ORDIN Nr. 1000
din 26 octombrie 2010
pentru modificarea si
completarea Ordinului ministrului comunicatiilor si societatii informationale
nr. 473/2009 privind procedura de acordare, suspendare si retragere a deciziei
de acreditare a furnizorilor de servicii de certificare
ACT EMIS DE: MINISTERUL
COMUNICATIILOR SI SOCIETATII INFORMATIONALE
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 797 din 29 noiembrie 2010
Având în vedere prevederile art. 36 şi 37 din Legea nr.
455/2001 privind semnătura electronică, precum şi ale art. 16-20 din Normele
tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura
electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările
ulterioare,
în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin.
(6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea
Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi
completările ulterioare,
ministrul comunicaţiilor şi societăţii
informaţionale emite prezentul ordin.
Art. I. - Ordinul ministrului comunicaţiilor şi societăţii informaţionale
nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat
în Monitorul Oficial al României, Partea I, nr. 411
din 16 iunie 2009, se modifică şi se completează după cum urmează:
1. La articolul 1,
alineatul (2) se modifică şi va avea următorul cuprins:
„(2) Prezentul ordin stabileşte condiţiile, conţinutul,
durata de valabilitate şi efectele suspendării sau retragerii deciziei de
acreditare a furnizorilor de servicii de certificare."
2. După articolul 3 se introduc opt noi articole, articolele 31-38, cu următorul cuprins:
„Art. 31. - (1) In
vederea acreditării, furnizorul de certificate calificate trebuie să facă
dovada deţinerii:
a) a cel puţin 5 angajaţi care au diplomă de absolvire
a unei forme de învăţământ superior de lungă durată, eliberată de o instituţie
de învăţământ superior acreditată, având înscrisă una dintre următoarele
specializări: automatică, calculatoare, informatică, matematică, cibernetică,
electronică. Angajaţii trebuie să aibă cunoştinţe în domeniul securităţii
informatice, dovedite prin studii universitare sau postuniversitare în acest
domeniu ori prin deţinerea cel puţin a uneia dintre certificările CISA, CISM
sau CISSP recunoscute la nivel internaţional. Schema de personal va fi
înaintată autorităţii şi publicată în registrul furnizorilor. Orice modificare
a schemei de personal va fi notificată către autoritate în termen de 10 zile
lucrătoare de la producerea acesteia;
b) unei scheme de personal care să asigure un flux
continuu de emitere, suspendare şi revocare a certificatelor şi segregarea
rolurilor angajaţilor, asigurând acoperirea cel puţin a următoarelor roluri:
operator pentru crearea cererilor de certificare (cel puţin două persoane),
operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin
două persoane), administrator al sistemului de certificare, administrator de
securitate şi auditor intern. Schema de personal va fi înaintată autorităţii şi
publicată în registrul furnizorilor. Orice modificare a schemei de personal va
fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea
acesteia;
c) unei arhitecturi distribuite
a sistemului de certificare şi sistemului de înregistrare, separând logic şi
fizic funcţionalităţile publice: înregistrarea cererilor de certificate,
registrul de certificate şi validarea certificatelor de emitere a
certificatelor digitale. Furnizorul trebuie să dovedească disponibilitatea
lunară de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor,
precum şi a registrului de certificare. Disponibilitatea
reprezintă capacitatea sistemelor informatice ale
furnizorului de a se afla în stare de funcţionare în orice moment din
intervalul de observaţie de o lună calendaristică. Disponibilitatea se
calculează după formula:
D = To-Tî * 100 [%],
To
unde:
T0 - durata
unei luni calendaristice, aproximată la 30 zile * 24 ore * 60 minute = 43.200
minute;
Tî - durata
însumată a întreruperilor de serviciu în minute.
Arhitectura tehnică şi dovada îndeplinirii condiţiilor
de disponibilitate a soluţiei vor fi înaintate autorităţii şi publicate în
registrul furnizorilor;
d) unui sediu de rezervă pentru continuarea
operaţiunilor în cazul apariţiei unui eveniment care să împiedice utilizarea
sediului principal. Sediul de rezervă trebuie să răspundă aceloraşi condiţii
tehnice ca şi sediul principal şi să parcurgă aceleaşi proceduri de audit.
Documentaţia privind sediul de rezervă şi rapoartele de audit vor fi înaintate
autorităţii şi publicate în registrul furnizorilor;
e) unor sisteme de management al
calităţii, management al securităţii informaţionale, management de mediu şi
management al sănătăţii şi securităţii ocupaţionale, certificate în
conformitate cu standardele ISO 9001, ISO 27001, ISO 14001, respectiv OHSAS
18001, sau ultimele versiuni ale acestora ori standardele care le înlocuiesc.
Rapoartele de audit vor fi înaintate autorităţii şi publicate în registrul
furnizorilor.
(2) Furnizorii de certificate calificate deja
acreditaţi vor trebui să facă dovada îndeplinirii condiţiilor prevăzute la
alin. (1) lit. a)-e) în cel mult 6 luni de la data publicării în Monitorul
Oficial al României, Partea I, a prezentului ordin.
Art. 32. -
Solicitarea acreditării se poate face nu înainte de un an de la începerea
activităţii ca furnizor de certificate calificate.
Art. 33. - Raportul
de audit care demonstrează îndeplinirea condiţiilor de funcţionare ca furnizor
acreditat va fi obligatoriu publicat de către autoritate în registrul
furnizorilor.
Art. 34. - Orice
modificare a soluţiei tehnice sau a procedurilor de lucru ale furnizorului va
presupune reluarea procedurii de reînnoire a acreditării. In acest caz furnizorul
este obligat să reia procedura de acreditare în cel mult 10 zile de la
producerea modificărilor.
Art. 35. - Pentru
marcarea riguroasă a creării semnăturii electronice extinse şi verificarea
ulterioară a faptului că la acel moment certificatul utilizat pentru crearea
semnăturii nu era suspendat sau revocat, aşa cum este definit în art. 5 din
Legea nr. 455/2001, se va realiza o marcă temporală, aşa cum este definită în
Legea nr. 451/2004 privind marca temporală.
Art. 36. -
Verificarea informaţiilor din cererea de eliberare a certificatului va fi
realizată atât la înregistrarea cererii, cât şi la emiterea certificatului,
numai de personalul încadrat în schema de personal al furnizorului cu atribuţii
în acest scop.
Art. 37.
-Autoritatea poate dispune suspendarea activităţii furnizorului până la
încetarea cauzelor care au determinat luarea măsurii şi în următoarele
situaţii:
1. furnizorul nu îndeplineşte cerinţele privind
personalul sau nu anunţă modificarea schemei de personal, aşa cum este prevăzut
la art. 31 alin.
(1) lit. a) şi b);
2. furnizorul nu asigură disponibilitatea soluţiei sau
nu anunţă modificările tehnice prevăzute la art. 31 alin. (1) lit. c);
3. furnizorul nu mai îndeplineşte cerinţele tehnice
definite la art. 31 alin. (1) lit. d) şi e) şi la art. 35;
4. furnizorul nu îndeplineşte cerinţele definite la
art. 36. Toate
certificatele emise fără respectarea acestei prevederi vor fi revocate.
Art. 38. - In
cazurile prevăzute la art. 37 pct. 1-4, autoritatea are dreptul de a emite pretenţii asupra
scrisorii de garanţie bancară sau a poliţei de asigurare, în limita
prejudiciului creat."
Art. II. - Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Ministrul comunicaţiilor şi societăţii informaţionale,
Valerian Vreme