Anunţă-mă când se modifică Fişă act Comentarii (0) Trimite unui prieten Tipareste act

Ordinul Nr.21 din 28.03.2012

privind aprobarea Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14
ACT EMIS DE: Oficiul Registrului National al Informatiilor Secrete
ACT PUBLICAT ÎN MONITORUL OFICIAL NR. 240 din 10 aprilie 2012



SmartCity1

În temeiul:art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare;

art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin. Articolul 1Se aprobă Metodologia de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, prevăzută în anexa care face parte integrantă din prezentul ordin. Articolul 2La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 8/2010 privind aprobarea Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, publicat în Monitorul Oficial al României, Partea I, nr. 92 din 10 februarie 2010. Articolul 3Procesele de certificare/recertificare aflate în curs de derulare la data prezentului ordin se desfăşoară în conformitate cu prevederile Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14, aprobată prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 8/2010. Articolul 4Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin. Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Marius Petrescu ANEXĂMETODOLOGIE de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC-INFOSEC 14 Capitolul IIntroducere Secţiunea 1Scop Articolul 1Prezenta metodologie stabileşte activităţile aferente proceselor de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC, denumite în continuare produse INFOSEC, destinate protecţiei informaţiilor naţionale clasificate, vehiculate în sistemele informatice şi de comunicaţii naţionale, civile sau militare. Articolul 2Procesele de evaluare şi certificare a produselor INFOSEC au următoarele obiective: a)crearea posibilităţii de utilizare a unor produse INFOSEC în sisteme informatice şi de comunicaţii care vehiculează informaţii clasificate; b)verificarea şi confirmarea nivelului de încredere ce poate fi acordat funcţiilor de securitate ale unui produs INFOSEC; c)stabilirea unei baze de comparaţie între diferite produse INFOSEC; d)perfecţionarea procedurilor naţionale de evaluare a produselor INFOSEC. Secţiunea a 2-aDefiniţii Articolul 3În sensul prezentei metodologii, următorii termeni şi sintagme se definesc după cum urmează: a)certificare - emiterea unui document oficial, bazat pe o analiză independentă a unei evaluări şi a rezultatelor acestei evaluări, conform căruia produsul evaluat satisface parametrii de securitate predefiniţi. Prin certificare se analizează rezultatele evaluării şi se stabileşte dacă criteriile şi metodele de evaluare au fost aplicate în mod corect. Procesul de certificare verifică uniformitatea şi corectitudinea procedurilor de evaluare, precum şi consecvenţa şi compatibilitatea rezultatelor evaluării; b)evaluare - examinarea detaliată, din punct de vedere tehnic şi funcţional, a produselor INFOSEC, din punct de vedere al securităţii.Prin procesul de evaluare se verifică cel puţin:

(i) prezenţa facilităţilor/funcţiilor de securitate cerute;
(ii) absenţa efectelor secundare compromiţătoare care ar putea decurge din implementarea facilităţilor de securitate;
(iii) funcţionalitatea globală a produsului INFOSEC;
(iv) nivelul de încredere al produsului INFOSEC;

c)imparţialitate - principiu conform căruia nu există factori care pot influenţa desfăşurarea procesului de evaluare şi rezultatele acestui proces; d)nivel de evaluare a asigurării (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune, care reprezintă un punct pe scara de asigurare predefinită a Criteriilor comune; e)obiectivitate - principiu conform căruia rezultatele unor teste de evaluare trebuie să se bazeze pe fapte concrete, nu pe opiniile subiective ale evaluatorului. Obiectivitatea poate fi consolidată, prin supunerea produsului la cel puţin două evaluări realizate de entităţi independente (reproductibilitate); f)pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate; g)produs - un pachet de software, firmware şi/sau hardware IT, care furnizează o funcţionalitate destinată utilizării sau incorporării într-o multitudine de sisteme; h)profil de protecţie - un set de cerinţe de securitate independent de implementare pentru o categorie de TOE care satisface cerinţe specifice ale consumatorilor; i)repetabilitate - principiu conform căruia repetarea evaluării aceluiaşi produs, în funcţie de aceeaşi ţintă de securitate, de către aceeaşi entitate evaluatoare conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluări a produsului; j)reproductibilitate - principiu conform căruia repetarea evaluării aceluiaşi produs, în funcţie de aceeaşi ţintă de securitate, de către o altă entitate evaluatoare conduce la un rezultat similar cu cel obţinut ca urmare a primei evaluări a produsului; k)solicitant - persoană juridică de drept public sau privat care solicită evaluarea, certificarea şi aprobarea de includere în Catalogul naţional cu produse, profile şi pachete de protecţie a unui produs INFOSEC. Solicitantul poate fi şi o altă persoană juridică diferită de producător (de exemplu, dezvoltator, utilizator, comerciant, integrator); l)ţintă de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentă de utilizator şi administrator care constituie subiectul unei evaluări; m)ţintă de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bază pentru evaluarea unei TOE identificate. Articolul 4În cuprinsul prezentei metodologii, prin produs criptografic se înţeleg acele produse criptografice care nu fac parte din categoria cifrului de stat. Articolul 5În raport cu destinaţia de utilizare, produsele INFOSEC se împart în două categorii: cu utilizare la nivel naţional şi cu regim limitat de distribuţie şi utilizare la nivelul Autorităţilor desemnate de Securitate, denumite în continuare ADS, cu competenţe în coordonarea şi controlul măsurilor de protecţie a informaţiilor naţionale clasificate ce vor fi protejate cu acestea. Secţiunea a 3-aCadru general Articolul 6(1) Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, este responsabil de coordonarea proceselor de certificare a tuturor produselor INFOSEC destinate utilizării la nivel naţional, pentru care se solicită includerea în Catalogul naţional de pachete, produse şi profile de protecţie INFOSEC, denumit în continuare Catalog naţional.(2) Pentru produsele INFOSEC, altele decât cele criptografice:a)Evaluarea se realizează de către o entitate acreditată de către ORNISS; b)ORNISS realizează certificarea, pe baza elementelor din Raportul tehnic de evaluare, denumit în continuare RTE, întocmit de entitatea care a realizat evaluarea. (3) Pentru produsele criptografice:a)Evaluarea şi certificarea se realizează de către două entităţi evaluatoare aparţinând Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apărării Naţionale (MApN); b)ORNISS emite certificatul, pe baza analizei documentelor transmise la ORNISS de către cele două instituţii ale căror entităţi evaluatoare au realizat evaluarea şi certificarea; din documente trebuie să reiasă conformitatea produselor cu standardele aplicabile, precum şi eventuale condiţii şi termene de valabilitate a rezultatelor testării, eventuale cerinţe/condiţii/ instrucţiuni de utilizare. (4) În situaţii excepţionale, când se apreciază că există o ameninţare semnificativă la adresa securităţii sistemelor informatice şi de comunicaţii naţionale, astfel încât există riscul major de prejudiciere în mod deosebit de grav a intereselor naţionale, ORNISS poate decide asupra necesităţii unor evaluări suplimentare a produselor INFOSEC, altele decât cele criptografice. Articolul 7(1) Certificarea produselor INFOSEC cu regim limitat de distribuţie şi utilizare, cu excepţia produselor criptografice, se realizează în cadrul ADS, de către structura internă INFOSEC acreditată de ORNISS, cu competenţe în coordonarea şi controlul măsurilor de protecţie a informaţiilor naţionale clasificate, pe baza RTE realizat de o entitate evaluatoare acreditată de ORNISS.(2) Aprobarea produselor criptografice cu regim limitat de distribuţie şi utilizare destinate protecţiei informaţiilor naţionale clasificate se realizează în cadrul ADS, de către structura internă INFOSEC acreditată de ORNISS, în urma evaluării şi certificării acestora de către două entităţi evaluatoare aparţinând SIE, SRI sau MApN.(3) În cazul în care în cadrul ADS nu există o structură internă INFOSEC acreditată de ORNISS, certificarea se realizează de către ORNISS.(4) La nivelul SIE, SRI şi MApN utilizarea produselor criptografice destinate protecţiei informaţiilor naţionale clasificate şi constituirea registrelor de evidenţă a pachetelor, produselor şi profilelor de protecţie INFOSEC se stabilesc prin norme proprii. Capitolul IIDescrierea metodologiei de evaluare Etapa 1 - Demararea procesului de evaluare Articolul 8În vederea demarării procesului de evaluare a unui produs INFOSEC destinat utilizării la nivel naţional, persoanele juridice trebuie să adreseze ORNISS o solicitare scrisă. Articolul 9Solicitarea de demarare a procesului de evaluare trebuie să fie însoţită de documentaţie care să precizeze cel puţin următoarele aspecte: a)descrierea generală a produsului pentru care se solicită evaluarea; b)ţinta de securitate; c)clasa şi, după caz, nivelul de secretizare pentru care se doreşte a fi utilizat produsul; d)manualul de administrare şi utilizare (hârtie/electronic); e)copii după certificate anterioare, dacă este cazul. Articolul 10ORNISS, prin Agenţia de Securitate pentru Informatică şi Comunicaţii (ASIC) din cadrul său, analizează solicitarea primită. Articolul 11În cazul în care se constată că datele cuprinse în cererea de certificare sau în documentaţia anexată nu sunt complete, ORNISS informează solicitantul, în vederea furnizării informaţiilor adiţionale necesare. Articolul 12Dacă cererea conţine toate datele menţionate, se vor întreprinde următoarele demersuri, după caz: a)În cazul produselor INFOSEC, cu excepţia celor criptografice:

(i) ORNISS notifică solicitantul în vederea identificării entităţii evaluatoare disponibile pentru efectuarea evaluării;
(ii) Solicitantul identifică entitatea evaluatoare şi notifică ORNISS cu privire la selectarea acesteia;
(iii) ORNISS transmite către entitatea evaluatoare o adresă de solicitare a activităţii de evaluare.
b) În cazul produselor criptografice, ORNISS notifică SIE, SRI şi MApN, care vor stabili de comun acord asupra celor două entităţi care vor efectua evaluarea şi vor informa ORNISS cu privire la selectarea acestor entităţi.
c) Notificările transmise de ORNISS către entităţile evaluatoare includ toate datele prevăzute la art. 9.
Art. 13. - După analiza documentaţiei prevăzute la art. 9, în caz de neacceptare a procesului de evaluare, entitatea evaluatoare notifică ORNISS, care va informa solicitantul cu privire la această decizie.
Art. 14. - (1) În cazul în care entitatea/entităţile evaluatoare acceptă să demareze procesul de evaluare, solicitantul pune la dispoziţia acesteia/acestora cel puţin următoarele elemente:
a) produsul de evaluat, incluzând:
(i) componentele hardware, software şi firmware;
(ii) eventual alte componente necesare realizării infrastructurii de testare;
b) documentaţie tehnică, care, în funcţie de tipul produsului, trebuie să includă cel puţin:
(i) documentaţie tehnică, proceduri operaţionale de securitate;
(ii) descrierea arhitecturii fizice şi logice;
(iii) specificaţii algoritm, cod sursă, mod de lucru, vectori de test, în cazul produselor criptografice;
(iv) descrierea parametrilor critici de securitate;
c) teste proprii, platforme de testare şi documentaţie aferentă, incluzând rezultatele testelor anterioare.

(2) În funcţie de tipul informaţiilor care trebuie puse la dispoziţia entităţii/entităţilor evaluatoare, între solicitant şi entitatea/entităţile evaluatoare se pot încheia acorduri de confidenţialitate, în baza cărora aceste informaţii sunt transmise. Articolul 15Procesul de evaluare se consideră demarat după încheierea unui document de acceptare, de exemplu, contract, acord etc., între solicitant şi entitatea/entităţile evaluatoare. Articolul 16Evaluatorul întocmeşte lista cu elementele necesare evaluării şi stabileşte datele la care acestea trebuie să îi fie puse la dispoziţie. Articolul 17În cazul în care solicitantul evaluării nu este acelaşi cu producătorul produsului supus evaluării, în vederea asigurării protecţiei unor informaţii specifice, acestea pot fi puse la dispoziţia evaluatorului direct de producător. Articolul 18Este important ca obiectivele evaluării să fie clar definite de solicitant, înţelese de evaluator şi transmise către toate părţile implicate în procesul de evaluare a produsului. Persoana responsabilă cu coordonarea procesului de evaluare trebuie să verifice că toate persoanele implicate în acest proces cunosc scopul şi obiectivele evaluării, precum şi responsabilităţile pe care le au în acest proces. Etapa a 2-a - Desfăşurarea procesului de evaluare 1. Elemente generale Articolul 19Evaluarea produselor INFOSEC se realizează de către entităţi evaluatoare acreditate, potrivit reglementărilor în vigoare. Articolul 20(1) Procesul de evaluare a produselor INFOSEC se desfăşoară pe baza a 3 elemente:a)criterii; b)metodologie; c)modul de derulare a proceselor de evaluare şi certificare de securitate. (2) Criteriile reprezintă normele şi principiile faţă de care poate fi măsurată securitatea unui produs INFOSEC, în vederea evaluării, dezvoltării şi achiziţiei, iar metodologia stabileşte modul în care trebuie realizată evaluarea, în baza criteriilor. Articolul 21Evaluarea securităţii pe care o pot asigura produsele INFOSEC se realizează în conformitate cu standarde naţionale sau standarde internaţionale recunoscute pe plan naţional, agreate de statele membre ale NATO sau UE. 2. Obiectivele evaluării Articolul 22Obiectivul principal al procesului de evaluare de securitate constă în verificarea faptului că funcţiile de securitate ale produsului sunt conforme cu ţinta de securitate. Articolul 23Procesul de evaluare de securitate asigură un anumit nivel de încredere în faptul că produsul nu prezintă vulnerabilităţi care pot fi exploatate. Articolul 24În contextul evaluării şi certificării produselor INFOSEC trebuie acordată o atenţie deosebită principiilor repetabilităţii, reproductibilităţii, imparţialităţii şi obiectivităţii. Articolul 25Respectarea acestor 4 principii trebuie să fie verificată de ORNISS în cursul procesului de certificare. 3. Întocmirea planului de activităţi privind evaluarea Articolul 26Pentru a descrie structura unui proces de evaluare, precum şi conexiunile dintre diferitele activităţi aferente procesului, evaluatorul trebuie să întocmească un plan de activităţi privind evaluarea, denumit în continuare PAE. Articolul 27PAE trebuie să descrie modul în care sunt organizate activităţile legate de procesul de evaluare şi interrelaţionarea acestor activităţi. Articolul 28PAE trebuie întocmit astfel încât să fie aplicabil atât pentru evaluarea unei game de produse, cât şi pentru diferite niveluri ale evaluării. Articolul 29Acest document oferă o prezentare generală asupra modului în care trebuie realizată evaluarea, în conformitate cu criterii şi metodologii de evaluare specifice. 4. Desfăşurarea evaluării Articolul 30Activitatea entităţii evaluatoare trebuie să fie conformă cu cerinţele standardelor de calitate şi cu criteriile stabilite în Metodologia de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12. Articolul 31Procesul de evaluare trebuie să includă cel puţin următoarele activităţi: a)verificarea faptului că elementele necesare evaluării sunt conforme cu cerinţele criteriilor de evaluare; b)verificarea faptului că cerinţele de securitate specificate în ţinta de securitate sunt implementate în mod adecvat; c)verificarea faptului că produsul operaţional nu prezintă vulnerabilităţi exploatabile. Articolul 32Prezenta metodologie stabileşte cadrul general al activităţilor legate de procesul de evaluare şi certificare, iar la implementarea sa trebuie ţinut cont de faptul că pentru fiecare produs specific pot fi necesare diferite activităţi şi niveluri de evaluare. Articolul 33Anexa nr. 1 prezintă o listă exemplificativă cu activităţi aferente procesului de evaluare. Articolul 34Observaţiile şi rezultatele fiecărei activităţi din procesul de evaluare trebuie consemnate într-un RTE. Articolul 35Pe toată durata procesului de evaluare oricare dintre părţile implicate poate solicita organizarea unor şedinţe de lucru sau informaţii suplimentare, pentru clarificarea aspectelor de natură tehnică. Articolul 36În situaţia în care unele activităţi aferente procesului de evaluare impun efectuarea unor teste la sediul solicitantului sau dezvoltatorului, producătorului sau utilizatorului produsului, acestea trebuie să se realizeze în baza unor înţelegeri scrise între părţile implicate şi, în cazul unor testări care presupun acces la informaţii clasificate secret de stat, notificarea prealabilă a ORNISS. Articolul 37În cazul în care ORNISS consideră necesar, poate participa la testele efectuate la sediul solicitantului sau dezvoltatorului. Articolul 38În cazul în care evaluarea este întreruptă din diferite cauze, de exemplu rezilierea contractului/încetarea acordului, entitatea evaluatoare trebuie să notifice ORNISS cu privire la acest lucru. Etapa a 3-a - Finalizarea procesului de evaluare Întocmirea RTE Articolul 39La finalul activităţilor de evaluare, evaluatorul are obligaţia să întocmească un RTE. Articolul 40RTE are următoarea structură: a)descrierea activităţilor desfăşurate în procesul de evaluare; b)prezentarea rezultatelor obţinute şi a concluziilor rezultate din activităţile desfăşurate. Articolul 41Entitatea evaluatoare transmite către solicitantul evaluării elemente din RTE, cu respectarea principiului necesităţii de a cunoaşte. Articolul 42În cazul în care dezvoltatorul produsului nu este totodată şi solicitantul evaluării, există posibilitatea transmiterii anumitor părţi din RTE către dezvoltator, dar numai cu acordul solicitantului evaluării. Articolul 43Anexa nr. 2 prezintă un model de RTE, detaliind conţinutul fiecărui capitol şi al fiecărei secţiuni. Articolul 44(1) În vederea certificării produselor INFOSEC, altele decât cele criptografice, entitatea evaluatoare transmite la ORNISS un document de sinteză a RTE, care să cuprindă cel puţin următoarele elemente:a)denumirea şi descrierea caracteristicilor funcţionale şi de securitate ale produsului evaluat; b)configuraţia şi condiţiile în care a fost testat produsul; c)standardele şi metodologiile în conformitate cu care s-a realizat testarea şi evaluarea produsului; d)testele realizate şi rezultatele acestora; e)concluziile finale ale procesului de evaluare; f)condiţii şi termene de valabilitate a rezultatelor testării, eventuale cerinţe/condiţii/instrucţiuni de utilizare a produsului, astfel încât să se asigure păstrarea caracteristicilor de securitate şi funcţionale; g)numărul RTE întocmit. (2) Pentru clarificarea unor aspecte specifice, ORNISS poate solicita entităţii evaluatoare să îi pună la dispoziţie o copie a RTE.(3) În cazul produselor criptografice, cele două entităţi care au realizat evaluarea şi certificarea transmit la ORNISS documente din care să reiasă conformitatea produselor cu standardele aplicabile, precum şi eventuale condiţii şi termene de valabilitate a rezultatelor testării, eventuale cerinţe/condiţii/instrucţiuni de utilizare, astfel încât să se asigure păstrarea caracteristicilor de securitate şi funcţionale. Capitolul IIIDescrierea metodologiei de certificare Secţiunea 1Demararea procesului de certificare Articolul 45Principalul obiectiv al certificării este acela de a furniza o confirmare independentă a faptului că procesul de evaluare a fost realizat în mod corect, în conformitate cu criteriile, procedurile şi metodologiile recunoscute şi rezultatele evaluării sunt conforme cu elementele constatate. Totodată, certificarea are rolul de a crea un climat de încredere şi de a confirma faptul că entităţile evaluatoare operează în conformitate cu aceleaşi standarde şi că rezultatele obţinute de oricare dintre entităţile evaluatoare sunt demne de încredere în egală măsură. Articolul 46Încrederea trebuie să aibă la bază respectarea principiilor imparţialităţii, obiectivităţii, repetabilităţii şi reproductibilităţii. Articolul 47O descriere schematică a procesului de certificare este prezentată în schema de mai jos. Schema procesului de certificare a produselor INFOSEC utilizate în SIC care vehiculează informaţii naţionale clasificate Articolul 48
(1) Demararea procesului de certificare se realizează printr-o solicitare adresată ORNISS de către solicitant.
(2) Solicitarea trebuie să fie însoţită de concluziile formulate de entitatea/entităţile evaluatoare în urma procesului de testare-evaluare a produsului.
(3) În cazul în care documentaţia nu este completă, ORNISS notifică solicitantul, specificând elementele care trebuie completate.
Articolul 49În cadrul etapei de certificare de securitate, ORNISS, prin ASIC realizează o analiză independentă a rezultatelor obţinute în urma etapei de evaluare, precum şi a modalităţii în care s-a desfăşurat această activitate. Articolul 50Procesul de certificare trebuie să analizeze următoarele aspecte: a)criteriile, metodologiile şi procedurile de lucru utilizate în procesul de evaluare; b)resursele folosite în cadrul evaluării de securitate, de exemplu echipamente, documentaţie, timp etc.; c)personalul care a realizat evaluarea de securitate, de exemplu calificare, obiectivitate, imparţialitate etc.; d)rezultatele testelor de evaluare; e)RTE sau elemente din acesta, după caz.
Secţiunea a 2-aÎntocmirea Raportului de certificare Articolul 51Rezultatele activităţii de certificare trebuie să facă obiectul unui raport de certificare. Articolul 52Raportul de certificare trebuie să identifice în mod clar produsul şi să conţină recomandări cu privire la decizia privind certificarea produsului evaluat. Articolul 53Dacă în urma analizei documentaţiei pusă la dispoziţie în vederea certificării se constată că, atât rezultatele obţinute în urma activităţii de evaluare, cât şi modalitatea în care aceasta s-a realizat sunt conforme standardelor şi normelor în vigoare, precum şi faptul că produsul îndeplineşte cerinţele de securitate conform ţintei de securitate, Raportul de certificare include propuneri privind certificarea produsului. Articolul 54În cazul în care, în urma analizei, se constată deficienţe în procesul de evaluare a produsului, atunci ORNISS notifică entitatea evaluatoare, în vederea remedierii acestor deficienţe. Articolul 55Pentru desfăşurarea corespunzătoare a etapei de certificare, ORNISS, prin ASIC, poate solicita entităţii evaluatoare alte documente cu relevanţă pentru această activitate. Articolul 56Raportul de certificare va fi elaborat în termen de maximum 30 de zile de la primirea documentului de sinteză emis de entitatea/entităţile evaluatoare pe baza RTE sau, după caz, a ultimului document solicitat de ASIC entităţii evaluatoare. Articolul 57Anexa nr. 3 prezintă un set minim de elemente ale Raportului de certificare. Secţiunea a 3-aLuarea deciziei privind certificarea produsului Articolul 58După parcurgerea activităţilor necesare luării unei decizii privind certificarea unui produs, se desprind două variante posibile: a)certificarea produsului şi emiterea Certificatului de conformitate şi aprobarea includerii în Catalogul naţional; b)refuzul certificării - decizie datorată identificării unor deficienţe grave referitoare la atingerea de către produs a parametrilor de securitate predefiniţi. Articolul 59Certificatul de conformitate emis de directorul general al ORNISS confirmă faptul că produsul îndeplineşte standardele de securitate în baza cărora a fost evaluat, pentru ţinta de securitate propusă. Articolul 60Produsele certificate vor fi incluse în Catalogul naţional, cu ocazia următoarei actualizări a acestuia, în conformitate cu prevederile Directivei INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC-INFOSEC 5. Articolul 61Anexa nr. 4 cuprinde o bibliografie a unor acte normative şi documente cu relevanţă în domeniu. Articolul 62Anexele nr. 1-4 fac parte integrantă din prezenta metodologie.
ANEXA Nr. 1la metodologie Exemple de activităţi aferente procesului de evaluare 1. Prezentăm în continuare o listă exemplificativă cu activităţi aferente procesului de evaluare: a)verificarea analizei de conformitate; b)verificarea analizei caracterului unitar; c)examinarea eficienţei mecanismelor de asigurare a securităţii; d)examinarea vulnerabilităţilor constructive; e)examinarea uşurinţei de utilizare; f)examinarea vulnerabilităţilor operaţionale; g)verificarea cerinţelor; h)verificarea proiectului de arhitectură a produsului; i)verificarea proiectului detaliat; j)verificarea implementării mecanismelor de asigurare a securităţii; k)verificarea mediului de dezvoltare; l)verificarea documentaţiei de operare; m)verificarea mediului operaţional; n)realizarea de teste de penetrare; o)întocmirea raportului de evaluare.2. Pentru claritate, precizăm că termenul de „verificare“ implică analiza elementelor de evaluare, în timp ce „examinarea“ furnizează date de intrare pentru realizarea testelor de penetrare. Deşi testele de penetrare sunt în mod explicit corelate cu activităţile anterioare, acestea au fost specificate ca activitate distinctă din două motive: a)pentru a sublinia faptul că analizele anterioare trebuie consolidate şi apoi trebuie concepute testele, pe baza acestor analize; b)pentru a indica faptul că, în general, diferitele teste de penetrare sunt realizate împreună.3. Prin activitatea de verificare a analizei de conformitate, evaluatorul verifică analiza efectuată de dezvoltatorul produsului INFOSEC. Verificarea poate pune în evidenţă unele vulnerabilităţi rezultate, din cauza faptului că anumite funcţii de securitate nu asigură atingerea unuia dintre obiectivele securităţii, în condiţiile unei ameninţări identificate în ţinta de securitate. 4. Activitatea de verificare a analizei caracterului unitar constă în examinarea analizei efectuate de dezvoltatorul produsului INFOSEC şi stabileşte dacă setul de funcţii de securitate implementate, luate ca ansamblu, asigură în mod adecvat îndeplinirea obiectivelor securităţii. 5. Prin examinarea eficienţei mecanismelor de asigurare a securităţii evaluatorul identifică eventualele mecanisme care nu ating eficienţa minimă cerută prin ţinta de securitate. 6. În procesul de examinare a vulnerabilităţilor rezultate din procesul de construcţie a produsului INFOSEC, evaluatorul trebuie să identifice eventuale astfel de vulnerabilităţi ale acestuia. Erorile identificate în procesul de evaluare a corectitudinii procesului de dezvoltare a produsului reprezintă o sursă de vulnerabilităţi constructive. Această activitate presupune examinarea erorilor, precum şi a diferitelor funcţionalităţi introduse în fiecare etapă a dezvoltării produsului. 7. Examinarea uşurinţei de utilizare presupune identificarea modurilor de operare nesigure a produsului INFOSEC. Prin urmare, această activitate este strâns legată de cerinţe operaţionale. 8. Activitatea de evaluare a vulnerabilităţilor operaţionale presupune ca evaluatorul să examineze modul de operare a produsului INFOSEC, pentru a identifica eventuale vulnerabilităţi apărute în cursul acestui proces. 9. Vulnerabilităţile operaţionale tratează aspecte la limita dintre măsurile de securitate IT şi cele non-IT, cum ar fi proceduri operaţionale privind securitatea fizică, modalităţi nonelectronice de management al cheilor, distribuţia ecusoanelor de securitate etc. Măsurile de securitate non-IT trebuie să facă obiectul preocupărilor entităţii evaluatoare în următoarele situaţii: a)apar ca parte a documentaţiei de operare; b)ţinta de securitate este formulată pe baza unei politici de securitate a sistemului; c)apar ca parte a documentaţiei produsului INFOSEC.10. În procesul de analiză a vulnerabilităţilor operaţionale ale produsului INFOSEC, evaluatorii trebuie să analizeze dacă măsurile de securitate non-IT implementate contracarează vulnerabilităţile constructive identificate. 11. Activitatea de verificare a cerinţelor presupune ca evaluatorul să determine dacă ţinta de securitate defineşte în mod corect funcţiile care asigură implementarea securităţii. Ţinta de securitate trebuie să identifice clar aceste funcţii, nivelul de evaluare solicitat, precum şi măsurile de securitate implementate şi care trebuie avute în vedere în procesul de evaluare a produsului INFOSEC. 12. Prima etapă în procesul de dezvoltare a produsului, de la faza de cerinţe la cea de proiect de arhitectură, prezintă o importanţă deosebită, avându-se în vedere faptul că asigură corespondenţa dintre funcţiile abstracte şi componentele logice şi fizice ale produsului INFOSEC. În acest context, una dintre principalele activităţi din procesul de evaluare este verificarea proiectului de arhitectură, în urma căreia evaluatorul decide dacă există o separare bine definită între funcţionalităţile care asigură securitatea şi celelalte funcţionalităţi ale produsului INFOSEC. În acest caz, activitatea de evaluare poate fi focalizată asupra elementelor care contribuie la asigurarea securităţii, iar ţinta de securitate poate fi urmărită cu uşurinţă, pe măsură ce proiectul este analizat mai în detaliu. 13. Activitatea de verificare a proiectului detaliat presupune analiza modului în care este respectată politica privind separarea componentelor care asigură securitatea de celelalte componente, precum şi verificarea faptului că toate componentele care asigură implementarea securităţii sunt corect implementate. 14. Verificarea implementării presupune analiza modului în care sunt implementate mecanismele de asigurare a securităţii, într-un mod mai detaliat decât în cursul activităţii de verificare a proiectului. Analiza se bazează pe concluziile activităţii de verificare a proiectului detaliat, după care devine posibilă testarea funcţională. 15. Prin activitatea de verificare a mediului de dezvoltare se analizează în special standardele conform cărora este dezvoltat produsul. În cursul acestei activităţi se analizează: a)controlul configuraţiei; b)limbajele de programare şi compilatoarele; c)măsurile de securitate implementate de dezvoltator.16. Activitatea de verificare a documentaţiei de operare presupune verificarea faptului că produsul INFOSEC poate fi administrat şi utilizat în acord cu obiectivele sale de securitate. 17. Verificarea mediului de operare presupune ca evaluatorul să analizeze dacă produsul operaţional este identic cu produsul rezultat din procesul de dezvoltare şi dacă acesta poate fi operat în conformitate cu obiectivele securităţii. 18. Testele de penetrare au rolul de a identifica eventuale vulnerabilităţi, care pot fi exploatate în procesul de utilizare a produsului INFOSEC. 19. Observaţiile şi rezultatele fiecărei activităţi din procesul de evaluare trebuie consemnate în RTE. ANEXA Nr. 2la metodologie Model -Raportul tehnic de evaluare (RTE) Capitolul IIntroducere Secţiunea 1Elemente generale 1. Această secţiune conţine date generale cu privire la procesul de evaluare şi trebuie să prezinte cel puţin următoarele elemente: a)denumirea, numărul de identificare şi versiunea/modelul produsului INFOSEC supus evaluării; b)date referitoare la dezvoltatorul produsului INFOSEC şi, dacă este cazul, la subcontractanţii care au contribuit la dezvoltarea produsului INFOSEC; c)date cu privire la solicitantul evaluării; d)programarea activităţilor aferente procesului de evaluare; e)date cu privire la entitatea evaluatoare. Secţiunea a 2-aObiective 2. Această secţiune trebuie să prezinte obiectivele RTE. 3. În principal, obiectivele sunt: a)prezentarea elementelor necesare susţinerii unei anumite concluzii cu privire la produsul INFOSEC supus evaluării; b)susţinerea procesului de reevaluare a produsului INFOSEC, în cazul în care solicitantul doreşte acest lucru. Secţiunea a 3-aDomeniu de aplicabilitate 4. Această secţiune trebuie să sublinieze faptul că RTE se referă la întreaga activitate desfăşurată în cursul procesului de evaluare. 5. În caz contrar, trebuie specificate motivele pentru care RTE nu acoperă întreaga activitate de evaluare. Secţiunea a 4-a Structură 6. Această secţiune trebuie să prezinte structura RTE. Capitolul II Sumar 7. Acest capitol furnizează date cu privire la rezultatele evaluării. 8. Totodată, acest capitol trebuie să conţină informaţiile generale necesare introducerii produsului INFOSEC în Catalogul naţional, după certificare. 9. Prin urmare, sumarul nu trebuie să conţină informaţii clasificate. 10. Acest capitol trebuie să conţină: a)date cu privire la entitatea evaluatoare; b)nivelul de evaluare atins efectiv; c)numărul de identificare şi versiunea/modelul produsului INFOSEC; d)sumarul principalelor concluzii ale evaluării; e)date cu privire la solicitantul evaluării; f)scurtă descriere a produsului INFOSEC supus evaluării; g)scurtă descriere a caracteristicilor de securitate ale produsului INFOSEC supus evaluării. Capitolul IIIDescrierea produsului INFOSEC supus evaluării Secţiunea 1Funcţionalitatea produsului INFOSEC 11. Această secţiune trebuie să conţină o prezentare succintă a rolului operaţional al produsului INFOSEC, precum şi a funcţiunilor pentru care a fost proiectat. Descrierea trebuie să conţină cel puţin următoarele elemente: a)tipul de date care pot fi procesate utilizând produsul (nivel de clasificare etc.); b)categoriile de utilizatori care vor utiliza produsul INFOSEC (corelat cu precizările de la punctul anterior). Secţiunea a 2-a Etapele procesului de dezvoltare 12. Această secţiune trebuie să prezinte etapele parcurse în realizarea produsului INFOSEC. 13. De asemenea, trebuie prezentate metodologiile, tehnicile, instrumentele şi standardele relevante pentru realizarea produsului INFOSEC. 14. Totodată, această secţiune trebuie să includă descrierea elementelor necesare evaluării puse la dispoziţia entităţii evaluatoare de către solicitant. Descrierea trebuie să includă data la care au fost puse la dispoziţie aceste elemente şi numărul de înregistrare cu care a fost luat în evidenţă fiecare element. Secţiunea a 3-aArhitectura produsului INFOSEC 15. Această secţiune trebuie să conţină un sumar al proiectului general al produsului INFOSEC. Trebuie să se precizeze gradul de separare între componentele care asigură implementarea securităţii şi celelalte componente. Secţiunea va prezenta şi modul de implementare şi distribuţia între componentele hardware, firmware şi software a elementelor care asigură implementarea securităţii. 16. Toate numerele modelelor/versiunilor acestor componente trebuie specificate într-o anexă la RTE (anexa C). Secţiunea a 4-aDescrierea componentelor hardware 17. Descrierea componentelor hardware trebuie să prezinte în detaliu toate componentele relevante pentru procesul de evaluare, la nivel de arhitectură. Secţiunea a 5-aDescrierea componentelor firmware 18. Descrierea componentelor firmware trebuie să prezinte în detaliu toate componentele relevante pentru procesul de evaluare. Secţiunea a 6-a Descrierea software 19. Descrierea componentelor software trebuie să prezinte în detaliu toate componentele relevante pentru procesul de evaluare. Descrierea trebuie să furnizeze legătura dintre componentele software şi cele hardware şi firmware. Capitolul IVCaracteristici de securitate ale produsului INFOSEC 20. Trebuie subliniat că înţelegerea ţintei de securitate este un element esenţial pentru înţelegerea RTE. De aceea, este recomandabil ca acest capitol să includă descrierea completă a ţintei de securitate. 21. Capitolul trebuie să abordeze cel puţin următoarele aspecte: a)politica de securitate pentru produsul INFOSEC; b)specificarea funcţiilor de implementare a securităţii; c)specificarea mecanismelor de securitate; d)precizarea nivelului minim estimat de eficienţă a mecanismelor de securitate; e)nivelul de evaluare solicitat. Capitolul VEvaluarea 22. Prevederile prezentului capitol detaliază activităţile efectuate în procesul de evaluare, cu specificarea tuturor problemelor identificate, atât a celor de natură tehnică, cât şi a celor de natură managerială. 23. Capitolul trebuie să conţină date care să sprijine activitatea comisiei de certificare de securitate, în analiza aspectelor de natură tehnică şi managerială. Totodată, datele cuprinse în acest capitol pot să contribuie şi la eficientizarea activităţii entităţii evaluatoare. Secţiunea 1Etapele evaluării 24. Această secţiune este similară celei în care sunt prezentate etapele procesului de dezvoltare şi trebuie să includă date cu privire la: a)data la care a fost demarat procesul de evaluare; b)data la care au fost furnizate elementele necesare evaluării, inclusiv ţinta de securitate a produsului INFOSEC; c)perioada în care au fost realizate testele de penetrare; d)eventuale vizite efectuate la sediile dezvoltatorului sau ale utilizatorului final al produsului; e)data la care s-au încheiat activităţile tehnice.25. Secţiunea trebuie să precizeze toate metodele, tehnicile, instrumentele şi standardele utilizate în procesul de evaluare. Secţiunea a 2-aProcedura de evaluare 26. Această secţiune trebuie să conţină un sumar al PAE. Sumarul trebuie să includă: a)activităţile desfăşurate de evaluator, conform PAE; b)totalitatea activităţilor desfăşurate în procesul de evaluare, cu evidenţierea activităţilor care nu au fost cuprinse în PAE, dar au fost efectuate în practică; va fi precizată motivaţia existenţei acestor discrepanţe. Secţiunea a 3-a Domeniul de aplicare a evaluării 27. Această secţiune trebuie să precizeze componentele care au făcut obiectul evaluării, precum şi ipotezele făcute cu privire la componentele care nu au fost examinate. Secţiunea a 4-a Constrângeri şi ipoteze 28. Această secţiune trebuie să precizeze eventualele constrângeri asupra procesului de evaluare şi ipotezele făcute în cursul acestui proces. Capitolul VISumarul rezultatelor evaluării 29. Prevederile prezentului capitol trebuie să prezinte sumarul rezultatelor evaluării, pentru toate activităţile efectuate în cursul procesului. 30. Se recomandă structurarea pe secţiuni care să corespundă fiecăreia dintre activităţile desfăşurate. 31. Fiecare secţiune trebuie să fie corelată cu setul de activităţi desfăşurate. 32. Prezentăm în continuare, cu titlu de exemplu, o listă de aspecte care fac obiectul acestui capitol: a)Eficienţa constructivăAspect 1 - Conformitatea funcţionalităţiiAspect 2 - Interrelaţionarea funcţionalităţilorAspect 3 - Eficienţa mecanismelorAspect 4 - Evaluarea vulnerabilităţilor constructive b)Eficienţa operaţionalAspect 1 - Flexibilitatea în utilizareAspect 2 - Evaluarea vulnerabilităţilor operaţionale c)Realizarea produsului - Procesul de dezvoltarEtapa 1 - CerinţeEtapa 2 - Proiectul arhitecturiiEtapa 3 - Proiectul detaliatEtapa 4 - Implementarea d)Realizarea produsului - Mediul de dezvoltarAspect 1 - Controlul configuraţieiAspect 2 - Limbaje de programare şi compilatoareAspect 3 - Măsurile de securitate implementate de către dezvoltator e)Operare - Documentaţia de operarAspect 1 - Documentaţia de utilizareAspect 2 - Documentaţia de administrare f)Operare - Mediul operaţionaAspect 1 - Livrarea şi configurarea produsuluiAspect 2 - Punerea în funcţiune şi operarea Secţiunea 1Teste de penetrare 33. Rezultatele testelor de penetrare au fost analizate separat deoarece testele de penetrare sunt de cele mai multe ori realizate ca parte a unei anumite activităţi. 34. Prezenta secţiune trebuie să prezinte toate opţiunile de configurare folosite în timpul testelor de penetrare. Secţiunea a 2-aVulnerabilităţi exploatabile identificate 35. Prezenta secţiune trebuie să descrie vulnerabilităţile ce pot fi exploatate, care au fost identificate în timpul evaluării, precizând: a)funcţia de implementare a securităţii la care a fost identificată vulnerabilitatea; b)descrierea vulnerabilităţii; c)acţiunile întreprinse de evaluator în momentul identificării vulnerabilităţii; d)activitatea în cursul căreia a fost identificată vulnerabilitatea; e)persoana care a identificat vulnerabilitatea (dezvoltatorul sau evaluatorul); f)data la care a fost identificată vulnerabilitatea; g)dacă vulnerabilitatea a fost remediată (se menţionează data) sau nu; h)sursa generatoare a vulnerabilităţii (dacă este posibil). Secţiunea a 3-aObservaţii legate de vulnerabilităţi ce nu pot fi exploatate 36. Prezenta secţiune trebuie să descrie vulnerabilităţile ce nu pot fi exploatate şi au fost identificate în cadrul evaluării (subliniindu-le pe cele rămase în produsul operaţional). Secţiunea a 4-aErori identificate 37. Prezenta secţiune trebuie să precizeze impactul pe care îl pot avea erorile identificate în cadrul procesului de evaluare. Capitolul VIIGhid pentru reevaluare şi analiză a impactului Prezentul capitol este opţional. Poate fi omis dacă solicitantul evaluării a declarat că nu necesită informaţii privind o reevaluare sau analiză a impactului. 38. Dacă va fi inclus, acest capitol trebuie să precizeze: a)includerea fiecărei componente a produsului INFOSEC în una dintre următoarele categorii: componente care asigură implementarea securităţii, componente relevante pentru securitate sau componente care nu sunt relevante pentru securitate; b)identificarea instrumentelor de dezvoltare care sunt relevante pentru securitate; c)modalitatea în care constrângerile sau ipotezele făcute în procesul de evaluare pot avea impact în cazul reevaluării sau refolosirii produsului INFOSEC; d)orice concluzii privind tehnici de evaluare sau instrumente care pot fi utile în cazul unei reevaluări; e)detalii de arhivare necesare reînceperii evaluării; f)pregătire specifică necesară reevaluatorilor pentru demararea unui proces de reevaluare. Capitolul VIIIConcluzii şi recomandări 39. Prezentul capitol trebuie să prezinte concluziile şi recomandările evaluării. Concluzia principală va preciza dacă produsul INFOSEC îndeplineşte obiectivul de securitate stabilit şi dacă are vulnerabilităţi ce pot fi exploatate. 40. Trebuie să se specifice faptul că recomandările se referă la componentele produsului care au făcut obiectul evaluării şi că pot exista şi alţi factori de care evaluatorii nu sunt conştienţi, iar aceşti factori pot influenţa procesul de certificare a produsului INFOSEC. 41. Recomandările pot include sugestii către alte entităţi, precum solicitantul evaluării sau dezvoltatorul produsului INFOSEC, pentru a fi înaintate comisiei despre certificare de securitate. 42. Trebuie să se specifice faptul că rezultatele evaluării sunt valabile numai pentru o anumită versiune a produsului INFOSEC, configurată într-un anumit mod, iar comisia de certificare de securitate trebuie informată despre orice schimbări aduse produsului INFOSEC. Capitolul IXAnexele RTE Anexa A - Lista elementelor necesare evaluării 43. Această anexă trebuie să identifice, cu numerele versiunii şi datele la care au fost recepţionate, toate elementele necesare evaluării sau se face o referire la lista elementelor. Anexa B - Lista de acronime/Glosar de termeni 44. Această anexă trebuie să explice toate acronimele şi abrevierile folosite în RTE. De asemenea, trebuie să definească termenii specifici utilizaţi. Anexa C - Configuraţia evaluată 45. Configuraţiile produsului INFOSEC examinate în cadrul evaluării (în special configuraţii folosite la testele de penetrare, verificare a fiabilităţii) trebuie identificate clar. 46. Trebuie precizate orice presupuneri făcute sau configuraţii care nu au fost luate în considerare. Descrierea componentelor hardware 47. Descrierea componentelor hardware trebuie să furnizeze informaţii despre configuraţie, privind toate componentele la nivel arhitectural ce sunt relevante pentru evaluare şi, în consecinţă, pentru implementarea securităţii. Descrierea componentelor firmware 48. Descrierea componentelor firmware trebuie să furnizeze informaţii despre configuraţie, despre toate componentele care sunt relevante pentru procesul de evaluare şi, în consecinţă, pentru implementarea securităţii. Descrierea componentelor software 49. Descrierea componentelor software trebuie să furnizeze informaţii despre configuraţie privind părţi ale aplicaţiilor software utilizate de produsul INFOSEC care sunt relevante pentru procesul de evaluare şi, în consecinţă, pentru implementarea securităţii. Anexa D - Rapoartele activităţilor de evaluare 50. Această anexă nu este necesară dacă toate rapoartele de activitate sunt incluse în cap. VI al RTE. 51. Dacă este inclusă, această anexă trebuie să cuprindă înregistrări ale tuturor activităţilor de evaluare (incluzând rezultatele testelor efectuate, tehnici şi instrumente utilizate). Anexa E - Probleme identificate 52. Această anexă trebuie să cuprindă rapoarte cu privire la toate problemele identificate în cursul procesului de evaluare. 53. Rapoartele pot fi emise şi înainte de finalizarea evaluării şi trebuie să conţină cel puţin următoarele elemente: a)numărul şi versiunea produsului INFOSEC supus evaluării; b)activitatea în cursul căreia a fost identificată problema; c)descrierea problemei identificate. ANEXA Nr. 3la metodologie Elemente ale raportului de certificare Un raport de certificare trebuie să includă cel puţin următoarele elemente: a)Introducere:date generale cu privire la produsul INFOSEC supus evaluării. b)Rezumatdetalii cu privire la entitatea de evaluare;identificarea completă a produsului INFOSEC supus evaluării, inclusiv a codului de identificare, versiunii etc.;sumarul concluziilor formulate de evaluator;date privind dezvoltatorul şi, dacă este cazul, a subcontractanţilor acestuia care au contribuit la dezvoltarea produsului INFOSEC;date privind solicitantul certificării;nivelul de evaluare atins efectiv. c)Prezentarea produsului INFOSECdescrierea produsului INFOSEC, în configuraţia supusă evaluării;descrierea hardware;descrierea firmware;descrierea software;descrierea documentaţiei produsului INFOSEC. d)Evaluareadescrierea sumară a ţintei de securitate, care să cuprindă şi descrierea caracteristicilor de securitate ale produsului INFOSEC;elemente de identificare ale RTE;sumarul principalelor concluzii formulate de entitatea de evaluare. e)Certificareapropuneri referitoare la luarea unei decizii cu privire la certificarea produsului INFOSEC;specificarea eventualelor restricţii care trebuie avute în vedere în procesul de utilizare a produsului INFOSEC (de exemplu: limitarea nivelului de clasificare a informaţiilor, utilizare în medii operaţionale specifice etc.). ANEXA Nr. 4la metodologie Bibliografie 1. Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, publicată în Monitorul Oficial al României, Partea I, nr. 485 din 5 iulie 2002, cu modificările şi completările ulterioare. 2. Normele privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353/2002, publicată în Monitorul Oficial al României, Partea I, nr. 315 din 13 mai 2002, cu modificările ulterioare. 3. Metodologia de acreditare a entităţilor pentru evaluarea produselor de securitate IT şi a sistemelor informatice şi de comunicaţii - INFOSEC 12, aprobată prin ordin al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat. 4. North Atlantic Council, Guidelines for the security evaluation and certification of communication and information systems (CIS) - AC/35-D/1019-REV1, 2008. 5. Procedure CER/P/01.1 - Certification of the security provided by IT products and systems, February 9, 2004 - Secretariat Général de la Defense Nationale, France. 6. Common Methodology for the Information Technology Security Evaluation v. 3.1, rev. 3 2009. 7. SP-001 Certification and Evaluation Scheme - Scheme overview, Swedish Certification Body for IT Security, November 2011. 8. Common Criteria Evaluation and Validation Scheme For Information Technology Security, Guidance to Validators of IT Security Evaluations, Version 2.0, September 2008, National Institute for Standards and Technologies, U.S.



SmartCity5

COMENTARII la Ordinul 21/2012

Momentan nu exista niciun comentariu la Ordinul 21 din 2012
Comentarii la alte acte
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
ANONIM a comentat Decretul 226 2006
    Nabídka půjčky!!! Nabídka půjčky!!! Nabídka půjčky!!! Potřebujete půjčku s nízkou úrokovou sazbou 2%? Byla vám banka odepřena půjčka, protože nemáte žádné zajištění nebo špatný úvěr? Potřebujete půjčku k zahájení vašeho osobního podnikání? Jste unaveni z bankovního stresu? Pokud potřebujete další finanční prostředky na dlouhodobé a krátkodobé půjčky od 5 000 Kč do 80 000 000 Kč, pak jste na správném místě kontaktujte nás na e-mailu: Radeknovotny777@gmail.com
Coduri postale Prefixe si Coduri postale din Romania Magazin si service calculatoare Sibiu