ORDIN Nr. 7
din 2 februarie 2010
pentru aprobarea Directivei
INFOSEC privind Catalogul national cu pachete, produse si profile de protectie
INFOSEC-INFOSEC 5
ACT EMIS DE:
OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 92 din 10 februarie 2010
In temeiul art. 1 alin. (4) lit. b) şi al art. 3
alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 153/2002
privind organizarea şi funcţionarea Oficiului Registrului Naţional
al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003,
cu modificările şi completările ulterioare, şi al art. 55
alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru
elaborarea, avizarea şi prezentarea proiectelor de documente de politici
publice, a proiectelor de acte normative, precum şi a altor documente, în
vederea adoptării/aprobării, aprobat prin Hotărârea Guvernului
nr. 561/2009,
directorul general al Oficiului Registrului
Naţional al Informaţiilor Secrete de Stat emite prezentul ordin.
Art. 1. - Se aprobă Directiva INFOSEC privind
Catalogul naţional cu pachete, produse şi profile de protecţie
INFOSEC- INFOSEC 5, prevăzută în anexa care face parte
integrantă din prezentul ordin.
Art. 2. - Pe data intrării în vigoare a
prezentului ordin se abrogă Ordinul directorului general al Oficiului
Registrului Naţional al Informaţiilor Secrete de Stat nr. 11/2006
pentru aprobarea Directivei INFOSEC privind Catalogul naţional cu produse,
profile şi pachete de protecţie INFOSEC-INFOSEC 5, publicat în
Monitorul Oficial al României, Partea I, nr. 135 din 13 februarie 2006.
Art. 3. - Oficiul Registrului Naţional al
Informaţiilor Secrete de Stat va duce la îndeplinire prevederile
prezentului ordin.
Directorul general al Oficiului Registrului
Naţional al Informaţiilor Secrete de Stat,
Marius Petrescu
ANEXĂ
DIRECTIVA INFOSEC privind
Catalogul naţional cu pachete, produse si
profile de protecţie INFOSEC-INFOSEC 5
CAPITOLUL I
Scop
Art. 1. - Directiva INFOSEC privind Catalogul
naţional cu pachete, produse şi profile de protecţie INFOSEC -
INFOSEC 5 este elaborată de către Oficiul Registrului Naţional
al Informaţiilor Secrete de Stat, denumit în continuare ORNISS, ca
parte a politicii naţionale de protecţie a informaţiilor
clasificate.
Art. 2. - Directiva stabileşte procesul şi
procedurile de realizare, actualizare şi păstrare a Catalogului
naţional cu pachete, produse şi profile de protecţie INFOSEC,
denumit în continuare Catalog naţional.
Art. 3. - Scopul Catalogului naţional este de a
furniza persoanelor juridice de drept public sau privat care au în administrare
sisteme informatice şi de comunicaţii, denumite în continuare SIC,
care vehiculează informaţii clasificate şi altor entităţi
care au responsabilităţi în domeniul protecţiei
informaţiilor clasificate o listă de pachete, produse şi profile
de protecţie INFOSEC certificate, care pot fi achiziţionate în scopul
îndeplinirii cerinţelor operaţionale de securitate.
CAPITOLUL II
Definiţii
Art. 4. -In sensul prezentei directive, următorii
termeni se definesc după cum urmează:
a) nivel de evaluare a asigurării (EAL) -
un pachet de componente de asigurare din partea a 3-a a Criteriilor comune,
care reprezintă un punct pe scara de asigurare predefinită a
Criteriilor comune;
b) pachet- un set reutilizabil de componente fie
funcţionale, fie de asigurare (de exemplu, un EAL), combinate pentru a
satisface un set de obiective de securitate identificate;
c) pachetele, produsele şi profilele de
protecţie INFOSEC cu regim limitat de distribuţie şi utilizare -
acele pachete, produse şi profile de protecţie INFOSEC dezvoltate în
serie limitată destinată strict utilizării în cadrul uneia sau
mai multor autorităţi desemnate de securitate, denumite în continuare
ADS;
d) produs - un pachet de software, firmware
şi/sau hardware IT care furnizează o funcţionalitate
destinată utilizării sau incorporării într-o multitudine de
sisteme;
e) profil de protecţie (PP) - un set de
cerinţe de securitate independent de implementare pentru o categorie de
ţinte de evaluare care satisface cerinţe specifice ale
consumatorilor;
f) ţintă de evaluare (TOE) - un
produs sau sistem IT şi documentaţia aferentă de utilizator
şi administrator care constituie subiectul unei evaluări;
g) ţintă de securitate (ST) - un set
de cerinţe şi specificaţii de securitate utilizate ca bază
pentru evaluarea unei ţinte de evaluare identificate;
h) utilizator - orice entitate (utilizator uman
sau entitate IT externă) din afara TOE care interacţionează cu
TOE.
CAPITOLUL III
Domeniul de aplicabilitate
Art. 5. - Prezenta directivă este obligatorie
pentru persoanele juridice care prezintă pachete, produse şi profile
de protecţie INFOSEC pentru a fi incluse în Catalogul naţional.
Art. 6. - (1) In raport cu destinaţia de
utilizare, pachetele, produsele şi profilele de protecţie INFOSEC se
împart în două categorii: cu utilizare la nivel naţional şi cu
regim limitat de distribuţie şi utilizare.
(2) Pachetele, produsele şi profilele de
protecţie INFOSEC cu utilizare la nivel naţional se introduc în
Catalogul naţional.
(3) Pachetele, produsele şi profilele de
protecţie INFOSEC cu regim limitat de distribuţie şi utilizare
se introduc în registrele de evidenţă a pachetelor, produselor
şi profilelor de protecţie INFOSEC, constituite şi păstrate
la nivelul ADS cu competenţe în coordonarea şi controlul
măsurilor de protecţie a informaţiilor clasificate ce vor fi
protejate cu acestea.
(4) ADS transmit la ORNISS lista produselor cu regim
limitat de distribuţie şi utilizare care pot fi puse la
dispoziţia altor ADS, precizând numele, destinaţia, modelul,
versiunea şi nivelul de clasificare pentru care au fost certificate,
precum şi eventualele condiţii de utilizare.
CAPITOLUL IV
Responsabilităţi
Art. 7. - (1) In calitate de autoritate
naţională de securitate, ORNISS are responsabilitatea de a asigura
implementarea prezentei directive.
(2) ORNISS este responsabil de coordonarea procesului
de certificare a tuturor pachetelor, produselor, profilelor de protecţie
INFOSEC destinate protecţiei informaţiilor naţionale
clasificate, care, după certificare, se includ în Catalogul naţional.
(3) ORNISS este responsabil de elaborarea, actualizarea
şi publicarea Catalogului naţional.
Art. 8. - Persoanele juridice care au pachete, produse
sau profile de protecţie INFOSEC certificate şi care solicită
ORNISS introducerea acestora în Catalogul naţional trebuie să
pună la dispoziţie toate informaţiile necesare desfăşurării
acestui proces, referitoare la:
a) obiectivele de securitate;
b) cerinţele funcţionale;
c) categoriile de ţinte de evaluare.
Art. 9. - Dacă până la expirarea perioadei de
valabilitate a certificării elementelor incluse în Catalogul naţional
nu se ia o decizie cu privire la recertificarea acestora, pachetul, produsul,
profilul de protecţie INFOSEC respectiv este scos de pe listă.
Art. 10. - (1) ADS care au certificat pachete, produse
şi profile de protecţie INFOSEC cu regim limitat de distribuţie
au obligaţia de a actualiza registrele de evidenţă a acestora
ori de câte ori este necesar.
(2) Pachetele, produsele şi profilele de
protecţie INFOSEC sunt incluse în registrul de evidenţă numai
după certificarea lor.
(3) Certificarea pachetelor, produselor şi
profilelor de protecţie INFOSEC cu regim limitat de distribuţie
şi utilizare se realizează în cadrul ADS, de către structura
internă INFOSEC acreditată de ORNISS, ce are competenţe privind
coordonarea şi controlul măsurilor de protecţie a informaţiilor
clasificate, pe baza raportului de evaluare realizat de entitatea evaluatoare
acreditată de ORNISS.
(4) In cazul în care în cadrul ADS nu există
structura INFOSEC prevăzută la alin. (3), certificarea se
realizează de către ORNISS.
CAPITOLUL V
Conţinutul Catalogului naţional
Art. 11. - Catalogul naţional conţine
următoarele categorii de liste:
a) produse şi mecanisme criptografice;
b) dispozitive de încărcare a cheilor
criptografice;
c) produse pentru securitatea emisiilor;
d) produse pentru securitatea tehnologiei
informaţiei (IT);
e) instrumente de securitate;
f) pachete si profile de protecţie.
Art. 12. - In cadrul listelor prevăzute la art. 11
pot fi incluse în Catalogul naţional următoarele tipuri de pachete,
produse, profile de protecţie INFOSEC:
a) dezvoltate pe plan naţional, evaluate de
entităţi naţionale acreditate de ORNISS şi certificate de
ORNISS;
b) certificate într-un stat membru NATO sau UE ori de
către structuri specializate din cadrul NATO sau UE, particularizate
şi certificate pe plan naţional;
c) certificate într-un stat membru NATO sau UE;
d) certificate de structurile specializate din cadrul
NATO sau UE;
e) certificate conform Criteriilor comune de evaluare
de securitate a tehnologiei informaţiei;
f) certificate în alte state decât cele membre ale NATO
sau UE.
Art. 13. - Includerea în Catalogul naţional a
pachetelor, produselor şi profilelor de protecţie INFOSEC utilizate
la nivel naţional se poate face ca urmare a:
a) certificării naţionale de către
ORNISS a produselor dezvoltate integral în România;
b) certificării de către ORNISS a modului de
implementare a acestora în scopul particularizării naţionale a
pachetelor, produselor şi profilelor de protecţie INFOSEC certificate
într-un stat membru NATO sau UE ori de către structuri specializate din
cadrul NATO sau UE;
c) recunoaşterii naţionale de către
ORNISS a certificării produselor NATO şi/sau UE;
d) recunoaşterii naţionale de către
ORNISS a certificării conforme Criteriilor comune de evaluare de
securitate a tehnologiei informaţiei;
e) recunoaşterii reciproce de către ORNISS a
certificărilor naţionale, prin înţelegeri, acorduri, aranjamente
bilaterale, încheiate la nivel guvernamental sau departamental.
Art. 14. - Certificarea sau recunoaşterea
certificării produselor destinate protecţiei informaţiilor naţionale
clasificate care se includ în Catalogul naţional se realizează în
conformitate cu normele aprobate prin ordin al directorului general al ORNISS.
SECŢIUNEA 1
Produse şi mecanisme criptografice
Art. 15. - Produsele şi mecanismele criptografice
din Catalogul naţional se utilizează în funcţie de tipul, clasa
şi nivelul informaţiilor clasificate, respectiv naţionale, NATO,
UE ori ale statelor sau organizaţiilor internaţionale cu care România
a încheiat tratate, înţelegeri sau acorduri care prevăd protecţia
informaţiilor clasificate, conform certificării acestora şi
menţiunilor din Catalogul naţional.
Art. 16. - Pentru protecţia criptografică a
informaţiilor naţionale clasificate procesate, stocate sau transmise
în format electronic se utilizează numai produse şi mecanisme
criptografice certificate şi incluse în Catalogul naţional sau în
registrele de evidenţă a produselor cu regim limitat de
distribuţie, în urma evaluării acestora de către
entităţi evaluatoare naţionale acreditate de ORNISS.
Art. 17. - (1) ORNISS emite un document de aprobare
pentru includerea produselor şi mecanismelor criptografice în lista
produselor şi a mecanismelor criptografice din cuprinsul Catalogului
naţional.
(2) Documentul de aprobare specifică:
a) tipul, clasa şi nivelul de secretizare a
informaţiilor clasificate pentru care sunt destinate produsele;
b) cerinţele de utilizare.
SECŢIUNEA a 2-a
Dispozitive de încărcare a cheilor
criptografice
Art. 18. - (1) Lista dispozitivelor de încărcare a
cheilor criptografice conţine dispozitive care sunt aprobate pentru
stocarea, procesarea sau transmiterea materialului cu chei criptografice
naţional, NATO, UE ori care fac obiectul tratatelor, înţelegerilor
şi acordurilor bilaterale sau multilaterale la care România este parte.
(2) Dispozitivele sunt grupate în două categorii,
astfel:
a) dispozitive care gestionează cheile în
formă clară;
b) dispozitive care aplică un mecanism
criptografic ce permite stocarea, procesarea şi transmiterea cheii în
formă criptată.
Art. 19. - Sunt eligibile spre a fi incluse în
Catalogul naţional numai dispozitivele de încărcare a cheilor
criptografice care sunt dezvoltate la nivel naţional ori într-un stat
membru NATO sau UE şi care sunt evaluate şi aprobate în conformitate
cu politica naţională, respectiv NATO sau UE, de protecţie a
informaţiilor clasificate.
SECŢIUNEA a 3-a
Produse pentru securitatea emisiilor
Art. 20. - (1) In cadrul Catalogului naţional,
lista produselor pentru securitatea emisiilor cuprinde:
a) lista producătorilor naţionali, precum
şi modelele de produse dezvoltate la nivel naţional, produse evaluate
de o entitate naţională acreditată de ORNISS şi certificate
de ORNISS ca fiind corespunzătoare categoriilor de produse TEMPEST,
prevăzute de standardele TEMPEST in vigoare;
b) lista producătorilor externi, precum şi
modelele de produse recomandate de NATO;
c) lista producătorilor externi, precum şi a
modelelor de produse certificate din punctul de vedere al protecţiei
TEMPEST fie de ORNISS, fie de o entitate acreditată la nivel naţional
în ţara de origine a echipamentelor, cu condiţia ca între ORNISS
şi ţara de origine să existe o înţelegere în acest sens.
(2) Schimbarea de componente între diferite serii de
producţie poate schimba profilul de protecţie, ceea ce implică
reevaluarea produsului.
SECŢIUNEA a 4-a
Produse de securitate IT
Art. 21. - Scopul listei cu produse de securitate IT
din cadrul Catalogului naţional este să furnizeze
autorităţilor operaţionale ale sistemelor informatice şi de
comunicaţii (AOSIC), structurilor de planificare şi implementare a
sistemelor informatice şi de comunicaţii, personalului implicat în
proiect şi utilizatorilor sistemelor informatice şi de
comunicaţii care vehiculează informaţii clasificate secret de
stat un set de produse certificate şi de informaţii de bază
referitoare la acestea, set care poate fi folosit drept ghid în vederea
îndeplinirii cerinţelor naţionale de securitate privind
protecţia informaţiilor clasificate.
Art. 22. - (1) Produsele din lista prevăzută
la art. 21 sunt evaluate şi certificate în baza Criteriilor comune pentru
evaluarea securităţii produselor IT (ISO 15408).
(2) Fiecărui produs i se atribuie un pachet de
componente de asigurare, de exemplu, un nivel de încredere (EAL sau
echivalent).
(3) In cazul în care un produs a fost evaluat sau
propus spre evaluare în baza unui set de criterii naţionale, trebuie
să fie furnizate detalii privind corespondenţele dintre criteriile
naţionale şi Criteriile comune.
Art. 23. - (1) Produsele din listă pot fi
împărţite în următoarele categorii, fără a se limita
la acestea:
a) dispozitive şi sisteme de control al accesului;
b) dispozitive şi sisteme de protecţie a
perimetrului;
c) baze de date;
d) dispozitive şi sisteme de detecţie a
intruziunilor;
e) semnătură digitală;
f) protecţia datelor;
g) circuite integrate, dispozitive şi sisteme
Smart Card;
h) sisteme de management al cheilor;
i) reţele, sisteme şi dispozitive de
reţea;
j) sisteme de operare;
k) alte dispozitive şi sisteme.
(2) Produsele cu modul criptografic încorporat pot fi
incluse în listă în mai multe categorii sau sub o altă categorie
decât criptografia (de exemplu, un sistem de operare nu va fi numit produs
criptografic, deşi face uz de criptografie).
Art. 24. - Informaţiile necesare includerii în
listă a produselor pentru securitate IT conţin cel puţin
următoarele elemente, după caz:
a) denumirea şi producătorul;
b) informaţii descriptive privind produsul, care
vor include: funcţionalitatea produsului şi pachetul componentelor de
siguranţă (de exemplu, un nivel de încredere);
c) raport de certificare;
d) acord de recunoaştere reciprocă;
e) versiunile Criteriilor comune şi Metodologiei
comune de evaluare utilizate.
SECŢIUNEA a 5-a
Instrumente de securitate
Art. 25. - Lista instrumentelor de securitate din
cadrul Catalogului naţional se adresează autorităţilor
operaţionale ale sistemelor informatice şi de comunicaţii
(AOSIC), structurilor de planificare şi implementare a sistemelor
informatice şi de comunicaţii şi personalului implicat în
proiectarea sistemelor informatice şi de comunicaţii. Aceasta este o
listă a instrumentelor de securitate conforme cu prevederile Directivei
INFOSEC tehnice şi de implementare privind cerinţele instrumentelor
de securitate, selectarea, aprobarea şi implementarea acestora - INFOSEC
9, aprobată prin Ordinul directorului general al Oficiului Registrului
Naţional al Informaţiilor Secrete de Stat nr. 390/2004, publicat în
Monitorul Oficial al României, Partea I, nr. 1.081 din 19 noiembrie 2004.
Art. 26. - Lista include următoarele tipuri de
instrumente:
a) instrumente pentru identificarea
vulnerabilităţilor sistemelor;
b) instrumente pentru îmbunătăţirea
securităţii sistemului;
c) instrumente pentru detectarea intruziunilor;
d) instrumente pentru raportarea stării
sistemului;
e) instrumente pentru monitorizarea traficului din
reţea;
f) instrumente pentru administrarea sistemului.
Art. 27. - Descrierea fiecărui instrument trebuie
să includă următoarele informaţii:
a) denumirea şi producătorul;
b) caracteristicile funcţionale;
c) beneficiile care vor fi obţinute în urma
utilizării instrumentului;
d) vulnerabilităţile, dacă este cazul,
care apar prin utilizarea instrumentului;
e) constrângeri privind utilizarea instrumentului;
f) resurse/experienţa/suportul/pregătirea
necesare operării.
Art. 28. - Lista instrumentelor de securitate nu
include detaliile cu privire la vulnerabilităţi. Lista face referire
doar la raportul de evaluare a instrumentului. Informaţiile privind
vulnerabilităţile sunt puse la dispoziţie numai acelor
autorităţi ale sistemelor informatice şi de comunicaţii
şi de securitate care au o „nevoie de a cunoaşte"
corespunzătoare.
SECŢIUNEA a 6-a
Pachete şi profite de protecţie
Art. 29. - Solicitantul trebuie să furnizeze cel
puţin următoarele informaţii:
a) denumirea pachetului/profilului de protecţie
şi a producătorului;
b) o declaraţie din care să reiasă
dacă pachetul sau profilul de protecţie este propus ca o nouă
poziţie în listă ori ca înlocuire a unei poziţii din listă;
c) menţiuni speciale, în situaţia în care
pachetul sau profilul de protecţie conţin informaţii
clasificate, care intră sub incidenţa drepturilor de
autor/proprietate intelectuală sau care nu pot fi făcute publice.
Art. 30. - Informaţiile necesare includerii în
listă a pachetelor/profilelor de protecţie vor trata cel puţin
aspectele privitoare la:
a) denumirea pachetului/profilului de protecţie;
b) autor;
c) autoritatea de certificare;
d) entitatea care a efectuat evaluarea;
e) nivelul de încredere;
f) data certificării;
g) versiunile Criteriilor comune şi ale
Metodologiei comune de evaluare utilizate.
CAPITOLUL VI
Gestionarea Catalogului naţional
Art. 31. - Catalogul naţional este actualizat
periodic, pe măsura certificării de noi produse naţionale
şi în conformitate cu modificările survenite în listele cu produse
recomandate de NATO sau UE.
Art. 32. - Catalogul naţional este distribuit de
ORNISS persoanelor juridice de drept public sau privat îndreptăţite.
Art. 33. - ORNISS va conlucra în mod continuu cu
producătorii naţionali de produse INFOSEC pentru a asigura
informaţiile necesare pentru fiecare pachet, produs ori profil de
protecţie care urmează să fie adăugat în catalog sau pentru
orice produs care trebuie să fie îndepărtat din catalog.