Decizie nr. 1131/2008 privind normele metodologice de autorizare a centrelor de date

[Materialul de fata a fost preluat din Indaco Legenet legenet.indaco.ro]

Publicat in Monitorul Oficial, Partea I nr. 861 din 20/12/2008

Autoritatea Nationala de Reglementare in Comunicatii

In temeiul prevederilor art. 8 alin. (1), (3) si (5) din Ordonanta de urgenta a Guvernului nr. 106/2008 privind infiintarea Autoritatii Nationale pentru Comunicatii, precum si ale art. 17 alin. (2) si ale art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor in forma electronica, presedintele Autoritatii Nationale pentru Comunicatii emite prezenta decizie.

Art. 1
(1) Prezenta decizie se aplica centrelor de date utilizate de catre administratorii de arhive electronice, in conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica.
(2) Prezenta decizie stabileste procedura si conditiile privind acordarea, suspendarea si retragerea deciziei de autorizare a centrelor de date, emise de catre Autoritatea Nationala pentru Comunicatii, denumita in continuare ANC, precum si continutul, durata de valabilitate si efectele suspendarii sau retragerii deciziei de autorizare.

Art. 2
In intelesul prezentei decizii, urmatorii termeni se definesc astfel:
a) centru de date - spatiu securizat, dotat cu tehnica de calcul si echipamente de comunicatii prin intermediul carora se primesc, se stocheaza si se transmit date in forma electronica;
b) procedura de autorizare - metoda de evaluare sistematica, documentata, periodica si obiectiva a performantei centrului de date, a sistemului de management si a proceselor destinate protectiei arhivelor electronice, in scopul verificarii respectarii cerintelor prevazute de legislatia in vigoare;
c) decizie de autorizare - document emis de ANC care atesta ca un centru de date indeplineste toate conditiile cerute de legislatia in vigoare in vederea desfasurarii operatiunilor de arhivare electronica;
d) backup - activitatea de copiere a unor fisiere sau baze de date in vederea conservarii si recuperarii acestora in cazul unei avarii sau al altui eveniment neprevazut;
e) UPS (Uninterruptible Power Supply) - dispozitiv care permite calculatorului sa functioneze pentru o perioada scurta de timp in cazul in care sursa principala de energie este intrerupta, respectiv care asigura protectie impotriva suprasarcinilor tranzitorii;

f) firewall - dispozitiv hardware sau aplicatie software care monitorizeaza si filtreaza permanent transmisiile de date realizate intre reteaua protejata si alte retele, pe baza unui set de reguli si criterii;
g) router - dispozitiv hardware sau aplicatie software care conecteaza doua sau mai multe retele de calculatoare;
h) upgrade - proces de imbunatatire a unui echipament tehnic sau a unei aplicatii software;
i) redundanta - introducere de dispozitive suplimentare fata de cel de baza, care sa asigure functionarea unui sistem in cazul in care unul dintre dispozitivele cu aceeasi functie a iesit intamplator din uz.

Art. 3
Centrele de date utilizate de catre administratorii de arhive electronice trebuie sa dispuna de dotarile tehnice si sa aplice politicile si procedurile de management si de securitate necesare pentru a indeplini conditiile prevazute la art. 17 alin. (1) din Legea nr. 135/2007.

Art. 4
(1) Persoana fizica sau juridica care intentioneaza sa obtina autorizarea unui centru de date in vederea desfasurarii activitatilor legate de arhivarea electronica a documentelor, denumita in continuare solicitant, va transmite ANC o cerere scrisa in acest sens. Forma si continutul acestei cereri sunt prevazute in anexa nr. 1.
(2) Cererea prevazuta la alin. (1) va fi insotita de urmatoarele documente:
a) descrierea politicilor si procedurilor de lucru, incluzand enumerarea posturilor si functiilor personalului, precum si calificarile/atestarile profesionale ale acestuia;
b) descrierea generala a echipamentelor utilizate in procesul de arhivare;
c) procedurile pentru asigurarea disponibilitatii serviciului;
d) politica generala de securitate, politicile privind utilizatorii, parolele si accesul la sisteme.
(3) Cererea si documentele anexate se transmit la sediul central al ANC in unul dintre urmatoarele moduri:
a) prin depunere, personal sau de catre reprezentantul legal, sub luare de semnatura;
b) printr-un serviciu postal;
c) ca inscris in forma electronica, caruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice.
(4) Este considerata data a transmiterii, dupa caz, data inscrierii in registrul general de intrare-iesire a corespondentei al ANC, data confirmarii primirii documentelor la sediul central al ANC printr-un serviciu postal cu confirmare de primire sau data confirmarii primirii inscrisului in forma electronica.
(5) In cazul in care documentatia nu indeplineste conditiile prevazute de prezenta decizie, ANC va solicita completarea acesteia, in termen de 10 zile de la transmiterea solicitarii de completare.
(6) In cazul in care documentatia transmisa potrivit alin. (1)-(3) este completa sau a fost completata in conformitate cu prevederile alin. (5), ANC demareaza procedura de autorizare a centrului de date.

Art. 5
(1) Verificarea indeplinirii conditiilor in vederea autorizarii se face de catre personalul ANC cu atributii in acest sens, in cadrul procedurii de autorizare.
(2) Pe perioada desfasurarii procedurii de autorizare, ANC poate solicita orice documente referitoare la activitatea centrului de date care are legatura cu activitatea de arhivare electronica si poate efectua actiuni de control pentru a verifica conformitatea dintre informatiile declarate in cursul procedurii de autorizare si realitate.

Art. 6
In vederea autorizarii, centrul de date trebuie sa indeplineasca conditiile prevazute la art. 17 alin. (1) din Legea nr. 135/2007, obiectivele principale urmarite de ANC in cursul procedurii de autorizare pentru verificarea indeplinirii acestor conditii fiind urmatoarele:
a) asigurarea securitatii si integritatii datelor, la nivel de securitate fizica si acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare electronica si backup-ul informatiilor stocate.

Art. 7
In cursul procedurii de autorizare, ANC va verifica indeplinirea de catre centrul de date, in mod cumulativ, a conditiilor prevazute la art. 8-12.

Art. 8
Spatiul in care functioneaza centrul de date trebuie sa fie amenajat astfel incat sa fie posibila respectarea cerintelor de securitate specifice si sa asigure functionarea echipamentelor la parametrii optimi prevazuti de producatorii acestora. In acest sens, se va asigura:
a) instalarea unor sisteme de climatizare care sa asigure valorile optime de temperatura si umiditate in vederea functionarii echipamentelor in conditii de siguranta;
b) utilizarea de materiale ignifuge si instalarea unor sisteme de prevenire si stingere a incendiilor, concepute special pentru evitarea deteriorarii echipamentelor;
c) dimensionarea corespunzatoare a retelei electrice, in functie de consumurile echipamentelor folosite;
d) garantarea sigurantei la defectiunile previzibile ale sistemelor de utilitati (apa, gaze etc.) care deservesc spatiul care gazduieste centrul de date.

Art. 9
Asigurarea redundantei si realizarea backup-ului trebuie sa fie implementate prin urmatoarele masuri:
a) utilizarea de dispozitive UPS si/sau generatoare electrice, care sa asigure functionarea neintrerupta a echipamentelor in cazul opririi alimentarii cu curent electric de la reteaua principala; timpul de asigurare a alimentarii din sursa de urgenta va fi calculat in functie de timpii estimati pentru remedierea posibilelor avarii care ar surveni la reteaua electrica principala;
b) duplicarea tuturor elementelor retelei electrice si asigurarea posibilitatii comutarii automate de pe reteaua principala pe reteaua de rezerva;
c) utilizarea procedurilor de lucru care sa asigure efectuarea de backup periodic al tuturor informatiilor pastrate in centrul de date si stocarea acestora in alt spatiu, diferit de spatiul principal al centrului de date, cu asigurarea acelorasi conditii de securitate ca si cele ale spatiului principal, aflate la o distanta fata de spatiul principal care sa corespunda normelor europene in domeniu;
d) asigurarea unor proceduri de mentenanta pentru echipamente si pentru infrastructura, respectand recomandarile producatorilor echipamentelor respective, astfel incat sa se minimizeze riscul aparitiei de probleme tehnice;
e) in cazul echipamentelor critice (a caror functionare permanenta este esentiala in asigurarea continuitatii functionarii centrului de date) se vor asigura echipamente de rezerva, care vor fi folosite pe perioada efectuarii operatiunilor de mentenanta ce implica oprirea sau deconectarea respectivului echipament si pe perioada in care echipamentul principal este afectat de defectiuni tehnice.

Art. 10
Centrul de date trebuie sa aiba o structura scalabila, atat in ceea ce priveste echipamentele informatice utilizate, cat si infrastructura, cu scopul de a pastra performantele sistemului la un nivel constant in cazul aparitiei de conditii noi (marirea capacitatii centrului de date, facilitati noi etc.).

Art. 11
(1) Centrul de date trebuie sa asigure securitatea si integritatea informatiilor stocate atat in ceea ce priveste accesul fizic la echipamentele utilizate, cat si accesul prin mijloace electronice la documentele arhivate.
(2) Securitatea fizica presupune luarea urmatoarelor masuri:
a) acces controlat la echipamentele centrului de date utilizate pentru arhivarea electronica a documentelor, cu precizarea mai multor niveluri de drepturi de acces ale personalului care opereaza sistemele;
b) utilizarea echipamentelor speciale de evitare si detectie a intruziunilor fizice.
(3) Pentru asigurarea securitatii accesului prin mijloace electronice la documentele arhivate, trebuie utilizate urmatoarele masuri tehnice:
a) sisteme de detectie a intruziunilor (Intrusion Detection System - IDS);
b) firewall (software si/sau hardware), routere pentru filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de autentificare si de autorizare a accesului la date;
e) jurnalizarea automata a actiunilor efectuate in sistem.

Art. 12
Operarea centrului de date trebuie realizata respectandu-se strategii, politici si proceduri bine determinate in ceea ce priveste managementul, controlul si securitatea sistemelor. In realizarea acestor politici si proceduri se vor respecta urmatoarele cerinte minimale:
a) jurnalizarea cronologica a actiunilor efectuate in sistem (accesul fizic la echipamente, comutari de pe un sistem pe altul, procese de mentenanta, actiuni ale operatorului etc.);
b) evaluarea la intervale regulate a infrastructurii centrului de date, a sistemului de securitate si a echipamentelor informatice folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calitatii;
d) evaluarea efectelor extinderilor si upgrade-urilor;
e) realizarea auditului regulat al planului de securitate;

f) evaluarea si perfectionarea periodica a personalului;
g) implementarea unor politici de resurse umane care sa asigure operarea centrului de date de catre personal specializat care sa dispuna de certificari in domeniu.

Art. 13
(1) In termen de 30 de zile de la primirea documentatiei in conformitate cu prevederile art. 4 alin. (1)-(3) sau a completarilor solicitate in conformitate cu prevederile art. 4 alin. (5), ANC emite decizia de autorizare a centrului de date sau decizia de respingere a cererii de autorizare, motivata in mod corespunzator.
(2) Forma si continutul deciziei de autorizare a centrului de date sunt prevazute in anexa nr. 2.

Art. 14
(1) Decizia de autorizare este valabila pentru o perioada de 3 ani de la data emiterii acesteia.
(2) Autorizarea poate fi reinnoita, procedura de reautorizare fiind identica cu cea de autorizare.
(3) Pe durata valabilitatii deciziei de autorizare, ANC are dreptul de a efectua actiuni de control periodice, pentru verificarea mentinerii conditiilor de functionare a centrului de date.

Art. 15
(1) Constatarea de catre personalul de control de specialitate din cadrul ANC a neindeplinirii conditiilor minime de functionare a centrului de date atrage suspendarea deciziei de autorizare pe o perioada de 30 de zile. In aceasta perioada, centrul de date nu poate primi spre stocare documente in forma electronica.
(2) Daca deficientele survenite in functionarea centrului de date nu sunt remediate in intervalul de timp prevazut la alin. (1), ANC va retrage autorizarea, prin decizie a presedintelui.
(3) In cazul expirarii duratei de valabilitate a deciziei de autorizare, precum si in cazul retragerii autorizarii de catre ANC in conditiile alin. (2), centrul de date nu mai poate furniza servicii legate de arhivarea electronica in sensul Legii nr. 135/2007.
(4) In cazul intentiei de incetare a activitatii centrului de date autorizat in conditiile prezentei decizii, ANC va fi informata, cu cel putin 30 de zile in avans, despre aceasta intentie si despre existenta si natura imprejurarii care justifica imposibilitatea de continuare a activitatii. ANC va retrage autorizarea la data incetarii activitatii centrului de date.

Art. 16
Pentru functionarea corespunzatoare a centrelor de date se recomanda aplicarea si respectarea urmatoarelor standarde sau a unor standarde echivalente:
a) SR ISO/CEI 17799:2006 Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru managementul securitatii informatiei;
b) SR ISO/IEC 27001:2006 Tehnologia informatiei. Tehnici de securitate. Sisteme de management al securitatii informatiei. Cerinte;
c) SR ISO/CEI 15408-1:2004 Tehnologia informatiei. Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei informatiei. Partea 1: Introducere si model general;
d) ISO/IEC 20000-1:2005 Tehnologia informatiei - Managementul securitatii - Partea 1: Specificatii;
e) ISO/IEC 20000-2:2005 Tehnologia informatiei - Managementul securitatii - Partea a 2-a: Cod de practica;

f) TIA/EIA 942 2005 Standard privind infrastructura de telecomunicatii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informatiei. Sisteme generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informatiei. Sisteme generice de cablare. Partea 1: Cerinte generale.

Art. 17
Anexele nr. 1 si 2 fac parte integranta din prezenta decizie.

Art. 18
(1) Prezenta decizie se publica in Monitorul Oficial al Romaniei, Partea I, si intra in vigoare la 3 zile de la data publicarii.
(2) Prezenta decizie a fost adoptata cu respectarea prevederilor Hotararii Guvernului nr. 1.016/2004 privind masurile pentru organizarea si realizarea schimbului de informatii in domeniul standardelor si reglementarilor tehnice, precum si al regulilor referitoare la serviciile societatii informationale intre Romania si statele membre ale Uniunii Europene, precum si Comisia Europeana, cu modificarile ulterioare.

ANEXA Nr. 1 - CERERE pentru inceperea procedurii de autorizare

Catre: AUTORITATEA NATIONALA PENTRU COMUNICATII
Stimate Domnule Presedinte,
Avand in vedere prevederile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica, precum si ale Deciziei nr. 1.131/2008 privind normele metodologice de autorizare a centrelor de date, va solicitam sa dispuneti inceperea procedurii de autorizare a centrului de date apartinand ...................................................................., (numele si prenumele/denumirea solicitantului) avand domiciliul/sediul in ............................................................................, (adresa completa, inclusiv telefon si fax) inregistrata in Registrul Comertului al Municipiului ...................................., cod numeric personal/cod unic de inregistrare/cod de identificare fiscala .............................., reprezentata legal prin ......................................................., (numele si prenumele) domiciliat (a) in ......................................., (adresa completa, inclusiv telefon) identificat(a) prin ......................................................................... . (actul de identitate: seria, numarul, codul numeric personal)

Numele si prenumele/Denumirea solicitantului ................................
Semnatura reprezentantului legal si stampila solicitantului
.............................................................................

Data
............................

ANEXA Nr. 2 - DECIZIE de autorizare a centrului de date

In temeiul prevederilor art. 8 alin. (1), (3) si (5) din Ordonanta de urgenta a Guvernului nr. 106/2008 privind infiintarea Autoritatii Nationale pentru Comunicatii, precum si ale art. 17 alin. (2) si ale art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor in forma electronica,
avand in vedere dispozitiile Deciziei presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.131/2008 privind normele metodologice de autorizare a centrelor de date,

presedintele Autoritatii Nationale pentru Comunicatii emite prezenta decizie.

Art. 1
Incepand cu data comunicarii prezentei decizii, centrul de date apartinand .................................................................... (numele si prenumele/denumirea solicitantului autorizarii) este autorizat sa desfasoare operatiuni de arhivare electronica in conditiile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica.

Art. 2
Se certifica faptul ca centrul de date indeplineste conditiile stabilite de dispozitiile art. 17 din Legea nr. 135/2007 si prevederile art. 8-12 din Decizia presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.131/2008 privind normele metodologice de autorizare a centrelor de date.

Art. 3
Autorizarea se acorda pe o perioada de 3 ani de la data comunicarii prezentei decizii si poate fi reinnoita pe baza procedurii prevazute in Decizia presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.131/2008.

Art. 4
Prezenta decizie se comunica ...................................... (numele si prenumele/denumirea persoanei care opereaza centrul de date) atat pe suport de hartie, cat si in forma electronica, semnata electronic.

Presedinte,
.................................

-------------
Drept OnLine va prezinta in cadrul acestei Sectiuni cateva reglementari juridice de interes general, cu mentiunea ca informatiile prezentate in aceasta sectiune au un caracter pur informativ, existand posibilitatea de a fi intervenit modificari ulterioare, abrogari, nesurprinse aici.
-------------