ORDIN Nr. 489
din 15 iunie 2009
privind normele metodologice
de autorizare a centrelor de date
ACT EMIS DE:
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 435 din 25 iunie 2009
In temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin.
(6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea
Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi
completările ulterioare, precum şi al art. 17 alin. (2) şi art. 27 alin. (2)
din Legea nr. 135/2007 privind arhivarea documentelor în formă electronică,
ministrul comunicaţiilor şi societăţii
informaţionale emite următorul ordin:
Art. 1. - (1) Prezentul ordin se aplică centrelor de
date utilizate de către administratorii de arhive electronice, în conformitate
cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă
electronică.
(2) Prezentul ordin stabileşte procedura şi condiţiile
privind acordarea, suspendarea şi retragerea autorizării centrelor de date,
emise de către Ministerul Comunicaţiilor şi Societăţii Informaţionale,
denumit în continuare MCSI, precum şi conţinutul, durata de
valabilitate şi efectele suspendării sau retragerii autorizării.
Art. 2. -In înţelesul prezentului ordin, următorii
termeni se definesc astfel:
a) centru de date - spaţiu securizat, dotat cu
tehnică de calcul şi echipamente de comunicaţii prin intermediul cărora se
primesc, se stochează şi se transmit date în formă electronică;
b) procedură de autorizare - metodă de
evaluare sistematică, documentată, periodică şi obiectivă a performanţei
centrului de date, a sistemului de management şi a proceselor destinate
protecţiei arhivelor electronice, în scopul verificării respectării cerinţelor
prevăzute de legislaţia în vigoare;
c) ordin de autorizare - document emis de MCSI
care atestă că un centru de date îndeplineşte toate condiţiile cerute de
legislaţia în vigoare în vederea desfăşurării operaţiunilor de arhivare
electronică;
d) backup - activitatea de copiere a unor
fişiere sau baze de date în vederea conservării şi recuperării acestora în
cazul unei avarii sau al altui eveniment neprevăzut;
e) UPS (Uninterruptible Power Supply) -
dispozitiv care permite calculatorului să funcţioneze pentru o perioadă scurtă
de timp în cazul în care sursa principală de energie este întreruptă, respectiv
care asigură protecţie împotriva suprasarcinilor tranzitorii;
f) firewall - dispozitiv hardware sau aplicaţie
software care monitorizează şi filtrează permanent transmisiile de date
realizate între reţeaua protejată şi alte reţele, pe baza unui set de reguli şi
criterii;
g) router- dispozitiv hardware sau aplicaţie
software care conectează două sau mai multe reţele de calculatoare;
h) upgrade - proces de îmbunătăţire a unui
echipament tehnic sau a unei aplicaţii software;
i) redundanţă - introducere de dispozitive
suplimentare faţă de cel de bază, care să asigure funcţionarea unui sistem în
cazul în care unul dintre dispozitivele cu aceeaşi funcţie a ieşit întâmplător
din uz.
Art. 3. - Centrele de date utilizate de către
administratorii de arhive electronice trebuie să dispună de dotările tehnice şi
să aplice politicile şi procedurile de management şi de securitate necesare
pentru a îndeplini condiţiile prevăzute la art. 17 alin. (1) din Legea nr.
135/2007.
Art. 4. - (1) Persoana fizică sau juridică care
intenţionează să obţină autorizarea unui centru de date în vederea desfăşurării
activităţilor legate de arhivarea electronică a documentelor, denumită în
continuare solicitant, va transmite MCSI o cerere scrisă în acest sens.
Forma şi conţinutul acestei cereri sunt prevăzute în anexa nr. 1.
(2) Cererea prevăzută la alin. (1) va fi însoţită de
următoarele documente:
a) descrierea politicilor şi procedurilor de lucru,
incluzând enumerarea posturilor şi a funcţiilor personalului, precum şi
calificările/atestările profesionale ale acestuia;
b) descrierea generală a echipamentelor utilizate în
procesul de arhivare;
c) procedurile pentru asigurarea disponibilităţii
serviciului;
d) politica generală de securitate, politicile privind
utilizatorii, parolele şi accesul la sisteme.
(3) Cererea şi documentele anexate se transmit la
sediul MCSI în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul
legal, cu luare de număr de înregistrare de la registratura generală a MCSI;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a
încorporat, i s-a ataşat sau i s-a asociat logic o semnătură electronică
extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la
momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare
a semnăturii electronice.
(4) Este considerată dată a transmiterii, după caz,
data înscrierii în registrul general de intrare-ieşire a corespondenţei al
MCSI, data confirmării primirii documentelor la sediul MCSI printr-un serviciu
poştal cu confirmare de primire sau data confirmării primirii înscrisului în
formă electronică.
(5) In cazul în care documentaţia nu îndeplineşte
condiţiile prevăzute de prezentul ordin, MCSI va solicita completarea acesteia,
în termen de 10 zile de la transmiterea solicitării de completare.
(6) In cazul în care documentaţia transmisă potrivit
alin. (1)-(3) este completă sau a fost completată în conformitate cu
prevederile alin. (5), MCSI demarează procedura de autorizare a centrului de
date.
Art. 5. - (1) Verificarea îndeplinirii condiţiilor în
vederea autorizării se face de către personalul MCSI cu atribuţii în acest
sens, în cadrul procedurii de autorizare.
(2) Pe perioada desfăşurării procedurii de autorizare,
MCSI poate solicita orice documente referitoare la activitatea centrului de
date care au legătură cu activitatea de arhivare electronică şi poate efectua
acţiuni de control pentru a verifica conformitatea dintre informaţiile
declarate în cursul procedurii de autorizare şi realitate.
Art. 6. -In vederea autorizării, centrul de date
trebuie să îndeplinească condiţiile prevăzute la art. 17 alin. (1) din Legea
nr. 135/2007, obiectivele principale urmărite de MCSI în cursul procedurii de
autorizare pentru verificarea îndeplinirii acestor condiţii fiind următoarele:
a) asigurarea securităţii şi integrităţii datelor, la
nivel de securitate fizică şi acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare
electronică şi backupul informaţiilor stocate.
Art. 7. -In cursul procedurii de autorizare, MCSI va
verifica îndeplinirea de către centrul de date, în mod cumulativ, a condiţiilor
prevăzute la art. 8-12.
Art. 8. - Spaţiul în care funcţionează centrul de date
trebuie să fie amenajat astfel încât să fie posibilă respectarea cerinţelor de
securitate specifice şi să asigure funcţionarea echipamentelor la parametrii
optimi prevăzuţi de producătorii acestora. In acest sens, se vor asigura:
a) instalarea unor sisteme de climatizare care să
asigure valorile optime de temperatură şi umiditate în vederea funcţionării
echipamentelor în condiţii de siguranţă;
b) utilizarea de materiale ignifuge şi instalarea unor
sisteme de prevenire şi stingere a incendiilor, concepute special pentru
evitarea deteriorării echipamentelor;
c) dimensionarea corespunzătoare a reţelei electrice,
în funcţie de consumurile echipamentelor folosite;
d) garantarea siguranţei la defecţiunile previzibile
ale sistemelor de utilităţi (apă, gaze etc.) care deservesc spaţiul care
găzduieşte centrul de date.
Art. 9. -Asigurarea redundanţei şi realizarea
backupului trebuie să fie implementate prin următoarele măsuri:
a) utilizarea de dispozitive UPS şi/sau generatoare
electrice, care să asigure funcţionarea neîntreruptă a echipamentelor în cazul
opririi alimentării cu curent electric de la reţeaua principală; timpul de
asigurare a alimentării din sursa de urgenţă va fi calculat în funcţie de
timpii estimaţi pentru remedierea posibilelor avarii care ar surveni la reţeaua
electrică principală;
b) duplicarea tuturor elementelor reţelei electrice
şi asigurarea posibilităţii comutării automate de pe reţeaua principală pe
reţeaua de rezervă;
c) utilizarea procedurilor de lucru care să asigure
efectuarea de backup periodic al tuturor informaţiilor păstrate în centrul de
date şi stocarea acestora în alt spaţiu, diferit de spaţiul principal al
centrului de date, cu asigurarea aceloraşi condiţii de securitate ca şi cele
ale spaţiului principal, aflat la o distanţă faţă de spaţiul principal care să
corespundă normelor europene în domeniu;
d) asigurarea unor proceduri de mentenanţă pentru
echipamente şi pentru infrastructură, respectând recomandările producătorilor
echipamentelor respective, astfel încât să se minimizeze riscul apariţiei de
probleme tehnice;
e) în cazul echipamentelor critice (a căror
funcţionare permanentă este esenţială în asigurarea continuităţii funcţionării
centrului de date) se vor asigura echipamente de rezervă, care vor fi folosite
pe perioada efectuării operaţiunilor de mentenanţă ce implică oprirea sau
deconectarea respectivului echipament şi pe perioada în care echipamentul
principal este afectat de defecţiuni tehnice.
Art. 10. - Centrul de date trebuie să aibă o structură
scalabilă, atât în ceea ce priveşte echipamentele informatice utilizate, cât şi
în ceea ce priveşte infrastructura, cu scopul de a păstra performanţele
sistemului la un nivel constant în cazul apariţiei de condiţii noi (mărirea
capacităţii centrului de date, facilităţi noi etc).
Art. 11. - (1) Centrul de date trebuie să asigure
securitatea şi integritatea informaţiilor stocate, atât în ceea ce priveşte
accesul fizic la echipamentele utilizate, cât şi în ceea ce priveşte accesul
prin mijloace electronice la documentele arhivate.
(2) Securitatea fizică presupune luarea următoarelor
măsuri:
a) accesul controlat la echipamentele centrului de
date utilizate pentru arhivarea electronică a documentelor, cu precizarea mai
multor niveluri de drepturi de acces ale personalului care operează sistemele;
b) utilizarea echipamentelor speciale de evitare şi
detecţie a intruziunilor fizice.
(3) Pentru asigurarea securităţii accesului prin
mijloace electronice la documentele arhivate trebuie utilizate următoarele
măsuri tehnice:
a) sisteme de detecţie a intruziunilor (Intrusion
Detection System - IDS);
b) firewall (software şi/sau hardware), routere pentru
filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de autentificare şi de
autorizare a accesului la date;
e) jurnalizarea automată a acţiunilor efectuate în
sistem.
Art. 12. - Operarea centrului de date trebuie realizată
respectându-se strategii, politici şi proceduri bine determinate în ceea ce
priveşte managementul, controlul şi securitatea sistemelor. In realizarea
acestor politici şi proceduri se vor respecta următoarele cerinţe minimale:
a) jurnalizarea cronologică a acţiunilor efectuate în
sistem (accesul fizic la echipamente, comutări de pe un sistem pe altul,
procese de mentenanţă, acţiuni ale operatorului etc);
b) evaluarea la intervale regulate a infrastructurii
centrului de date, a sistemului de securitate şi a echipamentelor informatice
folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calităţii;
d) evaluarea efectelor extinderilor şi upgrade-urilor;
e) realizarea auditului regulat al planului de
securitate;
f) evaluarea şi perfecţionarea periodică a
personalului;
g) implementarea unor politici de resurse umane care
să asigure operarea centrului de date de către personal specializat care să
dispună de certificări în domeniu.
Art. 13. - (1) In termen de 30 de zile de la primirea
documentaţiei în conformitate cu prevederile art. 4 alin. (1)-(3) sau a
completărilor solicitate în conformitate cu prevederile art. 4 alin. (5), MCSI
emite ordinul de autorizare a centrului de date sau ordinul de respingere a
cererii de autorizare, motivat în mod corespunzător.
(2) Forma şi conţinutul ordinului de autorizare a
centrului de date sunt prevăzute în anexa nr. 2.
Art. 14. - (1) Ordinul de autorizare este valabil
pentru o perioadă de 3 ani de la data emiterii acestuia.
(2) Autorizarea poate fi reînnoită, procedura de
reautorizare fiind identică cu cea de autorizare.
(3) Pe durata valabilităţii autorizării, MCSI are
dreptul de a efectua acţiuni de control periodice, pentru verificarea
menţinerii condiţiilor de funcţionare a centrului de date.
Art. 15. - (1) Constatarea de către personalul de
control de specialitate din cadrul MCSI a neîndeplinirii condiţiilor minime de
funcţionare a centrului de date atrage suspendarea ordinului de autorizare pe o
perioadă de 30 de zile; în această perioadă, centrul de date nu poate primi
spre stocare documente în formă electronică.
(2) Dacă deficienţele survenite în funcţionarea
centrului de date nu sunt remediate în intervalul de timp prevăzut la alin.
(1), autorizarea se retrage, prin ordin emis de ministrul comunicaţiilor şi
societăţii informaţionale.
(3) In cazul expirării duratei de valabilitate a
autorizării, precum şi în cazul retragerii autorizării de către MCSI în
condiţiile alin. (2), centrul de date nu mai poate furniza servicii legate de
arhivarea electronică în sensul Legii nr. 135/2007.
(4) In cazul intenţiei de încetare a activităţii
centrului de date autorizat în condiţiile prezentului ordin, MCSI va fi
informat, cu cel puţin 30 de zile în avans, despre această intenţie şi despre
existenţa şi natura împrejurării care justifică imposibilitatea de continuare a
activităţii. La data încetării activităţii centrului de date, autorizarea se
retrage, prin ordin emis de ministrul comunicaţiilor şi societăţii
informaţionale.
Art. 16. - Pentru funcţionarea corespunzătoare a
centrelor de date se recomandă aplicarea şi respectarea următoarelor standarde
sau a unor standarde echivalente:
a) SR ISO/CEI 17799: 2006 Tehnologia informaţiei.
Tehnici de securitate. Cod de bună practică pentru managementul securităţii
informaţiei;
b) SR ISO/IEC 27001: 2006 Tehnologia informaţiei.
Tehnici de securitate. Sisteme de management al securităţii informaţiei.
Cerinţe;
c) SR ISO/CEI 15408-1: 2004 Tehnologia informaţiei.
Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei
informaţiei. Partea 1: Introducere şi model general;
d) ISO/IEC 20000-1: 2005 Tehnologia informaţiei -
Managementul securităţii - Partea 1: Specificaţii;
e) ISO/IEC 20000-2: 2005 Tehnologia informaţiei -
Managementul securităţii - Partea a 2-a: Cod de practică;
f) TIA/EIA 942 2005 Standard privind infrastructura de
telecomunicaţii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme
generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme
generice de cablare. Partea 1: Cerinţe generale.
Art. 17. -Anexele nr. 1 şi 2 fac parte integrantă din
prezentul ordin.
Art. 18. - (1) La data intrării în vigoare a
prezentului ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru
Comunicaţii nr. 1.131/2008 privind normele metodologice de autorizare a
centrelor de date, publicată în Monitorul Oficial al României, Partea I, nr.
861 din 20 decembrie 2008.
(2) Prezentul ordin se publică în Monitorul Oficial al
României, Partea I.
Ministrul comunicaţiilor şi societăţii informaţionale,
Gabriel Sandu
ANEXA Nr. 1
CERERE
pentru începerea procedurii de autorizare
Către:
Stimate domnule ministru,
Având în vedere prevederile Legii nr. 135/2007 privind
arhivarea documentelor în formă electronică, precum şi ale Ordinului ministrului
comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele
metodologice de autorizare a centrelor de date, vă solicităm să
dispuneţi începerea procedurii de autorizare a centrului de date
aparţinând (numele şi prenumele/denumirea solicitantului)
..................................................................................................................
având domiciliul/sediul în (adresa completă, inclusiv telefon şi
fax)......................................................................................................................................,înregistrat
în Registrul Comerţului al Municipiului ....................................,
cod numeric personal/cod unic de înregistrare/cod de identificare fiscală..............................................,
reprezentat legal prin(numele şi
prenumele)...................................................................................................................................,
domiciliat (ă) în(adresa completă, inclusiv
telefon)......................................................................................................................................,
identificat (ă) prin (actul de identitate: seria, numărul, codul numeric
personal)....................................................................................................................................
Numele şi prenumele/Denumirea solicitantului
..........................................................................
Semnătura reprezentantului legal şi ştampila
solicitantului
..........................................................................
Data
..........................................................................
ANEXA Nr. 2
ORDIN
de autorizare a centrului de date
Având în vedere dispoziţiile Legii nr. 135/2007 privind
arhivarea documentelor în formă electronică, precum şi ale Ordinului
ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind
normele metodologice de autorizare a centrelor de date,
în baza Referatului de aprobare al Direcţiei1....................................,
înregistrat cu nr................./........................,
în temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin.
(6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea
Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi
completările ulterioare,
ministrul comunicaţiilor şi societăţii
informaţionale emite prezentul ordin.
Art. 1. -Incepând cu data comunicării prezentului
ordin, centrul de date aparţinând(numele şi prenumele/denumirea solicitantului
autorizării)
.........................................................................................................................
este autorizat să desfăşoare operaţiuni de arhivare electronică în condiţiile
Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.
Art. 2. - Se certifică faptul că centrul de date
îndeplineşte condiţiile stabilite de dispoziţiile art. 17 din Legea nr.
135/2007 şi prevederile art. 8-12 din Ordinul ministrului comunicaţiilor şi
societăţii informaţionale nr. 489/2009 privind normele metodologice de
autorizare a centrelor de date.
Art. 3. -Autorizarea se acordă pe o perioadă de 3 ani
de la data comunicării prezentului ordin şi poate fi reînnoită pe baza
procedurii prevăzute în Ordinul ministrului comunicaţiilor şi societăţii
informaţionale nr. 489/2009.
Art. 4. - Prezentul ordin se comunică (numele şi
prenumele/denumirea persoanei care operează centrul de date)..........................................................................................................................atât
pe suport de hârtie, cât şi în formă electronică, semnată electronic.
Ministru,
..............................
Nr.........................
1 Se va menţiona
denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi
Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a
Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.