HOTARARE Nr. 952 din 14 august 2003
privind aprobarea normelor si procedurilor in vederea operationalizarii
Sistemului informatic integrat, componenta a Sistemului Electronic National
ACT EMIS DE: GUVERNUL ROMANIEI
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 631 din 3 septembrie 2003
In temeiul art. 107 din Constitutie si avand in vedere prevederile art. 3
din Legea nr. 415/2002 privind organizarea si functionarea Consiliului Suprem
de Aparare a Tarii, precum si prevederile cuprinse in cartea I titlul II din
Legea nr. 161/2003 privind unele masuri pentru asigurarea transparentei in
exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri,
prevenirea si sanctionarea coruptiei, cu modificarile ulterioare,
Guvernul Romaniei adopta prezenta hotarare.
Art. 1
Se aproba normele si procedurile in vederea operationalizarii Sistemului
informatic integrat, componenta a Sistemului Electronic National, aprobat
conform hotararii Consiliului Suprem de Aparare a Tarii. In acest scop,
conceptia si dezvoltarea Sistemului informatic integrat ca o structura
informationala specializata se vor face in contextul cooperarii cu celelalte
doua componente ale Sistemului Electronic National: "Sistem e-guvernare"
si "Sistem e-administratie", definit in cartea I titlul II art. 9 din
Legea nr. 161/2003 privind unele masuri pentru asigurarea transparentei in
exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri,
prevenirea si sanctionarea coruptiei. Pentru asigurarea complementaritatii
Sistemului informatic integrat cu celelalte doua componente ale Sistemului
Electronic National, functiunile acestuia se supun urmatoarelor norme:
a) asigurarea interoperabilitatii institutiilor conectate la Sistemul
informatic integrat, conform prevederilor cartii I titlul II art. 11 lit. i)
din Legea nr. 161/2003;
b) punerea in evidenta mai clar a responsabilitatilor fiecarei institutii,
precum si a responsabilitatii functionarului public in utilizarea informatiilor
furnizate de Sistemul informatic integrat;
c) prezervarea autonomiei tuturor institutiilor participante pentru
dezvoltarea retelelor proprii de tehnologia informatiei si comunicatii;
d) reducerea costurilor de dezvoltare si utilizare a retelei (IT & C)
de tehnologia informatiei si comunicatii pentru fiecare institutie;
e) asigurarea, pentru toate institutiile participante la Sistemul
informatic integrat, a dublei calitati de furnizor si beneficiar al
informatiilor existente in sistem;
f) reorientarea activitatii institutionale atat la nivel central, cat si
teritorial catre cresterea eficientei, corectitudinii si transparentei in
serviciile oferite, datorita cooperarii generate de arhitectura de
interoperabilitate a Sistemului informatic integrat;
g) scurtarea timpului de implementare a proiectelor proprii;
h) cresterea posibilitatii de gestionare si implementare a proiectelor
nationale si a solutiilor ce implica cooperare interdisciplinara; reducerea
paralelismului unor proiecte si eliminarea proiectelor mici, neeficiente.
Art. 2
In sensul prezentei hotarari, urmatorii termeni sunt definiti astfel:
a) normele de dialog sunt reglementari privind schimbul de informatii
dintre Centrul de management al Sistemului informatic integrat si participantii
la sistem;
b) procedurile de dialog sunt actiuni necesare pentru deschiderea,
realizarea si inchiderea unei sesiuni de schimb de informatii intre Centrul de
management al Sistemului informatic integrat si participantii la sistem;
c) normele de securitate sunt reglementari interne specifice institutiei,
rezultate din aplicarea politicii de securitate si a legislatiei in vigoare
pentru a asigura o protectie adecvata a informatiilor;
d) procedurile de securitate sunt actiuni ce trebuie desfasurate in mod
obligatoriu de catre participantii la Sistemul informatic integrat si
administratorii sistemului pentru a implementa normele de securitate;
e) replicarea bazelor de date este procedura prin care se asigura o copie
de siguranta a bazei de date pentru a asigura o disponibilitate permanenta a
datelor pentru toti beneficiarii. Aceasta este in gestiunea si proprietatea
participantului la sistem. Realizarea copiei nu implica instrainarea bazei de
date fata de institutiile participante la Sistemul informatic integrat, acestea
purtand intreaga responsabilitate pentru acuratetea informatiilor puse la
dispozitie. Din punct de vedere al gestiunii bazelor de date, Centrul de
management al Sistemului informatic integrat ofera doar spatiul, serviciul de
stocare si serviciul de consultare de catre participanti conform drepturilor de
acces ale acestora. Centrul de management al Sistemului informatic integrat nu
are dreptul sa modifice sub nici o forma nici o baza de date replicata in
sistem;
f) tranzactionarea informatiilor reprezinta dialogul dintre Centrul de
management al Sistemului informatic integrat si participantii la sistem in
conditiile verificarilor de securitate impuse de normele de securitate;
g) tranzactionarea interna reprezinta tranzactionarea de informatii intre
diverse replici ale bazelor de date din Centrul de management al Sistemului
informatic integrat in procesul de cautare si prelucrare;
h) tranzactionarea externa reprezinta tranzactionarea de informatii intre
Centrul de management al Sistemului informatic integrat si participantii la
sistem;
i) interfatarea este o procedura care implica si utilizarea de mijloace
materiale specifice si realizeaza adaptarea modului de lucru al participantilor
la sistem cu modul de lucru al Centrului de management al Sistemului informatic
integrat.
Art. 3
Normele de dialog ale Centrului de management al Sistemului informatic
integrat sunt urmatoarele:
a) dialogul este biunivoc, in timp real si permanent;
b) dialogul se supune normelor de securitate;
c) dialogul este arhivat;
d) dialogul este urmat de cel putin o tranzactie informationala;
e) dialogul trebuie sa contina raspunsuri conforme cu procedurile de
tranzactionare interna a informatiei;
f) accesul la dialog cu Sistemul informatic integrat din punct de vedere
maximal trebuie sa poata fi asigurat pentru toti participantii simultan;
g) cererile si raspunsurile se fac ori de cate ori este nevoie;
h) cererile si raspunsurile se fac exclusiv conform cu specificul de acces
al fiecarei institutii participante;
i) cererea contine un singur subiect. Subiectele se vor supune
protocoalelor de dialog-cerere;
j) raspunsurile pot contine mai multe date referitoare la subiectul
cererii;
k) interfatarea este standardizata pentru toti participantii la Sistemul
informatic integrat conform standardelor de interconectare a sistemelor
informatice (Open System Interconnection);
l) interfatarea este subordonata normelor de dialog ale Centrului de
management al Sistemului informatic integrat;
m) interfatarea se face in deplina concordanta cu normele de securitate ale
Centrului de management al Sistemului informatic integrat;
n) interfatarea se face corelat cu identificarea utilizatorului atat din
punct de vedere al interogarii Sistemului informatic integrat, cat si al
replicarii bazei de date aferente. Prin natura interfetelor cu utilizatorii
Sistemului informatic integrat trebuie puse in evidenta aspectele juridice legate
de competenta si activitatile acestora, in concordanta cu prevederile legale in
vigoare;
o) interfatarea trebuie sa fie urmata de validarea utilizatorului conform
normelor si procedurilor de securitate ale Centrului de management al
Sistemului informatic integrat;
p) interfatarea cu utilizatorul in cazul replicarii bazelor de date se face
astfel incat continutul acestora sa nu fie afectat in sensul pastrarii
responsabilitatii utilizatorului;
q) procedurile si normele tehnice de interfatare, precum si cele de
comunicatie trebuie sa fie corelate din punct de vedere juridic atat cu legile
in vigoare privind functionarea institutiilor participante la Sistemul
informatic integrat, cat si cu legislatia privind semnatura electronica si
transparenta institutionala a functionarii statului.
Art. 4
(1) In corelare cu normele prevazute la art. 2, procedurile de dialog ale
Sistemului informatic integrat sunt urmatoarele:
a) dialogul se face in conformitate cu structura institutionala a Sistemului
informatic integrat si cu reglementarile privind siguranta nationala;
b) dialogul are loc in urma unor acorduri bilaterale cu institutiile
participante la Sistemul informatic integrat;
c) dialogul se face pe baza unor proceduri tehnice in conformitate cu
normele si procedurile infrastructurii comunicationale a Sistemului informatic
integrat;
d) dialogul se face pe baza unor proceduri de securitate ce vor trebui
acreditate independent de Sistemul informatic integrat.
(2) Dialogul va permite urmatoarele tipuri de schimburi de date:
a) colectare;
b) schimb propriu-zis de date;
c) atentionari;
d) servicii interactive;
e) arhivare si copie de siguranta;
f) transfer de date cerere-raspuns.
Art. 5
Normele de tranzactionare a informatiilor ale Centrului de management al
Sistemului informatic integrat vor trebui concepute si aplicate astfel incat:
a) tranzactionarea informatiilor sa se realizeze in timp real;
b) tranzactiile sa fie atat interne, cat si externe;
c) tranzactia interna sa fie multidimensionala;
d) tranzactia interna sa contina criterii multiple de cautare; cautarea sa
fie simultana;
e) toate tranzactiile sa prezinte aceeasi norma de prioritate;
f) tranzactiile sa se supuna gestionarii situatiilor de criza prevazute
conform legii;
g) tranzactia externa sa fie biunivoca si identica cu dialogul din punct de
vedere al normelor si procedurilor.
Art. 6
In conformitate cu normele prevazute la art. 4, procedurile de tranzactionare
interna a informatiei ale Sistemului informatic integrat sunt urmatoarele:
a) tranzactionarea interna a informatiei contine identificari despre
fiecare informatie tranzactionata intern pana la formularea raspunsului final
cerut;
b) tranzactionarea interna a informatiei se supune principiului
jurnalizarii;
c) tranzactionarea interna a informatiei se subordoneaza caracterului
informatiilor din fiecare baza de date continuta in sistem;
d) tranzactionarea interna a informatiei contine elemente de validare a
tranzactiei interne, ce trebuie supuse unor protocoale de interoperabilitate
intre institutii;
e) tranzactionarea interna a informatiei trebuie sa contina elemente de
securitate interna pentru anihilarea tentativelor de manipulare frauduloasa a
informatiilor asa cum sunt ele acreditate atat din punct de vedere intern, cat
si international.
Art. 7
(1) Normele de gestiune a bazelor de date in cadrul Centrului de management
al Sistemului informatic integrat se intemeiaza pe urmatoarele reguli de baza:
a) actualizarea bazelor de date se face in fiecare zi, pe parcursul noptii,
prin furnizarea doar a datelor modificate;
b) informatiile primite de Centrul de management al Sistemului informatic
integrat de la alte institutii sunt introduse in baza de date numai dupa ce s-a
obtinut avizul favorabil al conducerii Centrului de management. La momentul
introducerii acestor date se va urmari sa se respecte toate cerintele
metodologice de actualizare a Sistemului informatic integrat, astfel incat
acestea sa se integreze in structura de ansamblu a bazei de date; arhiva se
supune principiilor de identificare si nonrepudiere;
c) toate neconcordantele sau erorile aparute in procesul actualizarii sunt
returnate spre solutionare institutiilor care au furnizat datele;
d) in timpul introducerii datelor in sistemul automat se utilizeaza, dupa
caz, si codificarea asistata de calculator;
e) este necesara asigurarea flexibilitatii functionale a bazelor de date in
conditiile unor mutatii sau extinderi in aria de cuprindere a problemelor
specifice;
f) este obligatorie asigurarea unui inalt grad de prelucrare si
accesibilitate simultane, conform drepturilor de acces, la fondul de date si
informatii inmagazinate in bazele de date din Centrul de management al
Sistemului informatic integrat;
g) sistemul de reprezentare si codificare trebuie sa fie unitar la nivelul
informatiilor tuturor institutiilor;
h) bazele de date trebuie sa fie proiectate modular si sa permita
dezvoltari si adaptari usoare la noile mutatii din situatia de fapt;
i) este necesara asigurarea protectiei si securitatii datelor si
informatiilor inmagazinate in bazele de date;
j) in sensul implementarii conceptului de interoperabilitate, definit in
cartea I titlul II art. 11 lit. i) din Legea nr. 161/2003, a produselor
informatice si a solutiilor folosite atat de institutiile administratiei
publice inregistrate in sistemele e-guvernare si e-administratie, cat si de
celelalte institutii participante la Sistemul informatic integrat, Centrul de
management al acestuia va trebui sa asigure conform Legii nr. 161/2003 si
servicii de arhivare electronica in conditii de siguranta a bazelor de date
aflate in sistem, astfel incat acestea sa poata fi oricand consultate de orice
participant la sistem, in functie de obiectul sau de activitate. Serviciul de
arhivare nu are caracter exclusiv pentru Sistemul informatic integrat, acesta
avand in principal functie de operator al arhivelor electronice, arhivarea
propriu-zisa putand fi efectuata de orice persoana juridica abilitata in acest
sens de catre Oficiul Registrului National al Informatiilor Secrete de Stat
(O.R.N.I.S.S.). De asemenea, Consiliul de conducere al Sistemului informatic
integrat are obligatia de a propune Guvernului impreuna cu ceilalti operatori
ai Sistemului Electronic National, in termen de maximum 60 de zile de la
constituire, reglementari cu privire la cadrul legal al arhivarii electronice
si al protectiei informatiei in format electronic. Serviciul de arhivare
electronica astfel reglementat se supune legii achizitiilor publice;
k) partajarea accesului la datele si informatiile din bazele de date se va
face in conformitate cu drepturile atribuite ierarhic;
l) prin gestiunea bazelor de date este necesara oferirea posibilitatii de
previzionare a unor evenimente, fenomene, fapte, stari de fapt etc., care
intereseaza institutiile statului;
m) gestiunea bazelor de date implica standardizarea formatelor bazelor de
date existente in Centrul de management al Sistemului informatic integrat si
evidentierea corelatiilor la nivelul datelor provenite de la diversi
participanti la Sistemul informatic integrat;
n) gestiunea bazelor de date se face in deplina concordanta cu normele de
securitate ale Centrului de management al Sistemului informatic integrat;
o) gestiunea bazelor de date trebuie sa asigure in orice moment
corectitudinea continutului acestora conform protocoalelor de gestiune
aferente;
p) gestiunea bazelor de date trebuie sa se faca astfel incat rezolvarea
inconsistentelor in date sa se realizeze de catre participantii la Sistemul
informatic integrat pe baza sesizarilor Centrului de management al Sistemului
informatic integrat. Sistemul informatic integrat, prin gestiunea bazelor de
date, nu are dreptul sa intervina in continutul datelor primite de la diferiti
participanti;
q) conversia si actualizarea datelor vor trebui sa fie acreditate de un
organism independent.
(2) Bazele de date participante la Sistemul informatic integrat sunt constituite
astfel:
a) la institutiile furnizoare de date, conform competentelor materiale -
baze de date primare. Bazele de date primare sunt constituite de institutiile
furnizoare pentru indeplinirea sarcinilor prevazute in regulamentele de
organizare si functionare ale acestora;
b) la Centrul de management al Sistemului informatic integrat - baza de
date centrala. Baza de date centrala este constituita pe baza datelor furnizate
de bazele de date primare.
Art. 8
(1) In concordanta cu prevederile art. 6, gestiunea bazelor de date ale
Sistemului informatic integrat se supune urmatoarelor proceduri:
a) se face in conformitate cu normele de siguranta si integritate a bazelor
de date recunoscute international;
b) bazele de date specifice fiecarei institutii, puse la dispozitia
Sistemului informatic integrat, sunt pregatite de fiecare institutie si
transferate in formatul stabilit conform protocolului de cooperare;
c) se face in conformitate cu normele si procedurile de tranzactionare interna
a informatiilor;
d) se face in asa fel incat structura bazelor de date sa prezinte
scalabilitate in functie de evolutia din punct de vedere juridic a
institutiilor participante;
e) se face in conformitate cu necesitatile de extindere a interoperabilitatii
intre diferitele institutii participante, asigurandu-se instrumentele necesare
evidentierii corelatiilor si legaturilor dintre datele provenite de la diferiti
participanti la Sistemul informatic integrat;
f) se vor asigura instrumentele necesare evidentierii corelatiilor si
legaturilor dintre datele provenite de la diferiti participanti la Sistemul
informatic integrat;
g) procedurile bazelor de date din punctul de vedere al securitatii sunt
identice cu normele si procedurile de securitate ale Centrului de management al
Sistemului informatic integrat;
h) actualizarea bazelor de date se va face de catre furnizorii de
informatii in functie de evolutia dinamica a acestora, cu respectarea
procedurilor stabilite atat in baza prevederilor hotararilor Consiliului Suprem
de Aparare a Tarii referitoare la Sistemul informatic integrat, cat si prin
alte protocoale dintre Sistemul informatic integrat si institutiile
participante.
(2) In functie de datele si informatiile care se detin despre persoana
fizica sau juridica verificata, in baza de date centrala sunt furnizate
raspunsurile:
a) "necunoscut" - daca persoana nu figureaza in baza de date;
b) "date insuficiente" - daca cererea de verificare nu contine
datele minime si nici alte indicii de individualizare ori indiciile nu sunt
concludente;
c) "acces interzis" - daca drepturile de acces nu corespund
nivelului de protectie al informatiilor solicitate;
d) datele si informatiile cu care persoana fizica sau juridica figureaza in
baza de date centrala si la care utilizatorul care a formulat cererea este
autorizat sa aiba acces.
Art. 9
Infrastructura de comunicatii a Sistemului informatic integrat va respecta,
din punct de vedere functional, urmatoarele norme:
a) conectarea agentiilor va fi pe interfete standardizate, fiind
independenta de furnizori, si infrastructura nu va dicta in procesul de
achizitii de echipamente;
b) este flexibila si modulara;
c) este total interoperabila;
d) asigura autoapararea adaptiva si securitatea cu servicii garantate;
e) asigura un mediu comun de operare;
f) asigura integrarea deplina a serviciilor;
g) asigura operarea transparenta de catre utilizatori;
h) asigura o banda variabila (capacitate) la solicitare. Largimea benzii de
comunicatii trebuie sa permita accesul tuturor utilizatorilor Sistemului
informatic integrat la informatii in cel mai scurt timp;
i) infrastructura de comunicatii trebuie sa aiba un caracter redundant atat
din punct de vedere al asigurarii unui canal de rezerva, cat si din punct de
vedere al normelor de securitate ale Centrului de management al Sistemului
informatic integrat, conform managementului de riscuri;
j) managementul traficului de comunicatii va trebui sa asigure descongestionarea
segmentelor de retea pe perioada varfurilor de comunicatie.
Art. 10
(1) Protectia informatiilor in forma electronica din cadrul Sistemului
informatic integrat va integra toate formele de protectie pentru a acoperi
vulnerabilitatile si amenintarile cele mai probabile.
(2) Sistemul de protectie va urmari pe tot ciclul de viata al Sistemului
informatic integrat respectarea urmatoarelor norme:
a) normele de securitate se vor supune managementului de risc;
b) normele de securitate vor fi elaborate in conformitate cu Legea nr.
182/2002 privind protectia informatiilor clasificate, Legea nr. 676/2001
privind prelucrarea datelor cu caracter personal si protectia vietii private in
sectorul telecomunicatiilor, cu modificarile ulterioare, Legea nr. 677/2001
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date si cu Legea nr. 544/2001 privind
liberul acces la informatiile de interes public;
c) normele de securitate vor trebui sa acopere intreaga sfera de manipulare
a informatiilor;
d) normele de securitate cuprind asigurarea unei structuri de securitate
proprii specializate pentru Sistemul informatic integrat;
e) normele de securitate cuprind existenta unui audit intern si acreditare
de securitate din partea unui organism independent;
f) rapoartele de securitate semestriale vor fi aduse la cunostinta
structurilor de securitate ce raspund de protectia informatiilor stocate in
cadrul sistemelor de prelucrare automata a datelor (INFOSEC) din institutiile
participante;
g) depasirea unei bariere de securitate trebuie sa declanseze o alarma si
contramasuri inainte de a se aduce prejudicii;
h) informatiile vor avea etichete privind nivelul de protectie necesar si
vor contine date privind drepturile de acces;
i) revizuirea nivelurilor de acces al diferitilor participanti la un anumit
interval de timp, in functie de tipul informatiei pe care acestia il solicita
sau au dreptul sa il solicite, cat si din punct de vedere al caracteristicilor
informatiilor pe care acestia le incarca in sistem, norma similara cu
prevederile documentului CM 49(2002) al Organizatiei Tratatului Atlanticului de
Nord;
j) sistemul trebuie sa ofere suport tehnic pentru controlul accesului, trasabilitatea
informatiilor si a activitatilor;
k) normele si procedurile de securitate vor trebui sa ofere suport pentru
procedurile administrative, pentru indeplinirea politicii de securitate pe
toata durata de viata a sistemului si a suporturilor informatiei;
l) accesul va fi permis exclusiv persoanelor acreditate de la terminale
acreditate; accesul unor persoane la baza de date comuna de la alte terminale
decat cele desemnate va fi permis numai in baza unor aprobari temporare
speciale;
m) sistemul de securitate va face o delimitare clara intre informatiile
publice (cu acces liber) si informatiile pentru care trebuie pastrata
confidentialitatea (se vor pune in practica prevederile Legii nr. 544/2001 si
Legii nr. 677/2001);
n) pentru evaluarea sistemelor de securitate se va pleca de la Criteriile
comune adoptate si folosite in tarile integrate in structurile euroatlantice,
iar acreditarea acestora va trebui facuta de O.R.N.I.S.S. in conformitate cu
prevederile Hotararii Guvernului nr. 353/2002 pentru aprobarea Normelor privind
protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de
Nord in Romania si ale Ordonantei de urgenta a Guvernului nr. 153/2002 privind
organizarea si functionarea Oficiului Registrului National al Informatiilor
Secrete de Stat, aprobata prin Legea nr. 101/2003;
o) drepturile de acces in Centrul de management al Sistemului informatic
integrat vor fi acordate in functie de evaluarile independente de securitate
obtinute de fiecare locatie conectata la Centrul de management si de reteaua de
conectare aferenta. Centrul de Management va tine evidenta tuturor statiilor
conectate in sistem.
(3) Sistemul de protectie trebuie sa asigure:
a) disponibilitatea informatiei fiecarui beneficiar in momentul in care
acesta are nevoie de ea;
b) confidentialitatea, prin pastrarea secretului tranzactiilor si al
continutului informatiilor fata de un intrus sau fata de un utilizator
neautorizat;
c) integritatea, prin pastrarea informatiilor cu continutul si forma date
de autor;
d) autenticitatea, astfel incat informatia introdusa sau furnizata de
Sistemul informatic integrat trebuie pastrata in legatura cu informatia de
autor;
e) nerepudierea; sistemul va trebui sa asigure mecanismul prin care atat
autorul, cat si utilizatorul informatiei sa nu poata sa conteste faptul ca a
initiat informatia sau ca a utilizat-o.
(4) Politica de protectie a informatiilor in Sistemul informatic integrat
va trebui sa integreze echilibrat urmatoarele forme de protectie:
a) protectia fizica a ariilor de lucru, a echipamentelor, a suporturilor de
memorie, a canalelor de comunicatie etc. se va realiza prin barierele fizice de
separare a ariilor de protectie, cu delimitarea clara a tuturor punctelor de
acces, metodele de control al accesului si politica de acces in ariile
protejate si la echipamente;
b) protectia personalului va stabili criteriile de verificare, va urmari
acreditarea personalului de deservire, intretinere si dezvoltare a Sistemului
informatic integrat si va defini categoriile de personal ce au acces la
echipamente pentru operare sau intretinere, nivelurile de verificare si
drepturile de acces in sistem, la informatii si aplicatii. Protocoalele de
acces vor stabili modul de schimbare a informatiilor intre Sistemul informatic
integrat si parteneri privind drepturile de acces convenite;
c) protectia impotriva scurgerii de informatii prin emisii electromagnetice
parazite (TEMPEST), care va include evaluari de susceptanta si compatibilitate
electromagnetica, iar in sistemele care vor prelucra sau tranzita informatii
clasificate se vor face si masuratori si evaluari TEMPEST;
d) protectia administrativa va urmari integrarea sarcinilor de securitate
ce deriva din politica de securitate si documentele aferente in proceduri
operationale de securitate si in fisele de post pentru toti lucratorii;
e) protectia comunicatiilor (COMSEC) care dezvolta politica de protectie a
mesajelor transmise prin retele de comunicatii impotriva interceptarii, incluzand
toate masurile de protectie a transmisiilor, canalelor si echipamentelor ce
deservesc comunicatiile;
f) protectia informatiilor in format electronic (INFOSEC), care va dezvolta
politica de protectie a echipamentelor de calcul si a suporturilor de memorie,
instituie mecanismul de securitate independent de administratorul de sistem,
reglementeaza subordonarea administratorului de sistem si a administratorului
de securitate (ofiterul de securitate al sistemului) si stabileste atributiile
specifice fiecaruia;
g) protectia criptografica, care va face managementul si urmarirea
materialelor criptografice (echipamente de criptare, generare si distributie de
chei de criptare), va stabili regulile de utilizare a echipamentelor
criptografice in conformitate cu politica generala de securitate.
(5) Institutiile abilitate prin lege vor pune la dispozitia structurii de
securitate a Sistemului informatic integrat toate informatiile disponibile,
precum si analize privind amenintarile si vulnerabilitatile sistemului
descoperite in urma verificarilor facute cu mijloace specifice.
Art. 11
(1) In concordanta cu normele prevazute la art. 9, procedurile de
securitate ale Sistemului informatic integrat vor respecta urmatoarele
principii:
a) va trebui tinuta o evidenta a vulnerabilitatilor cunoscute ale tuturor
echipamentelor si sistemelor, la nivel central, si vor trebui evaluate
permanent amenintarile la adresa sistemului, adaptate mereu la contramasurile
adoptate prin reglementari generale si politicile locale de securitate pentru a
minimiza riscurile;
b) sistemul trebuie protejat prin aranjarea unor arii de protectie
concentrice (minimum doua), separate prin bariere de netrecut si puncte de
acces bine definite pentru toate locatiile centrale si terminale;
c) fiecare bariera trebuie sa oblige la intarzieri astfel incat
contramasurile sa opreasca depasirea barierei si ajungerea la informatiile care
necesita protectie de nivel ridicat;
d) se vor determina structurile critice ale sistemului din punct de vedere
hard si soft;
e) analiza structurilor critice se va face pentru infrastructura de suport
(hard si soft) si separat pentru aplicatiile critice;
f) softul si echipamentele folosite vor fi certificate din punct de vedere
al securitatii;
g) fiecare locatie aflata in proprietatea distincta a unei institutii va fi
considerata un sistem de tehnologia informatiei separat, care va fi evaluat
independent, conform politicii de securitate proprii;
h) conectarea la Centrul de management al Sistemului informatic integrat se
va face dupa obtinerea avizului de functionare a retelei locale si dupa
aprobarea procedurilor si normelor de conectare conform documentatiei intocmite
in acest sens;
i) ariile de protectie vor fi definite conform legilor si reglementarilor
internationale si nationale (Hotararea Guvernului nr. 585/2002 pentru aprobarea
Standardelor nationale de protectie a informatiilor clasificate in Romania,
Directiva Organizatiei Tratatului Atlanticului de Nord AC/35 - D/2001 privind securitatea
fizica);
j) administrarea Sistemului informatic integrat trebuie sa prevada
separarea functiilor de securitate de cele administrative;
k) sistemul va fi multinivel (in sensul Legii nr. 182/2002 si al
directivelor AC/35 - D/2004 si AC/35 - D/2005 ale Organizatiei Tratatului
Atlanticului de Nord);
l) accesul la informatii se va realiza conform principiului "need to
know" (nevoia de a sti) conferit de legi, regulamente, protocoale;
m) structura de securitate va face analize de securitate semestrial si va
intocmi rapoarte de activitate (incidente);
n) cuplarea bazelor de date la Centrul de management al Sistemului
informatic integrat se va face dupa acreditarea sistemului de securitate al
institutiei conforma reglementarilor legale in vigoare la data cuplarii;
o) rapoartele de activitate vor cuprinde informatii privind
vulnerabilitatile cunoscute si neacoperite, amenintari probabile, recomandari
de contramasuri, studii de caz, analize de incidente detectate.
(2) In faza de proiectare fizica a Sistemului informatic integrat se vor
intocmi documentele necesare acreditarii de securitate in conformitate cu
practicile Organizatiei Tratatului Atlanticului de Nord:
a) politica de protectie a Sistemului informatic integrat;
b) profilul de protectie (amenintari generale) pentru sistemul suport si
principalele aplicatii;
c) obiectivele de securitate specifice Sistemului informatic integrat;
d) proiectul de plan de securitate.
(3) Evaluarea securitatii Sistemului informatic integrat se va face separat
pe componente esentiale:
a) Centrul de management;
b) retelele de terminale de la institutii;
c) reteaua de comunicatii.
Art. 12
(1) Conform prevederilor art. 18 din titlul II cartea I din Legea nr. 161/2003,
in scopul asigurarii protectiei datelor, in ariile de responsabilitate ale
Sistemului informatic integrat, pe langa metodele, procedurile si tehnologiile
implementate la cererea administratorului Sistemului informatic integrat,
institutii din cadrul Sistemului national de aparare vor furniza mecanisme,
echipamente si proceduri de securitate a datelor, utilizand tehnologii de tip
PKI, pentru: generarea si distributia cheilor primare, validarea cheilor si
certificarea cheilor.
(2) Desemnarea institutiilor insarcinate cu indeplinirea prevederilor alin.
(1) se va face prin hotarare a Guvernului, la propunerea Consiliului de
conducere al Sistemului informatic integrat.
Art. 13
(1) In termen de 6 luni de la intrarea in vigoare a prezentei hotarari,
institutiile cu functie de administrare in Consiliul de conducere al Sistemului
informatic integrat, conform hotararilor Consiliului Suprem de Aparare a Tarii
referitoare la Sistemul informatic integrat, au obligatia de a adopta si
implementa masurile necesare in vederea operationalizarii Centrului de
management al Sistemului informatic integrat, prin replicarea bazelor de date
proprietare, cu respectarea normelor si procedurilor aprobate prin prezenta
hotarare.
(2) In termen de 12 luni de la intrarea in vigoare a prezentei hotarari,
toate celelalte institutii participante la Sistemul informatic integrat au
obligatia de a aplica prevederile art. 5.
(3) In vederea operationalizarii celor trei componente ale Sistemului
Electronic National in sensul complementaritatii dintre acestea, conform
prevederilor art. 9 si 11 din titlul II cartea I din Legea nr. 161/2003, precum
si conform prevederilor hotararilor Consiliului Suprem de Aparare a Tarii
referitoare la Sistemul informatic integrat, pana la data de 1 februarie 2004,
operatorii Sistemului Electronic National vor lua masuri privind
interconectarea Centrului Informatic National al Bazelor de Date Integrate ale
Ministerului Administratiei si Internelor, prevazut la art. 32 din titlul II
cartea I din Legea nr. 161/2003, cu Centrul de management al Sistemului
informatic integrat.
Art. 14
Normele si procedurile interne ale Centrului de management al Sistemului
informatic integrat, altele decat cele mentionate la art. 2 - 11 si care
urmeaza sa fie elaborate de Consiliul de conducere al Sistemului informatic
integrat, trebuie sa fie in concordanta cu principiile continute in documentul
CM 60/2002 al Organizatiei Tratatului Atlanticului de Nord, in principal in
sensul asigurarii integritatii si disponibilitatii informatiilor. Adoptarea
acestora se face in urma aprobarii lor de catre Consiliul Suprem de Aparare a
Tarii, precum si de catre Guvern.
Art. 15
(1) Documentele de securitate ale Sistemului informatic integrat sunt:
a) Politica de protectie - consta in declaratiile generale de protectie,
filozofia de protectie a administratiei Sistemului informatic integrat,
cooperarea din punct de vedere al securitatii dintre administratia sistemului
si partenerii la sistem;
b) Profilul de protectie (PP) - descrierea conditiilor generale de mediu si
masurile generale de protectie ce deriva din vulnerabilitati, amenintari si
reglementari ce privesc protectia;
c) Profilul de protectie specific (SP) - descrierea conditiilor specifice
si masurile suplimentare date de specificitate;
d) Planul de protectie - masurile de contracarare a amenintarilor si
vulnerabilitatilor pentru minimizarea riscurilor;
e) Procedurile operationale de securitate - implementarea masurilor de
securitate din planul de securitate la nivelul fiecarui post de lucru.
(2) Forma si continutul documentelor de securitate ale Sistemului
informatic integrat se aproba de catre Consiliul de conducere al acestuia
conform metodologiilor si normelor elaborate de O.R.N.I.S.S.
PRIM-MINISTRU
ADRIAN NASTASE
Contrasemneaza:
Directorul Serviciului Roman de Informatii
Alexandru-Radu Timofte
Ministrul comunicatiilor si
tehnologiei informatiei,
Dan Nica
Ministrul administratiei si internelor,
Ioan Rus
Ministrul finantelor publice,
Mihai Nicolae Tanasescu