În temeiul art. 1 alin. (4) lit. b) şi art. 3 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003, cu modificările şi completările ulterioare, şi al art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea şi prezentarea proiectelor de documente de politici publice, a proiectelor de acte normative, precum şi a altor documente, în vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului nr. 561/2009,directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat emite prezentul ordin. Articolul 1Se aprobă Directiva INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5, prevăzută în anexa care face parte integrantă din prezentul ordin. Articolul 2La data intrării în vigoare a prezentului ordin se abrogă Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 7/2010 pentru aprobarea Directivei INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC-INFOSEC 5, publicat în Monitorul Oficial al României, Partea I, nr. 92 din 10 februarie 2010. Articolul 3Oficiul Registrului Naţional al Informaţiilor Secrete de Stat va duce la îndeplinire prevederile prezentului ordin. Directorul general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Marius Petrescu
ANEXĂDIRECTIVA INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5 Capitolul IScop Articolul 1Directiva INFOSEC privind Catalogul naţional cu pachete, produse şi profile de protecţie INFOSEC - INFOSEC 5 (directiva) este elaborată de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, ca parte a politicii naţionale de protecţie a informaţiilor clasificate. Articolul 2Directiva stabileşte procesul şi procedurile de realizare, actualizare şi păstrare a Catalogului naţional cu pachete, produse şi profile de protecţie INFOSEC, denumit în continuare Catalog naţional. Articolul 3Scopul Catalogului naţional, definit prin prezenta directivă, este de a furniza persoanelor juridice de drept public sau privat care au în administrare sisteme informatice şi de comunicaţii care vehiculează informaţii clasificate şi altor entităţi care au responsabilităţi în domeniul protecţiei informaţiilor clasificate o listă de pachete, produse şi profile de protecţie INFOSEC certificate, care pot fi achiziţionate în scopul îndeplinirii cerinţelor operaţionale de securitate. Capitolul IIDefiniţii Articolul 4În sensul prezentei directive, următorii termeni se definesc după cum urmează: a)nivel de evaluare a asigurării (EAL) - un pachet de componente de asigurare din partea a 3-a a Criteriilor comune de evaluare a securităţii tehnologiei informaţiei (Criterii comune), care reprezintă un punct pe scara de asigurare predefinită a Criteriilor comune; b)pachet - un set reutilizabil de componente fie funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a satisface un set de obiective de securitate identificate; c)pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare - acele pachete, produse şi profile de protecţie INFOSEC dezvoltate în serie limitată destinată strict utilizării în cadrul uneia sau mai multor autorităţi desemnate de securitate, denumite în continuare ADS; d)produs - un pachet de software, firmware şi/sau hardware IT care furnizează o funcţionalitate destinată utilizării sau incorporării într-o multitudine de sisteme; e)profil de protecţie (PP) - un set de cerinţe de securitate independent de implementare pentru o categorie de ţinte de evaluare care satisface cerinţe specifice ale consumatorilor; f)ţintă de evaluare (TOE) - un produs sau sistem IT şi documentaţia aferentă de utilizator şi administrator care constituie subiectul unei evaluări; g)ţintă de securitate (ST) - un set de cerinţe şi specificaţii de securitate utilizate ca bază pentru evaluarea unei ţinte de evaluare identificate; h)utilizator - orice entitate (utilizator uman sau entitate IT externă) din afara TOE care interacţionează cu TOE. Articolul 5În cuprinsul prezentei directive, prin produs criptografic se înţelege acele produse criptografice care nu fac parte din categoria cifrului de stat. Capitolul IIIDomeniul de aplicabilitate Articolul 6Prezenta directivă este obligatorie pentru persoanele juridice care prezintă pachete, produse şi profile de protecţie INFOSEC pentru a fi incluse în Catalogul naţional. Articolul 7(1) În raport cu destinaţia de utilizare, pachetele, produsele şi profilele de protecţie INFOSEC se împart în două categorii: cu utilizare la nivel naţional şi cu regim limitat de distribuţie şi utilizare.(2) Pachetele, produsele şi profilele de protecţie INFOSEC cu utilizare la nivel naţional se introduc în Catalogul naţional.(3) Pachetele, produsele şi profilele de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare se introduc în registrele de evidenţă a pachetelor, produselor şi profilelor de protecţie INFOSEC, constituite şi păstrate la nivelul ADS-urilor cu competenţe în coordonarea şi controlul măsurilor de protecţie a informaţiilor clasificate ce vor fi protejate cu acestea.(4) ADS-urile transmit ORNISS lista produselor cu regim limitat de distribuţie şi utilizare care pot fi puse la dispoziţia altor ADS, precizând numele, destinaţia, modelul, versiunea şi nivelul de clasificare pentru care au fost certificate, precum şi eventualele condiţii de utilizare. Capitolul IVResponsabilităţi Articolul 8(1) În calitate de autoritate naţională de securitate, ORNISS are responsabilitatea de a asigura implementarea prezentei directive.(2) ORNISS este responsabil de coordonarea procesului de certificare a tuturor pachetelor, produselor, profilelor de protecţie INFOSEC destinate protecţiei informaţiilor naţionale clasificate care, după certificare, se includ în Catalogul naţional.(3) ORNISS este responsabil de elaborarea, actualizarea şi publicarea Catalogului naţional. Articolul 9Persoanele juridice care au pachete, produse sau profile de protecţie INFOSEC certificate şi care solicită ORNISS introducerea acestora în Catalogul naţional trebuie să pună la dispoziţie toate informaţiile necesare desfăşurării acestui proces referitoare la: a)obiectivele de securitate; b)cerinţele funcţionale; c)categoriile de ţinte de evaluare. Articolul 10Dacă până la expirarea perioadei de valabilitate a certificării elementelor incluse în Catalogul naţional nu se ia o decizie cu privire la recertificarea acestora, pachetul, produsul, profilul de protecţie INFOSEC respectiv este scos de pe listă. Articolul 11(1) Pachetele, produsele şi profilele de protecţie INFOSEC sunt incluse în Registrul de evidenţă a pachetelor, produselor şi profilelor de protecţie INFOSEC numai după certificarea lor.(2) Certificarea pachetelor, produselor şi profilelor de protecţie INFOSEC cu regim limitat de distribuţie şi utilizare, cu excepţia produselor criptografice, se realizează în cadrul ADS de către structura internă INFOSEC acreditată de ORNISS ce are competenţe privind coordonarea şi controlul măsurilor de protecţie a informaţiilor naţionale clasificate, pe baza raportului de evaluare realizat de o entitate evaluatoare acreditată de ORNISS.(3) Aprobarea produselor criptografice cu regim limitat de distribuţie şi utilizare destinate protecţiei informaţiilor naţionale clasificate se realizează în cadrul ADS de către structura internă INFOSEC acreditată de ORNISS, în urma evaluării şi certificării acestora de către două entităţi evaluatoare aparţinând Serviciului de Informaţii Externe (SIE), Serviciului Român de Informaţii (SRI) sau Ministerului Apărării Naţionale (MApN).(4) În cazul în care în cadrul ADS nu există o structură internă INFOSEC acreditată de ORNISS, certificarea se realizează de către ORNISS.(5) La nivelul SIE, SRI şi MApN, utilizarea produselor criptografice destinate protecţiei informaţiilor naţionale clasificate şi constituirea registrelor de evidenţă a pachetelor, produselor şi profilelor de protecţie INFOSEC se stabilesc prin norme proprii. Capitolul VConţinutul Catalogului naţional Articolul 12Catalogul naţional conţine următoarele categorii de liste:
– lista produselor INFOSEC aprobate la nivelul NATO;
– lista produselor pentru securitatea tehnologiei informaţiei (IT) evaluate conform Criteriilor comune;
– lista pachetelor şi profilelor de protecţie evaluate conform Criteriilor comune;
– lista producătorilor naţionali de echipamente protejate TEMPEST;
– lista produselor şi mecanismelor criptografice certificate la nivel naţional;
– lista produselor şi mecanismelor criptografice aprobate la nivelul UE. Articolul 13În cadrul listelor prevăzute la art. 12 pot fi incluse în Catalogul naţional următoarele tipuri de pachete, produse, profile de protecţie INFOSEC: a)dezvoltate pe plan naţional, evaluate şi certificate de entităţi naţionale acreditate potrivit reglementărilor în vigoare; b)certificate într-un stat membru NATO sau UE ori de către structuri specializate din cadrul NATO sau UE, particularizate şi certificate pe plan naţional; c)certificate într-un stat membru NATO sau UE; d)certificate de structurile specializate din cadrul NATO sau UE; e)evaluate conform Criteriilor comune; f)certificate în alte state decât cele membre ale NATO sau UE. Articolul 14Includerea în Catalogul naţional a pachetelor, produselor şi profilelor de protecţie INFOSEC utilizate la nivel naţional se poate face ca urmare a: a)certificării naţionale de către ORNISS a produselor dezvoltate integral în România; b)certificării de către ORNISS a modului de implementare a acestora în scopul particularizării naţionale a pachetelor, produselor şi profilelor de protecţie INFOSEC certificate într-un stat membru NATO sau UE ori de către structuri specializate din cadrul NATO sau UE; c)recunoaşterii naţionale de către ORNISS a certificării produselor NATO şi/sau UE; d)recunoaşterii naţionale de către ORNISS a evaluării conforme Criteriilor comune; e)recunoaşterii de către ORNISS a certificărilor naţionale, prin înţelegeri, acorduri, aranjamente bilaterale, încheiate la nivel guvernamental sau departamental. Articolul 15Certificarea sau recunoaşterea certificării produselor destinate protecţiei informaţiilor naţionale clasificate care se includ în Catalogul naţional se realizează în conformitate cu normele aprobate prin ordin al directorului general al ORNISS. Articolul 16(1) Pachetele, produsele şi profilele de protecţie INFOSEC certificate de NATO, UE sau evaluate conform Criteriilor comune, cuprinse în Catalogul naţional, pot fi utilizate în sisteme informatice şi de comunicaţii care vehiculează informaţii naţionale clasificate, cu respectarea echivalenţei nivelurilor de clasificare.(2) Excepţie de la prevederile alin. (1) fac produsele criptografice, care vor fi utilizate numai conform prevederilor legale specifice în vigoare. Articolul 17Înainte de utilizarea în sisteme informatice şi de comunicaţii naţionale care urmează să vehiculeze informaţii clasificate, echipamentele pentru securitatea emisiilor (TEMPEST) vor fi evaluate de către o entitate evaluatoare acreditată de ORNISS şi certificate de către ORNISS. Lista produselor INFOSEC aprobate la nivelul NATO Articolul 18Lista include produse certificate de structurile specializate din cadrul NATO şi este structurată pe următoarele categorii de produse: 1. criptarea comunicaţiilor; 2. firewall şi mailguard; 3. criptarea fişierelor/discurilor; 4. VPN (Virtual Private Network); 5. ştergerea discurilor; 6. criptare IP; 7. criminalitatea IT; 8. securitatea emisiilor (TEMPEST); 9. managementul securităţii reţelei; 10. managementul reţelelor; 11. managementul securităţii sistemelor de operare; 12. dispozitive de transfer al datelor; 13. sisteme de distrugere a mediilor de stocare electronice; 14. controlul accesului; 15. antivirus; 16. managementul cheilor; 17. scanarea vulnerabilităţilor; 18. suite de securitate pentru poşta electronică; 19. detectarea şi prevenirea intruziunilor; 20. diode de date; 21. soft de auditare; 22. suite de securitate desktop; 23. PKI; 24. comunicaţii mobile; 25. verificarea/filtrarea conţinutului; 26. managementul documentelor; 27. suite de securitate în internet; 28. securitate fizică; 29. memorare şi recuperare după dezastre; 30. securitatea wireless; 31. force tracking; 32. managementul riscului; 33. managementul identităţii; 34. autentificare; 35. securitatea maşinilor virtuale; 36. KVM; 37. policy authoring. Articolul 19Selectarea produselor adecvate se va realiza în conformitate cu cerinţele stabilite prin documentaţia de securitate a sistemului informatic şi de comunicaţii care urmează să vehiculeze informaţii clasificate. Lista produselor pentru securitatea tehnologiei informaţiei (IT) evaluate conform Criteriilor comune Articolul 20Lista include produse evaluate conform Criteriilor comune şi este structurată pe următoarele categorii de produse: 1. dispozitive şi sisteme de control al accesului; 2. sisteme şi dispozitive biometrice; 3. sisteme şi dispozitive de protecţie a perimetrului; 4. protecţia datelor; 5. baze de date; 6. sisteme şi dispozitive de detecţie a intruziunilor; 7. circuite integrate, smart carduri şi dispozitive şi sisteme asociate smart cardurilor; 8. sisteme de management al cheilor; 9. reţele, dispozitive şi sisteme asociate reţelelor; 10. sisteme de operare; 11. alte sisteme şi dispozitive; 12. produse pentru semnătura digitală; 13. trusted computing; 14. dispozitive multifuncţionale. Articolul 21În selectarea produselor evaluate conform Criteriilor comune se vor avea în vedere şi prevederile Ghidului INFOSEC privind estimarea nivelurilor de încredere pentru medii specifice în care operează sisteme informatice şi de comunicaţii - DS 13, aprobat prin Ordinul directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat nr. 171/2006. Lista pachetelor şi profilelor de protecţie evaluate conform Criteriilor comune Articolul 22Lista include pachete şi profile de protecţie evaluate conform Criteriilor comune şi este structurată pe următoarele categorii: 1. sisteme şi dispozitive de control al accesului; 2. sisteme şi dispozitive biometrice; 3. sisteme şi dispozitive de protecţie a perimetrului; 4. protecţia datelor; 5. baze de date; 6. sisteme şi dispozitive de detecţie a intruziunilor; 7. circuite integrate, smart carduri şi dispozitive şi sisteme asociate smart cardurilor; 8. sisteme de management al cheilor; 9. reţele, dispozitive şi sisteme asociate reţelelor; 10. sisteme de operare; 11. alte sisteme şi dispozitive; 12. produse pentru semnătura digitală; 13. trusted computing; 14. dispozitive multifuncţionale. Lista producătorilor naţionali de echipamente protejate TEMPEST Articolul 23Această secţiune a Catalogului naţional cuprinde lista producătorilor naţionali, precum şi modelele de produse dezvoltate la nivel naţional, produse evaluate de o entitate naţională acreditată de ORNISS şi certificate de ORNISS ca fiind corespunzătoare categoriilor de produse TEMPEST, prevăzute de standardele TEMPEST în vigoare. Lista produselor şi mecanismelor criptografice certificate la nivel naţional Articolul 24Pentru protecţia criptografică a informaţiilor naţionale clasificate procesate, stocate sau transmise în format electronic se utilizează numai produse şi mecanisme criptografice certificate şi incluse în Catalogul naţional sau în registrele de evidenţă a produselor cu regim limitat de distribuţie, în urma evaluării şi certificării acestora potrivit prevederilor Metodologiei de evaluare şi certificare a pachetelor, produselor şi profilelor de protecţie INFOSEC - INFOSEC 14. Articolul 25
(1) ORNISS întocmeşte un document de aprobare pentru includerea produselor şi mecanismelor criptografice în lista produselor şi a mecanismelor criptografice certificate la nivel naţional din cuprinsul Catalogului naţional.(2) Documentul de aprobare specifică:
– tipul, clasa şi, după caz, nivelul de secretizare a informaţiilor clasificate cărora le sunt destinate produsele;
– cerinţele de utilizare.Lista produselor şi mecanismelor criptografice aprobate la nivelul UE Articolul 26Această secţiune cuprinde produsele criptografice, inclusiv dispozitivele de încărcare a cheilor criptografice, aprobate la nivelul structurilor de specialitate ale UE. Articolul 27Produsele incluse în această listă pot fi utilizate pentru protecţia informaţiilor UE clasificate, potrivit nivelului de clasificare specificat în listă. Articolul 28Pentru protecţia informaţiilor UE clasificate de nivel CONFIDENTIEL UE/EU CONFIDENTIAL sau RESTREINT UE/EU RESTRICTED transmise prin intermediul sistemelor informatice şi de comunicaţii naţionale pot fi utilizate produse criptografice naţionale certificate de către ORNISS, cu respectarea echivalenţei nivelurilor de clasificare. Capitolul VIGestionarea Catalogului naţional Articolul 29Catalogul naţional este actualizat periodic, pe măsura certificării de noi produse naţionale şi în conformitate cu modificările survenite în listele cu produse recomandate de NATO sau UE ori în cele evaluate conform Criteriilor comune. Articolul 30ORNISS conlucrează continuu cu producătorii naţionali de produse INFOSEC, pentru a asigura informaţiile necesare pentru fiecare pachet, produs sau profil de protecţie care urmează să fie adăugat în Catalogul naţional ori pentru orice produs care trebuie să fie îndepărtat din catalog.