ANEXĂ - GHID. - Ordinul Guvernului României ORNISS nr. 18/2014 - aprobarea Ghidului privind structura şi conţinutul Procedurilor Operaţionale de Securitate (PrOpSec) pentru sisteme informatice şi de comunicaţii – DS 2

(1) Cap. 1 "Administrarea și organizarea securității“ din cuprinsul PrOpSec conține o introducere de tipul celei prezentate mai jos:

(2) Capitolul din PrOpSec prevăzut la alin. (1) conține, de asemenea, detalii referitoare la următoarele aspecte:

a) descriere sumară a SIC pentru care sunt aplicabile PrOpSec;

b) identificarea punctelor de contact (spre exemplu, administratorii INFOSEC) pentru aspecte legate de securitatea SIC sau incidente legate de utilizarea SIC;

c) detalii cu privire la nivelul de clasificare a informațiilor permise a fi vehiculate pe SIC;

d) proceduri administrative pentru schimbarea drepturilor de acces;

e) o prevedere conform căreia orice incident care implică încălcarea securității fizice, a securității personalului, a securității informațiilor sau a securității SIC trebuie să fie raportată imediat către administratorul de securitate al SIC;

f) o prevedere cu privire la respectarea mesajului de avertizare afișat pe ecranul calculatorului la inițierea unei sesiuni de lucru pe SIC și, dacă este cazul, a informațiilor afișate de screen-saver;

g) o prevedere cu privire la necesitatea luării la cunoștință, prin semnătură, de către utilizatorii SIC a responsabilităților pe care le au în domeniul securității SIC.

Cap. 2 "Securitatea fizică“ din cuprinsul PrOpSec include prevederi referitoare la procedurile de asigurare a securității fizice a echipamentelor SIC și a mediilor de stocare, inclusiv în afara orelor de program. Totodată, include prevederi referitoare la operarea SIC în locații în care se pot afla și persoane care nu dețin certificat/autorizație de acces la informații clasificate.

Cap. 3 "Securitatea personalului“ din cuprinsul PrOpSec include prevederi referitoare la certificările de securitate minime necesare utilizatorilor SIC. Totodată, trebuie precizată obligativitatea ca utilizatorii să participe la programele de pregătire și conștientizare în domeniul securității informațiilor, organizate de instituție/companie.

(1) În cadrul cap. 4 "Securitatea informațiilor“ din cuprinsul PrOpSec se precizează faptul că securitatea informațiilor vizează toate formele de documente, de exemplu documente în format hârtie, medii de stocare asociate calculatoarelor (de exemplu: CD, dispozitiv de memorie USB), dispozitive de calcul și de comunicații portabile (de exemplu: laptop, agende electronice, tablete).

(2) Atunci când este cazul, capitolul menționat la alin. (1) conține și detalii referitoare la:

a) tipul documentelor - medii de stocare fixe/detașabile, documente în format hârtie;

b) marcajele de securitate, marcajele administrative și de limitare a diseminării care trebuie aplicate pe documentele utilizate;

c) procedurile aplicabile pentru clasificarea și marcarea corespunzătoare a documentelor;

d) procedurile de transfer a informațiilor;

e) responsabilitățile și procedurile privind înregistrarea și controlul documentelor, precum și procedurile de verificare a înregistrărilor, inclusiv frecvența acestora;

f) procedurile referitoare la utilizarea, stocarea și controlul mediilor de stocare, precum și evidența acestora;

g) responsabilitățile și procedurile privind reclasificarea/declasificarea/distrugerea și scoaterea din uz a documentelor.

Cap. 5 "Securitatea SIC“ din cuprinsul PrOpSec oferă detalii cu privire la metodele de utilizare și control al facilităților de protecție asigurate de componentele software, în special în ceea ce privește:

a) conceptul de identificare (user-id) - procedurile pentru stabilirea conturilor de utilizatori, grupurile de utilizatori, alocarea identificatorilor de utilizator, procedurile pentru ștergerea conturilor de utilizator la părăsirea funcției/postului sau atunci când este detectată o compromitere a acestor date;

b) conceptul de autentificare - modalități de autentificare (de exemplu: parole, token, mecanisme biometrice), proceduri de control și de schimbare, autoritatea emitentă, păstrarea evidenței pentru controlul acestor mijloace și persoana responsabilă, frecvența de schimbare și proceduri de utilizare a mecanismelor de autentificare;

c) mecanisme de control al accesului - proceduri pentru implementarea controlului accesului discreționar/obligatoriu la informații/servicii/dispozitive; procedurile pentru stabilirea drepturilor și permisiunilor utilizatorilor pentru utilizarea serviciilor și resurselor SIC; detalii cu privire la autoritățile responsabile și la păstrarea evidențelor de control.

Cap. 6 "Planificarea măsurilor pentru situații de urgență și pentru continuarea activității“ din cuprinsul PrOpSec descrie acțiunile care trebuie întreprinse de către utilizatori în eventualitatea unei situații de urgență sau a detectării unui incident.

Fiecare utilizator trebuie să semneze o declarație potrivit căreia este pe deplin conștient de responsabilitățile ce îi revin în ceea ce privește protecția echipamentelor și a informațiilor asociate.

(1) Cap. 1 "Administrarea și organizarea securității“ din cuprinsul PrOpSec conține o introducere de tipul celei prezentate mai jos:

(2) Capitolul menționat la alin. (1) conține, de asemenea, detalii referitoare la următoarele aspecte:

a) descrierea SIC - o descriere sumară a sistemului, inclusiv a interconectărilor externe și o subliniere a capacităților funcționale;

b) responsabilitățile privind securitatea personalului cu atribuții în acest sens, potrivit Directivei privind structurile cu responsabilități în domeniul INFOSEC - INFOSEC 1, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 86/2013, denumită în continuare INFOSEC 1 (de exemplu, AOSIC, administratorii de securitate ai SIC, administratorul CRIPTO, administratorul COMSEC, inclusiv personalul având responsabilități în asigurarea securității fizice, a personalului, a informațiilor și, unde este cazul, a securității industriale);

c) detalii despre modul de operare de securitate al SIC și nivelul de clasificare a informațiilor vehiculate în SIC;

d) proceduri administrative pentru actualizarea sau efectuarea de modificări în Lista cu utilizatorii autorizați ai SIC și drepturile de acces ale acestora;

e) prevederi pentru raportarea imediată a oricărui incident major care implică încălcarea securității fizice, a personalului, a informațiilor sau a SIC către administratorii de securitate ai SIC, incident care apoi trebuie raportat de către AOSIC la AAS folosindu-se formularul din INFOSEC 3;

f) prevederi care să garanteze că întregul personal al SIC a luat la cunoștință, a înțeles și și-a însușit conținutul PrOpSec, în părțile care îl privesc. Într-un mediu de rețea, pentru creșterea gradului de conștientizare a personalului privind securitatea, PrOpSec sau extrase semnificative din acest document pot fi stocate pe un server central, în așa fel încât și utilizatorii să poată avea acces ușor la procedurile care îi interesează, cu precizarea ca PrOpSec să poată fi accesate doar de utilizatorii autorizați ai SIC, conform drepturilor de acces ale acestora.

(3) Capitolul prevăzut la alin. (1) conține, de asemenea, detalii, acolo unde este cazul, referitoare la următoarele aspecte:

a) procedurile privind asistența de securitate a utilizatorilor din locațiile distribuite sau aflate la distanță ale SIC;

b) extrase din cerințele de securitate a comunicațiilor, pentru a include, de exemplu, procedurile operaționale criptografice pentru produsele și mecanismele criptografice în uz;

c) proceduri pentru controlul personalului tehnic sau al altor categorii de personal suport care necesită accesul în zona SIC sau în zonele terminalelor/stațiilor de lucru aflate la distanță;

d) proceduri pentru controlul mediilor de stocare, a componentelor software și hardware autorizate, care sunt proprietate privată;

e) proceduri pentru controlul echipamentelor și componentelor software autorizate ale contractorilor.

(1) Cap. 2 "Securitate fizică“ din cuprinsul PrOpSec cuprinde măsurile de securitate fizică necesare pentru a asigura prevenirea accesului neautorizat la informații clasificate, efectuării de operațiuni neautorizate, blocării resurselor și serviciilor SIC și pentru protejarea echipamentelor.

(2) Capitolul prevăzut la alin. (1) conțin detalii, acolo unde este cazul, despre următoarele:

a) definirea zonelor unde se află componentele sistemului - încăperea/sala calculatoarelor, centrul de management al SIC, camera în care sunt instalate echipamentele criptografice, locul în care se păstrează mediile de stocare, încăperea terminalelor/stațiilor de lucru, locațiile prevăzute pentru continuarea activității în caz de dezastru, inclusiv localizarea, tipul și elementele de identificare ale întregului echipament conectat. Este necesară descrierea planului de cablare, identificându-se cablurile RED/BLACK și specificându-se distanțele de separare între aceste cabluri. Pentru terminalele/stațiile de lucru la distanță pot fi elaborate PrOpSec separate, sumare, care trebuie să specifice procedurile minime de securitate necesare pentru permiterea conectării acestora la SIC gazdă;

b) detalii cu privire la securitatea fizică a zonelor în care sunt instalate calculatoarele/echipamentele de comunicații, care să includă detalii cu privire la cheile și/sau combinațiile încuietorilor- identitatea acestora, unde se păstrează, modul de evidență și cine are permisiunea să le primească, să le predea și/sau să le folosească;

c) proceduri pentru garantarea securității fizice a zonei în care sunt instalate componentele sistemului, inclusiv echipamentele de comunicații, în afara orelor de program, incluzând, de exemplu, setările senzorilor pentru detecția intruziunilor;

d) controlul accesului personalului și echipamentelor:

1. (i)

   procedurile și modul de evidență pentru controlul vizitatorilor, inclusiv măsurile aplicate pentru prevenirea vizualizării neautorizate a informațiilor de pe dispozitivele de ieșire și afișare;

2. (ii)

   permisele - tipul de permise în uz și cerințele privind portul sau afișarea acestor permise, detalii referitoare la cine este responsabil pentru autorizarea și/sau emiterea permiselor, detalii privind păstrarea evidenței acestora;

3. (iii)

   procedurile în vigoare pentru controlul introducerii, depozitării, exploatării și scoaterii diferitelor echipamente;

e) detalii cu privire la alarmele de sesizare a intruziunilor și a problemelor apărute în mediul operațional - unde sunt dispuși senzorii, regimul lor de testare, frecvența efectuării testelor, procedurile de setare a sistemului de alarmare și procedurile privind reacția la diferite alarme.

(1) Cap. 3 "Securitatea personalului“ din cuprinsul PrOpSec pentru AOSIC conține detalii, unde este cazul, despre toate aspectele securității personalului, referitoare la:

a) certificate de securitate/autorizații de acces pentru utilizatori și alte categorii de personal:

1. (i)

   cerințele privind certificarea de securitate a utilizatorilor, administratorilor de securitate, administratorilor de sistem, administratorilor CRIPTO;

2. (ii)

   personalul care are dreptul să fie prezent în camerele în care sunt instalate echipamentele SIC pe durata procesării și în afara orelor de program, inclusiv cerințele privind certificarea de securitate a acestei categorii de personal;

3. (iii)

   aplicarea regulii celor două persoane în zonele în care sunt instalate echipamente ale SIC;

4. (iv)

   pentru locațiile terminalelor/stațiilor de lucru aflate la distanță sau pentru orice altă componentă a SIC - se vor preciza categoriile de personal care are dreptul să fie prezent în camerele în care sunt instalate echipamentele SIC pe durata procesării și în afara orelor de program, inclusiv cerințele privind certificarea de securitate a acestei categorii de personal și aplicarea regulii de lucru cu două persoane;

b) personalul-cheie:

1. (i)

   detalii specifice cu privire la anumite categorii de personal - proiectanții/analiștii/programatorii de sistem, personalul operațional, consultanții comerciali, inginerii de sistem și alte categorii de personal tehnic sau de întreținere, incluzând, ca anexă la PrOpSec, o listă a funcțiilor care intră în această categorie;

2. (ii)

   detalii cu privire la personalul auxiliar, precum personalul de curățenie și muncitorii care au acces în zonele în care sunt instalate componentele SIC;

3. (iii)

   detalii cu privire la persoanele care au acces în fiecare cameră, zonă, clădire etc.;

c) educația și conștientizarea de securitate

1. (i)

   cerințele de educație/conștientizare/pregătire de securitate pentru toate categoriile de personal care au acces la SIC, incluzând fiecare dintre aspectele securității: securitatea fizică, securitatea personalului, securitatea informațiilor și securitatea SIC;

2. (ii)

   necesitatea de asumare oficială a instrucțiunilor de securitate.

(2) Măsurile și dispozițiile prevăzute la alin. (1) sunt necesare avându-se în vedere următoarele aspecte:

a) orice persoană capabilă să intre în zonele în care sunt instalate componentele SIC poate fi în situația de a interacționa sau de a avaria echipamentul și poate avea acces la informațiile clasificate afișate pe ecran sau la cele listate;

b) amenințările la adresa securității SIC pot veni din partea oricărei persoane care are pregătirea profesională, cunoștințe corespunzătoare despre SIC și posibilitatea de acces la SIC;

c) personalul care are dreptul legitim de intrare în zonele în care sunt instalate componentele SIC poate avea posibilitatea să acceseze neautorizat informații sau să permită extragerea acestora de către persoane neautorizate;

d) poate exista o anumită categorie de personal-cheie (de exemplu, programatori, analiști și ingineri de sistem, personal de întreținere, consultanți comerciali) care, prin cunoștințele lor despre caracteristicile de securitate ale SIC, pot să le compromită sau să le ocolească.

(1) Cap. 4 "Securitatea informațiilor“ din cuprinsul PrOpSec destinate AOSIC conține detalii, acolo unde este cazul, despre următoarele:

a) toate tipurile de documente în uz - medii de stocare fixe sau detașabile ale calculatoarelor, documente în format hârtie;

b) marcajele de securitate, marcaje administrative suplimentare, marcajele de limitare a diseminării care trebuie aplicate diferitelor tipuri de documente aflate în uz;

c) proceduri corespunzătoare pentru marcarea nivelului de clasificare sau de sensibilitate a documentelor;

d) proceduri privind stocarea diferitelor tipuri de documente aflate în uz;

e) responsabilități și proceduri pentru înregistrarea și controlul documentelor și evidența controalelor, inclusiv frecvența acestora;

f) procedurile pentru păstrarea, evidența și controlul mediilor de stocare pentru calculatoare.

Pentru bibliotecile de medii de stocare, trebuie precizate următoarele:

1. (i)

   clasificarea, cerințele de etichetare, localizarea în bibliotecă;

2. (ii)

   înregistrări ale tuturor operațiunilor, inclusiv pentru documentele păstrate în alte locuri (de exemplu, mediile pentru back-up), registre de evidență pentru documentele clasificate (sau un sistem automat de evidență), formulare pentru transfer și primire și înregistrări ale istoricului clasificării documentelor;

3. (iii)

   metodele și formularele de solicitare a mediilor de stocare;

4. (iv)

   îndatoririle persoanei responsabile cu biblioteca de medii de stocare;

5. (v)

   păstrarea documentelor de control;

g) procedurile pentru primirea, schimbul și diseminarea documentelor, inclusiv rolurile persoanelor responsabile cu importul/exportul de documente și proceduri de verificare a tuturor mediilor de stocare ale calculatoarelor (purtătoare de informații sau de software) pentru a identifica eventuala prezență a virușilor de calculator sau a altor programe nocive;

h) responsabilități și proceduri pentru declasificarea/reclasificarea/distrugerea/disponibilizarea documentelor, care să reglementeze folosirea incineratoarelor, echipamentelor de demagnetizare, echipamentelor de dezintegrare, tocare etc., inclusiv unde și cum trebuie să se efectueze distrugerea, cât de frecvent și de către cine se execută operațiunea.

(2) În SIC, volumul și compactarea informațiilor stocate sau procesate, accesibilitatea lor, ușurința și viteza de copiere a informațiilor, uneori și de la stații aflate la distanță, subliniază nevoia luării unor măsuri stringente de securitate a informațiilor.

(3) Securitatea informațiilor acoperă toate formele de documente care conțin informații clasificate, de exemplu, documente în format hârtie (cum sunt documente tipărite, grafice, scheme, figuri, hărți, desene, listinguri cu loguri de audit ale sistemului), medii de stocare pentru calculatoare (CD, carduri de memorii flash, dispozitive de stocare USB, benzi magnetice, casete, discuri magnetice detașabile, dischete floppy, cartușe de date, discuri magnetice fixe, PROMs și EPROMs), microfilme și microfișe, benzi de imprimantă etc. Se adresează, totodată, dispozitivelor de calcul portabile (de exemplu laptop, notebook electronic, palmtop, PDA), atunci când harddiskul sau memoria sunt utilizate pentru stocarea informațiilor.

(4) Un document este definit ca fiind orice informație înregistrată, indiferent de forma sau caracteristicile sale fizice, incluzând, spre exemplu, materiale scrise sau listate, cartele și benzi pentru procesarea datelor, hărți, planșe, fotografii, picturi, desene, gravuri, schițe, notițe de lucru, indigo sau riboane, sau alte tipuri de reproduceri, precum și sunete, voci, înregistrări magnetice, electronice, optice sau video în orice format, precum și echipamentele IT portabile cu medii de stocare fixe și medii de stocare detașabile.

Mecanismele de securitate hardware, firmware și software pot contribui individual și în combinație la securitatea SIC, prin furnizarea de facilități pentru următoarele:

a) identificarea serviciilor, dispozitivelor, mediilor și utilizatorilor care reprezintă elemente individuale ale sistemelor de control al securității;

b) controlul software al accesului prin care este restricționat accesul utilizatorilor la elementele hardware, firmware și software și la informațiile la care le este permis accesul, precum și la informațiile pentru care este interzis accesul neautorizat;

c) detectarea activităților neautorizate (de exemplu, încercările de acces neautorizat), susținută de mecanisme de reacție și raportare;

d) verificări care să garanteze funcționarea corectă a celor menționate la lit. a), b) și c).

Securitatea calculatoarelor

(1) Securitatea hardware se referă la caracteristicile de securitate asigurate de către componentele fizice ale SIC.

(2) Secțiunea "Securitatea hardware“ oferă detalii despre sau, acolo unde este cazul, face referiri la următoarele aspecte ale securității hardware:

a) proceduri și documentație de securitate referitoare la pornirea echipamentelor SIC;

b) proceduri și documentație de securitate referitoare la oprirea echipamentelor SIC;

c) instrucțiuni și proceduri referitoare la conectarea/deconectarea echipamentelor relevante pentru securitate;

d) proceduri privind efectuarea de verificări periodice pentru punerea în evidență a eventualelor încercări de desfacere a echipamentelor și pentru asigurarea faptului că modulele hardware sunt păstrate încuiate, în mod normal, în carcasa echipamentului;

e) configurația calculatorului utilizată pentru procesarea în diferite condiții; de exemplu, trebuie precizat ce terminale/stații de lucru trebuie să fie deconectate și/sau ce periferice trebuie dezactivate într-o situație specifică de exploatare;

f) procedurile de securizare a configurației calculatorului pregătit pentru întreținere și reparare, incluzând următoarele:

1. (i)

   nivelul de autorizare necesar pentru modificarea configurației echipamentului, introducerea de hardware și software nou sau schimbarea oricărei componente hardware, inclusiv placa de bază care poate stoca, procesa sau transmite informații clasificate;

2. (ii)

   orice restricții impuse referitoare la momentele în care se pot realiza sau nu întreținerile periodice;

3. (iii)

   detalii referitoare la orice rutine de diagnosticare care se instalează fie în mod periodic, fie conform unui program de întreținere sau unor modificări hardware. În situațiile excepționale în care AAS a considerat că tehnicile de diagnoză și mentenanță de la distanță sunt necesare și pot fi acceptate, trebuie specificate procedurile de securitate aplicabile;

4. (iv)

   specificații referitoare la programele de întreținere periodică, inclusiv instrucțiuni pentru identificarea rapoartelor de diagnosticare care pot conține informații clasificate;

5. (v)

   proceduri referitoare la identificarea, păstrarea și controlul pieselor de schimb și accesoriilor relevante din punctul de vedere al securității;

g) procedurile care trebuie urmate în caz de defecțiune hardware, cu descrierea acțiunilor care trebuie întreprinse și a persoanelor care trebuie să întreprindă aceste acțiuni, în vederea securizării calculatorului la deconectare, și ce date trebuie păstrate referitoare la astfel de incidente hardware;

h) procedurile pentru reconectarea terminalelor/stațiilor de lucru de la distanță care au fost deconectate din motive de securitate;

i) în cazul în care se asigură și protecția TEMPEST pentru SIC, acest lucru trebuie precizat în această secțiune și corelat cu prevederile din secțiunea "Securitatea emisiei“.

(1) Securitatea software se referă la caracteristicile de securitate asigurate de următoarele componente:

a) firmware - instrucțiuni software, de obicei scrise de furnizorii de hardware, care simulează hardware-ul și pot fi înlocuite prin implementarea hardware efectivă;

b) sistemul de operare;

c) programe utilitare - asigură facilități comune și frecvent utilizate, cum ar fi funcții automatizate de birou, sisteme de gestiune a bazelor de date, compilatoare de programe, sortare și concatenare de fișiere, programe de verificare, scanare, control, audit etc.;

d) programe de aplicație - care satisfac cerințele utilizatorilor.

(2) Secțiunea "Securitatea software“ furnizează detalii, acolo unde este cazul, despre metoda de utilizare și control al caracteristicilor de protecție furnizate prin software, specificând în particular următoarele:

a) metoda de identificare (identificatorul utilizatorului) - proceduri de stabilire a conturilor utilizatorilor, a grupurilor de utilizatori și de alocare a identificatorilor utilizatorilor, proceduri de ștergere a conturilor utilizatorilor în cazul plecării personalului de la post sau atunci când a fost detectată o compromitere a contului respectiv;

b) metoda de autentificare - include protecția informațiilor de autentificare (de exemplu, parole, token sau metode biometrice), procedurile de control și schimbare, autoritatea emitentă, păstrarea înregistrărilor de control și de către cine, frecvența schimbării și procedurile utilizate pentru mecanismul de autentificare;

c) mecanismele de control al accesului - proceduri de implementare a controlului accesului discreționar și/sau obligatoriu la informații/servicii/dispozitive, proceduri pentru stabilirea drepturilor și permisiuni utilizatorilor de accesare și utilizare a informațiilor, serviciilor și resurselor SIC, detalii despre autoritățile responsabile și păstrarea evidențelor privind controlul;

d) evidența versiunii sistemului de operare, programelor utilitare și pachetelor software, inclusiv cele care vor fi folosite în situații deosebite;

e) controlul asupra facilităților de copiere sau de modificare a sistemului de operare, cu detalii despre autoritatea și documentația necesară;

f) detalii despre măsurile de precauție ce trebuie luate înainte și după procesare sau în timpul pregătirii diferitelor tipuri de activități clasificate, incluzând rutine de ștergere a memoriei principale, reguli de declasificare sau de suprascriere a versiunilor anterioare și proceduri care să asigure că bufferele sunt curățate și că toate datele din fișierele jurnalelor de audit au fost listate și suprascrise.

(3) Secțiunea software furnizează, de asemenea, unde este cazul, detalii privind software-ul de sistem și de aplicații, după cum urmează:

a) responsabilități pentru generare și utilizare;

b) procedurile de primire și introducere în sistem, autorizări și formularele necesare;

c) clasificarea;

d) controlul copierii;

e) utilizarea limbajelor de programare/compilatoarelor/macro-urilor;

f) proceduri de audit și validare a componentelor software - ce, de către cine, cu ce frecvență și ce înregistrări se păstrează;

g) copiile de siguranță ale sistemului - ce conțin și unde se păstrează, în ce formă, ce verificări se fac, cu ce frecvență și cine este autorizat să activeze/să folosească aceste copii;

h) proceduri care trebuie urmate în caz de erori și ce înregistrări trebuie păstrate;

i) controlul copiilor în format hârtie.

(1) Secțiunea "Protecția antivirus a calculatoarelor“ conține un sumar al tuturor procedurilor și mecanismelor de protecție împotriva software-ului malițios, atât manuale, cât și automate, și responsabilitățile individuale relevante pentru SIC.

(2) Secțiunea menționată la alin. (1) include următoarele:

a) proceduri de verificare a sistemelor de operare instalate, a pachetelor software și a programelor utilitare, privind prezența virușilor sau a altui software malițios, incluzând proceduri pentru ștergerea acestora în cazul detectării lor;

b) proceduri pentru verificarea mediilor de stocare (conținând informații și software) primite din surse externe, incluzând proceduri pentru dezinfectarea lor;

c) proceduri pentru verificarea mesajelor electronice și a atașamentelor primite din surse externe pentru a identifica eventuala prezență a software-ului malițios;

d) proceduri care trebuie urmate de către utilizatori în cazul detectării unor evenimente cauzate de software malițios;

e) proceduri pentru raportarea incidentelor cauzate de viruși atât către expeditorul mediului de stocare infectat, cât și la AAS, folosindu-se formularul din Directiva privind managementul INFOSEC pentru sisteme informatice și de comunicații - INFOSEC 3, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 484/2003.

(1) Secțiunea "Managementul și auditul automat al securității“ conține un sumar al tuturor măsurilor și procedurilor automate de management al securității, al procedurilor de audit, atât cele manuale, cât și cele asigurate de sistem, alocarea responsabilităților relevante pentru SIC.

(2) Secțiunea menționată la alin. (1) include următoarele:

a) procedurile pentru rularea instrumentelor/programelor automate de management al securității și detalii despre facilitățile de audit;

b) detalii despre evenimentele relevante pentru securitate care trebuie luate în evidență (logged) (de exemplu, tipul evenimentului și informația asociată fiecărui tip de eveniment);

c) detalii despre modul cum sunt folosite jurnalele (log-urile) de securitate, atât pentru investigarea erorilor, cât și pentru anumite fișiere sau categorii de personal, bazate pe urmărirea evenimentelor sau activităților, a tendințelor anormale, incluzând detalii despre evenimentele care trebuie supravegheate;

d) desfășurarea inspecțiilor/analizelor periodice ale înregistrărilor de audit, în scopul descoperirii prompte a accesului neautorizat sau a încercărilor de acces și pentru luarea măsurilor corespunzătoare de remediere;

e) responsabilitățile persoanelor care trebuie să ruleze și să valideze integritatea instrumentelor/programelor de management automat al securității și să desfășoare investigări și analize în cazul descoperirii de anomalii;

f) proceduri de reacție la evenimente specifice, de exemplu, activarea alarmelor în timp real;

g) detalii privind perioada de păstrare a fișierelor de audit;

h) proceduri care trebuie urmate în cazul apariției de anomalii ale auditului.

Secțiunea "Securitatea criptografică“ furnizează detalii cu privire la următoarele aspecte ale securității criptografice, acolo unde este cazul:

a) stabilirea persoanei responsabile cu implementarea și controlul procedurilor privind securitatea criptografică și cerințele de certificare de securitate pentru această persoană;

b) stabilirea administratorului COMSEC, conform INFOSEC 1 și instrucțiunilor privind managementul, utilizarea și protecția materialului criptografic în România;

c) detalii despre administratorul CRIPTO al SIC (de exemplu, funcție, responsabilități) pentru acele SIC care folosesc echipament criptografic ca o componentă a sistemului;

d) proceduri specifice de utilizare a echipamentului criptografic, în special managementul materialelor criptografice. Secțiunea trebuie să facă referire la instrucțiunile privind managementul, utilizarea și protecția materialului criptografic în România, pentru detalii în ceea ce privește măsurile de protecție a materialului criptografic și responsabilitățile utilizatorilor acestui material.

Secțiunea "Securitatea emisiilor“ furnizează detalii cu privire la următoarele aspecte ale securității emisiei, acolo unde este cazul:

a) stabilirea persoanei responsabile cu implementarea și controlul procedurilor de securitate a emisiei;

b) proceduri de analizare a cerințelor TEMPEST, pentru locațiile SIC, cu acordul ORNISS;

c) proceduri pentru stabilirea locului în care echipamentele de calcul portabile și calculatoare/stațiile de lucru de sine stătătoare pot opera în interiorul locațiilor SIC;

d) informații despre metodele corespunzătoare de instalare ale echipamentului;

1. (i)

   trimiteri către informațiile furnizate de către producător;

2. (ii)

   specificații în conformitate cu Directiva privind selectarea și instalarea echipamentelor și sistemelor care vehiculează informații clasificate, în format electronic - INFOSEC 6, versiunea 2, aprobată prin Ordinul directorului general al Oficiului Registrului Național al Informațiilor Secrete de Stat nr. 358/2008;

e) detalii cu privire la cerințele de evaluare și certificare a echipamentelor și evaluare a locațiilor în care sunt instalate echipamentele SIC.

Secțiunea "Securitatea transmisiilor“ furnizează detalii despre următoarele aspecte ale securității transmisiei, acolo unde este cazul:

a) stabilirea persoanei responsabile cu implementarea și controlul procedurilor de securitate a transmisiei;

b) proceduri asociate cu protecția adecvată a comunicațiilor în sistemele autorizate, deduse din analiza secțiunilor necriptate ale acestor comunicații;

c) proceduri de reducere a conținutului informațional prin secțiunile neprotejate ale sistemelor de comunicații;

d) proceduri operaționale pentru sistemele care asigură securitatea fluxului informațional.

(1) Cap. 6 "Planificarea măsurilor pentru situații de urgență și pentru continuarea activității“ din cuprinsul PrOpSec pentru AOSIC furnizează detalii despre procedurile obișnuite relevante pentru securitate, referitoare la efectuarea salvărilor de siguranță (back-up), incluzând următoarele aspecte, acolo unde este cazul:

a) detalii despre metodele de salvare de siguranță a informațiilor relevante din punctul de vedere al securității și a informațiilor utilizatorilor;

b) frecvența realizării salvărilor de siguranță;

c) cerințe privind transmiterea și păstrarea copiilor de back-up;

d) testarea copiilor de back-up;

e) proceduri privind accesul la copiile de back-up și utilizarea acestora.

(2) Capitolul menționat la alin. (1) furnizează, de asemenea, detalii despre procedurile de securitate sau face referiri la acestea, incluzând proceduri de distrugere a informațiilor în caz de urgență și proceduri de recuperare a informațiilor în caz de dezastru, care trebuie urmate în situații excepționale, de exemplu:

a) defecțiuni hardware, erori software sau descoperirea introducerii de viruși sau de software malițios;

b) indisponibilitatea liniilor de telecomunicație;

c) variații ale tensiunii de alimentare sau căderea acesteia;

d) aspecte privind mediul operațional al SIC (de exemplu: fum, foc, explozii, inundații, scurgeri de lichide, probleme ale structurii de rezistență a clădirii, cutremure, furtuni și alte calamități naturale);

e) acțiuni subversive, sabotaj, terorism, mișcări sociale sau amenințări cu bombe.

(3) Capitolul precizat la alin. (1) include, unde este cazul, proceduri cu privire la distrugerea echipamentelor criptografice și a materialului cu chei criptografice, în situații de urgență.

(4) Capitolul prevăzut la alin. (1) furnizează, de asemenea, un sumar al modului de exersare a procedurilor de urgență și frecvența cu care se fac aceste exerciții sau face referiri la documente interne care conțin aceste prevederi.

(1) Managementul configurației SIC constă în identificarea, controlul, păstrarea evidenței, diseminarea și auditul tuturor modificărilor efectuate în timpul etapelor de proiectare, dezvoltare, exploatare, întreținere și îmbunătățire a ciclului de viață al SIC.

(2) Cap. 7 "Managementul configurației“ din cuprinsul PrOpSec pentru AOSIC furnizează detalii despre următoarele caracteristici ale planului de management al configurației, acolo unde acestea sunt legate de aspecte ale securității hardware, firmware și software:

a) responsabilitățile personalului pentru controlul și organizarea actualizării configurației;

b) documentația care descrie configurația de bază autorizată pentru SIC;

c) măsurile de securitate aplicate pentru a garanta faptul că arhitectura/configurația de bază autorizată pentru SIC nu poate face obiectul unor modificări neautorizate, de exemplu, prin introducerea unui software neautorizat;

d) controale care se efectuează la modificarea documentației de proiectare și de implementare;

e) controale care se efectuează la generarea unei noi versiuni a sistemului, incluzând pachetele utilitare și cele software;

f) măsuri aplicabile în cazul actualizării sistemului de operare (service packs, hoț fixes, security patches), incluzând pachetele utilitare și de software;

g) măsurile (tehnice, fizice și procedurale) care se efectuează pentru protecția față de modificarea sau distrugerea neautorizată a copiei principale sau a copiilor tuturor celorlalte materiale utilizate pentru generarea sistemului, incluzând pachetele software și utilitarele;

h) controale care se efectuează pentru configurarea dispozitivelor de comunicații (de exemplu, routere) și a dispozitivelor de protecție a limitelor sistemului (de exemplu, firewall);

i) procedurile pentru solicitarea modificării configurației hardware, firmware și software a SIC;

j) procedurile pentru solicitarea de modificări specifice ale configurației hardware sau a mediului operațional al sistemului, acolo unde există nevoia punerii de acord cu standardul TEMPEST și pentru auditul implementării modificărilor specifice;

k) procedurile postimplementare necesare pentru actualizarea documentației privind modificarea configurației.

(3) Capitolul menționat la alin. (1) include, de asemenea, detalii cu privire la procedurile de implementare a actualizărilor aplicațiilor antivirus, a sistemului de operare prin service packs/hotfixes/security patches.