DreptOnline.ro, portal juridic, stiri, legislatie, raspunsuri juridice
Comunitate juridica online: DreptOnline.ro   AvocatRomania.ro   Avocat-Divort.ro   Avocat-Partaj.ro  
Intreaba un avocat

Sitemap

Comunitate
Home
Resurse
Tribuna
Jurisprudenta
Stiri
Dezbateri
Cariere
Comunitate
Dictionar juridic
Carti juridice
Evenimente

Monitorul Oficial
Monitorul Oficial
Arhiva Monitor

Raspunsuri juridice
Intreaba un avocat
Raspunsuri juridice
Arhiva raspunsuri

Traducatori
Cautare
Lista

Utile
Decizii RIL si NC
Hotarari CEDO
Informatii utile
Avocat
Legislatie
Legislatie pag 2
Divortul
Divort din strainatate
Personalitati
Interviuri
Modele cereri
Istorie
Adrese utile
Institutii
Curs valutar BNR
Calculator TVA
Verificare IBAN

Interactiv
Teste grila
Confruntare
Jurist vs Jurist
Dezbateri spete
Argumente
Jocul mintii
Test cunostinte
Fise tari
Afla profesia

User
Contact
Newsletter
Login
Inregistrare
Echipa DreptOnline
Linkuri
English


Distrugere arhiva veche




Login | Intreaba un avocat | Recomanda | Discutii |
Carti juridice Recursuri in interesul legii | Exceptii de neconstitutionalitate
   

Ordin 86/2013 pentru aprobarea Directivei privind structurile cu responsabilitati in domeniul INFOSEC – INFOSEC 1



Publicata in Monitorul Oficial, Partea I nr. 627 din 9 octombrie 2013

OFICIUL REGISTRULUI NATIONAL AL INFORMATIILOR SECRETE DE STAT

In temeiul:
  • art. 1 alin. (4) lit. b) si art 3 alin. (6) din Ordonanta de urgenta a Guvernului nr. 153/2002 privind organizarea si functionarea Oficiului National al Informatiilor Secrete de Stat, aprobata prin Legea nr. 101/2003, cu modificarile si completarile ulterioare;
  • art. 55 alin. (1) din Regulamentul privind procedurile, la nivelul Guvernului, pentru elaborarea, avizarea si prezentarea proiectelor de documente de politici publice, a proiectelor de acte normtive, precum si a altor documente, in vederea adoptarii/aprobarii, aprobat prin Hotararea Guvernului nr. 561/2009,
    directorul general al Oficiului National al Informatiilor Secrete de Stat emite prezentul ordin.

    Art. 1
    Se aproba Directiva privind structurile cu responsabilitati in domeniul INFOSEC – INFOSEC 1, prevazuta in anexa care face parte integranta din prezentul ordin.

    Art. 2
    La data intrarii in vigoare a prezentului ordin se abroga Ordinul directorului general al Oficiului Registrului National al Informatiilor Secrete de Stat nr. 482/2003 pentru aprobarea Directivei privind structurile cu responsabilitati in domeniul INFOSEC – INFOSEC 1, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 874 din 9 decembrie 2003.

    Art. 3
    Oficiul Registrului National al Informatiilor Secrete de Stat va duce la indeplinire prevederile prezentului ordin.

    Art. 4
    Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.


    Anexa - DIRECTIVA privind structurile cu responsabilitati in domeniul INFOSEC – INFOSEC 1



    Capitolul I - Introducere


    Art. 1
    Prezenta directiva stabileste si defineste structurile si functiile cu atributii in domeniul INFOSEC, precum si principalele responsabilitati ale acestora la nivel national, in scopul asigurarii protectiei corespunzatoare a informatiilor clasificate.

    Art. 2
    In cuprinsul prezentei directive, in cazul in care nu se fac precizari suplimentare, prin informatii clasificate se definesc informatii nationale clasificate secret de stat, informatii NATO clasificate, informatii UE clasificate sau informatii clasificate care fac obiectul unor tratate, acorduri ori intelegeri internationale la care Romania este parte.


    Capitolul II - Structuri cu responsabilitati in domeniul INFOSEC


    Art. 3
    Protectia informtiilor clasificate stocate, procesate sau transmise in sisteme informatice, de comunicatii si alte sisteme electronice, denumite in continuare SIC, este coordonata la nivel national de catre Oficiul Registrului National al Informatiilor Secrete de Stat (ORNISS) prin intermediul Agentiei de Acreditare si Securitate (AAS) si al Agentiei pentru Distribuirea Materialului Criptografic (ADMC).

    Art. 4
    Responsabilitatile generale ale ORNISS in domeniul INFOSEC sunt urmatoarele:
    a) asistarea structurilor/functionarilor de securitate din cadrul persoanelor juridice de drept public sau privat nationale pentru asigurarea securitatii informtiilor clasificate stocate, procesate sau transmise prin intermediul SIC;
    b) efectuarea de inspectii periodice privind masurile de securitate pentru protectia informatiilor clasificate stocate, procesate sau transmise in SIC nationale, pentru a determina daca aceste masuri sunt adecvate si in conformitate cu prevederile NATO, UE si nationale in vigoare, referitoare la domeniul INFOSEC, sau care fac obiectul unor tratate, acorduri ori intelegeri internationale la care Romania este parte;
    c) asigurarea pe plan national a cadrului de reglementare privind accesul la informtiile clasificate stocate, procesate sau transmise in SIC, in conformitate cu prevederile politicilor de securitate NATO, UE si nationale in vigoare, referitoare la domeniul INFOSEC, sau care fac obiectul unor tratate, acorduri ori intelegeri internationale la care Romania este parte;
    d) asigurarea, prin reglementari si acreditari, a compatibilizarii sistemelor nationale de protectie a informatiilor clasificate stocate, procesate sau transmise in SIC cu sisteme din statele membre NATO sau UE ori din state cu care Romania a incheiat tratate, acorduri ori intelegeri.


    Art. 5
    AAS este o structura componenta a ORNISS, specializata in principal in gestionarea procesului de acreditare de securitate pentru SIC nationale care vehiculeaza informatii clasificate si a entitatilor care sprijina procesul de acreditare de securitate.

    Art. 6
    Principalele responsabilitati ale ASS sunt:
    a) acordarea de consultanta cu privire la implementarea standardelor INFOSEC autoritatilor operationale ale SIC, functionarilor/structurilor de securitate, managerilor de proiect, autoritatilor responsabile cu achizitiile, entitatilor care sprijina procesul de acreditare de securitate;
    b) gestionarea procesului de acreditare de securitate pentru SIC care proceseaza, stocheaza sau transmit informatii clasificate;
    c) stabilirea strategiei de acreditare de securitate, care detaliaza criteriile, etapele si termenele aferente procesului de acreditare de securitate. Procedurile de acreditare de securitate pot sa difere in functie de situatie, dar trebuie sa fie intotdeauna in conformitate cu politicile NATO, UE si nationale de securitate, precum si cu prevederile tratatelor, acordurilor sau intelegerilor internationale la care Romania este parte;
    d) verificarea, evaluarea si formularea de propuneri cu privire la aprobarea documentatiei care sustine procesul de acreditare de securitate a SIC;
    e) verificarea implementarii si mentinerii masurilor de securitate in cadrul SIC supuse acreditarii de securitate, in principal prin inspectii periodice, desfasurate conform strategiei de acreditare de securitate;
    f) formularea de propuneri care stau la baza deciziei privind acreditarea de securitate a SIC;
    g) acordarea de consultanta autoritatilor operationale ale SIC in ceea ce priveste evaluarea riscului de securitate, reluarea periodica a procesului de management al riscului de securitate si acceptarea riscului rezidual;
    h) acordarea de consultanta autoritatilor operationale ale SIC si structurilor/functionarilor de securitate in procesul de investigare a incidentelor INFOSEC, estimarea prejudiciului creat, adoptarea de masuri corective;
    i) acordarea de consultanta autoritatilor operationale ale SIC cu privire la implicatiile oricaror propuneri de modificare a arhitecturii SIC, din punctul de vedere al riscurilor de securitate si al masurilor de securitate corespunzatoare;
    j) asigurarea dialogului cu alte autoritati de acreditare de securitate in cazul interconectarii SIC, situatie in care stabileste, impreuna cu aceste autoritati, documentatia de securitate necesara interconectarii;
    k) aprobarea sau, dupa caz, participarea la aprobarea comuna a interconectarii SIC;
    l) gestionarea procesului de acreditare a structurilor interne INFOSEC din cadrul Autoritatilor desemnate de securitate, denumite in continuare ADS;
    m) stabilirea modului de derulare a unor activitati specifice procesului de acreditare de securitate a SIC de catre structurile interne INFOSEC din cadrul ADS, acreditate de ORNISS;
    n) gestionarea procesului de acreditare a entitatilor care sprijina procesul de acreditare de securitate a SIC;
    o) pastrarea evidentei si raportarea incidentelor de securitate din SIC acreditate catre structurile abilitate din cadrul NATO, UE sau catre structurile prevazute de tratatele, acordurile ori intelegerile internationale la care Romania este parte;
    p) gestionarea evidentei SIC acreditate, in curs de acreditare sau cu acreditare expirata.

    Art. 7
    ASIC este o structura component a ORNISS specializata in reglementarea si verificarea implementarii mecanismelor de protectie a informatiilor clasificate stocate, procesate sau transmise in SIC nationale.

    Art. 8
    Principalele responsabilitati ale ASIC sunt:
    a) asigurarea faptului ca sistemele, produsele si mecanismele criptografice utilizate pentru protectia informatiilor clasificate, altele decat cele din categoria cifrului de stat, sunt selectate, operate, utilizate si intretinute in mod adecvat;
    b) coordonarea dialogului pe problematica securitatii comunicatiilor si a altor aspecte tehnice din domeniul INFOSEC cu structurile NATO, UE si nationale abilitate;
    c) elaborarea si promovarea de politici de securitate si reglementari privind domeniul INFOSEC si monitorizarea eficientei acestora;
    d) asigurarea concordantei dintre masurile INFOSEC selectate si implementate pentru protectia informatiilor clasificate si politicile relevante care reglementeaza aceste masuri;
    e) coordonarea activitatii de formare si dezvoltare a culturii de securitate in domeniul protectiei informatiilor vehiculate prin SIC;
    f) aprobarea masurilor de securitate TEMPEST aplicate pentru protectia informatiilor clasificate;
    g) emiterea certificatelor de conformitate pentru produsele criptografice destinate protectiei informatiilor nationale clasificate, altele decat cele din categoria cifrului de stat;
    h) certificarea produselor INFOSEC destinate protectiei informatiilor clasificate, altele decat cele precizate la lit. g), conform reglementarilor nationale din vigoare;
    i) analizarea cauzelor provocatoare de incidente INFOSEC si gestionarea bazei de date privind vulnerabilitatile din SIC, necesara pentru evaluarea modului de realizare a managementului riscului de securitate al SIC;
    j) recomandarea de masuri de securitate care sa conduca la diminuarea riscurilor de securitate identificate;
    k) derularea, impreuna cu AAS, de inspectii de securitate periodic sau inopinate, pentru verificarea modului de implementare si mentinere a masurilor de securitate in cadrul SIC supuse acreditarii de securitate, pe intreg ciclul de viata al SIC.

    Art. 9
    ADMC este o structura componenta a ORNISS specializata in managementul si distribuirea materialelor criptografice NATO, UE sau a celro care fac obiectul unor tratate, acorduri ori intelegeri internationale la care Romania este parte.

    Art. 10
    Principalele responsabilitati ale ADMC sunt:
    a) asigurarea managementului si evidentei centralizate a materialelor criptografice;
    b) verificarea modului de implementare a masurilor de securitate criptografica in locatiile destinate pastrarii si/sau utilizarii materialelor criptografice;
    c) asigurarea distribuirii materialelor criptografice catre destinatarii finali;
    d) raportarea incidentelor de securitate criptografica la ASIC, precum si la structurile specializate din cadrul NATO, UE sau prevazute de tratatele, acordurile ori intelegerile internationale la care Romania este parte.

    Art. 11
    Autoritatea Desemnata de Securitate (ADS) este institutia abilitata prin lege sa stabileasca, pentru domeniul sau de activitate si responsabilitate, structuri si masuri proprii privind coordonarea si controlul activitatilor referitoare la protectia informatiilor secrete de stat, inclusiv a celor stocate, procesate sau transmise in SIC.

    Art. 12
    Principalele responsabilitati ale ADS in domeniul INFOSEC sunt:
    a) organizarea sistemelor de protectie a informatiilor clasificate in institutie;
    b) organizarea si executarea auditului intern al sistemelor de securitate;
    c) gestionarea, prin intermediul structurilor interne INFOSEC acreditate de ORNISS, a procesului de acreditare de securitate a SIC care stocheaza, proceseaza sau transmit informatii nationale clasificate secret de stat, aflate in administrare proprie;
    d) elaborarea de norme si masuri specifice de securitate;
    e) derularea periodica a procesului de management al riscului la adresa securitatii informatiilor clasificate procesate, stocate sau transmise prin intermediul SIC;
    f) cooperarea cu ORNISS pentru asigurarea unui nivel adecvat de protectie a informatiilor clasificate, in conformitate cu prevederile legislatiei nationale, ale standardelor NATO si UE in domeniu, precum si ale tratatelor, acordurilor sau intelegerilor internationale la care Romania este parte.

    Art. 13
    Structura/Functionarul de securitate reprezinta punctul de contact pe problematica INFOSEC dintre organizatia in cadrul careia isi desfasoara activitatea si ORNISS.

    Art. 14
    Structura/Functionarul de securitate are urmatoarele responsabilitati in domeniul INFOSEC:
    a) elaborearea normelor interne privind protectia informatiilor clasificate, care trebuie sa includa si prevederi referitoare la domeniul INFOSEC;
    b) coordonarea activitatii interne de protectie a informtiilor clasificate in toate componentele acesteia, care includ si domeniul INFOSEC;
    c) asigurarea relationarii cu agentiile din cadrul ORNISS abilitate sa coordoneze activitatea in domeniul INFOSEC si asigurarea controlului masurilor referitoare la protectia informatiilor clasificate vehiculate in SIC;
    d) monitorizarea interna privind aplicarea normelor de protectie a informatiilor clasificate vehiculate in SIC si a modului de respectare a acestora;
    e) asigurarea consultantei pentru conducerea organizatiei din care face parte in domeniul securitatii informatiilor clasificate;
    f) informarea conducerii organizatiei din care face parte cu privire la riscurile de securitate asociate SIC si propunerea de masuri pentru diminuarea acestora;
    g) organizarea de programe de pregatire specifica a persoanelor care au acces la informatii clasificate, care sa includa si problematica specifica domeniului INFOSEC;
    h) efectuarea de controale privind modul de aplicare a masurilor de protectie a informatiilor clasificate care includ si domeniul INFOSEC;
    i) stabilirea autoritatii operationale a SIC care raspunde de implementarea si exploatarea operationala a SIC din organizatia in cadrul careia isi desfasoara activitatea.

    Art. 15
    Autoritatea Operationala a SIC, denumita in continuare AOSIC, este compartimentul care raspunde de implementare si mentinerea masurilor de securitate, precum si exploatarea operationala a SIC.

    Art. 16
    (1) Principalele responsabilitati ale AOSIC sunt urmtoarele:
    a) elaborarea si actualizarea documentatiei de securitate aferente procesului de acreditare de securitate a SIC din responsabilitatea sa;
    b) propunerea de masuri INFOSEC in vederea implementarii acestora in SIC din responsabilitatea sa, in cooperare cu structura de planificare a SIC, si asigurarea faptului ca masurile INFOSEC sunt implementate si mentinute;
    c) stabilirea, inca de la inceputul ciclului de viata a sistemului, a resurselor necesare aplicarii standardelor INFOSEC;
    d) participarea la selectarea si testarea masurilor de securitate asociate SIC din responsabilitate si supravegherea punerii lor in aplicare, pentru a se asigura ca instalarea, configurarea, exploatarea si intretinerea acestora se realizeaza in conformitate cu documentatia de securitate aprobata;
    e) asigurarea formarii si dezvoltari culturii de securitate in domeniul protectiei informatiilor vehiculate prin SIC;
    f) asigurarea derularii eficiente a procesului de acreditare de securitate a SIC; solicitarea reacreditarii de securitate, in conformitate cu cerintele stabilite de catre AAS;
    g) asigurarea implementarii si mentinerii masurilor de securitate asociate SIC in conformitate cu domentatia de securitate aprobata;
    h) verificarea periodica a implementarii si mentinerii masurilor de securitate asociate SIC, pentru a se asigura ca acestea sunt in conformitate cu documentatia de securitate aprobata;
    i) investigarea cazurilor de incalcare sau a celor in care se suspecteaza incalcarea masurilor de securitate, evaluarea prejudiciului cauzat si raportarea concluziilor catre structura de planificare a SIC si catre AAS;
    j) asigurarea managementului materialului criptografic si asigurarea custodiei elementelor criptografice si a celor controlate si, daca este cazul, asigurarea generarii variabilelor criptografice.
    (2) In functie de complexitatea SIC, AOSIC poate contine, pe langa administratorul de securitate al SIC si administratorul de sistem, si alte persoane, cum ar fi administratorul de securitate al componentei de comunicatii a SIC, administratori de securitate pentru zonele terminalelor SIC etc., care pot avea atributii similare cu cele ale administratorului de securitate al SIC, corespunzatoare domeniului lor de responsabilitate.
    (3) AOSIC asigura controlul si evidenta activitatilor desfasurate de utilizatorii SIC. In cazul in care SIC este interconectat cu alte SIC aflate sub controlul altor AOSIC, aceasta trebuei sa colaboreze cu celelalte AOSIC pentru a se asigura ca securitatea SIC propriu nu este afectata.
    (4) In cazul interconectarii mai multor SIC, trebuie incheiat un acord oficial intre AOSIC implicate, acord care sa stabilesca limitele de responsabilitate ale fiecarei parti, cerinele de securitate si cerintele privind acreditarea de securitate pentru fiecare SIC interconectate.

    Art. 17
    (1) Structura de planificare a SIC raspunde de planificarea, la nivelul organizatiei, a intregii activitati referitoare la un SIC, de exemplu durata etapelor, resursele financiare, resursele materiale si resursele umane necesare asigurari securitatii SIC, pe durata intregului ciclu de viata a acestuia.
    (2) Responsabilitatile structurii de planificare a SIC referitoare la domeniul INFOSEC, corespunzatoare fiecarei etape a ciclulu de viata a unui SIC, sunt cele specificate in Directiva principala privind domeniul INFOSEC – INFOSEC 2, aprobata prin Ordinul directorului general al Oficiului Registrului National al Informatiilor Secrete de Stat nr. 483/2003.


    Capitolul III - Functii cu responsabilitati in domeniul INFOSEC


    Art. 18
    Toate SIC, indiferent de complexitatea lor, trebuie sa aiba un administrator de securitate al SIC. Administratorul de securitate raspunde de aspectele de securitate asociate SIC, inclusiv de administrarea zilnica a securitatii acestuia.

    Art. 19
    (1) Atributiile administratorului de securitate al SIC trebuie sa includa urmatoarele:
    a) elaborarea si actualizarea documentatiei de securitate a SIC din responsabilitate si asigurarea diseminarii acesteia catre ceilalti administratori ai sistemului si catre utilizatori, in partile cre ii privesc;
    b) pastrarea evidentei privind luarea la cunostinta de catre administratorii si utilizatorii SIC a documentatiei de securitate;
    c) asigurarea formarii si dezvoltarii culturii de securitate in domeniul protectiei informatiilor vehiculate prin SIC pentru administratorii si utilizatorii SIC. Acest proces este periodic si poate fi realizat in urmatoarele moduri:
    - prin afisarea pe ecranele statiilor de lucru ale utilizatorilor SIC a unor mesaje de avertizare de tip banner, la deschiderea sesiunilor de lucru pe sistem;
    - prin distribuirea unor afise de constientizare privind securitatea SIC;
    - prin efectuarea unor demonstratii practice privind masurile tehnice si procedurile de securitate aplicate in SIC;
    d) mentinerea evidentei persoanelor autorizate sa utilizeze SIC, a autorizatiilor/certificatelor de acces la informatii clasificate detinute de acestea, a necesitatii de a cunoaste informatiile stocate, procesate sau transmise prin intermediul SIC;
    e) controlarea si emiterea de parole sau alte elemente ale sistemului de control al accesului si asigurarea faptului ca administratorii si utilizatorii gestioneaza in mod adecvat aceste elemente;
    f) verificarea implementarii corecte a masurilor de securitate a transmisiei, emisiei si criptografice, inclusiv a celor referitoare la gestionarea, intretinerea si protectia materialului criptografic conform reglementarilor in vigoare;
    h) asigurarea gestionarii adecvate a mediilor de stocare ale SIC;
    i) asigurarea faptului ca mediile de stocare continand informatii clasificate sunt utilizate numai in SIC acreditate in mod corespunzator;
    j) executarea, la intervale stabilite, a unor verificari prin sondaj privind existenta fizica a mediilor de stocare clasificate si corectitudinea marcarii acestora, precum si pastrarea unei evidente a verificarilor efectuate;
    k) verificarea faptului ca mediile de stocare sunt declasificate prin mecanisme aprobate;
    l) verificarea informatiilor de audit privind activitatile utilizatorilor;
    m) verificarea si testarea copiilor de siguranta (back-up), precum si a altor elemente relevante pentru restaurarea sistemului;
    n) gestionarea aspectelor de management al configuratiei din perspectiva modificarilor relevante pentru securitate si a documentelor asociate;
    o) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejudicii/vulnerabilitati/anomalii in ceea ce priveste securitatea SIC;
    p) asigurarea implementari si mentinerii masurilor de securitate aplicate locatiilor in care sunt instalate elementele componente ale SIC;
    q) acordarea de consultanta celorlalti administratori si utilizatori SIC;
    r) asigurarea faptului ca activitatile de intretinere a SIC se efectueaza fara a fi afectata securitatea acestuia;
    s) participarea, impreuna cu AAS si ceilalti membri ai AOSIC, la investigarea cazurilor de incalcare a securitatii sau a incercarilor de incalcare a securitatii SIC, care privesc informatiile clasificate.
    (2) In cazul in care administratorul de securitate are drepturi de administrare depline, acesta trebuie sa detina certificat de securitate sau autorizatie de acces la informatii clasificate de nivel superior nivelului de clasificare a informatiilor procesate, stocate ori transmise in SIC.

    Art. 20
    Toate SIC, indiferent de complexitatea lor, trebuie sa aiba un administrator de sistem. Administratorul de sistem raspunde de functionarea sistemului in conformitate cu documentatia de securitate aprobata.

    Art. 21
    (1) Principalele responsabilitati ale administratorului de sistem sunt urmatoarele:
    a) implementarea masurilor de securitate aplicabile configuratiei hardware si software, activitate realizata sub coordonarea administratorului de securitate;
    b) crearea/blocarea/dezactivarea conturilor;
    c) implementarea modificarilor si imbunatatirilor configuratiei SIC, astfel incat obiectivele securitatii SIC sa nu fie afectate;
    d) asigurarea utilizarii echipamentelor SIC in conditii optime;
    e) gestionarea si repartizarea capacitatilor hardware si software;
    f) asigurarea intretinerii si repararii echipamentelor SIC;
    g) actualizarea evidentelor privind functionarea SIC;
    h) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejuditii/vulnerabilitati/anomalii in ceea ce priveste functionarea sistemului.
    (2) In cazul in care administratorul de sistem are drepturi de administrare depline, acesta trebuie sa detina certificat de securitate sau autorizatie de acces la informatii clasificate de nivel superior nivelului de clasificare a informatiilor procesate, stocate ori transmise in SIC.

    Art. 22
    In functie de complexitatea SIC, poate fi numit si un administrator COMSEC. Administratorul COMSEC al SIC raspunde de aspectele referitoare la securitatea echipamentelor de comunicatii ale SIC. De asemenea, administratorul COMSEC raspunde si de aplicarea si respectarea normelor privind securitatea emisiilo (TEMPEST) pentru echipamentele si locatiile SIC.

    Art. 23
    Principalele responsabilitati ale administratorului COMSEC privind securitatea echipamentelor de comunicatii ale SIC sunt urmatoarele:
    a) participarea la elaborarea si actualizarea documentatiei de securitate, potrivit domeniului sau de responsabilitate;
    b) acordarea de consultanta pentru AOSIC si utilizatorii SIC privind securitatea echipamentelor de comunicatii ale SIC;
    c) garantarea faptului ca intregul personal care are acces la echipamentele de comunicatii ale SIC detine certificat de securitate corespunzator, cunoaste regulile de securitate locala si este supravegheat pe durata desfasurarii activitatii;
    d) pastrarea evidentei tuturor persoanelor autorizate sa utilizeze echipamentele de comunicatii ale SIC si a punctelor de unde pot sa le utilizeze;
    e) garantarea faptului ca in cadrul SIC se asigura:
    - securitatea echipamentelor de comunicatii ale SIC in conformitate cu prevederile legale in vigoare;
    - proceduri si mecanisme pentru identificarea si autentificarea corespundentului;
    - controlul accesului;
    - auditul activitatilor;
    f) participarea la pregatirea si finalizarea acordurilor privind interconectarea SIC din punctul de vedere al securitatii echipamentelor de comunicatii ale SIC;
    g) asigurarea implementarii modificarilor si imbunatatirilor hardware, firmware si software ale echipamentelor de comunicatii ale SIC, in scopul asigurarii faptului ca obiectivele securitatii SIC nu sunt afectate;
    h) pastrarea evidentei inlocuirilor, modificarilor si defectelor hardware, firmware si software ale echipamentelor de comunicatii si analizarea periodica a evidentei acestora;
    i) asigurarea faptului ca activitatile de intretinere a echipamentelor de comunicatii ale SIC se efectueaza fara a fi afectata securitatea acestora;
    j) pastrarea si analizarea jurnalelor privind functionarea echipamentelor de comunicatii ale SIC. Aceste jurnale trebuie sa contina suficiente detalii privind activitatile SIC care sa permita reconstituirea istoricului evenimentelor, inclusiv monitorizarea si inregistrarea activitatilor (ora si data) care afecteaza securitatea echipamenelor de comunicatii ale SIC;
    k) realizarea si gestionarea adecvata a copiilor de siguranta (back-up) aferente echipamentelor de comunicatii ale SIC;
    l) monitorizarea aspectelor privind managementul configuratiei, referitoare la schimbarile hardware, firmware sau software, precum si ale documentatiei asociate, care pot afecta securitatea echipamentelor de comunicatii ale SIC;
    m) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejudicii/vulnerabilitati/anomalii in ceea ce priveste securitatea comunicatiilor;
    n) participarea, impreuna cu AAS si ceilalti membri ai AOSIC, la investigarea cazurilor de incalcare sau a incercarilor de incalcare a securitatii echipamentelor de comunicatii ale SIC;
    o) pastrarea legaturii cu AAS, prin intermediul AOSIC, privind toate aspectele referitoare la securitatea echipamentelor de comunicatii ale SIC.

    Art. 24
    Principalele responsabilitati ale administratorului COMSEC privind securitatea emisiilor (TEMPEST) sunt urmatoarele:
    a) acordarea de consultanta structurii de planificare a SIC, managerului de proiect si AOSIC privind masurile de securitate a emisiilor (TEMPEST) necesar a fi aplicate si criteriile de selectare si instalare a echipamentelor SIC in locatiile acestuia;
    b) gestionarea proceselor de implementare a masurilor de securitate a emisiilo (TEMPEST), a procesului de zonare a locatiilor in care urmeaza sa fie instalate echipamentele sistemului si a procesului de selectare, evaluare, certificare si instalare a echipamentelor TEMPEST;
    c) executarea de verificari periodice in scpul asigurarii faptului ca nu au fost instalate echipamente si dispozitive neautorizate sau ca echipamentele SIC nu au fost supuse incercarilor de acces neautorizat;
    d) asigurarea masurilor de securitate fizica in vederea contracararii unor fenomene electromagnetice, de exemplu: ecranare prin panouri/paravante/armatura, EMI/EMP, bariere RFI (garnituri/mansoane RFI), sigilii etc.;
    e) asigurarea faptuli ca echipamentele utilizate temporar, pe durata unor activitati specifice, nu incalca regulile de securitate a emisiilor existente si nu perturba functionarea celorlalte echipamente permanente ale SIC;
    f) pastrarea evidentei tuturor derogarilor de la masurile TEMPEST care au fost aprobate pentru SIC;
    g) pastrarea evidentei tuturor echipamentelor protejate TEMPEST implementate in sistem, evidenta care sa includa sigiliile TEMPEST aplicate si valabilitatea certificatului fiecarui echipament.

    Art. 25
    In functie de complexitatea SIC, poate fi numit si un administrator TRANSEC. Administratorul TRANSEC al SIC poate fi numit, de exemplu, numai pentru SIC interconectate si raspunde de aspectele referitoare la securitatea transmisiei informatiilor prin intermediul sistemelor electromagnetice, indiferent de formatul acestora (de exemplu: audio, date, mesaje, grafica).

    Art. 26
    Principalele responsabilitati ale administratorului TRANSEC sunt urmatoarele:
    a) participarea la elaborarea si actualizarea documentatiei de securitate, potrivit domeniului sau de responsabilitate;
    b) asigurarea implementarii si mentinerii masurilor de securitate a transmisiilor;
    c) acordarea de consultanta pentru AOSIC si utilizatorii SIC referitoare la aspecte de securitate a transmisiilor;
    d) elaborarea rapoartelor referitoare la securitatea transmisiilor;
    e) prezentarea/expunerea problemelor de specialitate in cadrul pregatirii/instruirii personalului SIC;
    f) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejuditii/vulnerabilitati/anomalii in ceea ce priveste securitatea transmisiilor.

    Art. 27
    In cazul in care in SIC este folosit material criptografic NATO sau UE, trebuie numit un administrator CRIPTO. Administratorul CRIPTO raspunde de aspectele referitoare la securitatea materialului criptografic detinut.

    Art. 28
    Principalele responsabilitati ale administratorului CRIPTO privind securitatea criptografica in cadrul SIC sunt urmatoarele:
    a) asigurarea nemijlocita a managementului si controlului materialului criptografic pe care il are in custodie (inregistrat in evidentele sale);
    b) asigurarea primirii, verificarii, pastrarii, transferului, protectiei si distrugerii materialului criptografic, pastrarea si actualizarea evidentei rapoartelor referitoare la materialul criptografic din custodia sa, in conformitate cu prevederile instructiunilor in vigoare pentru domeniul criptografic;
    c) aplicarea procedurilor de folosire a materialului criptografic;
    d) realizarea periodica a inventarierii materialului criptografic;
    e) distrugerea materialului criptografic;
    f) asigurarea faptului ca materialul criptografic este pus numai la dispozitia persoanelor autorizate corespunzator, ale caror sarcini de serviciu implica accesul la acesta. administratorul CRIPTO le va face cunoscuta obligatia de a proteja materialul pe perioada de timp cat se afla in posesia acestora;
    g) raportarea catre ADMC a tuturor aspectelor referitoare la incalcarea sau incercarile de incalcare a securitatii criptografice (probabile, posibile sau efective), care au legatura cu gestionarea materialului criptografic in conformitate cu prevederile legale in vigoare.

    Art. 29
    Inlocuitorul administratorului CRIPTO participa, alaturi de administratorul CRIPTO, la toate activitatile de management al materialului criptografic NATO sau UE si asigura continuitatea acestora in absenta administratorului CRIPTO.

    Art. 30
    Atributiile inlocuitorului administratorului CRIPTO sunt urmatoarele:
    a) cunoasterea activitatii zilnice specifice, pentru a fi in masura sa preia si sa isi asume responsabilitatile administratorului CRIPTO atunci cand este cazul, fara a provoca intreruperi in activitatea criptografica;
    b) indeplinirea tuturor responsabilitatilor administratorului CRIPTO pe perioada absentei acestuia.

    Art. 31
    Pentru gestionarea de material criptografic UE, administratorul CRIPTO si inlocuitorul acestuia trebuie sa detina certificat de acces la informatii clasificate de nivel minim SECRET UE/EU SECRET. In cazul in care in cadrul contului COMSEC sunt gestionate 10 sau mai multe titluri scurte de material criptografic SECRET UE/EU SECRET, administratorul CRIPTO si inlocuitorul acestuia trebuie sa detina certificat de acces la informatii TRES SECRET UE/EU TOP SECRET.

    Art. 32
    Pentru gestinarea de material criptografic NATO, administratorul CRIPTO si inlocuitorul acestuia trebuie sa detina certificat de acces la informatii clasificate corespunzator nivelului maxim de clasificare a materialelor detinute in contul COMSEC. In cazul in care in cadrul contului COMSEC sunt gestionate 10 sau mai multe titluri scurte de material criptografic NATO SECRET, administratorul CRIPTO si inlocuitorul acestuia trebuie sa detina certificat de acces la informatii COSMIC TOP SECRET.

    Art. 33
    Administratorul CRIPTO si inlocuitorul acestuia trebuie sa urmeze un program de pregatire specifica pentru desfasurarea activitati criptografice.

    Art. 34
    Administratorul de securitate al obiectivului SIC este responsabil de asigurarea implementarii si mentinerii masurilor de securitate fizica referitoare la domeniul INFOSEC, aplicabile locatiilor SIC. De asemenea, este responsabil de raportarea catre AOSIC a oricaror incalcari ale masurilor de securitate fizica.

    Art. 35
    Responsabilitatile unui administrator de securitate al obiectivului SIC pot fi indeplinite de catre structura/functionarul de securitate a/al institutiei respective, ca parte a indatoririlor sale profesionale.

    Art. 36
    Administratorul de securitate al obiectivului SIC are urmatoarele responsabilitati:
    a) participarea la elaborarea si actualizarea documentatiei de securitate, potrivit domeniului sau de responsabilitate;
    b) monitorizarea permanenta a tuturor aspectelor privind securitatea fizica specifice SIC;
    c) implementarea si mentinerea masurilor de securitate fizica, aprobate prin documentatia de securitate a SIC;
    d) asigurarea accesului in locatiile SIC numai pentru personalul autorizat;
    e) pastrarea si actualizarea evidentei tuturor persoanelor care au autorizatie de acces in locatiile SIC;
    f) aplicarea masurilor adecvate de control al accesului in obiectivul SIC, controlarea si/sau furnizarea elementelor de identificare a personalului referitoare la accesul in locatiile SIC;
    g) asigurarea implementarii, testarii si intretinerii sistemului de securitate fizica aferent locatiilor SIC;
    h) pastrarea evidentei evenimentelor referitoare la securitatea fizica a SIC;
    i) supravegherea modului de efectuare a oricaror modificari care privesc securitatea fizica a locatiilor SIC;
    j) asigurarea faptului ca intregul personal al SIC isi cunoaste responsabilitatile cu privire la securitatea fizica a locatiilor SIC;
    k) asigurarea faptului ca evidentele si inregistrarile continand informatii referitoare la acces si controlul accesului in locatiile SIC sunt pastrate si consultate in confomitate cu prevederile documentatiei de securitate;
    l) asigurarea verificarii periodice a modului de actiune in situatii de urgenta;
    m) asigurarea instruirii si pregatirii corespunzatoare a administratorilor de securitate ai zonelor terminalelor, conform domeniului sau de competenta;
    n) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejudicii/vulnerabilitati/anomalii in sistemul de securitate fizica al SIC.

    Art. 37
    In cazul in care un SIC are terminale sau alte echipamente aflate la distanta (de exemplu, in alte cladiri sau in zone separate de locatia principala), se poate numi cate un administrator de securitate pentru fiecare astfel de zona.

    Art. 38
    Administratorul de securitate al zonei terminalelor SIC are urmatoarele responsabilitati principale:
    a) implementarea politicii de securitate a SIC in zona de care raspunde;
    b) aplicarea masurilor de securitate specifice terminalelor si celorlalte echipamente aferente aflate in zona sa de responsabilitate;
    c) raportarea catre AOSIC a oricaror incidente/suspiciuni de incidente/prejudicii/vulnerabilitati/anomalii privind zona sa de responsabilitate.

    Art. 39
    Utilizatorii SIC au obligatia de a respecta prevederile documentatiei de securitate a sistemului in partile care ii privesc.

    Art. 40
    Utilizatorii au urmatoarele responsabilitati principale:
    a) insusirea si respectarea procedurilor de securitate;
    b) raportarea imediata catre administratorul de securitate al SIC a oricaror incidente/suspiciuni de incidente/prejudicii/vulnerabilitati/anomalii privind SIC.

    Art. 41
    Managerul de proiect este persoana care raspunde de proiectul SIC pe durata intregului ciclu de viata a sistemului.

    Art. 42
    Responsabilitatile managerului de proiect referitaore la domeniul INFOSEC, corespunzatoare fiecarei etape generice a ciclului de viata a unui SIC, sunt cele specificate in Directiva principala privind domeniul INFOSEC – INFOSEC 2, aprobata prin Ordinul directorului general al Oficiului Registrului National al Informatiilor Secrete de Stat nr. 483/2003.