 2
În sensul prezentei hotãrâri, urmãtorii termeni sunt definiţi astfel:
a) normele de dialog sunt reglementãri privind schimbul de informaţii dintre Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
b) procedurile de dialog sunt acţiuni necesare pentru deschiderea, realizarea şi închiderea unei sesiuni de schimb de informaţii între Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
c) normele de securitate sunt reglementãri interne specifice instituţiei, rezultate din aplicarea politicii de securitate şi a legislaţiei în vigoare pentru a asigura o protecţie adecvatã a informaţiilor;
d) procedurile de securitate sunt acţiuni ce trebuie desfãşurate în mod obligatoriu de cãtre participanţii la Sistemul informatic integrat şi administratorii sistemului pentru a implementa normele de securitate;
e) replicarea bazelor de date este procedura prin care se asigura o copie de siguranta a bazei de date pentru a asigura o disponibilitate permanenta a datelor pentru toţi beneficiarii. Aceasta este în gestiunea şi proprietatea participantului la sistem. Realizarea copiei nu implica înstrãinarea bazei de date fata de instituţiile participante la Sistemul informatic integrat, acestea purtând intreaga responsabilitate pentru acuratetea informaţiilor puse la dispoziţie. Din punct de vedere al gestiunii bazelor de date, Centrul de management al Sistemului informatic integrat oferã doar spaţiul, serviciul de stocare şi serviciul de consultare de cãtre participanţi conform drepturilor de acces ale acestora. Centrul de management al Sistemului informatic integrat nu are dreptul sa modifice sub nici o forma nici o baza de date replicata în sistem;
f) tranzacţionarea informaţiilor reprezintã dialogul dintre Centrul de management al Sistemului informatic integrat şi participanţii la sistem în condiţiile verificãrilor de securitate impuse de normele de securitate;
g) tranzacţionarea interna reprezintã tranzacţionarea de informaţii între diverse replici ale bazelor de date din Centrul de management al Sistemului informatic integrat în procesul de cãutare şi prelucrare;
h) tranzacţionarea externa reprezintã tranzacţionarea de informaţii între Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
i) interfatarea este o procedura care implica şi utilizarea de mijloace materiale specifice şi realizeazã adaptarea modului de lucru al participanţilor la sistem cu modul de lucru al Centrului de management al Sistemului informatic integrat.
ART. 3
Normele de dialog ale Centrului de management al Sistemului informatic integrat sunt urmãtoarele:
a) dialogul este biunivoc, în timp real şi permanent;
b) dialogul se supune normelor de securitate;
c) dialogul este arhivat;
d) dialogul este urmat de cel puţin o tranzacţie informationala;
e) dialogul trebuie sa conţinã raspunsuri conforme cu procedurile de tranzactionare interna a informatiei;
f) accesul la dialog cu Sistemul informatic integrat din punct de vedere maximal trebuie sa poatã fi asigurat pentru toţi participanţii simultan;
g) cererile şi rãspunsurile se fac ori de câte ori este nevoie;
h) cererile şi rãspunsurile se fac exclusiv conform cu specificul de acces al fiecãrei instituţii participante;
i) cererea conţine un singur subiect. Subiectele se vor supune protocoalelor de dialog-cerere;
j) rãspunsurile pot conţine mai multe date referitoare la subiectul cererii;
k) interfatarea este standardizata pentru toţi participanţii la Sistemul informatic integrat conform standardelor de interconectare a sistemelor informatice (Open System Interconnection);
l) interfatarea este subordonata normelor de dialog ale Centrului de management al Sistemului informatic integrat;
m) interfatarea se face în deplina concordanta cu normele de securitate ale Centrului de management al Sistemului informatic integrat;
n) interfatarea se face corelat cu identificarea utilizatorului atât din punct de vedere al interogarii Sistemului informatic integrat, cat şi al replicarii bazei de date aferente. Prin natura interfetelor cu utilizatorii Sistemului informatic integrat trebuie puse în evidenta aspectele juridice legate de competenta şi activitãţile acestora, în concordanta cu prevederile legale în vigoare;
o) interfatarea trebuie sa fie urmatã de validarea utilizatorului conform normelor şi procedurilor de securitate ale Centrului de management al Sistemului informatic integrat;
p) interfatarea cu utilizatorul în cazul replicarii bazelor de date se face astfel încât conţinutul acestora sa nu fie afectat în sensul pãstrãrii responsabilitãţii utilizatorului;
q) procedurile şi normele tehnice de interfatare, precum şi cele de comunicaţie trebuie sa fie corelate din punct de vedere juridic atât cu legile în vigoare privind funcţionarea instituţiilor participante la Sistemul informatic integrat, cat şi cu legislaţia privind semnatura electronica şi transparenta institutionala a functionarii statului.
ART. 4
(1) În corelare cu normele prevãzute la art. 2, procedurile de dialog ale Sistemului informatic integrat sunt urmãtoarele:
a) dialogul se face în conformitate cu structura institutionala a Sistemului informatic integrat şi cu reglementãrile privind siguranta nationala;
b) dialogul are loc în urma unor acorduri bilaterale cu instituţiile participante la Sistemul informatic integrat;
c) dialogul se face pe baza unor proceduri tehnice în conformitate cu normele şi procedurile infrastructurii comunicationale a Sistemului informatic integrat;
d) dialogul se face pe baza unor proceduri de securitate ce vor trebui acreditate independent de Sistemul informatic integrat.
(2) Dialogul va permite urmãtoarele tipuri de schimburi de date:
a) colectare;
b) schimb propriu-zis de date;
c) atentionari;
d) servicii interactive;
e) arhivare şi copie de siguranta;
f) transfer de date cerere-rãspuns.
ART. 5
Normele de tranzactionare a informaţiilor ale Centrului de management al Sistemului informatic integrat vor trebui concepute şi aplicate astfel încât:
a) tranzacţionarea informaţiilor sa se realizeze în timp real;
b) tranzacţiile sa fie atât interne, cat şi externe;
c) tranzacţia interna sa fie multidimensionala;
d) tranzacţia interna sa conţinã criterii multiple de cãutare; cãutarea sa fie simultanã;
e) toate tranzacţiile sa prezinte aceeaşi norma de prioritate;
f) tranzacţiile sa se supunã gestionãrii situaţiilor de criza prevãzute conform legii;
g) tranzacţia externa sa fie biunivoca şi identicã cu dialogul din punct de vedere al normelor şi procedurilor.
ART. 6
În conformitate cu normele prevãzute la art. 4, procedurile de tranzactionare interna a informatiei ale Sistemului informatic integrat sunt urmãtoarele:
a) tranzacţionarea interna a informatiei conţine identificari despre fiecare informaţie tranzactionata intern pana la formularea rãspunsului final cerut;
b) tranzacţionarea interna a informatiei se supune principiului jurnalizarii;
c) tranzacţionarea interna a informatiei se subordoneazã caracterului informaţiilor din fiecare baza de date continuta în sistem;
d) tranzacţionarea interna a informatiei conţine elemente de validare a tranzacţiei interne, ce trebuie supuse unor protocoale de interoperabilitate între instituţii;
e) tranzacţionarea interna a informatiei trebuie sa conţinã elemente de securitate interna pentru anihilarea tentativelor de manipulare frauduloasã a informaţiilor asa cum sunt ele acreditate atât din punct de vedere intern, cat şi internaţional.
ART. 7
(1) Normele de gestiune a bazelor de date în cadrul Centrului de management al Sistemului informatic integrat se întemeiazã pe urmãtoarele reguli de baza:
a) actualizarea bazelor de date se face în fiecare zi, pe parcursul nopţii, prin furnizarea doar a datelor modificate;
b) informaţiile primite de Centrul de management al Sistemului informatic integrat de la alte instituţii sunt introduse în baza de date numai dupã ce s-a obţinut avizul favorabil al conducerii Centrului de management. La momentul introducerii acestor date se va urmãri sa se respecte toate cerinţele metodologice de actualizare a Sistemului informatic integrat, astfel încât acestea sa se integreze în structura de ansamblu a bazei de date; arhiva se supune principiilor de identificare şi nonrepudiere;
c) toate neconcordantele sau erorile apãrute în procesul actualizãrii sunt returnate spre soluţionare instituţiilor care au furnizat datele;
d) în timpul introducerii datelor în sistemul automat se utilizeazã, dupã caz, şi codificarea asistatã de calculator;
e) este necesarã asigurarea flexibilitatii functionale a bazelor de date în condiţiile unor mutaţii sau extinderi în aria de cuprindere a problemelor specifice;
f) este obligatorie asigurarea unui înalt grad de prelucrare şi accesibilitate simultane, conform drepturilor de acces, la fondul de date şi informaţii inmagazinate în bazele de date din Centrul de management al Sistemului informatic integrat;
g) sistemul de reprezentare şi codificare trebuie sa fie unitar la nivelul informaţiilor tuturor instituţiilor;
h) bazele de date trebuie sa fie proiectate modular şi sa permitã dezvoltãri şi adaptari uşoare la noile mutaţii din situaţia de fapt;
i) este necesarã asigurarea protecţiei şi securitãţii datelor şi informaţiilor inmagazinate în bazele de date;
j) în sensul implementarii conceptului de interoperabilitate, definit în cartea I titlul II <>art. 11 lit. i) din Legea nr. 161/2003 , a produselor informatice şi a soluţiilor folosite atât de instituţiile administraţiei publice înregistrate în sistemele e-guvernare şi e-administraţie, cat şi de celelalte instituţii participante la Sistemul informatic integrat, Centrul de management al acestuia va trebui sa asigure conform <>Legii nr. 161/2003 şi servicii de arhivare electronica în condiţii de siguranta a bazelor de date aflate în sistem, astfel încât acestea sa poatã fi oricând consultate de orice participant la sistem, în funcţie de obiectul sau de activitate. Serviciul de arhivare nu are caracter exclusiv pentru Sistemul informatic integrat, acesta având în principal funcţie de operator al arhivelor electronice, arhivarea propriu-zisa putând fi efectuatã de orice persoana juridicã abilitata în acest sens de cãtre Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (O.R.N.I.S.S.). De asemenea, Consiliul de conducere al Sistemului informatic integrat are obligaţia de a propune Guvernului împreunã cu ceilalţi operatori ai Sistemului Electronic Naţional, în termen de maximum 60 de zile de la constituire, reglementãri cu privire la cadrul legal al arhivarii electronice şi al protecţiei informatiei în format electronic. Serviciul de arhivare electronica astfel reglementat se supune legii achiziţiilor publice;
k) partajarea accesului la datele şi informaţiile din bazele de date se va face în conformitate cu drepturile atribuite ierarhic;
l) prin gestiunea bazelor de date este necesarã oferirea posibilitatii de previzionare a unor evenimente, fenomene, fapte, stãri de fapt etc., care intereseazã instituţiile statului;
m) gestiunea bazelor de date implica standardizarea formatelor bazelor de date existente în Centrul de management al Sistemului informatic integrat şi evidentierea corelatiilor la nivelul datelor provenite de la diversi participanţi la Sistemul informatic integrat;
n) gestiunea bazelor de date se face în deplina concordanta cu normele de securitate ale Centrului de management al Sistemului informatic integrat;
o) gestiunea bazelor de date trebuie sa asigure în orice moment corectitudinea conţinutului acestora conform protocoalelor de gestiune aferente;
p) gestiunea bazelor de date trebuie sa se facã astfel încât rezolvarea inconsistentelor în date sa se realizeze de cãtre participanţii la Sistemul informatic integrat pe baza sesizarilor Centrului de management al Sistemului informatic integrat. Sistemul informatic integrat, prin gestiunea bazelor de date, nu are dreptul sa intervinã în conţinutul datelor primite de la diferiţi participanţi;
q) conversia şi actualizarea datelor vor trebui sa fie acreditate de un organism independent.
(2) Bazele de date participante la Sistemul informatic integrat sunt constituite astfel:
a) la instituţiile furnizoare de date, conform competentelor materiale - baze de date primare. Bazele de date primare sunt constituite de instituţiile furnizoare pentru îndeplinirea sarcinilor prevãzute în regulamentele de organizare şi funcţionare ale acestora;
b) la Centrul de management al Sistemului informatic integrat - baza de date centrala. Baza de date centrala este constituitã pe baza datelor furnizate de bazele de date primare.
ART. 8
(1) În concordanta cu prevederile art. 6, gestiunea bazelor de date ale Sistemului informatic integrat se supune urmãtoarelor proceduri:
a) se face în conformitate cu normele de siguranta şi integritate a bazelor de date recunoscute internaţional;
b) bazele de date specifice fiecãrei instituţii, puse la dispoziţia Sistemului informatic integrat, sunt pregãtite de fiecare instituţie şi transferate în formatul stabilit conform protocolului de cooperare;
c) se face în conformitate cu normele şi procedurile de tranzactionare interna a informaţiilor;
d) se face în asa fel încât structura bazelor de date sa prezinte scalabilitate în funcţie de evoluţia din punct de vedere juridic a instituţiilor participante;
e) se face în conformitate cu necesitãţile de extindere a interoperabilitatii între diferitele instituţii participante, asigurându-se instrumentele necesare evidenţierii corelatiilor şi legãturilor dintre datele provenite de la diferiţi participanţi la Sistemul informatic integrat;
f) se vor asigura instrumentele necesare evidenţierii corelatiilor şi legãturilor dintre datele provenite de la diferiţi participanţi la Sistemul informatic integrat;
g) procedurile bazelor de date din punctul de vedere al securitãţii sunt identice cu normele şi procedurile de securitate ale Centrului de management al Sistemului informatic integrat;
h) actualizarea bazelor de date se va face de cãtre furnizorii de informaţii în funcţie de evoluţia dinamica a acestora, cu respectarea procedurilor stabilite atât în baza prevederilor hotãrârilor Consiliului Suprem de Apãrare a Tarii referitoare la Sistemul informatic integrat, cat şi prin alte protocoale dintre Sistemul informatic integrat şi instituţiile participante.
(2) În funcţie de datele şi informaţiile care se deţin despre persoana fizica sau juridicã verificata, în baza de date centrala sunt furnizate rãspunsurile:
a) "necunoscut" - dacã persoana nu figureazã în baza de date;
b) "date insuficiente" - dacã cererea de verificare nu conţine datele minime şi nici alte indicii de individualizare ori indiciile nu sunt concludente;
c) "acces interzis" - dacã drepturile de acces nu corespund nivelului de protecţie al informaţiilor solicitate;
d) datele şi informaţiile cu care persoana fizica sau juridicã figureazã în baza de date centrala şi la care utilizatorul care a formulat cererea este autorizat sa aibã acces.
ART. 9
Infrastructura de comunicaţii a Sistemului informatic integrat va respecta, din punct de vedere funcţional, urmãtoarele norme:
a) conectarea agentiilor va fi pe interfete standardizate, fiind independenta de furnizori, şi infrastructura nu va dicta în procesul de achiziţii de echipamente;
b) este flexibila şi modularã;
c) este total interoperabila;
d) asigura autoapararea adaptiva şi securitatea cu servicii garantate;
e) asigura un mediu comun de operare;
f) asigura integrarea deplina a serviciilor;
g) asigura operarea transparenta de cãtre utilizatori;
h) asigura o banda variabila (capacitate) la solicitare. Largimea benzii de comunicaţii trebuie sa permitã accesul tuturor utilizatorilor Sistemului informatic integrat la informaţii în cel mai scurt timp;
i) infrastructura de comunicaţii trebuie sa aibã un caracter redundant atât din punct de vedere al asigurãrii unui canal de rezerva, cat şi din punct de vedere al normelor de securitate ale Centrului de management al Sistemului informatic integrat, conform managementului de riscuri;
j) managementul traficului de comunicaţii va trebui sa asigure descongestionarea segmentelor de reţea pe perioada varfurilor de comunicaţie.
ART. 10
(1) Protecţia informaţiilor în forma electronica din cadrul Sistemului informatic integrat va integra toate formele de protecţie pentru a acoperi vulnerabilitatile şi amenintarile cele mai probabile.
(2) Sistemul de protecţie va urmãri pe tot ciclul de viata al Sistemului informatic integrat respectarea urmãtoarelor norme:
a) normele de securitate se vor supune managementului de risc;
b) normele de securitate vor fi elaborate în conformitate cu <>Legea nr. 182/2002 privind protecţia informaţiilor clasificate, <>Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, cu modificãrile ulterioare, <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi cu <>Legea nr. 544/2001 privind liberul acces la informaţiile de interes public;
c) normele de securitate vor trebui sa acopere intreaga sfera de manipulare a informaţiilor;
d) normele de securitate cuprind asigurarea unei structuri de securitate proprii specializate pentru Sistemul informatic integrat;
e) normele de securitate cuprind existenta unui audit intern şi acreditare de securitate din partea unui organism independent;
f) rapoartele de securitate semestriale vor fi aduse la cunostinta structurilor de securitate ce rãspund de protecţia informaţiilor stocate în cadrul sistemelor de prelucrare automatã a datelor (INFOSEC) din instituţiile participante;
g) depãşirea unei bariere de securitate trebuie sa declanseze o alarma şi contramasuri înainte de a se aduce prejudicii;
h) informaţiile vor avea etichete privind nivelul de protecţie necesar şi vor conţine date privind drepturile de acces;
i) revizuirea nivelurilor de acces al diferiţilor participanţi la un anumit interval de timp, în funcţie de tipul informatiei pe care aceştia îl solicita sau au dreptul sa îl solicite, cat şi din punct de vedere al caracteristicilor informaţiilor pe care aceştia le incarca în sistem, norma similarã cu prevederile documentului CM 49(2002) al Organizaţiei Tratatului Atlanticului de Nord;
j) sistemul trebuie sa ofere suport tehnic pentru controlul accesului, trasabilitatea informaţiilor şi a activitãţilor;
k) normele şi procedurile de securitate vor trebui sa ofere suport pentru procedurile administrative, pentru îndeplinirea politicii de securitate pe toatã durata de viata a sistemului şi a suporturilor informatiei;
l) accesul va fi permis exclusiv persoanelor acreditate de la terminale acreditate; accesul unor persoane la baza de date comuna de la alte terminale decât cele desemnate va fi permis numai în baza unor aprobãri temporare speciale;
m) sistemul de securitate va face o delimitare clara între informaţiile publice (cu acces liber) şi informaţiile pentru care trebuie pastrata confidenţialitatea (se vor pune în practica prevederile <>Legii nr. 544/2001 şi <>Legii nr. 677/2001 );
n) pentru evaluarea sistemelor de securitate se va pleca de la Criteriile comune adoptate şi folosite în ţãrile integrate în structurile euroatlantice, iar acreditarea acestora va trebui facuta de O.R.N.I.S.S. în conformitate cu prevederile <>Hotãrârii Guvernului nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România şi ale <>Ordonanţei de urgenta a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobatã prin <>Legea nr. 101/2003 ;
o) drepturile de acces în Centrul de management al Sistemului informatic integrat vor fi acordate în funcţie de evaluarile independente de securitate obţinute de fiecare locatie conectata la Centrul de management şi de reţeaua de conectare aferentã. Centrul de Management va tine evidenta tuturor statiilor conectate în sistem.
(3) Sistemul de protecţie trebuie sa asigure:
a) disponibilitatea informatiei fiecãrui beneficiar în momentul în care acesta are nevoie de ea;
b) confidenţialitatea, prin pãstrarea secretului tranzacţiilor şi al conţinutului informaţiilor fata de un intrus sau fata de un utilizator neautorizat;
c) integritatea, prin pãstrarea informaţiilor cu conţinutul şi forma date de autor;
d) autenticitatea, astfel încât informaţia introdusã sau furnizatã de Sistemul informatic integrat trebuie pastrata în legatura cu informaţia de autor;
e) nerepudierea; sistemul va trebui sa asigure mecanismul prin care atât autorul, cat şi utilizatorul informatiei sa nu poatã sa conteste faptul ca a initiat informaţia sau ca a utilizat-o.
(4) Politica de protecţie a informaţiilor în Sistemul informatic integrat va trebui sa integreze echilibrat urmãtoarele forme de protecţie:
a) protecţia fizica a ariilor de lucru, a echipamentelor, a suporturilor de memorie, a canalelor de comunicaţie etc. se va realiza prin barierele fizice de separare a ariilor de protecţie, cu delimitarea clara a tuturor punctelor de acces, metodele de control al accesului şi politica de acces în ariile protejate şi la echipamente;
b) protecţia personalului va stabili criteriile de verificare, va urmãri acreditarea personalului de deservire, întreţinere şi dezvoltare a Sistemului informatic integrat şi va defini categoriile de personal ce au acces la echipamente pentru operare sau întreţinere, nivelurile de verificare şi drepturile de acces în sistem, la informaţii şi aplicaţii. Protocoalele de acces vor stabili modul de schimbare a informaţiilor între Sistemul informatic integrat şi parteneri privind drepturile de acces convenite;
c) protecţia impotriva scurgerii de informaţii prin emisii electromagnetice parazite (TEMPEST), care va include evaluãri de susceptanta şi compatibilitate electromagnetica, iar în sistemele care vor prelucra sau tranzita informaţii clasificate se vor face şi mãsurãtori şi evaluãri TEMPEST;
d) protecţia administrativã va urmãri integrarea sarcinilor de securitate ce deriva din politica de securitate şi documentele aferente în proceduri operationale de securitate şi în fişele de post pentru toţi lucrãtorii;
e) protecţia comunicaţiilor (COMSEC) care dezvolta politica de protecţie a mesajelor transmise prin reţele de comunicaţii impotriva interceptarii, incluzând toate mãsurile de protecţie a transmisiilor, canalelor şi echipamentelor ce deservesc comunicaţiile;
f) protecţia informaţiilor în format electronic (INFOSEC), care va dezvolta politica de protecţie a echipamentelor de calcul şi a suporturilor de memorie, instituie mecanismul de securitate independent de administratorul de sistem, reglementeazã subordonarea administratorului de sistem şi a administratorului de securitate (ofiţerul de securitate al sistemului) şi stabileşte atribuţiile specifice fiecãruia;
g) protecţia criptografica, care va face managementul şi urmãrirea materialelor criptografice (echipamente de criptare, generare şi distribuţie de chei de criptare), va stabili regulile de utilizare a echipamentelor criptografice în conformitate cu politica generalã de securitate.
(5) Instituţiile abilitate prin lege vor pune la dispoziţia structurii de securitate a Sistemului informatic integrat toate informaţiile disponibile, precum şi analize privind amenintarile şi vulnerabilitatile sistemului descoperite în urma verificãrilor fãcute cu mijloace specifice.
ART. 11
(1) În concordanta cu normele prevãzute la art. 9, procedurile de securitate ale Sistemului informatic integrat vor respecta urmãtoarele principii:
a) va trebui ţinuta o evidenta a vulnerabilitatilor cunoscute ale tuturor echipamentelor şi sistemelor, la nivel central, şi vor trebui evaluate permanent amenintarile la adresa sistemului, adaptate mereu la contramasurile adoptate prin reglementãri generale şi politicile locale de securitate pentru a minimiza riscurile;
b) sistemul trebuie protejat prin aranjarea unor arii de protecţie concentrice (minimum doua), separate prin bariere de netrecut şi puncte de acces bine definite pentru toate locatiile centrale şi terminale;
c) fiecare bariera trebuie sa oblige la întârzieri astfel încât contramasurile sa opreascã depãşirea barierei şi ajungerea la informaţiile care necesita protecţie de nivel ridicat;
d) se vor determina structurile critice ale sistemului din punct de vedere hard şi soft;
e) analiza structurilor critice se va face pentru infrastructura de suport (hard şi soft) şi separat pentru aplicatiile critice;
f) softul şi echipamentele folosite vor fi certificate din punct de vedere al securitãţii;
g) fiecare locatie aflatã în proprietatea distinctã a unei instituţii va fi consideratã un sistem de tehnologia informatiei separat, care va fi evaluat independent, conform politicii de securitate proprii;
h) conectarea la Centrul de management al Sistemului informatic integrat se va face dupã obţinerea avizului de funcţionare a reţelei locale şi dupã aprobarea procedurilor şi normelor de conectare conform documentaţiei întocmite în acest sens;
i) ariile de protecţie vor fi definite conform legilor şi reglementãrilor internaţionale şi naţionale (<>Hotãrârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, Directiva Organizaţiei Tratatului Atlanticului de Nord AC/35-D/2001 privind securitatea fizica);
j) administrarea Sistemului informatic integrat trebuie sa prevadã separarea funcţiilor de securitate de cele administrative;
k) sistemul va fi multinivel (în sensul <>Legii nr. 182/2002 şi al directivelor AC/35-D/2004 şi AC/35-D/2005 ale Organizaţiei Tratatului Atlanticului de Nord);
l) accesul la informaţii se va realiza conform principiului "need to know" (nevoia de a şti) conferit de legi, regulamente, protocoale;
m) structura de securitate va face analize de securitate semestrial şi va întocmi rapoarte de activitate (incidente);
n) cuplarea bazelor de date la Centrul de management al Sistemului informatic integrat se va face dupã acreditarea sistemului de securitate al instituţiei conformã reglementãrilor legale în vigoare la data cuplarii;
o) rapoartele de activitate vor cuprinde informaţii privind vulnerabilitatile cunoscute şi neacoperite, ameninţãri probabile, recomandãri de contramasuri, studii de caz, analize de incidente detectate.
(2) În faza de proiectare fizica a Sistemului informatic integrat se vor întocmi documentele necesare acreditãrii de securitate în conformitate cu practicile Organizaţiei Tratatului Atlanticului de Nord:
a) politica de protecţie a Sistemului informatic integrat;
b) profilul de protecţie (ameninţãri generale) pentru sistemul suport şi principalele aplicaţii;
c) obiectivele de securitate specifice Sistemului informatic integrat;
d) proiectul de plan de securitate.
(3) Evaluarea securitãţii Sistemului informatic integrat se va face separat pe componente esenţiale:
a) Centrul de management;
b) reţelele de terminale de la instituţii;
c) reţeaua de comunicaţii.
ART. 12
(1) Conform prevederilor <>art. 18 din titlul II cartea I din Legea nr. 161/2003 , în scopul asigurãrii protecţiei datelor, în ariile de responsabilitate ale Sistemului informatic integrat, pe lângã metodele, procedurile şi tehnologiile implementate la cererea administratorului Sistemului informatic integrat, instituţii din cadrul Sistemului naţional de apãrare vor furniza mecanisme, echipamente şi proceduri de securitate a datelor, utilizând tehnologii de tip PKI, pentru: generarea şi distribuţia cheilor primare, validarea cheilor şi certificarea cheilor.
(2) Desemnarea instituţiilor însãrcinate cu îndeplinirea prevederilor alin. (1) se va face prin hotãrâre a Guvernului, la propunerea Consiliului de conducere al Sistemului informatic integrat.
ART. 13
(1) În termen de 6 luni de la intrarea în vigoare a prezentei hotãrâri, instituţiile cu funcţie de administrare în Consiliul de conducere al Sistemului informatic integrat, conform hotãrârilor Consiliului Suprem de Apãrare a Tarii referitoare la Sistemul informatic integrat, au obligaţia de a adopta şi implementa mãsurile necesare în vederea operationalizarii Centrului de management al Sistemului informatic integrat, prin replicarea bazelor de date proprietare, cu respectarea normelor şi procedurilor aprobate prin prezenta hotãrâre.
(2) În termen de 12 luni de la intrarea în vigoare a prezentei hotãrâri, toate celelalte instituţii participante la Sistemul informatic integrat au obligaţia de a aplica prevederile art. 5.
(3) În vederea operationalizarii celor trei componente ale Sistemului Electronic Naţional în sensul complementaritatii dintre acestea, conform prevederilor <>art. 9 şi 11 din titlul II cartea I din Legea nr. 161/2003 , precum şi conform prevederilor hotãrârilor Consiliului Suprem de Apãrare a Tarii referitoare la Sistemul informatic integrat, pana la data de 1 februarie 2004, operatorii Sistemului Electronic Naţional vor lua mãsuri privind interconectarea Centrului Informatic Naţional al Bazelor de Date Integrate ale Ministerului Administraţiei şi Internelor, prevãzut la <>art. 32 din titlul II cartea I din Legea nr. 161/2003 , cu Centrul de management al Sistemului informatic integrat.
ART. 14
Normele şi procedurile interne ale Centrului de management al Sistemului informatic integrat, altele decât cele menţionate la art. 2-11 şi care urmeazã sa fie elaborate de Consiliul de conducere al Sistemului informatic integrat, trebuie sa fie în concordanta cu principiile conţinute în documentul CM 60/2002 al Organizaţiei Tratatului Atlanticului de Nord, în principal în sensul asigurãrii integritãţii şi disponibilitatii informaţiilor. Adoptarea acestora se face în urma aprobãrii lor de cãtre Consiliul Suprem de Apãrare a Tarii, precum şi de cãtre Guvern.
ART. 15
(1) Documentele de securitate ale Sistemului informatic integrat sunt:
a) Politica de protecţie - consta în declaraţiile generale de protecţie, filozofia de protecţie a administraţiei Sistemului informatic integrat, cooperarea din punct de vedere al securitãţii dintre administraţia sistemului şi partenerii la sistem;
b) Profilul de protecţie (PP) - descrierea condiţiilor generale de mediu şi mãsurile generale de protecţie ce deriva din vulnerabilitati, ameninţãri şi reglementãri ce privesc protecţia;
c) Profilul de protecţie specific (SP) - descrierea condiţiilor specifice şi mãsurile suplimentare date de specificitate;
d) Planul de protecţie - mãsurile de contracarare a amenintarilor şi vulnerabilitatilor pentru minimizarea riscurilor;
e) Procedurile operationale de securitate - implementarea mãsurilor de securitate din planul de securitate la nivelul fiecãrui post de lucru.
(2) Forma şi conţinutul documentelor de securitate ale Sistemului informatic integrat se aproba de cãtre Consiliul de conducere al acestuia conform metodologiilor şi normelor elaborate de O.R.N.I.S.S.
PRIM-MINISTRU
ADRIAN NASTASE
Contrasemneazã:
---------------
Directorul Serviciului Roman de Informaţii,
Alexandru-Radu Timofte
Ministrul comunicaţiilor
şi tehnologiei informatiei,
Dan Nica
Ministrul administraţiei şi internelor,
Ioan Rus
Ministrul finanţelor publice,
Mihai Nicolae Tanasescu
Bucureşti, 14 august 2003.
Nr. 952.
-----------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect: