Capitolul IScop Articolul 1Directiva INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5 este elaborată de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, ca parte a politicii naţionale de protecţie a informaţiilor clasificate. Articolul 2Directiva stabileşte procesul şi procedurile de realizare, actualizare şi păstrare a Catalogului naţional cu pachete, produse şi profile de protecţie INFOSEC, denumit în continuare Catalog naţional. Articolul 3Scopul Catalogului naţional este de a furniza persoanelor juridice de drept public sau privat care au în administrare sisteme informatice şi de comunicaţii, denumite în continuare SIC, care vehiculează informaţii clasificate şi altor entităţi care au responsabilităţi în domeniul protecţiei informaţiilor clasificate o listă de pachete, produse şi profile de protecţie INFOSEC certificate, care pot fi achiziţionate în scopul îndeplinirii cerinţelor operaţionale de securitate. Capitolul IIDefiniţii Articolul 4În sensul prezentei directive, următorii termeni se definesc după cum urmează: a)nivel de evaluare a asigurării (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune, care reprezintă un punct pe scara de asigurare predefinită a Criteriilor comune; b)pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate; c)pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare - acele pachete, produse şi profile de protecţie INFOSEC dezvoltate în serie limitată destinată strict utilizării în cadrul uneia sau mai multor autorităţi desemnate de securitate, denumite în continuare ADS; d)produs - un pachet de software, firmware şi/sau hardware IT care furnizează o funcţionalitate destinată utilizării sau incorporării într-o multitudine de sisteme; e)profil de protecţie (PP) - un set de cerinţe de securitate independent de implementare pentru o categorie de ţinte de evaluare care satisface cerinţe specifice ale consumatorilor; f)ţintă de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentă de utilizator şi administrator care constituie subiectul unei evaluări; g)ţintă de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bază pentru evaluarea unei ţinte de evaluare identificate; h)utilizator - orice entitate (utilizator uman sau entitate IT externă) din afara TOE care interacţionează cu TOE. Capitolul IIIDomeniul de aplicabilitate Articolul 5Prezenta directivă este obligatorie pentru persoanele juridice care prezintă pachete, produse şi profile de protecţie INFOSEC pentru a fi incluse în Catalogul naţional. Articolul 6
(1) În raport cu destinaţia de utilizare, pachetele, produsele şi profilele de protecţie INFOSEC se împart în două categorii: cu utilizare la nivel naţional şi cu regim limitat de distribuţie şi utilizare.
(2) Pachetele, produsele şi profilele de protecţie INFOSEC cu utilizare la nivel naţional se introduc în Catalogul naţional.
(3) Pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare se introduc în registrele de evidenţă a pachetelor, produselor şi profilelor de protecţie INFOSEC, constituite şi păstrate la nivelul ADS cu competenţe în coordonarea şi controlul măsurilor de protecţie a informaţiilor clasificate ce vor fi protejate cu acestea.
(4) ADS transmit la ORNISS lista produselor cu regim limitat de distribuţie şi utilizare care pot fi puse la dispoziţia altor ADS, precizând numele, destinaţia, modelul, versiunea şi nivelul de clasificare pentru care au fost certificate, precum şi eventualele condiţii de utilizare. Capitolul IVResponsabilităţi Articolul 7
(1) În calitate de autoritate naţională de securitate, ORNISS are responsabilitatea de a asigura implementarea prezentei directive.
(2) ORNISS este responsabil de coordonarea procesului de certificare a tuturor pachetelor, produselor, profilelor de protecţie INFOSEC destinate protecţiei informaţiilor naţionale clasificate, care, după certificare, se includ în Catalogul naţional.
(3) ORNISS este responsabil de elaborarea, actualizarea şi publicarea Catalogului naţional. Articolul 8Persoanele juridice care au pachete, produse sau profile de protecţie INFOSEC certificate şi care solicită ORNISS introducerea acestora în Catalogul naţional trebuie să pună la dispoziţie toate informaţiile necesare desfăşurării acestui proces, referitoare la: a)obiectivele de securitate; b)cerinţele funcţionale; c)categoriile de ţinte de evaluare. Articolul 9Dacă până la expirarea perioadei de valabilitate a certificării elementelor incluse în Catalogul naţional nu se ia o decizie cu privire la recertificarea acestora, pachetul, produsul, profilul de protecţie INFOSEC respectiv este scos de pe listă. Articolul 10
(1) ADS care au certificat pachete, produse şi profile de protecţie INFOSEC cu regim limitat de distribuţie au obligaţia de a actualiza registrele de evidenţă a acestora ori de câte ori este necesar.
(2) Pachetele, produsele şi profilele de protecţie INFOSEC sunt incluse în registrul de evidenţă numai după certificarea lor.
(3) Certificarea pachetelor, produselor şi profilelor de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare se realizează în cadrul ADS, de către structura internă INFOSEC acreditată de ORNISS, ce are competenţe privind coordonarea şi controlul măsurilor de protecţie a informaţiilor clasificate, pe baza raportului de evaluare realizat de entitatea evaluatoare acreditată de ORNISS.
(4) În cazul în care în cadrul ADS nu există structura INFOSEC prevăzută la alin. (3), certificarea se realizează de către ORNISS. Capitolul VConţinutul Catalogului naţional Articolul 11Catalogul naţional conţine următoarele categorii de liste: a)produse şi mecanisme criptografice; b)dispozitive de încărcare a cheilor criptografice; c)produse pentru securitatea emisiilor; d)produse pentru securitatea tehnologiei informaţiei (IT); e)instrumente de securitate; f)pachete şi profile de protecţie. Articolul 12În cadrul listelor prevăzute la art. 11 pot fi incluse în Catalogul naţional următoarele tipuri de pachete, produse, profile de protecţie INFOSEC: a)dezvoltate pe plan naţional, evaluate de entităţi naţionale acreditate de ORNISS şi certificate de ORNISS; b)certificate într-un stat membru NATO sau UE ori de către structuri specializate din cadrul NATO sau UE, particularizate şi certificate pe plan naţional; c)certificate într-un stat membru NATO sau UE; d)certificate de structurile specializate din cadrul NATO sau UE; e)certificate conform Criteriilor comune de evaluare de securitate a tehnologiei informaţiei; f)certificate în alte state decât cele membre ale NATO sau UE. Articolul 13Includerea în Catalogul naţional a pachetelor, produselor şi profilelor de protecţie INFOSEC utilizate la nivel naţional se poate face ca urmare a: a)certificării naţionale de către ORNISS a produselor dezvoltate integral în România; b)certificării de către ORNISS a modului de implementare a acestora în scopul particularizării naţionale a pachetelor, produselor şi profilelor de protecţie INFOSEC certificate într-un stat membru NATO sau UE ori de către structuri specializate din cadrul NATO sau UE; c)recunoaşterii naţionale de către ORNISS a certificării produselor NATO şi/sau UE; d)recunoaşterii naţionale de către ORNISS a certificării conforme Criteriilor comune de evaluare de securitate a tehnologiei informaţiei; e)recunoaşterii reciproce de către ORNISS a certificărilor naţionale, prin înţelegeri, acorduri, aranjamente bilaterale, încheiate la nivel guvernamental sau departamental. Articolul 14Certificarea sau recunoaşterea certificării produselor destinate protecţiei informaţiilor naţionale clasificate care se includ în Catalogul naţional se realizează în conformitate cu normele aprobate prin ordin al directorului general al ORNISS. Secţiunea 1Produse şi mecanisme criptografice Articolul 15Produsele şi mecanismele criptografice din Catalogul naţional se utilizează în funcţie de tipul, clasa şi nivelul informaţiilor clasificate, respectiv naţionale, NATO, UE ori ale statelor sau organizaţiilor internaţionale cu care România a încheiat tratate, înţelegeri sau acorduri care prevăd protecţia informaţiilor clasificate, conform certificării acestora şi menţiunilor din Catalogul naţional. Articolul 16Pentru protecţia criptografică a informaţiilor naţionale clasificate procesate, stocate sau transmise în format electronic se utilizează numai produse şi mecanisme criptografice certificate şi incluse în Catalogul naţional sau în registrele de evidenţă a produselor cu regim limitat de distribuţie, în urma evaluării acestora de către entităţi evaluatoare naţionale acreditate de ORNISS. Articolul 17
(1) ORNISS emite un document de aprobare pentru includerea produselor şi mecanismelor criptografice în lista produselor şi a mecanismelor criptografice din cuprinsul Catalogului naţional.
(2) Documentul de aprobare specifică:a)tipul, clasa şi nivelul de secretizare a informaţiilor clasificate pentru care sunt destinate produsele; b)cerinţele de utilizare. Secţiunea a 2-aDispozitive de încărcare a cheilor criptografice Articolul 18
(1) Lista dispozitivelor de încărcare a cheilor criptografice conţine dispozitive care sunt aprobate pentru stocarea, procesarea sau transmiterea materialului cu chei criptografice naţional, NATO, UE ori care fac obiectul tratatelor, înţelegerilor şi acordurilor bilaterale sau multilaterale la care România este parte.
(2) Dispozitivele sunt grupate în două categorii, astfel:a)dispozitive care gestionează cheile în formă clară; b)dispozitive care aplică un mecanism criptografic ce permite stocarea, procesarea şi transmiterea cheii în formă criptată. Articolul 19Sunt eligibile spre a fi incluse în Catalogul naţional numai dispozitivele de încărcare a cheilor criptografice care sunt dezvoltate la nivel naţional ori într-un stat membru NATO sau UE şi care sunt evaluate şi aprobate în conformitate cu politica naţională, respectiv NATO sau UE, de protecţie a informaţiilor clasificate. Secţiunea a 3-aProduse pentru securitatea emisiilor Articolul 20
(1) În cadrul Catalogului naţional, lista produselor pentru securitatea emisiilor cuprinde:a)lista producătorilor naţionali, precum şi modelele de produse dezvoltate la nivel naţional, produse evaluate de o entitate naţională acreditată de ORNISS şi certificate de ORNISS ca fiind corespunzătoare categoriilor de produse TEMPEST, prevăzute de standardele TEMPEST în vigoare; b)lista producătorilor externi, precum şi modelele de produse recomandate de NATO; c)lista producătorilor externi, precum şi a modelelor de produse certificate din punctul de vedere al protecţiei TEMPEST fie de ORNISS, fie de o entitate acreditată la nivel naţional în ţara de origine a echipamentelor, cu condiţia ca între ORNISS şi ţara de origine să existe o înţelegere în acest sens.
(2) Schimbarea de componente între diferite serii de producţie poate schimba profilul de protecţie, ceea ce implică reevaluarea produsului. Secţiunea a 4-aProduse de securitate IT Articolul 21Scopul listei cu produse de securitate IT din cadrul Catalogului naţional este să furnizeze autorităţilor operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC), structurilor de planificare şi implementare a sistemelor informatice şi de comunicaţii, personalului implicat în proiect şi utilizatorilor sistemelor informatice şi de comunicaţii care vehiculează informaţii clasificate secret de stat un set de produse certificate şi de informaţii de bază referitoare la acestea, set care poate fi folosit drept ghid în vederea îndeplinirii cerinţelor naţionale de securitate privind protecţia informaţiilor clasificate. Articolul 22
(1) Produsele din lista prevăzută la art. 21 sunt evaluate şi certificate în baza Criteriilor comune pentru evaluarea securităţii produselor IT (ISO 15408).
(2) Fiecărui produs i se atribuie un pachet de componente de asigurare, de exemplu, un nivel de încredere (EAL sau echivalent).
(3) În cazul în care un produs a fost evaluat sau propus spre evaluare în baza unui set de criterii naţionale, trebuie să fie furnizate detalii privind corespondenţele dintre criteriile naţionale şi Criteriile comune. Articolul 23
(1) Produsele din listă pot fi împărţite în următoarele categorii, fără a se limita la acestea:a)dispozitive şi sisteme de control al accesului; b)dispozitive şi sisteme de protecţie a perimetrului; c)baze de date; d)dispozitive şi sisteme de detecţie a intruziunilor; e)semnătură digitală; f)protecţia datelor; g)circuite integrate, dispozitive şi sisteme Smart Card; h)sisteme de management al cheilor; i)reţele, sisteme şi dispozitive de reţea; j)sisteme de operare; k)alte dispozitive şi sisteme.
(2) Produsele cu modul criptografic încorporat pot fi incluse în listă în mai multe categorii sau sub o altă categorie decât criptografia (de exemplu, un sistem de operare nu va fi numit produs criptografic, deşi face uz de criptografie). Articolul 24Informaţiile necesare includerii în listă a produselor pentru securitate IT conţin cel puţin următoarele elemente, după caz: a)denumirea şi producătorul; b)informaţii descriptive privind produsul, care vor include: funcţionalitatea produsului şi pachetul componentelor de siguranţă (de exemplu, un nivel de încredere); c)raport de certificare; d)acord de recunoaştere reciprocă; e)versiunile Criteriilor comune şi Metodologiei comune de evaluare utilizate. Secţiunea a 5-aInstrumente de securitate Articolul 25Lista instrumentelor de securitate din cadrul Catalogului naţional se adresează autorităţilor operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC), structurilor de planificare şi implementare a sistemelor informatice şi de comunicaţii şi personalului implicat în proiectarea sistemelor informatice şi de comunicaţii. Aceasta este o listă a instrumentelor de securitate conforme cu prevederile Directivei INFOSEC tehnice şi de implementare privind cerinţele instrumentelor de securitate, selectarea, aprobarea şi implementarea acestora – INFOSEC 9, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 390/2004, publicat în Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004. Articolul 26Lista include următoarele tipuri de instrumente: a)instrumente pentru identificarea vulnerabilităţilor sistemelor; b)instrumente pentru îmbunătăţirea securităţii sistemului; c)instrumente pentru detectarea intruziunilor; d)instrumente pentru raportarea stării sistemului; e)instrumente pentru monitorizarea traficului din reţea; f)instrumente pentru administrarea sistemului. Articolul 27Descrierea fiecărui instrument trebuie să includă următoarele informaţii: a)denumirea şi producătorul; b)caracteristicile funcţionale; c)beneficiile care vor fi obţinute în urma utilizării instrumentului; d)vulnerabilităţile, dacă este cazul, care apar prin utilizarea instrumentului; e)constrângeri privind utilizarea instrumentului; f)resurse/experienţa/suportul/pregătirea necesare operării. Articolul 28Lista instrumentelor de securitate nu include detaliile cu privire la vulnerabilităţi. Lista face referire doar la raportul de evaluare a instrumentului. Informaţiile privind vulnerabilităţile sunt puse la dispoziţie numai acelor autorităţi ale sistemelor informatice şi de comunicaţii şi de securitate care au o „nevoie de a cunoaşte“ corespunzătoare. Secţiunea a 6-aPachete şi profile de protecţie Articolul 29Solicitantul trebuie să furnizeze cel puţin următoarele informaţii: a)denumirea pachetului/profilului de protecţie şi a producătorului; b)o declaraţie din care să reiasă dacă pachetul sau profilul de protecţie este propus ca o nouă poziţie în listă ori ca înlocuire a unei poziţii din listă; c)menţiuni speciale, în situaţia în care pachetul sau profilul de protecţie conţin informaţii clasificate, care intră sub incidenţa drepturilor de autor/proprietate intelectuală sau care nu pot fi făcute publice. Articolul 30Informaţiile necesare includerii în listă a pachetelor/profilelor de protecţie vor trata cel puţin aspectele privitoare la: a)denumirea pachetului/profilului de protecţie; b)autor; c)autoritatea de certificare; d)entitatea care a efectuat evaluarea; e)nivelul de încredere; f)data certificării; g)versiunile Criteriilor comune şi ale Metodologiei comune de evaluare utilizate. Capitolul VI Gestionarea Catalogului naţional Articolul 31Catalogul naţional este actualizat periodic, pe măsura certificării de noi produse naţionale şi în conformitate cu modificările survenite în listele cu produse recomandate de NATO sau UE. Articolul 32Catalogul naţional este distribuit de ORNISS persoanelor juridice de drept public sau privat îndreptăţite. Articolul 33ORNISS va conlucra în mod continuu cu producătorii naţionali de produse INFOSEC pentru a asigura informaţiile necesare pentru fiecare pachet, produs ori profil de protecţie care urmează să fie adăugat în catalog sau pentru orice produs care trebuie să fie îndepărtat din catalog.