Comunica experienta
MonitorulJuridic.ro
CAP. I Introducere SECŢIUNEA 1 Scop ART. 1 Prezenta metodologie de acreditare stabileşte cerinţele şi activitãţile aferente procesului de acreditare a entitãţilor evaluatoare a produselor şi soluţiilor de securitate IT, precum şi a sistemelor informatice şi de comunicaţii, naţionale, civile sau militare, denumite în continuare SIC, care vehiculeazã informaţii clasificate. ART. 2 Metodologia de acreditare a entitãţilor evaluatoare are urmãtoarele obiective: a) verificarea faptului cã entitatea evaluatoare satisface criteriile de calitate impuse prin regulile şi standardele specifice sau deţine certificat de calitate emis de o autoritate recunoscutã de cãtre Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS; b) verificarea faptului cã personalul entitãţii evaluatoare are nivelul de pregãtire tehnicã necesar pentru desfãşurarea activitãţilor aferente proceselor de evaluare; c) verificarea faptului cã entitatea evaluatoare are dotarea tehnicã necesarã desfãşurãrii activitãţilor pentru care solicitã acreditarea; d) verificarea faptului cã entitatea evaluatoare are capacitatea de a aplica criteriile de evaluare şi metodologiile asociate; e) verificarea faptului cã entitatea evaluatoare are implementat un sistem de protecţie a informaţiilor, conform cerinţelor impuse de procesul de evaluare. ART. 3 (1) Pentru a desfãşura activitatea de evaluare a produselor şi soluţiilor de securitate IT destinate utilizãrii în SIC care vehiculeazã informaţii clasificate, entitãţile evaluatoare trebuie sã îndeplineascã urmãtoarele condiţii: a) pentru evaluarea de produse şi soluţii de securitate IT, altele decât cele criptografice, trebuie sã fie acreditate de ORNISS; b) pentru evaluarea produselor criptografice, altele decât cele din categoria cifrului de stat, trebuie sã fie desemnate ca entitãţi evaluatoare în cadrul Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apãrãrii Naţionale (MApN) ori sã fie acreditate de ORNISS, cu acordul acestor instituţii. (2) Prin ordin al directorului general al ORNISS se stabileşte metodologia de acreditare a entitãţilor de evaluare a produselor criptografice, altele decât cele din categoria cifrului de stat. ART. 4 În vederea acreditãrii de cãtre ORNISS, entitãţile evaluatoare trebuie sã îndeplineascã criteriile de acreditare prevãzute în anexa nr. 1. SECŢIUNEA a 2-a Definiţii ART. 5 În cuprinsul prezentei metodologii de acreditare, urmãtorii termeni şi sintagme se definesc dupã cum urmeazã: a) acreditare - aprobarea acordatã de ORNISS entitãţilor evaluatoare, prin care acestea sunt autorizate sã desfãşoare activitãţile aferente procesului de evaluare a produselor şi soluţiilor de securitate IT, precum şi a SIC care vehiculeazã informaţii clasificate; b) evaluare - examinarea detaliatã, din punct de vedere tehnic şi funcţional, a aspectelor de securitate ale produselor şi soluţiilor de securitate IT. Prin procesul de evaluare se verificã cel puţin: 1. prezenţa facilitãţilor/funcţiilor de securitate cerute; 2. absenţa efectelor secundare compromiţãtoare care ar putea decurge din implementarea facilitãţilor de securitate; 3. funcţionalitatea globalã a produsului sau soluţiei de securitate IT; 4. nivelul de încredere al produselor şi soluţiilor de securitate IT; c) produs de securitate IT - orice element de securitate care se încorporeazã într-un SIC, în scopul asigurãrii sau sporirii confidenţialitãţii, integritãţii informaţiilor vehiculate şi a disponibilitãţii informaţiilor, resurselor şi serviciilor acestuia; d) soluţie de securitate IT - ansamblu de componente specifice de securitate ale unui SIC, necesare asigurãrii unui nivel corespunzãtor de protecţie pentru informaţiile clasificate care urmeazã a fi stocate, procesate sau transmise prin acesta. CAP. II Procesul de acreditare ART. 6 Procesul de acreditare a entitãţilor evaluatoare constã în parcurgerea urmãtoarelor etape: a) solicitarea acreditãrii şi pregãtirea documentaţiei de acreditare; b) analiza documentaţiei de acreditare; c) inspecţia de acreditare; d) realizarea unei evaluãri pilot pentru un produs sau o soluţie de securitate IT; e) luarea unei decizii privind acreditarea; f) emiterea documentelor conform deciziei de acreditare; g) activitãţi postacreditare. ART. 7 Schema de mai jos prezintã procesul de acreditare a entitãţilor evaluatoare ale produselor şi soluţiilor de securitate IT. Fiecare dintre activitãţile acestui proces este tratatã pe larg în prezenta metodologie de acreditare.
Responsabil Activitãţi Documente
Solicitantul Solicitarea
acreditãrii ┌───────────────────────┐ acordãrii -
│Solicitatea acreditãrii│ ◄───────┐ Adresa şi
└──────────╥────────────┘ │ documentaţia
║ │ de acreditare
▼ │
Comisia de ┌───────────────────────┐ │
acreditare ┌─► │Analiza documentaţiei │ │ Raport de
│ └──────────╥────────────┘ │ analizã a
│ ║ │ documentaţiei
┌────────┴───────┐ ▼ │
Solicitantul │ Corectarea │ . │
acreditãrii │ deficienţelor │ . . │
└────────┬───────┘ . . │
│ . . │ Raport al
└───────. Documentaţie . │ comisiei de
NU . completã . │ acreditare
. . │
. . │
. . │
. │
║ │
▼ DA │
┌──────────────────┐ │ Raportul
Comisia de │ Inspecţia de │ │ comisiei de
acreditare │ acreditare │ │ acreditare
└──────╥───────────┘ │
║ │
▼ │
┌──────────────────┐ │
┌──────────► │ Realizarea une │ │
Solicitantul ┌──────┴────────┐ │ evaluãri pilot │ │
acreditãrii │ Corectarea │ └───────╥──────────┘ │
│ deficientelor │ ║ │
└───────────────┘ ║ ┌───────┴───────┐
▲ ║ │ Corectarea │
Directorul┌────────┴───────────────┐ ║ │ deficienţelor │
general al│Emiterea Certificatului │ ▼ └───────────────┘
ORNISS │de acreditare temporarã │ . ▲
└────────────────────────┘ . . │
▲ . . Neacreditare │
│ . Decizia . │ Raport de
└────────. privind .─────────────┘ evaluare
Acreditarea . acreditarea .
temporarã . .
. .
. .
.
║ Acreditare
║ deplinã
▼
Directorul ┌─────────────────────────┐ Certificat de
general al │Eliberarea Certificatului│ Acreditare
ORNISS │ de acreditare │ Introducere în
└──────────╥──────────────┘ lista entitãţilor
║ evaluatoare
║ acreditate
▼
Comisi de ┌─────────────────────────┐
acreditare │Activitãţi postacreditare│
└─────────────────────────┘
Procesul de acreditare a entitãţilor evaluatoare ale produselor şi soluţiilor de securitate IT CAP. III Descrierea metodologiei de acreditare SECŢIUNEA 1 Solicitarea acreditãrii 1. Documente care trebuie înaintate la ORNISS ART. 8 Solicitarea acreditãrii se face prin transmiterea cãtre ORNISS, de cãtre reprezentantul legal al entitãţii evaluatoare, a unei cereri de acreditare. ART. 9 Cererea de acreditare trebuie sã fie însoţitã de urmãtoarele documente: a) copie a documentului oficial în baza cãruia se organizeazã şi funcţioneazã entitatea evaluatoare pentru care se solicitã acreditarea; b) copie a certificatului conţinând codul unic de identificare al entitãţii evaluatoare sau al persoanei juridice care solicitã acreditarea, dupã caz; c) un document oficial care sã precizeze cel puţin urmãtoarele: (i) lista cuprinzând numerele de înregistrare şi denumirea documentelor interne care stabilesc politica de securitate privind protecţia informaţiilor clasificate vehiculate în cadrul entitãţii evaluatoare; (ii) nivelul maxim de secretizare a informaţiilor care pot fi vehiculate în cadrul entitãţii evaluatoare; (iii) faptul cã personalul entitãţii evaluatoare implicat în procesul de evaluare deţine certificate de securitate corespunzãtoare nivelului de secretizare a informaţiilor la care acesta are acces, conform principiului necesitãţii de a cunoaşte; (iv) alte tipuri de acreditãri/certificãri obţinute de entitatea evaluatoare, considerate relevante pentru analiza solicitãrii, cum ar fi Certificat de acreditare de securitate pentru SIC din cadrul entitãţii evaluatoare, Certificat de zonare TEMPEST a locaţiilor entitãţii evaluatoare, Certificat de caracterizare TEMPEST a echipamentelor entitãţii evaluatoare etc.; d) un document oficial care sã cuprindã cel puţin: (i) prezentarea generalã a activitãţii desfãşurate de entitatea evaluatoare pânã în momentul solicitãrii acreditãrii; (ii) organigrama entitãţii evaluatoare; (iii) schema de relaţionare a entitãţii evaluatoare cu alte structuri interne ale persoanei juridice; (iv) atribuţiile şi responsabilitãţile compartimentelor din cadrul entitãţii evaluatoare; e) un document oficial care sã cuprindã: (i) lista cu numerele de înregistrare şi denumirile procedurilor privind sistemul calitãţii (Manualul calitãţii); (ii) lista instrumentelor hardware şi software din dotare şi/sau închiriate, utilizate pentru activitãţile pentru care se solicitã acreditarea; f) aspecte privind personalul implicat în activitãţile pentru care se solicitã acreditarea - pregãtirea personalului din punct de vedere profesional şi al securitãţii, certificãri de securitate; g) descrierea mãsurilor şi procedurilor de securitate ale entitãţii evaluatoare (administrarea securitãţii, securitatea fizicã, securitatea informaţiilor, securitatea personalului, INFOSEC); h) criterii şi proceduri specifice referitoare la desfãşurarea activitãţilor pentru care se solicitã acreditarea; i) documente din care sã reiasã experienţa acumulatã de entitatea evaluatoare în domeniul prestãrii de servicii de evaluare a produselor şi soluţiilor de securitate IT, dupã caz; j) orice alte informaţii relevante privind solicitantul, corelate cu cererea sa. ART. 10 Documentele prevãzute la art. 9 lit. a)-j) constituie documentaţia de acreditare. O copie a acestui dosar sau referinţe la documentele interne, dupã caz, trebuie sã fie transmise la ORNISS. ART. 11 În cazul în care documentaţia de acreditare nu este completã, ORNISS va informa solicitantul asupra acestui fapt, în vederea furnizãrii informaţiilor adiţionale necesare. ART. 12 Dacã documentaţia de acreditare este completã, ORNISS va înştiinţa solicitantul şi va demara etapa de analizã a documentaţiei. ART. 13 În cazul în care apar modificãri ale documentelor care constituie dosarul de acreditare, versiunile modificate trebuie transmise la ORNISS. ART. 14 Anexa nr. 2 prezintã, cu titlu de exemplu, un set de tipuri de proceduri care abordeazã aspectele enumerate mai sus. Procedurile pot face obiectul unor documente separate sau al unui document unitar, în funcţie de decizia conducerii persoanei juridice. Toate procedurile trebuie aprobate de reprezentantul legal al persoanei juridice solicitante. 2. Condiţii de acreditare ART. 15 Pentru ca entitatea evaluatoare sã fie acreditatã şi pentru pãstrarea statutului de entitate evaluatoare acreditatã, reprezentantul legal trebuie sã se angajeze în scris sã îndeplineascã urmãtoarele cerinţe: a) sã asigure respectarea criteriilor de acreditare stabilite în anexa nr. 1; b) sã cunoascã şi sã respecte prezenta metodologie de acreditare şi sã asigure condiţiile necesare pentru realizarea activitãţilor de verificare şi inspecţie; c) sã analizeze recomandãrile formulate de ORNISS şi sã asigure implementarea de mãsuri corective, dupã caz; d) sã respecte condiţiile impuse de ORNISS cu privire la modul de utilizare a certificatului de acreditare, conform prevederilor anexei nr. 3; e) sã notifice ORNISS, în termen de maximum 30 de zile, orice modificare majorã care poate afecta activitatea entitãţii evaluatoare, cum ar fi: (i) modificarea statutului juridic, a structurii organizatorice sau a acţionariatului; (ii) modificãri ale politicilor şi procedurilor interne de securitate, dupã caz; (iii) modificãri ale locaţiei; (iv) schimbarea reprezentantului legal sau a personalului abilitat sã semneze rapoartele de evaluare; (v) modificãri de personal, de echipamente, ale mediului operaţional sau ale altor resurse, dacã sunt semnificative pentru activitãţile pentru care entitatea evaluatoare este acreditatã; (vi) orice alte aspecte care pot afecta activitatea entitãţii evaluatoare sau respectarea de cãtre aceasta a criteriilor de acreditare; f) sã returneze la ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditãrii, în cazurile în care ORNISS constatã cã nu mai sunt menţinute condiţiile pentru care a fost acordatã acreditarea, precum şi la iniţiativa sa, odatã cu notificarea ORNISS despre decizia de a renunţa la efectuarea activitãţilor pentru care a fost acreditatã entitatea evaluatoare. SECŢIUNEA a 2-a Analiza documentaţiei ART. 16 ORNISS va întocmi şi va transmite solicitantului un raport de analizã a documentaţiei, în termen de 30 de zile de la data înregistrãrii la ORNISS a documentaţiei de acreditare complete, prevãzutã la art. 9. ART. 17 La primirea solicitãrii, directorul general al ORNISS dispune constituirea unei comisii de acreditare şi desemneazã o persoanã responsabilã cu managementul procesului de acreditare (care va reprezenta şi punctul de contact al ORNISS cu solicitantul). ART. 18 Comisia de acreditare este responsabilã de gestionarea procesului de acreditare pe toatã durata acestuia. ART. 19 Principalele responsabilitãţi ale comisiei de acreditare desemnate pentru gestionarea procesului de acreditare sunt: a) analiza documentaţiei transmise de solicitant; b) realizarea verificãrii preliminare a modului în care sunt satisfãcute criteriile de acreditare de cãtre solicitant; c) întocmirea raportului de verificare preliminarã şi formularea de propuneri referitoare la acordarea acreditãrii temporare sau a recomandãrilor necesare corectãrii anumitor aspecte negative constatate; d) realizarea inspecţiei de acreditare; e) întocmirea raportului de inspecţie şi formularea de propuneri privind decizia de acreditare; f) monitorizarea activitãţilor desfãşurate de cãtre entitatea evaluatoare, în baza acreditãrii acordate de ORNISS şi a menţinerii condiţiilor conform cãrora a fost acordatã acreditarea; g) formularea propunerilor cu privire la reacreditarea entitãţii evaluatoare, la expirarea certificatului de acreditare, pe baza unei noi solicitãri de acreditare; h) formularea propunerilor cu privire la retragerea acreditãrii, în cazul în care se constatã modificarea condiţiilor existente la momentul acordãrii certificatului de acreditare. ART. 20 În cazul în care comisia de acreditare constatã cã documentaţia de acreditare este completã şi corect întocmitã, va organiza inspecţia de acreditare la sediul entitãţii evaluatoare. ART. 21 În cazul în care documentaţia de acreditare necesitã completãri sau modificãri, ORNISS va informa entitatea evaluatoare în acest sens. Dupã corectarea deficienţelor, entitatea evaluatoare trebuie sã transmitã la ORNISS noua versiune a documentaţiei de acreditare, care va fi reanalizatã de comisia de acreditare, în scopul întocmirii unui nou raport de analizã. SECŢIUNEA a 3-a Inspecţia de acreditare ART. 22 Pentru a verifica posibilitãţile entitãţii evaluatoare solicitante de a îndeplini criteriile de acordare a certificatului de acreditare, enunţate în anexa nr. 1, ORNISS trebuie sã efectueze o inspecţie de acreditare la sediul solicitantului. ART. 23 Inspecţia de acreditare este realizatã de o echipã desemnatã de cãtre directorul general al ORNISS, la propunerea comisiei de acreditare, formatã din experţi din cadrul ORNISS şi, dupã caz, experţi din afara ORNISS, cu pregãtire tehnicã adecvatã şi autorizaţi corespunzãtor. ART. 24 Entitatea evaluatoare solicitantã trebuie informatã cu privire la componenţa echipei de inspecţie. În cazul în care existã motive obiective în ceea ce priveşte securitatea informaţiilor sau conflicte de interese, entitatea evaluatoare solicitantã poate refuza componenţa echipei de inspecţie. Motivaţia trebuie sã fie scrisã, însuşitã de reprezentantul legal al persoanei juridice din care face parte entitatea evaluatoare sau de reprezentantul legal al entitãţii evaluatoare, dacã aceasta are personalitate juridicã. ART. 25 Raportul întocmit de echipa care a realizat inspecţia de acreditare trebuie sã precizeze dacã entitatea evaluatoare solicitantã îndeplineşte sau nu criteriile pentru continuarea procesului de acreditare. ART. 26 În cazul în care rezultatele acestei inspecţii de acreditare confirmã faptul cã entitatea evaluatoare satisface criteriile de acreditare, aceasta este informatã în scris şi poate demara etapa de evaluare-pilot. SECŢIUNEA a 4-a Evaluarea-pilot ART. 27 În vederea verificãrii de cãtre ORNISS a faptului cã entitatea evaluatoare are capacitatea de a efectua în mod corect activitãţile pentru care solicitã acreditarea, entitatea evaluatoare are obligaţia sã efectueze o evaluare-pilot. ART. 28 Evaluarea-pilot trebuie sã se desfãşoare în conformitate cu procedurile de evaluare utilizate de solicitantul acreditãrii. Entitatea evaluatoare trebuie sã notifice la ORNISS stadiul procesului de evaluare-pilot. ART. 29 Dupã finalizarea evaluãrii-pilot, entitatea evaluatoare are obligaţia de a transmite la ORNISS raportul de evaluare. ART. 30 Comisia de acreditare poate organiza o nouã inspecţie la sediul entitãţii evaluatoare, pentru a verifica, în mod special, dacã recomandãrile formulate în cursul inspecţiei de acreditare au fost analizate şi au condus la acţiuni corective. ART. 31 Membrii echipei de inspecţie întocmesc raportul de inspecţie, care trebuie sã precizeze dacã entitatea evaluatoare îndeplineşte criteriile de acreditare enunţate în anexa nr. 1. ART. 32 Raportul întocmit de membrii echipei de inspecţie trebuie sã conţinã şi propuneri cu privire la decizia de acordare a acreditãrii entitãţii evaluatoare. SECŢIUNEA a 5-a Decizia privind acreditarea ART. 33 Dupã parcurgerea activitãţilor mai sus menţionate, la propunerea comisiei de acreditare, directorul general al ORNISS decide cu privire la acreditarea entitãţii evaluatoare. ART. 34 Opţiunile referitoare la acreditare sunt urmãtoarele: a) acreditarea deplinã - se acordã pentru o perioadã de maximum 3 ani, în cazul în care criteriile de acreditare sunt respectate; b) acreditarea temporarã - se acordã pentru o perioadã de maximum 12 luni, pentru a permite entitãţii evaluatoare sã realizeze evaluarea-pilot sau în cazul în care nu toate condiţiile de acreditare sunt îndeplinite. În certificatul de acreditare temporarã trebuie sã fie specificate condiţiile în care este acordatã acreditarea temporarã, precum şi activitãţile ce trebuie întreprinse şi realizate de solicitant înainte de obţinerea acreditãrii depline; c) neacreditarea - reprezintã decizia luatã în cazul în care se identificã deficienţe majore în îndeplinirea criteriilor de acreditare. ART. 35 În cazul în care se ia decizia acreditãrii depline sau temporare, directorul general al ORNISS emite certificatul de acreditare corespunzãtor. ART. 36 În certificatul de acreditare trebuie sã se precizeze activitãţile pentru care entitatea evaluatoare este acreditatã. Anexa nr. 4 prezintã un exemplu de astfel de activitãţi. Pentru fiecare tip de activitãţi, pe certificat pot fi înscrise clarificãri, restricţii sau completãri, dupã caz. ART. 37 Certificatul de acreditare trebuie utilizat de cãtre titular numai în scopul pentru care a fost emis. ART. 38 În cazul acordãrii acreditãrii, entitatea evaluatoare este inclusã în lista entitãţilor evaluatoare acreditate, publicatã pe site-ul web al ORNISS. ART. 39 Entitatea evaluatoare trebuie sã stabileascã o delimitare clarã între activitãţile autorizate prin certificatul de acreditare emis de ORNISS şi celelalte activitãţi pe care le realizeazã. Aceastã delimitare trebuie sã se reflecte în toate documentele oficiale emise de entitatea evaluatoare (oferte de servicii, contracte, rapoarte de evaluare etc.). SECŢIUNEA a 6-a Activitãţi postacreditare ART. 40 Pe toatã perioada de valabilitate a certificatului de acreditare, ORNISS trebuie sã desfãşoare inspecţii postacreditare, pentru a verifica menţinerea respectãrii criteriilor de acreditare. ART. 41 Inspecţiile postacreditare sunt realizate anual sau ori de câte ori ORNISS primeşte notificarea de la reprezentantul legal al entitãţii evaluatoare, cu privire la modificãri survenite în organizarea sau activitatea entitãţii, modificãri care pot influenţa procesul de evaluare pentru care entitatea a fost acreditatã. ART. 42 ORNISS trebuie sã ofere consultanţã cu privire la implicaţiile pe care diferite modificãri ale mediului operaţional le pot avea asupra desfãşurãrii activitãţii entitãţii evaluatoare şi, implicit, asupra acreditãrii. ART. 43 ORNISS trebuie sã menţinã o bazã de date care sã conţinã informaţii cu privire la toate entitãţile evaluatoare ale produselor şi soluţiilor de securitate IT acreditate. SECŢIUNEA a 7-a Modificarea domeniului de aplicabilitate a acreditãrii ART. 44 Procedura de modificare a domeniului de aplicabilitate a acreditãrii poate fi demaratã în urmãtoarele situaţii: a) la cererea entitãţii evaluatoare de lãrgire a sferei de activitãţi acreditate. Spre exemplu, dacã entitatea evaluatoare recruteazã noi experţi, dezvoltã metode noi sau achiziţioneazã echipamente noi, poate solicita o extindere a domeniului acreditãrii. Pentru a modifica domeniul tehnologic, trebuie înaintatã o nouã solicitare cãtre ORNISS, urmând a se relua întregul proces de acreditare; b) la cererea ORNISS, dacã se constatã o restrângere a capabilitãţilor entitãţii evaluatoare. De exemplu, dacã experţi ce deţin cunoştinţe tehnice importante pãrãsesc entitatea evaluatoare, ORNISS poate restrânge domeniul pentru care a fost emis certificatul de acreditare. 1. Modificãri la cererea entitãţii evaluatoare ART. 45 În cazul în care doreşte modificarea domeniului de aplicabilitate a acreditãrii, entitatea evaluatoare trebuie sã transmitã la ORNISS o solicitare în acest sens, împreunã cu toate elementele care susţin aceastã cerere. ART. 46 În termen de maximum 30 de zile de la data înregistrãrii solicitãrii, comisia de acreditare organizeazã şi efectueazã o inspecţie la sediul entitãţii evaluatoare pentru a verifica aceste elemente şi întocmeşte un raport în care formuleazã propuneri cu privire la modificarea solicitatã. ART. 47 Directorul general al ORNISS, la propunerea comisiei de acreditare, decide cu privire la modificarea sau pãstrarea domeniului de activitate pentru care a fost emis certificatul de acreditare. ART. 48 În cazul în care se decide modificarea domeniului de activitate, directorul general al ORNISS anuleazã vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximã de 3 ani. ART. 49 Reprezentantul legal al entitãţii evaluatoare are obligaţia de a remite vechiul certificat la ORNISS, în termen de maximum 10 zile de la data intrãrii în vigoare a noului certificat. 2. Modificarea la cererea ORNISS ART. 50 În cazul în care apar elemente care pot afecta calitatea activitãţilor pentru care o entitate evaluatoare este acreditatã, directorul general al ORNISS, la propunerea comisiei de acreditare, trimite entitãţii evaluatoare acreditate o notificare în care sunt identificate aceste elemente, precum şi riscurile pe care acestea le reprezintã pentru activitãţile pentru care a fost acordatã acreditarea. ART. 51 Notificarea trebuie sã precizeze un interval de timp, care sã nu depãşeascã 6 luni, în care entitatea evaluatoare trebuie sã dezvolte şi sã aplice mãsuri corective, pentru a avea dreptul sã pãstreze acreditarea. ART. 52 Comisia de acreditare trebuie sã organizeze şi sã realizeze o inspecţie la sediul entitãţii evaluatoare pentru verificarea mãsurilor corective implementate şi sã întocmeascã un raport cu propuneri referitoare la modificarea certificatului de acreditare. ART. 53 La sfârşitul perioadei stabilite, directorul general al ORNISS, la propunerea comisiei de acreditare, decide modificarea sau pãstrarea domeniului de acreditare. ART. 54 În cazul în care se decide modificarea domeniului de aplicabilitate a acreditãrii, directorul general al ORNISS anuleazã vechiul certificat şi emite un nou certificat de acreditare, cu valabilitate maximã de 3 ani. SECŢIUNEA a 8-a Reînnoirea acreditãrii ART. 55 Reprezentantul legal al entitãţii evaluatoare poate solicita ORNISS o reînnoire a certificatului de acreditare cu cel puţin 30 de zile înainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care îl deţine. ART. 56 Ca urmare a acestei solicitãri, ORNISS efectueazã o inspecţie la sediul entitãţii evaluatoare cu scopul de a verifica menţinerea criteriilor de acreditare şi îndeplinirea obligaţiilor ce revin entitãţii prin certificatul de acreditare. ART. 57 Raportul întocmit în urma inspecţiei trebuie sã conţinã propuneri cu privire la reacreditarea entitãţii evaluatoare. ART. 58 Directorul general al ORNISS, la propunerea comisiei de acreditare, ia decizia privind reacreditarea. ART. 59 În cazul în care entitatea evaluatoare nu doreşte reînnoirea acreditãrii, este suficient sã transmitã originalul certificatului de acreditare care a expirat, în termen de maximum 10 zile de la expirarea acestuia. ART. 60 În aceste condiţii, la expirarea valabilitãţii certificatului de acreditare, entitatea evaluatoare va fi înscrisã în lista entitãţilor evaluatoare a cãror acreditare a expirat, care se publicã pe site-ul web al ORNISS. SECŢIUNEA a 9-a Anularea sau suspendarea certificatului de acreditare ART. 61 Directorul general al ORNISS, la propunerea comisiei de acreditare, poate anula sau, dupã caz, suspenda certificatul de acreditare acordat unei entitãţi evaluatoare, în urmãtoarele situaţii: a) entitatea evaluatoare nu şi-a respectat obligaţiile ce îi revin conform certificatului de acreditare; b) entitatea evaluatoare nu a informat ORNISS sau a furnizat date false cu privire la informaţiile prevãzute la art.15 lit. e); c) a fost aprobatã modificarea domeniului de aplicabilitate a acreditãrii, în conformitate cu una dintre procedurile prevãzute la secţiunea a 7-a, şi este emis un nou certificat de acreditare; d) entitatea evaluatoare îşi modificã domeniul de activitate sau îşi înceteazã activitatea; e) din motive ce privesc apãrarea naţionalã sau siguranţa statului; f) în cazul în care nu sunt respectate criteriile de acreditare, au loc incidente de securitate care pot afecta calitatea activitãţii de evaluare, imaginea entitãţii evaluatoare etc. ART. 62 În cazul anulãrii certificatului de acreditare, entitatea evaluatoare are obligaţia de a transmite la ORNISS certificatul anulat, în termen de maximum 10 zile de la data anulãrii. 1. Anularea sau suspendarea certificatului de acreditare la cererea entitãţii evaluatoare ART. 63 În cazul în care entitatea evaluatoare decide sã îşi modifice domeniul de activitate sau sã îşi întrerupã activitatea are obligaţia de a informa ORNISS cu privire la aceastã decizie şi de a solicita anularea sau, dupã caz, suspendarea certificatului de acreditare. ART. 64 În aceastã situaţie, ORNISS anuleazã sau suspendã certificatul de acreditare şi retrage entitatea din lista entitãţilor evaluatoare acreditate. 2. Anularea sau suspendarea certificatului de acreditare la propunerea comisiei de acreditare ART. 65 Comisia de acreditare poate propune directorului general al ORNISS suspendarea certificatului de acreditare pe o perioadã care sã nu depãşeascã 6 luni. ART. 66 În acest interval, entitatea evaluatoare trebuie sã implementeze mãsuri corective, care sã conducã la îndeplinirea criteriilor de acreditare. ART. 67 La sfârşitul perioadei de suspendare, comisia de acreditare propune directorului general al ORNISS numirea unei noi echipe de inspecţie, care sã realizeze o inspecţie la sediul entitãţii evaluatoare, pentru a verifica conformitatea cu criteriile de acreditare. ART. 68 Ulterior inspecţiei, echipa de inspecţie întocmeşte un raport cu propuneri privind menţinerea sau anularea certificatului de acreditare. ART. 69 La propunerea comisiei de acreditare, directorul general al ORNISS poate anula certificatul de acreditare. 3. Consecinţele anulãrii/suspendãrii acreditãrii ART. 70 Entitatea evaluatoare este scoasã din lista entitãţilor evaluatoare acreditate. ART. 71 Entitatea evaluatoare nu mai are dreptul sã demareze o nouã activitate evaluatoare aflatã sub incidenţa certificatului de acreditare, iar evaluãrile în curs sunt suspendate. ART. 72 Entitatea evaluatoare trebuie sã punã la dispoziţia ORNISS toate datele referitoare la evaluãrile efectuate în baza certificatului de acreditare emis de ORNISS. ART. 73 Bibliografia actelor normative şi documentelor cu relevanţã în domeniu este prevãzutã în anexa nr. 5. ART. 74 Anexele nr. 1-5 fac parte integrantã din prezenta metodologie de acreditare. ANEXA 1 la metodologia de acreditare CRITERII DE ACREDITARE A. Management A.1. Cerinţe privind statutul juridic C1 Entitatea evaluatoare trebuie sã aibã personalitate juridicã. A.2. Cerinţe privind organizarea C2 În cazul în care entitatea evaluatoare face parte dintr-o persoanã juridicã cu un obiect de activitate mai larg, responsabilitãţile personalului de conducere care participã la activitãţile pentru care entitatea evaluatoare solicitã acreditarea sau care le poate influenţa trebuie clar definite, pentru a evita eventuale conflicte de interese. C3 Entitatea evaluatoare şi personalul sãu nu trebuie sã fie supuşi niciunor presiuni de ordin comercial, financiar sau de altã naturã, care sã le afecteze capacitatea de decizie sau calitatea activitãţilor întreprinse. De exemplu, orice presiune asupra deciziilor privind activitatea pentru care se solicitã acreditarea, exercitatã de persoane sau organizaţii din afara entitãţii evaluatoare, trebuie exclusã. C4 Entitatea evaluatoare nu trebuie sã fie implicatã în nicio activitate care poate avea un impact negativ asupra independenţei activitãţilor întreprinse. Procedurile aplicabile la nivelul entitãţii evaluatoare trebuie sã asigure respectarea acestei cerinţe. Termenul de separare a activitãţilor care pot influenţa evaluarea va fi de cel puţin 3 ani. De exemplu, dacã entitatea evaluatoare oferã şi servicii de consultanţã sau soluţii de securitate IT acestea nu trebuie în niciun fel sã afecteze independenţa evaluãrilor derulate de entitatea evaluatoare prin oferirea unor astfel de servicii simultan cu evaluarea. C5 Organizarea entitãţii evaluatoare şi responsabilitãţile acesteia trebuie atent şi clar definite. Atribuirea responsabilitãţilor trebuie sã fie fãcutã conform regulamentului intern de organizare şi funcţionare. Acest regulament trebuie sã specifice, suplimentar: ● persoana juridicã din care face parte entitatea evaluatoare şi care este modul de subordonare al acesteia; ● modul de organizare generalã a entitãţii evaluatoare şi structura managementului, cu precizarea responsabilitãţilor fiecãrei poziţii în activitãţile pentru care se solicitã acreditarea; ● modul de organizare a activitãţilor tehnice şi existenţa urmãtoarelor funcţii: - director tehnic - responsabil de operaţiile tehnice, gestioneazã resursele necesare asigurãrii calitãţii activitãţii de evaluare; - director pentru asigurarea calitãţii - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) care are responsabilitatea şi autoritatea de a asigura implementarea sistemului calitãţii. Directorul pentru asigurarea calitãţii trebuie sã participe la procesul de luare a deciziilor privind probleme de politici sau legate de resursele entitãţii evaluatoare; - şeful structurii de securitate/funcţionarul de securitate al entitãţii evaluatoare - (nu poate deţine în acelaşi timp şi funcţia de director tehnic) este însãrcinat cu definirea şi implementarea procedurilor de securitate în cadrul entitãţii evaluatoare. El va verifica aplicarea procedurilor. Aceeaşi persoanã poate deţine una sau mai multe funcţii dacã acest lucru este aprobat de directorul general, cu excepţia cazurilor menţionate mai sus. C6 Pentru a se asigura permanenţa îndeplinirii responsabilitãţilor ce revin funcţiilor de conducere, acestea pot fi delegate unor persoane nominalizate în documentaţie. C7 Responsabilitatea, autoritatea şi cãile de raportare trebuie definite pentru toţi membrii entitãţii evaluatoare implicaţi în activitãţile pentru care se solicitã acreditarea. C8 Conducerea entitãţii evaluatoare trebuie sã desemneze persoanele responsabile cu întocmirea şi semnarea rapoartelor aferente activitãţilor pentru care se solicitã acreditarea. C9 Toate detaliile comerciale privind activitãţile pentru care se solicitã acreditarea trebuie sã fie stabilite prin contract între entitatea evaluatoare sau persoana juridicã din care face parte, beneficiarul serviciilor prestate de entitatea evaluatoare şi, în anumite cazuri, subcontractori. A.3. Sistemul de asigurare a calitãţii C10 Entitatea evaluatoare trebuie sã opereze şi sã menţinã un sistem de calitate adecvat pentru activitatea pentru care se solicitã acreditarea. Deţinerea unei certificãri a calitãţii emise de o autoritate de certificare autorizatã reprezintã un element în favoarea acordãrii certificatului de acreditare. C11 Entitatea evaluatoare trebuie sã dezvolte şi sã aplice proceduri şi instrucţiuni, pentru a asigura calitatea activitãţilor pentru care se solicitã acreditarea. Personalul trebuie sã aibã acces la aceastã documentaţie, sã o studieze, sã o înţeleagã şi sã o implementeze. Toţi membrii implicaţi în activitãţi pentru care se solicitã acreditarea trebuie sã cunoascã sistemul de asigurare a calitãţii implementat în cadrul entitãţii evaluatoare. C12 Obiectivele sistemului de asigurare a calitãţii trebuie sã fie definite într-o politicã de calitate (Manualul calitãţii). Manualul calitãţii trebuie sã includã un angajament al conducerii entitãţii evaluatoare privind asigurarea unei practici profesionale bune şi a unei calitãţi superioare a activitãţilor pentru care se solicitã acreditarea. De asemenea, trebuie sã includã obiectivele sistemului de calitate şi obligaţia ca personalul entitãţii evaluatoare sã cunoascã documentaţia şi sã aplice procedurile. Manualul calitãţii trebuie, de asemenea, sã conţinã angajamentul conducerii de a respecta criteriile de acreditare. C13 Manualul calitãţii trebuie sã stabileascã structura documentaţiei legate de sistemul de asigurare a calitãţii şi trebuie sã conţinã sau sã facã referire la procedurile implementate în cadrul entitãţii evaluatoare (incluzând procedurile tehnice). C14 Manualul calitãţii trebuie sã stabileascã rolurile şi responsabilitãţile personalului de conducere şi ale celui din poziţii cheie pentru activitãţile pentru care se solicitã acreditarea. C15 Entitatea evaluatoare trebuie sã defineascã procedurile necesare administrãrii tuturor documentelor referitoare la sistemul de asigurare a calitãţii, cum sunt regulamentele, standardele, metodele de evaluare şi alte documente aferente (instrucţiuni, manuale etc.). În special trebuie definite procedurile referitoare la modificãri, aprobãri şi circuitul documentelor. A.4. Cerinţe de securitate C16 Entitatea evaluatoare trebuie sã defineascã o politicã de securitate, specificând metodele şi condiţiile referitoare la protecţia informaţiilor clasificate aflate în posesia sa. Politica de securitate trebuie aprobatã de Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), iar implementarea sa este responsabilitatea funcţionarului de securitate/structurii de securitate. Toate persoanele participante la activitãţile pentru care se solicitã acreditarea trebuie sã cunoascã şi sã respecte aceastã politicã. A.4.1. Proceduri de securitate C17 Politica de securitate trebuie sã defineascã: - obiectivele securitãţii; ● structura desemnatã cu realizarea acestor obiective; ● procedurile de securitate pentru: - protecţia/securitatea locaţiei; - securitatea personalului; - conştientizarea personalului implicat în activitãţile pentru care se solicitã acreditarea; - protecţia informaţiilor legate de activitãţile pentru care se solicitã acreditarea; - controlul accesului la informaţii; - protecţia arhivelor şi a comunicaţiilor; - accesul vizitatorilor în entitatea evaluatoare. Lista nu este exhaustivã, fiind prezentatã cu titlu exemplificativ; ● prevederile referitoare la situaţiile anormale identificate în aplicarea politicii şi acţiunile corective ce se impun în aceste situaţii. C18 Politica de securitate trebuie sã prevadã managementul informaţiilor clasificate, indiferent de formatul acestora (hârtie, electronic). A.4.2. Securitatea personalului C19 Dacã în cursul activitãţilor pe care le desfãşoarã personalul entitãţii evaluatoare trebuie sã aibã acces la informaţii clasificate, acesta trebuie sã deţinã certificat de securitate, conform prevederilor legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat. C20 Personalul implicat în activitãţile pentru care se solicitã acreditarea trebuie sã semneze un angajament din care sã reiasã cã a luat cunoştinţã de şi se angajeazã sã aplice prevederile legislaţiei naţionale în domeniul protecţiei informaţiilor clasificate secret de stat şi procedurile de securitate aplicabile în entitatea evaluatoare. C21 Personalul trebuie sã fie instruit sã aplice procedurile de securitate stabilite prin politica de securitate. A.4.3. Securitatea informaţiilor C22 Entitatea evaluatoare trebuie sã dezvolte şi sã aplice proceduri prin care sã asigure protecţia informaţiilor vehiculate în cursul activitãţilor pentru care se solicitã acreditarea. Aceste proceduri trebuie sã includã urmãtoarele, dar sã nu se limiteze la acestea: ● securitatea conturilor de utilizatori (securitatea intrãrilor în sistem, proceduri de autentificare, parole etc.); ● separarea accesului la date (separarea datelor aferente activitãţilor acreditate de cele aferente altor activitãţi, separarea datelor provenite de la diferite activitãţi acreditate, protejarea datelor transmise în afara entitãţii evaluatoare, inclusiv prin mecanisme criptografice etc.); ● securitatea comunicaţiilor dintre entitatea evaluatoare şi partenerii sãi (beneficiari, subcontractanţi), dacã este cazul, sau dintre angajaţii entitãţii evaluatoare, atunci când aceştia transmit informaţii clasificate prin intermediul unor reţele nesecurizate; ● protecţia datelor (arhivare, copii de siguranţã, refacerea datelor etc.). C23 Toţi membrii entitãţii evaluatoare trebuie sã asigure protecţia informaţiilor referitoare la contract, la client şi la activitãţile pentru care se solicitã acreditarea. C24 Entitatea evaluatoare trebuie sã asigure protecţia informaţiilor clasificate, cu respectarea principiului "nevoii de a cunoaşte". A.5. Subcontractarea C25 Subcontractarea unor procese aferente activitãţilor pentru care se solicitã acreditarea trebuie sã se realizeze numai în situaţii de excepţie şi trebuie notificatã la ORNISS. C26 Dacã subcontractarea este necesarã, aceasta se va realiza numai cu entitãţi acreditate de ORNISS. Dacã subcontractantul nu este o entitate evaluatoare acreditatã, trebuie ca activitãţile subcontractate sã nu presupunã acces la informaţii clasificate. B. Locaţiile şi echipamentul entitãţii evaluatoare B.1. Locaţiile şi mediul C27 Entitatea evaluatoare trebuie sã deţinã locaţii tehnice speciale pentru activitãţile pentru care solicitã acreditarea (birouri, platforme pentru testãri, sãli de şedinţe etc.). C28 Mãsurile de securitate fizicã şi controalele de mediu implementate trebuie sã fie în concordanţã cu activitãţile pentru care se solicitã acreditarea. B.2. Instrumente şi echipamente C29 Toate echipamentele necesare desfãşurãrii activitãţilor pentru care se solicitã acreditarea trebuie sã fie disponibile în cadrul entitãţii evaluatoare. Entitatea evaluatoare trebuie sã aibã suficiente resurse pentru desfãşurarea activitãţii solicitate. C30 Dacã, în mod excepţional, entitatea evaluatoare trebuie sã utilizeze echipamente din afara persoanei juridice, trebuie sã demonstreze faptul cã echipamentele utilizate oferã calitatea şi mãsurile de securitate necesare. Personalul entitãţii evaluatoare trebuie sã fie calificat pentru utilizarea echipamentelor. În plus, trebuie sã se defineascã clar, în proceduri, mãsurile de protecţie a informaţiilor clasificate procesate de echipamente. C31 Toate instrumentele utilizate în activitãţile pentru care se solicitã acreditarea trebuie sã fie marcate şi înregistrate (de exemplu, un cod unic). Trebuie implementat un management al configuraţiei şi amplasãrii echipamentelor. Sistemul de management al configuraţiei trebuie sã permitã auditarea schimbãrilor aduse instrumentelor. Fiecare echipament sau produs software ce poate influenţa activitãţile pentru care se solicitã acreditarea trebuie înregistrat. Trebuie sã se asigure repetabilitatea şi reproductibilitatea rezultatelor evaluãrii. C32 Echipamentele pot fi utilizate numai de cãtre personalul autorizat. Accesul la instrumentele evaluatoare trebuie sã fie controlat. Operarea şi administrarea instrumentelor trebuie sã se execute conform unor instrucţiuni cunoscute de cãtre personalul autorizat. C. Pregãtirea personalului în domeniul tehnic C33 Entitatea evaluatoare trebuie sã aibã personal cu experienţa necesarã pentru desfãşurarea activitãţilor pentru care se solicitã acreditarea. Personalul angajat C34 Personalul entitãţii evaluatoare trebuie sã aibã competenţa şi experienţa necesare în domeniul tehnologiei informaţiei şi în cel al evaluãrii produselor şi/sau soluţiilor de securitate IT. C35 Entitatea evaluatoare are responsabilitatea de a asigura instruirea angajaţilor desemnaţi sã utilizeze instrumente specifice, sã îndeplineascã activitãţi pentru care se solicitã acreditarea şi sã semneze rapoartele de evaluare. Angajaţii aflaţi în perioada de instruire trebuie supravegheaţi de personal cu experienţã. C36 Procedura de recrutare a personalului entitãţii evaluatoare trebuie sã reflecte responsabilitãţile ce revin entitãţii evaluatoare ca urmare a acreditãrii. Procedura va include o verificare a candidaţilor, pentru a se asigura faptul cã întrunesc criteriile de acreditare. C37 Fiecare angajat al entitãţii evaluatoare trebuie înştiinţat în legãturã cu responsabilitãţile sale. Acest lucru implicã o definire a tuturor responsabilitãţilor legate de activitãţile pentru care se solicitã acreditarea. C38 Entitatea evaluatoare trebuie sã precizeze obiectivele programelor de instruire şi perfecţionare a angajaţilor sãi. Pentru identificarea nevoilor de instructaj şi pentru realizarea unui program de instruire coerent, trebuie elaborate şi aplicate proceduri specifice. Sesiunile de perfecţionare trebuie legate de activitãţile pentru care se solicitã acreditarea. NOTÃ: Programul trebuie sã includã o instruire în ceea ce priveşte criteriile de evaluare şi tehnologiile asociate. C39 Entitatea evaluatoare trebuie sã pãstreze actualizate fişele posturilor pentru personalul de conducere, personalul tehnic şi cei cu posturi cheie ce participã la activitãţile pentru care se solicitã acreditarea. NOTÃ: ORNISS trebuie informat de activitatea personalului entitãţii evaluatoare, pentru a se asigura cã asemenea activitate este compatibilã cu domeniul acreditãrii. C40 Entitatea evaluatoare trebuie sã ia mãsuri cu privire la schimbarea personalului. Este importantã evitarea încheierii unui numãr prea mare de contracte pe termen scurt şi a angajãrii persoanelor fãrã experienţã în domeniu. C41 Activitatea de bazã a angajaţilor entitãţii evaluatoare trebuie sã fie cea de evaluare a produselor şi soluţiilor de securitate IT, servicii de consultanţã sau instructaje de securitate. Angajaţii entitãţii evaluatoare pot fi implicaţi în alte activitãţi decât cele menţionate anterior, pe perioade limitate, dar activitatea lor trebuie sã fie compatibilã cu activitatea pentru care se solicitã acreditarea. D. Metode şi proceduri de lucru D.1 Metode C42 Entitatea evaluatoare trebuie sã deţinã o metodologie pentru fiecare activitate inclusã în aria de acoperire a acreditãrii. Metodologia trebuie sã fie cuprinsã într-un standard internaţional sau naţional. C43 Entitatea evaluatoare poate dezvolta metode proprii, dacã nu existã alte metode sau dacã nu a fost adaptatã o metodã generalã. Cercetarea metodelor trebuie sã fie o activitate planificatã şi va fi realizatã de personal calificat şi care dispune de resurse adecvate. C44 Entitatea evaluatoare trebuie sã aprobe la nivel intern metodele de evaluare (incluzând testarea şi atacurile) ce au fost cercetate, în scopul confirmãrii faptului cã sunt indicate pentru utilizarea cerutã. Aprobarea se realizeazã cu ajutorul proiectelor-pilot. C45 Trebuie întocmitã o documentaţie completã pentru toate metodele, procedurile sau instrucţiunile utilizate pentru desfãşurarea activitãţilor pentru care se solicitã acreditarea. C46 Pe parcursul desfãşurãrii activitãţilor pentru care se solicitã acreditarea, entitatea evaluatoare trebuie sã respecte metodele aprobate. D.2 Registre C47 Toate registrele ce conţin date referitoare la activitãţile pentru care se solicitã acreditarea (observaţii, date etc.) trebuie pãstrate. Aceste registre trebuie sã conţinã suficiente informaţii pentru a permite repetarea activitãţilor la parametrii cât mai apropiaţi de original. De asemenea, în registru trebuie sã se specifice şi persoana care a realizat activitatea. D.3 Rapoarte de evaluare C48 Toate rapoartele de evaluare trebuie aprobate în cadrul entitãţii evaluatoare, înainte de a fi oferite solicitanţilor. C49 Toate rapoartele evaluãrilor, inclusiv rapoartele transmise în format electronic, înaintate solicitanţilor şi ORNISS, trebuie semnate de o persoanã autorizatã (conform criteriului 8). C50 Rapoartele de evaluare trebuie pãstrate de entitatea evaluatoare pe o perioadã de minimum 10 ani. ANEXA 2 la metodologia de acreditare EXEMPLE DE TIPURI DE PROCEDURI A. Proceduri privind managementul activitãţii entitãţii evaluatoare a) Organizare
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri prin care sã se evite influenţarea reciprocã, în mod negativ, │
│ │a departamentelor aflate în posibile conflicte de interese (producţie, │
│ │marketing, financiar) │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Politici şi proceduri pentru evitarea implicãrii entitãţii evaluatoare în│
│ │activitãţi care pot diminua încrederea în competenţa, imparţialitatea, │
│ │analiza sau integritatea sa operaţionalã │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Politici şi proceduri care sã asigure: │
│ │- protecţia informaţiilor confidenţiale despre clienţi │
│ │- protecţia drepturilor de proprietate ale clienţilor │
│ │- protecţia mijloacelor electronice de stocare, procesare şi de │
│ │ transmitere a informaţiilor │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 4. │Proceduri privind supravegherea corespunzãtoare a personalului care │
│ │efectueazã testãrile, analiza rezultatelor şi evaluãrile │
└────┴─────────────────────────────────────────────────────────────────────────┘
b) Sistemul calitãţii
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Documente privind politicile, sistemele, programele, procedurile şi │
│ │instrucţiunile pentru asigurarea calitãţii rezultatelor evaluãrii │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Politica de calitate │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri aferente activitãţii de evaluare sau care pot influenţa aceste │
│ │activitãţi │
└────┴─────────────────────────────────────────────────────────────────────────┘
c) Managementul documentelor referitoare la sistemul de calitate
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru managementul tuturor documentelor, elaborate pe plan │
│ │intern sau obţinute din surse externe, cum ar fi: reglementãri, │
│ │standarde, alte acte normative, metode de testare, precum şi schiţe, │
│ │software, specificaţii, instrucţiuni, manuale etc. │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru controlul documentelor, care sã stabileascã modul de │
│ │luare în evidenţã, modul de operare a modificãrilor, situaţia revizuirii,│
│ │distribuirea documentelor, managementul documentelor nule │
└────┴─────────────────────────────────────────────────────────────────────────┘
d) Analiza solicitãrilor, propunerilor şi contractelor
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │ Proceduri pentru analiza solicitãrilor, propunerilor şi contractelor │
└────┴─────────────────────────────────────────────────────────────────────────┘
e) Subcontractarea unor activitãţi aferente procesului de testare
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri de subcontractare a unor activitãţi aferente procesului de │
│ │testare şi evaluare │
└────┴─────────────────────────────────────────────────────────────────────────┘
f) Achiziţionarea serviciilor şi resurselor
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru selectarea şi achiziţia serviciilor şi resurselor pe │
│ │care le utilizeazã şi care pot influenţa calitatea evaluãrilor │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru achiziţionarea, primirea şi stocarea unor produse şi a │
│ │unor materiale consumabile relevante pentru activitãţile de evaluare │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri care sã asigure cã resursele materiale achiziţionate, care │
│ │influenţeazã calitatea evaluãrilor nu sunt utilizate decât dupã ce au │
│ │fost inspectate sau verificate pentru a se determina dacã sunt în │
│ │conformitate cu specificaţiile ori cu cerinţele standard definite în │
│ │metodele pentru evaluãrile implicate │
└────┴─────────────────────────────────────────────────────────────────────────┘
g) Servicii oferite clienţilor
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1 │Proceduri privind colaborarea cu clienţii sau cu reprezentanţii lor │
└────┴─────────────────────────────────────────────────────────────────────────┘
h) Reclamaţii
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru soluţionarea reclamaţiilor primite din partea clienţilor│
│ │sau a altor pãrţi │
└────┴─────────────────────────────────────────────────────────────────────────┘
i) Controlul efectuat în cazul în care activitatea de evaluare este necorespunzãtoare
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri privind managementul activitãţilor neconforme, a unor │
│ │potenţiale probleme în sistemul de calitate sau în activitãţile de │
│ │evaluare │
└────┴─────────────────────────────────────────────────────────────────────────┘
j) Mãsuri corective
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1 │Proceduri pentru implementarea mãsurilor corective │
└────┴─────────────────────────────────────────────────────────────────────────┘
k) Mãsuri de prevenire
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Planuri de mãsuri pentru reducerea posibilitãţii de apariţie a unor │
│ │neconformitãţi │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri de control al eficienţei mãsurilor de prevenire │
└────┴─────────────────────────────────────────────────────────────────────────┘
l) Controlul înregistrãrilor
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru identificarea, colectarea, indexarea, accesarea, │
│ │îndosarierea, stocarea, întreţinerea şi dispunerea înregistrãrilor │
│ │(certificatelor) tehnice şi a celor privind calitatea │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru protecţia şi refacerea înregistrãrilor stocate în format│
│ │electronic şi pentru prevenirea accesului sau modificãrii neautorizate a │
│ │acestor înregistrãri │
└────┴─────────────────────────────────────────────────────────────────────────┘
m) Audit intern
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri privind efectuarea periodicã a unui audit intern al entitãţii │
│ │evaluatoare │
└────┴─────────────────────────────────────────────────────────────────────────┘
n) Analizele efectuate de conducere
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri privind efectuarea periodicã, de cãtre conducerea executivã a │
│ │entitãţii evaluatoare, a unei analize a sistemului de calitate │
│ │implementat în cadrul entitãţii evaluatoare şi a activitãţilor de │
│ │ evaluare │
└────┴─────────────────────────────────────────────────────────────────────────┘
B. Cerinţe tehnice privind acreditarea a) Personalul
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri privind asigurarea instruirii personalului care utilizeazã │
│ │echipamentul specific, efectueazã evaluãri, evalueazã rezultatele şi │
│ │semneazã rapoartele de testare şi certificatele de evaluare │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri prin care sã se asigure o supraveghere adecvatã a personalului │
│ │în curs de pregãtire │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri de actualizare a fişelor de post pentru personalul de │
│ │conducere, tehnic şi personalul-cheie suplimentar implicat în efectuarea │
│ │de evaluãri │
└────┴─────────────────────────────────────────────────────────────────────────┘
b) Condiţiile de mediu şi cele referitoare la amplasare
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri de monitorizare, control şi înregistrare a condiţiilor de │
│ │mediu, în situaţia în care acestea influenţeazã calitatea rezultatelor │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru oprirea activitãţilor de evaluare atunci când condiţiile│
│ │de mediu pot periclita rezultatele acestora │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri de control al accesului şi al utilizãrii zonelor în care poate │
│ │fi afectatã calitatea evaluãrii │
└────┴─────────────────────────────────────────────────────────────────────────┘
c) Metodele de evaluare şi validarea acestor metode
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri şi metode corespunzãtoare pentru evaluãrile din sfera de │
│ │activitate a entitãţii evaluatoare │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Instrucţiuni privind utilizarea şi operarea echipamentelor relevante, │
│ │precum şi mânuirea şi pregãtirea elementelor în vederea evaluãrii │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri de verificare a faptului cã entitatea evaluatoare are │
│ │capacitatea de a utiliza corespunzãtor metodele standard, înainte de a │
│ │realiza evaluãrile │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 4. │Proceduri de introducere a unor metode de evaluare proprii │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 5. │Proceduri de validare a metodelor dezvoltate de entitatea evaluatoare │
│ │înainte de a fi utilizate │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 6. │Proceduri de estimare a gradului de incertitudine al mãsurãtorilor pentru│
│ │toate evaluãrile realizate de entitatea evaluatoare │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 7. │Proceduri pentru validarea configuraţiei/modificãrilor aplicaţiilor │
│ │software ale entitãţii evaluatoare │
└────┴─────────────────────────────────────────────────────────────────────────┘
d) Echipamentul
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Procedurã de marcare şi înregistrare a fiecãrui echipament şi a fiecãrei │
│ │aplicaţii software utilizate pentru evaluare şi care sunt relevante │
│ │pentru rezultatul acestui proces │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri privind înregistrarea fiecãrui echipament şi fiecãrei aplicaţii│
│ │software relevante pentru evaluãrile efectuate │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri pentru │
│ │- mânuirea, │
│ │- transportul, │
│ │- stocarea, │
│ │- utilizarea, │
│ │- întreţinerea │
│ │planificatã a echipamentului, pentru a se asigura funcţionarea corectã │
│ │şi pentru a se preveni deteriorarea acestuia │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 4. │Proceduri suplimentare pentru cazul în care echipamentul de mãsurã este │
│ │utilizat pentru evaluãri în afara locaţiei permanente │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 5. │Proceduri conform cãrora echipamentele care au fost supuse unei supra- │
│ │solicitãri sau care au fost mânuite necorespunzãtor, care au dat │
│ │rezultate suspecte, sunt defecte ori ai cãror parametrii de funcţionare │
│ │sunt în afara limitelor specifice, sã fie scoase din uz │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 6. │Proceduri conform cãrora, atunci când, din diferite motive, echipamentul │
│ │iese în afara locaţiei permanente a entitãţii evaluatoare, aceasta sã │
│ │verifice funcţionarea şi parametrii de funcţionare, înainte ca acesta sã │
│ │fie repus în funcţiune │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 7. │Proceduri privind efectuarea verificãrilor intermediare, atunci când sunt│
│ │necesare, pentru a se pãstra încrederea în parametrii de funcţionare ai │
│ │echipamentului │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 8. │Proceduri privind actualizarea copiilor (de exemplu, a aplicaţiilor │
│ │software) în cazul în care evaluãrile ulterioare introduc factori │
│ │corectori │
└────┴─────────────────────────────────────────────────────────────────────────┘
e) Trasabilitatea (urmãrirea traseului) mãsurãtorii
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru etalonarea echipamentelor utilizate în activitatea │
│ │pentru care se solicitã acreditarea │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru │
│ │- selectarea, │
│ │- utilizarea, │
│ │- etalonarea, │
│ │- verificarea, │
│ │- controlul, │
│ │- menţinerea │
│ │standardelor de mãsurare şi a echipamentelor de mãsurare şi testare │
│ │utilizate pentru efectuarea evaluãrilor │
└────┴─────────────────────────────────────────────────────────────────────────┘
f) Stocarea de eşantioane
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru stocarea de eşantioane necesare evaluãrii │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru înregistrarea datelor şi operaţiilor relevante legate de│
│ │stocarea de eşantioane │
└────┴─────────────────────────────────────────────────────────────────────────┘
g) Gestionarea elementelor supuse evaluãrii
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri pentru │
│ │- transportul, │
│ │- primirea, │
│ │- înregistrarea şi marcarea, │
│ │- mânuirea, │
│ │- protecţia, │
│ │- stocarea, │
│ │- pãstrarea │
│ │elementelor supuse evaluãrii, pentru protecţia integritãţii acestora şi │
│ │pentru a proteja interesele entitãţii evaluatoare şi ale solicitanţilor │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri pentru evitarea deteriorãrii, pierderii sau degradãrii │
│ │elementului supus evaluãrii, pe perioada în care acesta se aflã în │
│ │responsabilitatea entitãţii evaluatoare │
└────┴─────────────────────────────────────────────────────────────────────────┘
h) Asigurarea calitãţii rezultatelor evaluãrii
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri privind controlul calitãţii prin monitorizarea evaluãrilor │
│ │efectuate │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Proceduri de înregistrare a datelor rezultate, care sã permitã detectarea│
│ │tendinţelor │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Proceduri de evaluare repetate utilizându-se aceleaşi metode sau metode │
│ │diferite │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 4. │Proceduri de corelare a rezultatelor, pentru fiecare caracteristicã │
│ │analizatã pentru un element │
└────┴─────────────────────────────────────────────────────────────────────────┘
i) Raportarea rezultatelor
┌────┬─────────────────────────────────────────────────────────────────────────┐
│ 1. │Proceduri de raportare a rezultatelor evaluãrii │
└────┴─────────────────────────────────────────────────────────────────────────┘
C. Instrucţiuni de lucru specifice pentru fiecare dintre activitãţile pentru care se solicitã acreditarea Evaluarea securitãţii pe care o pot asigura produsele şi sistemele informatice şi de comunicaţii se realizeazã în conformitate cu standarde naţionale şi standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO şi UE. ANEXA 3 la metodologia de acreditare CONDIŢII de utilizare a certificatului de acreditare Pentru a fi acreditat şi a menţine acest statut, entitatea evaluatoare trebuie sã respecte urmãtoarele condiţii de utilizare a certificatului de acreditare. Nerespectarea acestor condiţii poate avea ca rezultat suspendarea sau anularea acreditãrii. a) entitatea evaluatoare trebuie sã aibã o politicã şi o procedurã pentru a controla utilizarea certificatului de acreditare; b) certificatul de acreditare nu trebuie sã fie utilizat într-o manierã care sã discrediteze Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS) sau sã denatureze scopul acreditãrii unei entitãţi evaluatoare; c) atunci când face referire la certificatul de acreditare, entitatea evaluatoare trebuie sã precizeze clar statutul acreditãrii; d) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activitãţi desfãşurate de entitatea evaluatoare, dar care nu intrã în sfera acreditãrii emise de ORNISS, trebuie sã se facã o delimitare clarã a acestor date; e) în cazul în care rapoartele de testare sau certificatele de evaluare emise de entitatea evaluatoare conţin şi date rezultate din activitãţi desfãşurate de subcontractanţi, trebuie sã se specifice faptul cã acreditarea emisã de ORNISS se referã numai la activitãţile de testare efectuate de entitatea evaluatoare; f) atunci când certificatul de acreditare este menţionat într-un contract sau într-o propunere de ofertã trebuie sã se specifice domeniul acreditãrii şi statutul acesteia. ANEXA 4 la metodologia de acreditare ACTIVITÃŢI pentru care este necesarã acreditarea de cãtre Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS) A. SECURITATEA COMPUTERELOR - COMPUSEC A.1. Audit de securitate pentru reţele IT - inspectarea on-site a serverelor, a sistemelor şi a celorlalte echipamente conectate la reţea, a aplicaţiilor care ruleazã; - evaluarea sistemelor active şi pasive de detecţie a intruziunilor; - interviuri cu specialiştii organizaţiei; - analize de configuraţii hardware/software; - evaluarea politicilor de securitate; - scanarea vulnerabilitãţilor; - teste de penetrare. A.2. Audit de securitate pentru servere - identificarea şi cercetarea vulnerabilitãţilor serverelor prin: - simularea unui atac exterior asupra serverului, folosind o serie de metodologii de depistare, identificare şi documentare a vulnerabilitãţilor; - examinarea programelor şi configuraţiilor programelor care ruleazã pe server şi prin evaluarea nivelului de securitate oferit de sistemele de securitate pasive şi active disponibile. A.3. Evaluare produse de securitate IT*1)__________ *1) Prin produs de securitate IT se înţelege orice element de securitate care se încorporeazã într-un sistem IT în scopul asigurãrii sau sporirii confidenţialitãţii, integritãţii sau disponibilitãţii informaţiilor vehiculate. Activitatea de evaluare poate include: - testare şi evaluare aplicaţii software: - parcurgerea codului-sursã al aplicaţiei pentru a gãsi potenţiale breşe de securitate; - supunerea aplicaţiei la diverse teste de anduranţã şi fiabilitate, pentru a testa comportamentul acesteia la o utilizare intensivã, incompletã sau incorectã; - testare şi evaluare produse hardware B. SECURITATEA COMUNICAŢIILOR - COMSEC B.1. Evaluarea produselor criptografice Activitatea de evaluare poate include: - testare şi evaluare a nivelului de securitate a produselor criptografice (hardware, software, soluţii integrate): - analiza specificaţiilor modulului criptografic; - analiza posturilor şi interfeţelor modulului criptografic; - analiza rolului, serviciilor şi a autentificãrii operatorului; - testarea securitãţii fizice; - testarea mediului operaţional; - managementul cheilor criptografice; - interferenţe electromagnetice/compatibilitate electromagneticã. B.2. Evaluarea soluţiilor pentru infrastructura cu chei publice Activitatea de evaluare poate include: - analiza documentaţiei de organizare şi funcţionare a autoritãţii de certificare; - testarea şi evaluarea mãsurilor de securitate fizice, procedurale şi de personal; - testarea şi evaluarea mãsurilor tehnice de securitate: - instalarea şi generarea perechilor de chei; - protecţia cheii private; - datele de activare; - mãsuri de securitate aplicabile calculatoarelor; - periodicitatea controalelor tehnice; - evaluarea modului de administrare a politicii de certificare. C. SECURITATEA EMISIILOR - EMSEC Activitatea de evaluare poate include: - caracterizarea TEMPEST a echipamentelor; - mãsurãtori de zonare TEMPEST a locaţiilor; - mãsurãtori pentru caracterizarea camerelor ecranate şi/sau incintelor tratate electromagnetic; - teste de laborator pentru identificarea surselor de emisii compromiţãtoare în cazul echipamentelor de stocare, prelucrare şi transmitere a datelor; - teste pentru depistarea discontinuitãţilor de ecranare a camerelor ecranate şi/sau a incintelor tratate electromagnetic. D. ADMINISTRAREA SECURITÃŢII D.1. Managementul riscului de securitate Activitatea de evaluare poate include: - analiza riscului de securitate: - identificarea şi evaluarea bunurilor materiale şi informaţionale supuse riscului; - identificarea ameninţãrilor; - identificarea vulnerabilitãţilor; - analiza mãsurilor de securitate; - determinarea probabilitãţii de producere a unui eveniment nedorit; - analiza impactului producerii unui eveniment nedorit; - determinarea riscurilor şi a nivelurilor asociate; - recomandãri privind mãsurile de securitate; - raportul privind analiza riscului; - propunerea de soluţii de reducere a riscului de securitate: - ierarhizarea acţiunilor; - evaluarea mãsurilor de securitate recomandate; - analiza cost-beneficiu; - selectarea mãsurilor de securitate; - atribuirea responsabilitãţilor; - elaborarea Planului de implementare a mãsurilor de securitate selectate; - implementarea mãsurilor de securitate selectate şi identificarea riscului rezidual. D.2. Planificarea mãsurilor pentru continuarea activitãţii în situaţii de urgenţã Activitatea de evaluare poate include: - consultanţã privind elaborarea Planului pentru continuarea activitãţii în situaţii de urgenţã; - reintegrarea procedurilor, aplicaţiilor, operaţiunilor, sistemelor, reţelelor şi facilitãţilor pentru continuarea activitãţii. ANEXA 5 la metodologia de acreditare BIBLIOGRAFIE 1. Hotãrârea Guvernului nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, publicatã în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificãrile ulterioare 2. Hotãrârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, publicatã în Monitorul Oficial al României Partea I, nr. 485 din 5 iulie 2002, cu modificãrile şi completãrile ulterioare 3. Directiva principalã privind domeniul INFOSEC - INFOSEC 2, aprobatã prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 483/2003, publicat în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 2003 4. Directiva privind managementul INFOSEC pentru sisteme informatice şi de comunicaţii - INFOSEC 3, aprobatã prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 484/2003, publicatã în Monitorul Oficial al României, Partea I, nr. 874 din 9 decembrie 2003 5. AGR/P/01.1/2004 - Licensing of Evaluation Facilities, Secretariat geneal de la defense nationale, Direction centrale de la securite des systemes d'information, France 6. SP 004 - Licensing of Evaluation Facilities, Swedish Certification Body for IT Security, November 2011 7. NIST Handbook 150, National Voluntary Laboratory Accreditation Program - Procedures and General Requirements, V. R. White, D. F. Alderman, and C. D. Faison, 2006 _________
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.