Ordinul Nr.888 din 05.09.2011pentru modificarea şi completarea Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare
ACT EMIS DE: Ministerul Comunicatiilor si Societatii Informationale
ACT PUBLICAT ÎN MONITORUL OFICIAL NR. 717 din 12 octombrie 2011
Având în vedere prevederile art. 36 şi 37 din Legea nr. 455/2001 privind semnătura electronică, precum şi ale art. 16-20 din Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,în temeiul art. 4 alin. (1) pct. 55 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin. Articolul IOrdinul ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat în Monitorul Oficial al României, Partea I, nr. 411 din 16 iunie 2009, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 1. La articolul 1 , alineatul (2) se modifică şi va avea următorul cuprins:(2) Prezentul ordin stabileşte condiţiile, conţinutul, durata de valabilitate şi condiţiile suspendării deciziei de acreditare a furnizorilor de servicii de certificare. 2. Articolul 31 se modifică şi va avea următorul cuprins: Articolul 31 În vederea acreditării, furnizorul de servicii de certificare trebuie să facă dovada: a)utilizării a cel puţin 5 persoane angajate în baza unor contracte individuale de muncă cu normă întreagă sau prin încheierea de contracte de prestări de servicii cu societăţi comerciale ori persoane fizice autorizate.Persoanele implicate în generarea şi gestionarea de certificate trebuie:
|
|
(i) |
să deţină diplomă de absolvire a unei forme de învăţământ superior de lungă durată, eliberată de o instituţie de învăţământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, fizică, cibernetică, electronică; sau |
|
|
(ii) |
să deţină diplomă de masterat în una dintre specializările menţionate la pct. (i). |
Angajaţii implicaţi în generarea şi gestionarea de certificate trebuie să aibă cunoştinţe în domeniul securităţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deţinerea cel puţin a uneia dintre certificările ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internaţional. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia; b)utilizării unei scheme de personal care să asigure un flux continuu de emitere, suspendare şi revocare a certificatelor şi segregarea rolurilor angajaţilor, asigurând acoperirea cel puţin a următoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puţin două persoane), operator pentru verificarea cererilor şi emiterea certificatelor (cel puţin două persoane), administrator al sistemului de certificare, administrator de securitate şi auditor intern. Schema de personal va fi înaintată autorităţii; c)utilizării unei arhitecturi distribuite a sistemului de certificare şi sistemului de înregistrare, separând logic şi fizic funcţionalităţile publice: înregistrarea cererilor de certificate, registrul de certificate şi validarea cererilor de emitere a certificatelor. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluţiei de emitere, publicare şi validare a certificatelor, precum şi a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcţionare în orice moment din intervalul de observaţie de o lună calendaristică. Disponibilitatea se calculează după formula: D = [(To-Tî)/To]*100 [%], unde: To = durata unei luni calendaristice, aproximată la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute; Tî = durata însumată a întreruperilor de serviciu în minute. Arhitectura tehnică şi dovada îndeplinirii condiţiilor de disponibilitate a soluţiei vor fi înaintate autorităţii; d)deţinerii sau utilizării unui sediu de rezervă pentru continuarea operaţiunilor în cazul apariţiei unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă aceloraşi condiţii tehnice ca şi sediul principal şi să parcurgă aceleaşi proceduri de audit. Documentaţia privind sediul de rezervă şi rapoartele de audit vor fi înaintate autorităţii; e)certificărilor legate de sistemul de management al calităţii şi management al securităţii informaţionale, certificate în conformitate cu standardele ISO 9001 şi, respectiv, ISO 27001 sau Standardele naţionale de protecţie a informaţiilor clasificate definite prin Hotărârea Guvernului nr. 585/2002 ori ultimele versiuni ale acestora sau standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorităţii. 3. Articolul 32 se modifică şi va avea următorul cuprins: Articolul 32 (1) Orice furnizor de servicii de certificare calificată poate solicita iniţierea procedurii de acreditare prin bifarea opţiunii din anexa nr. 2 la Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare.(2) Procedura de acreditare poate fi iniţiată numai după începerea activităţii de furnizare de servicii de certificare calificată şi actualizarea registrului. Procedura de acreditare este prevăzută în anexa nr. 4, care face parte integrantă din prezentul ordin. 4. Articolul 33 se modifică şi va avea următorul cuprins: Articolul 33 Pentru instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme de generare, evidenţă şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, cuantumul garanţiei se stabileşte anual, prin decizia autorităţii de reglementare şi supraveghere specializate în domeniu, la propunerea conducerii instituţiilor respective, proporţional cu prejudiciile create în anul anterior, stabilite prin decizii judecătoreşti definitive. Extensia certificatului va conţine menţiuni referitoare la limitări privind utilizarea. 5. Articolul 34 se modifică şi va avea următorul cuprins: Articolul 34 (1) Furnizorul va notifica autoritatea în legătură cu orice modificare a soluţiei tehnice sau a procedurilor de lucru. Notificarea va fi însoţită de opinia auditorului intern al furnizorului, opinie din care să rezulte faptul că furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu şi a legislaţiei în vigoare.(2) Notificarea prevăzută la alin. (1) se va face cu 10 zile înainte de data la care modificările specificate la alin. (1) devin operaţionale sau în cazul unor urgenţe ori evenimente neprevăzute, justificate, în termen de maximum 24 de ore de la efectuarea modificărilor.(3) În urma notificării adresate de către furnizor autorităţii, dacă se consideră că modificările efectuate afectează major procesul de furnizare a serviciilor de certificare, în sensul nerespectării standardelor în domeniu sau a legislaţiei în vigoare, autoritatea poate solicita reînnoirea acreditării.(4) Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. În urma testării, acesta trebuie să înainteze către autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusă din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) şi un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilităţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita furnizorului implementarea măsurilor de securitate în vederea reducerii nivelului de risc.(5) Instituţiile care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii şi ale căror sisteme de generare, evidenţă şi distribuţie fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat vor realiza testele de penetrare şi auditul de securitate cu personal propriu care deţine cunoştinţe în domeniul securităţii informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experienţă de cel puţin 5 ani în domeniul securităţii sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât şi din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internaţional. Raportul de testare va conţine toate testele efectuate, vulnerabilităţile identificate, precum şi nivelul de risc asociat acestora. În urma raportului de testare, autoritatea va putea solicita instituţiei implementarea măsurilor de securitate în vederea reducerii nivelului de risc. 6. Articolul 35 se abrogă. 7. Articolul 36 se modifică şi va avea următorul cuprins: Articolul 36 Verificarea informaţiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât şi la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnătura electronică. 8. Articolul 37 se modifică şi va avea următorul cuprins: Articolul 37 Autoritatea poate dispune suspendarea activităţii furnizorului de servicii de certificare până la încetarea cauzelor care au determinat luarea măsurii şi în următoarele situaţii: 1. furnizorul nu îndeplineşte cerinţele privind personalul sau nu anunţă modificarea schemei de personal, aşa cum este prevăzut la art. 31 lit. a) şi b); 2. furnizorul nu asigură disponibilitatea soluţiei sau nu anunţă modificările tehnice, aşa cum este prevăzut la art. 31 lit. c) şi art. 34; 3. furnizorul nu mai îndeplineşte cerinţele tehnice definite la art. 31 lit. d) şi e). 9. Articolul 38 se modifică şi va avea următorul cuprins: Articolul 38 În cazurile prevăzute la art. 37, autoritatea are dreptul de a emite pretenţii asupra scrisorii de garanţie bancară sau a poliţei de asigurare, în limita prejudiciului. 10. După anexa nr. 3 se introduce o nouă anexă, anexa nr. 4, al cărei cuprins este prevăzut în anexa la prezentul ordin. Articolul IIPrevederile prezentului ordin intră în vigoare la 30 de zile de la publicarea sa în Monitorul Oficial al României, Partea I. Ministrul comunicaţiilor şi societăţii informaţionale, Valerian Vreme ANEXĂ(Anexa nr. 4 la Ordinul nr. 473/2009) PROCEDURĂ DE ACREDITARE
|
Numărul activităţii |
Descrierea activităţii |
Durata activităţii |
Numărul activităţii precedente |
|
1. |
Procedura de acreditare |
55 de zile |
|
|
2. |
I. Cererea furnizorului |
3 zile |
|
|
3. |
Cererea furnizorului de servicii de certificare (FSC) circulă de la registratură până la Direcţia generală pentru politici şi programe în domeniul societăţii informaţionale (DGPPSI). |
o zi |
|
|
4. |
Ministerul Comunicaţiilor şi Societăţii Informaţionale (MCSI) verifică numai documentaţia transmisă de furnizor. În cazul în care furnizorul nu a transmis documentaţia, aceasta este solicitată. |
două zile |
3 |
|
5. |
II. Procesul de alegere a auditorului |
27 de zile |
|
|
6. |
Desemnarea echipei responsabile cu îndeplinirea procesului de acreditare, formată din reprezentanţi ai DGPPSI |
două zile |
2 |
|
7. |
Stabilirea de către MCSI a condiţiilor de calificare a auditorilor |
două zile |
2 |
|
8. |
Aprobarea procedurii cu tot ce cuprinde |
două zile |
7 |
|
9. |
Publicarea anunţului MCSI referitor la lansarea procedurii de selecţie a auditorilor |
o zi |
8 |
|
10. |
Primirea ofertelor |
5 zile |
9 |
|
11. |
Verificarea îndeplinirii condiţiilor de către auditorii care participă la procesul de calificare |
5 zile |
10 |
|
12. |
Desemnarea auditorului |
12 zile |
11 |
|
13. |
Raportul comisiei, inclusiv lista care trebuie aprobată |
două zile |
|
|
14. |
Aprobarea listei |
două zile |
13 |
|
15. |
Comunicarea listei |
o zi |
14 |
|
16. |
Primirea răspunsului |
două zile |
15 |
|
17. |
Desemnarea auditorului prin ordin al ministrului comunicaţiilor şi societăţii informaţionale (conform modelului din anexa nr. 2 la Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, cu modificările şi completările ulterioare) |
3 zile |
16 |
|
18. |
Comunicarea ordinului |
două zile |
17 |
|
19. |
III. Realizarea auditului |
15 zile |
|
|
20. |
Efectuarea auditului şi transmiterea raportului şi opiniei de audit către MCSI |
15 zile |
18 |
|
21. |
IV. Evaluarea şi decizia acreditării |
10 zile |
|
|
22. |
DGPPSI va primi rezultatul auditului efectuat asupra FSC |
o zi |
20 |
|
23. |
MCSI respinge cererea de acreditare în urma analizei raportului de audit, precum şi în cazul unei opinii de audit exprimate cu rezerve. |
4 zile |
22 |
|
24. |
În cazul unor observaţii referitoare la raportul de audit prezentat, MCSI le va comunica atât furnizorului de servicii de certificare, cât şi auditorului, în termen de 5 zile de la prezentarea raportului. |
4 zile |
22 |
|
25. |
În termen de 10 zile de la prezentarea opiniei de audit favorabile, MCSI emite decizia de acreditare şi înscrie în registru menţiunea privind acreditarea FSC. |
9 zile |
22 |
|
26. |
Acreditarea se face prin ordin al ministrului comunicaţiilor şi societăţii informaţionale, forma şi conţinutul ordinului de acreditare fiind prevăzute în anexa nr. 3 la Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 473/2009, cu modificările şi completările ulterioare. |
0 zile |
25 |
|
27. |
În cazul respingerii cererii de acreditare, autoritatea va comunica furnizorului motivele respingerii. |
0 zile |
25 |
|
28. |
Decizia de acreditare va fi comunicată furnizorului pe suport hârtie şi în format electronic, semnată digital de către MCSI. |
0 zile |
25 |
|
29. |
MCSI va înscrie în Registrul furnizorilor de servicii de certificare menţiunea privind acreditarea FSC. |
0 zile |
25 |
|
ANONIM a comentat
Decretul 770 1966
Bună ziua, Știți că există o modalitate prin care puteți câștiga bani fără contact de stres (THOMAS FREDDIE) pentru un [CARD ATM] gol astăzi și să fiți printre norocoșii care beneficiază de aceste carduri. Acest card ATM gol PROGRAMAT este capabil să pirateze orice bancomat de oriunde în lume. Mi-am luat cardul de master de la un Hacker bun de pe internet, cu acest card ATM pot colecta 50.000,00 EUR în fiecare zi prin contacte: thomasunlimitedhackers@gmail.com
|
ANONIM a comentat
Decretul 770 1966
Bună ziua, Știți că există o modalitate prin care puteți câștiga bani fără contact de stres (THOMAS FREDDIE) pentru un [CARD ATM] gol astăzi și să fiți printre norocoșii care beneficiază de aceste carduri. Acest card ATM gol PROGRAMAT este capabil să pirateze orice bancomat de oriunde în lume. Mi-am luat cardul de master de la un Hacker bun de pe internet, cu acest card ATM pot colecta 50.000,00 EUR în fiecare zi prin contacte: thomasunlimitedhackers@gmail.com
|
ANONIM a comentat
Raport 1937 2021
Bună ziua, Știți că există o modalitate prin care puteți câștiga bani fără contact de stres (THOMAS FREDDIE) pentru un [CARD ATM] gol astăzi și să fiți printre norocoșii care beneficiază de aceste carduri. Acest card ATM gol PROGRAMAT este capabil să pirateze orice bancomat de oriunde în lume. Mi-am luat cardul de master de la un Hacker bun de pe internet, cu acest card ATM pot colecta 50.000,00 EUR în fiecare zi prin contacte: thomasunlimitedhackers@gmail.com
Am fost foarte sărac, dar acest card m-a făcut bogat și fericit. Dacă doriți să beneficiați de această oportunitate de a deveni bogat și de a vă stabili afacerea, atunci aplicați pentru acest card Master, sunt atât de fericit pentru că l-am primit săptămâna trecută și am l-au folosit pentru a obține 277.000,00 EURO de la THOMAS FREDDIE UNLIMITED Hackers oferă cardul doar pentru a-i ajuta pe cei săraci și nevoiași și OFERĂ ȘI ASISTENȚĂ FINANCIARĂ. obține-l pe al tău de la THOMAS FREDDIE UNLIMITED HACKERS astăzi. Vă rugăm să-i contactați prin e-mail thomasunlimitedhackers@gmail.com
|
ANONIM a comentat
Decretul 441 2020
Do you need Finance? Are you looking for Finance? Are you looking for finance to enlarge your business? We help individuals and companies to obtain finance for business expanding and to setup a new business ranging any amount. Get finance at affordable interest rate of 3%, Do you need this finance for business and to clear your bills? Then send us an email now for more information contact us now via (financialserviceoffer876@gmail.com) whats-App +918929509036 Dr James Eric Finance Pvt Ltd Thanks
|
ANONIM a comentat
Decretul 441 2020
Do you need Finance? Are you looking for Finance? Are you looking for finance to enlarge your business? We help individuals and companies to obtain finance for business expanding and to setup a new business ranging any amount. Get finance at affordable interest rate of 3%, Do you need this finance for business and to clear your bills? Then send us an email now for more information contact us now via (financialserviceoffer876@gmail.com) whats-App +918929509036 Dr James Eric Finance Pvt Ltd Thanks
|
ANONIM a comentat
Decretul 226 2006
Aveți nevoie de un împrumut de urgență pentru a plăti datoria sau de un împrumut pentru locuință pentru a vă îmbunătăți afacerea? Ai fost refuzat de bănci și alte agenții financiare? Ai nevoie de împrumut sau consolidare ipotecară? Nu mai căuta, pentru că suntem aici pentru a pune în urmă toate problemele tale financiare. Contactați-ne prin e-mail: {novotnyradex@gmail.com Oferim împrumuturi părților interesate la o rată rezonabilă a dobânzii de 3%. Intervalul este de la 5.000,00 EUR la 100.000.000,00 EUR
|
ANONIM a comentat
Decretul 226 2006
Un împrumut financiar rapid și convenabil pe care îl poți folosi pentru orice. Rata scăzută a dobânzii este stabilă pe toată perioada de rambursare a creditului. Datorită gamei largi de împrumuturi financiare oferite, oferim tuturor împrumuturi financiare favorabile de la 50.000 la 100.000.000 CZK, aproape fiecare solicitant din Republica Cehă putând obține acest împrumut. Contract clar și ușor de înțeles, termeni clari ai serviciilor. Puteți folosi banii pentru orice aveți nevoie. Această ofertă este valabilă pentru toată Republica Cehă. Nu ezitați să contactați. E-mail: novotnyradex@gmail.com
|
ANONIM a comentat
Decretul 226 2006
Un împrumut financiar rapid și convenabil pe care îl poți folosi pentru orice. Rata scăzută a dobânzii este stabilă pe toată perioada de rambursare a creditului. Datorită gamei largi de împrumuturi financiare oferite, oferim tuturor împrumuturi financiare favorabile de la 50.000 la 100.000.000 CZK, aproape fiecare solicitant din Republica Cehă putând obține acest împrumut. Contract clar și ușor de înțeles, termeni clari ai serviciilor. Puteți folosi banii pentru orice aveți nevoie. Această ofertă este valabilă pentru toată Republica Cehă. Nu ezitați să contactați. E-mail: novotnyradex@gmail.com
|
ANONIM a comentat
Hotărârea 1475 2004
Hledali jste možnosti financování nákupu nového domu, výstavby, úvěru na nemovitost, refinancování, konsolidace dluhu, osobního nebo obchodního účelu? Vítejte v budoucnosti! Financování je s námi snadné. Kontaktujte nás, protože nabízíme naši finanční službu za nízkou a dostupnou úrokovou sazbu 3% na dlouhou a krátkou dobu úvěru, se 100% zárukou úvěru, zájemce by nás měl kontaktovat ohledně dalších postupů získávání úvěru prostřednictvím: joshuabenloancompany@aol.com
|
ANONIM a comentat
Decretul 139 2005
Ați căutat opțiuni de finanțare pentru achiziția unei noi case, construcție, împrumut imobiliar, refinanțare, consolidare a datoriilor, scop personal sau de afaceri? Bun venit în viitor! Finanțarea este ușoară cu noi. Contactați-ne, deoarece oferim serviciile noastre financiare la o rată a dobânzii scăzută și accesibilă de 3% pentru împrumuturi pe termen lung și scurt, cu împrumut garantat 100%. Solicitantul interesat ar trebui să ne contacteze pentru proceduri suplimentare de achiziție de împrumut prin: joshuabenloancompany@aol.com
|
Alte acte pe aceeaşi temă cu Ordin 888/2011
|