DECIZIE Nr.
1131 din 19 noiembrie 2008
privind normele metodologice
de autorizare a centrelor de date
ACT EMIS DE:
AUTORITATEA NATIONALA PENTRU COMUNICATII
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 861 din 20 decembrie 2008
In temeiul prevederilor art. 8 alin. (1), (3) şi (5)
din Ordonanţa de urgenţă a Guvernului nr. 106/2008 privind înfiinţarea
Autorităţii Naţionale pentru Comunicaţii, precum şi ale art. 17 alin. (2) şi
ale art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor în
formă electronică,
preşedintele Autorităţii Naţionale pentru
Comunicaţii emite prezenta decizie.
Art. 1. - (1) Prezenta decizie se aplică centrelor de
date utilizate de către administratorii de arhive electronice, în conformitate cu
prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă
electronică.
(2) Prezenta decizie stabileşte
procedura şi condiţiile privind acordarea, suspendarea şi retragerea deciziei
de autorizare a centrelor de date, emise de către Autoritatea Naţională pentru
Comunicaţii, denumită în continuare ANC, precum şi conţinutul, durata de' valabilitate şi efectele
suspendării sau retragerii deciziei de autorizare.
Art. 2. -In înţelesul prezentei decizii, următorii
termeni se definesc astfel:
a) centru de date -
spaţiu securizat, dotat cu tehnică de calcul şi echipamente de comunicaţii prin
intermediul cărora se primesc, se stochează şi se transmit date în formă
electronică;
b) procedură de autorizare
- metodă de evaluare sistematică, documentată, periodică
şi obiectivă a performanţei centrului de date, a sistemului de management şi a
proceselor destinate protecţiei arhivelor electronice, în scopul verificării
respectării cerinţelor prevăzute de legislaţia în vigoare;
c) decizie de autorizare - document emis de ANC care atestă că un centru de date
îndeplineşte toate condiţiile cerute de legislaţia în vigoare în vederea
desfăşurării operaţiunilor de arhivare electronică;
d) backup - activitatea
de copiere a unor fişiere sau baze de date în vederea conservării şi
recuperării acestora în cazul unei avarii sau al altui eveniment neprevăzut;
e) UPS (Uninterruptible Power Supply) - dispozitiv care permite calculatorului să funcţioneze pentru o
perioadă scurtă de timp în cazul în care sursa principală de energie este
întreruptă, respectiv care asigură protecţie împotriva suprasarcinilor
tranzitorii;
f) firewall - dispozitiv
hardware sau aplicaţie software care monitorizează şi filtrează permanent
transmisiile de date realizate între reţeaua protejată şi alte reţele, pe baza
unui set de reguli şi criterii;
g) rouier- dispozitiv
hardware sau aplicaţie software care conectează două sau mai multe reţele de
calculatoare;
h) upgrade - proces de
îmbunătăţire a unui echipament tehnic sau a unei aplicaţii software;
i) redundanţă - introducere de dispozitive suplimentare faţă de cel de baza, care
să asigure funcţionarea unui sistem in cazul în care unul dintre dispozitivele
cu aceeaşi funcţie a ieşit întâmplător din uz.
Art. 3. - Centrele de date utilizate de către administratorii
de arhive electronice trebuie să dispună de dotările tehnice şi să aplice
politicile şi procedurile de management şi de securitate necesare pentru a îndeplini condiţiile prevăzute la art.
17 alin. (1) din Legea nr. 135/2007.
Art. 4. - (1) Persoana fizică sau juridică care
intenţionează să obţină autorizarea unui centru de date în vederea desfăşurării
activităţilor legate de arhivarea electronică a documentelor, denumită în
continuare solicitant, va
transmite ANC o cerere scrisă în acest sens. Forma şi conţinutul acestei cereri
sunt prevăzute în anexa nr. 1.
(2) Cererea prevăzută la alin. (1) va fi însoţită de
următoarele documente:
a) descrierea politicilor şi procedurilor de lucru,
incluzând enumerarea posturilor şi funcţiilor personalului, precum şi
calificările/atestările profesionale ale acestuia;
b) descrierea generală a echipamentelor utilizate în procesul de arhivare;
c) procedurile pentru asigurarea disponibilităţii
serviciului;
d) politica generală de securitate, politicile privind
utilizatorii, parolele şi accesul la sisteme.
(3) Cererea şi documentele anexate se transmit la
sediul central al ANC în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul
legal, sub luare de semnătură;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a
încorporat, ataşat sau i s-a asociat logic o semnătură electronică extinsă,
bazată pe un certificat calificat nesuspendat sau nerevocat la momentul
respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a
semnăturii electronice.
(4) Este considerată dată a transmiterii, după caz,
data înscrierii în registrul general de intrare-ieşire a corespondenţei al ANC,
data confirmării primirii documentelor la sediul central al ANC printr-un
serviciu poştal cu confirmare de primire sau data confirmării primirii
înscrisului în formă electronică.
(5) In cazul în care documentaţia nu îndeplineşte
condiţiile prevăzute de prezenta decizie, ANC va solicita completarea acesteia,
în termen de 10 zile de la transmiterea solicitării de completare.
(6) In cazul în care documentaţia transmisă potrivit
alin. (1)-(3) este completă sau a fost completată în conformitate cu
prevederile alin. (5), ANC demarează procedura de autorizare a centrului de
date.
Art. 5. - (1) Verificarea îndeplinirii condiţiilor în
vederea autorizării se face de către personalul ANC cu atribuţii în acest sens,
în cadrul procedurii de autorizare.
(2) Pe perioada desfăşurării procedurii de autorizare,
ANC poate solicita orice documente referitoare la activitatea centrului de date
care are legătură cu activitatea de arhivare electronică şi poate efectua
acţiuni de control pentru a verifica conformitatea dintre informaţiile
declarate în cursul procedurii de autorizare şi realitate.
Art. 6. -In vederea autorizării, centrul de date
trebuie să îndeplinească condiţiile prevăzute la art. 17 alin. (1) din Legea
nr. 135/2007, obiectivele principale urmărite de ANC în cursul procedurii de
autorizare pentru verificarea îndeplinirii acestor condiţii fiind următoarele:
a) asigurarea securităţii şi integrităţii datelor, la
nivel de securitate fizică şi acces prin mijloace
informatice;
b) disponibilitatea serviciului de arhivare
electronică şi backup-ul informaţiilor stocate.
Art. 7. -In cursul procedurii de autorizare, ANC va
verifica îndeplinirea de către centrul de date, în mod cumulativ, a condiţiilor
prevăzute la art. 8-12.
Art. 8. - Spaţiul în care funcţionează centrul de date
trebuie să fie amenajat astfel încât să fie posibilă respectarea cerinţelor de
securitate specifice şi să asigure funcţionarea echipamentelor la parametrii
optimi prevăzuţi de producătorii acestora. In acest sens, se va asigura:
a) instalarea unor sisteme de climatizare care să
asigure valorile optime de temperatură şi umiditate în vederea funcţionării
echipamentelor în condiţii de siguranţă;
b) utilizarea de materiale ignifuge şi instalarea unor sisteme de prevenire şi stingere a
incendiilor, concepute special pentru evitarea deteriorării echipamentelor;
c) dimensionarea corespunzătoare a reţelei electrice,
în funcţie de consumurile echipamentelor folosite;
d) garantarea siguranţei la
defecţiunile previzibile ale sistemelor de utilităţi (apă, gaze etc.) care
deservesc spaţiul care găzduieşte centrul de date.
Art. 9. -Asigurarea redundanţei şi realizarea
backup-ului trebuie să fie implementate prin următoarele măsuri:
a) utilizarea de dispozitive
UPS şi/sau generatoare electrice, care să asigure funcţionarea neîntreruptă a
echipamentelor în cazul opririi alimentării cu curent electric de la reţeaua
principală; timpul de asigurare a alimentării din sursa de urgenţă va fi
calculat în funcţie de timpii estimaţi pentru remedierea posibilelor avarii
care ar surveni la reţeaua electrică principală;
b) duplicarea tuturor elementelor reţelei electrice
şi asigurarea posibilităţii comutării automate de pe reţeaua principală pe
reţeaua de rezervă;
c) utilizarea procedurilor de lucru care să asigure
efectuarea de backup periodic al tuturor informaţiilor păstrate în centrul de
date şi stocarea acestora în alt spaţiu, diferit de spaţiul principal al
centrului de date, cu asigurarea aceloraşi condiţii de securitate ca şi cele
ale spaţiului principal, aflate la o distanţă faţă de spaţiul principal care să
corespundă normelor europene în domeniu;
d) asigurarea unor proceduri de mentenanţă pentru
echipamente şi pentru infrastructură, respectând recomandările producătorilor
echipamentelor respective, astfel încât să se minimizeze riscul apariţiei de
probleme tehnice;
e) în cazul echipamentelor critice (a căror
funcţionare permanentă este esenţială în asigurarea continuităţii funcţionării
centrului de date) se vor asigura echipamente de rezervă, care vor fi folosite
pe perioada efectuării operaţiunilor de mentenanţă ce implică oprirea sau
deconectarea respectivului echipament şi pe perioada în care echipamentul
principal este afectat de defecţiuni tehnice.
Art. 10. - Centrul de date trebuie să aibă o structură
scalabilă, atât în ceea ce priveşte echipamentele informatice utilizate, cât şi
infrastructura, cu scopul de a păstra performanţele sistemului la un nivel
constant în cazul apariţiei de condiţii noi (mărirea capacităţii centrului de
date, facilităţi noi etc). '
Art. 11. - (1) Centrul de date trebuie să asigure
securitatea şi integritatea informaţiilor stocate atât în ceea ce priveşte
accesul fizic la echipamentele utilizate, cât şi accesul prin mijloace
electronice la documentele arhivate.
(2) Securitatea fizică presupune luarea următoarelor
măsuri:
a) acces controlat la echipamentele centrului de date
utilizate pentru arhivarea electronică a documentelor, cu precizarea mai multor
niveluri de drepturi de acces ale personalului care operează sistemele;
b) utilizarea echipamentelor speciale de evitare şi
detecţie a intruziunilor fizice.
(3) Pentru asigurarea securităţii accesului prin
mijloace electronice la documentele arhivate, trebuie utilizate următoarele
măsuri tehnice:
a) sisteme de detecţie a intruziunilor (Intrusion
Detection System - IDS);
b) firewall (software şi/sau hardware), routere pentru
filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de
autentificare şi de autorizare a accesului la date;
e) jurnalizarea automată a acţiunilor efectuate în
sistem.
Art. 12. - Operarea centrului de date trebuie realizată respectându-se strategii, politici şi
proceduri bine determinate în ceea ce priveşte managementul, controlul şi
securitatea sistemelor. în realizarea acestor politici şi proceduri se vor
respecta următoarele cerinţe minimale:
a) jurnalizarea cronologică a acţiunilor efectuate în
sistem (accesul fizic la echipamente, comutări de pe un sistem pe altul,
procese de mentenanţă, acţiuni ale operatorului etc);
b) evaluarea la intervale regulate a infrastructurii
centrului de date, a sistemului de securitate şi a echipamentelor informatice
folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calităţii;
d) evaluarea efectelor extinderilor şi upgrade-urilor;
e) realizarea auditului regulat al planului de
securitate;
f) evaluarea şi perfecţionarea periodică a
personalului;
g) implementarea unor politici
de resurse umane care să asigure operarea centrului de date de către personal
specializat care să dispună de certificări în domeniu.
Art. 13. - (1) In termen de 30 de zile de la primirea
documentaţiei în conformitate cu prevederile art. 4 alin. (1)-(3) sau a
completărilor solicitate în conformitate cu prevederile art. 4 alin. (5), ANC
emite decizia de autorizare a centrului de date sau decizia de respingere a
cererii de autorizare, motivată în mod corespunzător.
(2) Forma şi conţinutul deciziei de autorizare a
centrului de date sunt prevăzute în anexa nr. 2.
Art. 14. - (1) Decizia de autorizare este valabilă
pentru o perioadă de 3 ani de la data emiterii acesteia.
(2) Autorizarea poate fi reînnoită, procedura de
reautorizare fiind identică cu cea de autorizare.
(3) Pe durata valabilităţii deciziei de autorizare,
ANC are dreptul de a efectua acţiuni de control periodice, pentru verificarea
menţinerii condiţiilor de funcţionare a centrului de date.
Art. 15. - (1) Constatarea de către personalul de
control de specialitate din cadrul ANC a neîndeplinirii condiţiilor minime de
funcţionare a centrului de date atrage suspendarea deciziei de autorizare pe o
perioadă de 30 de zile. In această perioadă, centrul de date nu poate primi
spre stocare documente în formă electronică.
(2) Dacă deficienţele survenite în funcţionarea
centrului de date nu sunt remediate în intervalul de timp prevăzut la alin.
(1), ANC va retrage autorizarea, prin decizie a preşedintelui.
(3) In cazul expirării duratei de valabilitate a
deciziei de autorizare, precum şi în cazul retragerii autorizării de către ANC
în condiţiile alin. (2), centrul de date nu mai poate furniza servicii legate
de arhivarea electronică în sensul Legii nr. 135/2007.
(4) în cazul intenţiei de încetare a activităţii
centrului de date autorizat în condiţiile prezentei decizii, ANC va fi
informată, cu cel puţin 30 de zile în avans, despre această intenţie şi despre
existenţa şi natura împrejurării care justifică imposibilitatea de continuare a
activităţii. ANC va retrage autorizarea la data încetării activităţii centrului
de date.
Art. 16. - Pentru funcţionarea corespunzătoare a
centrelor de date se recomandă aplicarea şi respectarea următoarelor standarde
sau a unor standarde echivalente:
a) SR ISO/CEI 17799:2006 Tehnologia
informaţiei. Tehnici de securitate. Cod de bună practică pentru managementul securităţii
informaţiei;
b) SR ISO/IEC 27001:2006 Tehnologia informaţiei.
Tehnici de securitate. Sisteme de management al securităţii informaţiei.
Cerinţe;
c) SR ISO/CEI 15408-1:2004
Tehnologia informaţiei. Tehnici de securitate. Criterii de evaluare pentru
securitatea tehnologiei informaţiei. Partea 1: Introducere şi model general;
d) ISO/IEC 20000-1:2005 Tehnologia informaţiei -
Managementul securităţii - Partea 1: Specificaţii;
e) ISO/IEC 20000-2:2005 Tehnologia informaţiei -
Managementul securităţii - Partea a 2-a: Cod de practică;
f) TIA/EIA 942 2005 Standard privind infrastructura de
telecomunicaţii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme
generice de cablare. Partea 1: Cerinţe generale.
Art. 17. -Anexele nr. 1 şi 2 fac parte integrantă din
prezenta decizie.
Art. 18. - (1) Prezenta decizie
se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la 3 zile de la data publicării.
(2) Prezenta decizie a fost adoptată cu respectarea
prevederilor Hotărârii Guvernului nr. 1.016/2004 privind măsurile pentru
organizarea şi realizarea schimbului de informaţii în domeniul standardelor şi
reglementărilor tehnice, precum şi al regulilor referitoare la serviciile societăţii informaţionale între
România şi statele membre ale Uniunii Europene, precum şi Comisia Europeană, cu
modificările ulterioare.
Preşedintele Autorităţii Naţionale pentru Comunicaţii,
Dorin Liviu Nistoran
ANEXA Nr. 1
CERERE
pentru începerea procedurii de autorizare
Către: AUTORITATEA NAŢIONALĂ PENTRU COMUNICAŢII
Stimate Domnule Preşedinte,
Având în vedere prevederile
Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, precum
şi ale Deciziei nr. 1.131/2008 privind normele metodologice de autorizare a
centrelor de date, vă solicităm să dispuneţi începerea procedurii
de autorizare a centrului de date aparţinând (numele şi prenumele/denumirea solicitantului)......................................................................................................,
având domiciliul/sediul în(adresa
completă, inclusiv telefon şi
fax).....................................................................................................,
înregistrată în Registrul Comerţului al Municipiului
...................................., cod numeric personal/cod unic de
înregistrare/cod de identificare fiscală..............................................,
reprezentată legal prin(numele şi
prenumele)......................................................................., domiciliat (ă) în(adresa completă,
inclusiv telefon)..............................................................,
identificat (ă) prin(actul de identitate: seria,
numărul, codul numeric
personal)....................................................................................................................
Numele şi prenumele/Denumirea
solicitantului
....................................................................................
Semnătura reprezentantului legal şi ştampila
solicitantului
....................................................................................
Data
....................................................................................
ANEXA Nr. 2
DECIZIE
de autorizare a centrului de date
In temeiul prevederilor art. 8 alin. (1), (3) şi (5)
din Ordonanţa de urgenţă a Guvernului nr. 106/2008 privind înfiinţarea Autorităţii
Naţionale pentru Comunicaţii, precum şi ale art. 17 alin. (2) şi ale art. 27
alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor în formă
electronică,
având în vedere dispoziţiile Deciziei preşedintelui
Autorităţii Naţionale pentru Comunicaţii nr. 1.131/2008 privind normele
metodologice de autorizare a centrelor de date,
preşedintele Autorităţii Naţionale pentru
Comunicaţii emite prezenta decizie.
Art. 1. - Incepând cu data comunicării prezentei
decizii, centrul de date aparţinând (numele şi prenumele/denumirea solicitantului autorizării)...............................................................................................................
este autorizat să desfăşoare operaţiuni de arhivare
electronică în condiţiile Legii nr. 135/2007 privind arhivarea documentelor în
formă electronică.
Art. 2. - Se certifică faptul că centrul de date
îndeplineşte condiţiile stabilite de dispoziţiile art. 17 din Legea nr.
135/2007 şi prevederile art. 8-12 din Decizia preşedintelui Autorităţii
Naţionale pentru Comunicaţii nr. 1.131/2008 privind normele metodologice de
autorizare a centrelor de date.
Art. 3. -Autorizarea se acordă pe o perioadă de 3 ani
de la data comunicării prezentei decizii şi poate fi reînnoită pe baza
procedurii prevăzute în Decizia preşedintelui Autorităţii Naţionale pentru
Comunicaţii nr. 1.131/2008.
Art. 4. - Prezenta decizie se comunică(numele şi
prenumele/denumirea persoanei care operează centrul de date) ................................................................................................
atât pe suport de hârtie, cât şi în formă electronică,
semnată electronic.
Preşedinte,
....................................................................................