DreptOnline.ro, portal juridic, stiri, legislatie, raspunsuri juridice
Comunitate juridica online: DreptOnline.ro   AvocatRomania.ro   Avocat-Divort.ro   Avocat-Partaj.ro  


Intreaba un avocat

Sitemap

Comunitate
Home
Resurse
Tribuna
Jurisprudenta
Stiri
Dezbateri
Cariere
Comunitate
Dictionar juridic
Carti juridice
Evenimente

Monitorul Oficial
Monitorul Oficial
Arhiva Monitor

Raspunsuri juridice
Intreaba un avocat
Raspunsuri juridice
Arhiva raspunsuri

Traducatori
Cautare
Lista

Utile
Decizii RIL si NC
Hotarari CEDO
Informatii utile
Avocat
Legislatie
Legislatie pag 2
Divortul
Divort din strainatate
Personalitati
Interviuri
Modele cereri
Istorie
Adrese utile
Institutii
Curs valutar BNR
Calculator TVA
Verificare IBAN

Interactiv
Teste grila
Confruntare
Jurist vs Jurist
Dezbateri spete
Argumente
Jocul mintii
Test cunostinte
Fise tari
Afla profesia

User
Contact
Newsletter
Login
Inregistrare
Echipa DreptOnline
Linkuri
English


Login | Intreaba un avocat | Recomanda | Discutii |
Carti juridice Recursuri in interesul legii | Exceptii de neconstitutionalitate
   

Ordin M125/2012 pentru stabilirea unor masuri in domeniul activitatii oficiale de criptologie. Ordin nr. 174/2012



Publicat in Monitorul Oficial, Partea I nr. 740 din 2 noiembrie 2012


SERVICIUL DE INFORMATII EXTERNE: Ordin nr. 174 din 10 octombrie 2012
MINISTERUL APARARII NATIONALE: Ordin nr. M 125 din 18 octombrie 2012

Pentru aplicarea dispozitiilor art. 38 alin. (2) din teza finala din Legea nr. 182/2002 privind protectia informatiilor clasificate, cu modificarile si completarile ulterioare,
avand in vedere prevederile Standardelor nationale privind protectia informatiilor clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, cu modificarile si completarile ulterioare,
in temeiul art. 7 alin. (3) din Legea nr. 1/1998 privind organizarea si functionarea Serviciului de Informatii Externe, republicata, cu modificarile si completarile ulterioare, si al art. 33 alin. (1) din Legea nr. 346/2006 privind organizarea si functionarea Ministerului Apararii Nationale, cu modificarile ulterioare,
directorul Serviciului de Informatii Externe si ministrul apararii nationale emit prezentul ordin.

Art. 1
Activitatea oficiala de criptologie cuprinde activitatile desfasurate pentru proiectarea, dezvoltarea, evaluarea, certificarea si controlul utilizarii produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat, utilizate de autoritati si institutii publice pentru protectia informatiilor clasificate, precum si elaborarea de reglementari in domeniu.

Art. 2
Pentru derularea activitatilor prevazute la art. 1, Serviciul de Informatii Externe si Ministerul Apararii Nationale coopereaza cu Oficiul Registrului National al Informatiilor Secrete de Stat.

Art. 3
(1) Se aproba Standardul de securitate criptografica, prevazut in anexa nr. 1*.
(2) Se aproba Metodologia de evaluare si certificare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat, prevazuta in anexa nr. 2.
---------------
* Anexa nr. 1 la ordin este clasificata potrivit legii si se comunica numai institutiilor interesate.

Art. 4
(1) Eligibilitatea produselor si sistemelor criptografice pentru evaluarea si certificarea, din punct de vedere al asigurarii protectiei informatiilor nationale clasificate de catre entitatile evaluatoare apartinand Serviciului de Informatii Externe si Ministerului Apararii Nationale, rezulta din indeplinirea cumulativa a cerintelor minime prevazute in Standardul de securitate criptografica.
(2) Cerintele minime de securitate prevazute la alin. (1) sunt puse la dispozitia persoanelor interesate in conditiile prevazute de legislatia privind protectia informatiilor nationale clasificate.

Art. 5
La nivelul entitatilor evaluatoare apartinand Serviciului de Informatii Externe si Ministerului Apararii Nationale, evaluarea si certificarea produselor si sistemelor criptografice utilizate pentru protectia informatiilor nationale clasificate se realizeaza pe baza Metodologiei de evaluare si certificare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat.

Art. 6
Anexele nr. 1 si 2 fac parte integranta din prezentul ordin.

Art. 7
Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.


ANEXA Nr. 2 - METODOLOGIE de evaluare si certificare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat



Capitolul I - Dispozitii generale


Art. 1
(1) Metodologia de evaluare si certificare a produselor si sistemelor criptografice, denumita in continuare MEC_PSC, stabileste cadrul general pentru evaluarea si certificarea produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat, utilizate pentru protectia informatiilor nationale clasificate la nivelul autoritatilor si institutiilor publice.
(2) Dispozitiile MEC_PSC se completeaza in mod corespunzator cu prevederile directivelor INFOSEC aprobate de Oficiul Registrului National al Informatiilor Secrete de Stat (ORNISS).

Art. 2
Obiectivele MEC_PSC sunt:
a) asigurarea cadrului unitar de evaluare si certificare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat, denumite in continuare PSC, potrivit Standardului de securitate criptografica prevazut in anexa nr. 1 la Ordinul directorului Serviciului de Informatii Exgterne si al ministrului apararii nationale nr. 174/M.125/2012 pentru stabilirea unor masuri in domeniul activitatii oficiale de criptologie;
b) posibilitatea stabilirii nivelului de incredere al functiilor de securitate ale OSC.

Art. 3
In sensul prezentei MEC_PSC, termenii utilizati se definesc astfel:
a) algoritm criptografic set structurat de operatii matematice ce transforma o secventa de biti care reprezinta textul clar in alta secventa de biti care reprezinta textul criptat prin utilizarea unei conventii, denumita cheie;
b) entitate evaluatoare unul dintre urmatoarele laboratoare de specialitate, acreditate la nivel national:
- Laboratorul de Evaluare si Certificare Criptografica din cadrul Serviciului de Informatii Externe;
- Centrul de Testare-Evaluare si Cercetare Stiintifica Sisteme Informatice si Comunicatii al Agentiei de Cercetare pentru Tehnica si Tehnologii Militare din cadrul Ministerului Apararii Nationale;
c) material criptografic orice suport solutii criptografice, material cu chei criptografice si publicatii criptografice care contine informatii criptografice;
d) mecanism cripografic functie/algoritm/protocol criptografic proiectat pentru a asigura sau a sprijini cel putin un serviciu de securitate criptografica;
e) modul criptografic ansamblu format din componente hardware, software si/sau firmware care implementeaza cel putin un mecanism criptografic;
f) produs criptografic produs care contine cel putin un modul criptografic;
g) serviciu de securitate un serviciu care contribuie la securitatea informatiilor procesate si vehiculate in SIC; serviciile de securitate sunt: confidentialitate, integritate, autentificare, disponibilitate si nerepudiere;
h) SIC sistem informatic si de comunicatii;
i) sistem criptografic ansamblu format din doua sau mai multe produse criptografice care interactioneaza;
j) solicitant persoana/entitate de drept public sau privat care solicita evaluarea si certificarea produselor/sistemelor criptografice, in vederea includerii in Catalogul national cu pachete, produse si profile de protectie INFOSEC, denumit in continuare Catalog national;
k) solutie criptografica mecanism, modul, produs sau sistem criptografic;
l) tinta de evaluare o solutie criptografica si documentatia aferenta care constitutie subiectul unei evaluari;
m) tinta de securitate un set de cerinte si specificatii de securitate utilizate ca baza pentru evaluarea unei tine de evaluare identificate.

Art. 4
(1) Obiectul evaluarii se certificarii realizate la nivelul entitatilor evaluatoare vizeaza urmatoarele tipuri de solutii criptografice:
a) mecanisme criptografice;
b) aplicatii si sisteme software care contin mecanisme criptografice;
c) dispozitive si sisteme hardware care incoroporeaza mecanisme criptografice;
d) generatoare de numere aleatoare;
e) generatoare de numere pseudoaleatoare;
f) alte tipuri, de exemplu: PKI (Public Key Infrastructure), sisteme de management de chei si protocoale criptografice.
(2) Tipurile de solutii criptografice prevazute la alin. (1) se includ in Catalogul national in lista "Mecanisme si produse criptografice".
(3) Modelul unui sistem criptografic este prezentat in figura urmatoare.
Modelul unui sistem criptografic


Capitolul II - Procesul de evaluare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat


SECTIUNEA 1 - Etapele procesului de evaluare si certificare


Art. 5
Procesul de evaluare si certificare a produselor si sistemelor criptografice presupune parcurgerea urmatoarelor etape:
a) demararea procesului de evaluare;
b) desfasurarea procesului de evaluare;
c) finalizarea procesului de evaluare.

SECTIUNEA 2 - Demararea procesului de evaluare


Art. 6
Demararea procesului de evaluare se realizeaza in conditiile Metodologiei de evaluare si certificare a pachetelor, produselor si profilelor de protectie INFOSEC-INFISEC 14, aprobata prin Ordinul directorului general al Oficiului Registrului National al Informatiilor Secrete de Stat nr. 21/2012, denumita in continuare Metodologia INFOSEC 14.

Art. 7
(1) Cerintele minime de acceptare a evaluarii solutiei criptografice, suplimentare celor reglementate in Metodologia INFOSEC 14, sunt prevazute in Standardul de securitate criptografica, precum si in Cerintele preliminare pentru evaluarea criptografica, prevazute in anexa nr. 1.
(2) Pentru a fi acceptate la evaluare, produsele si sistemele criptografice destinate protectiei informatiilor clasificate "secret de serviciu" trebuie sa implementeze cel putin standardele recomandate prevazute in anexa nr. 2.

Art. 8
Ca urmare a acceptarii evaluarii produsului/sistemului criptografic, entitatile evaluatoare pot incheia acorduri de confidentialitae cu solicitantul.

SECTIUNEA 3 - Desfasurarea procesului de evaluare criptografica


Art. 9
In vederea desfasurarii procesului de evaluare, solicitantul pune la dispozitia entitatilor evaluatoare:
a) solutia criptografica supusa evaluarii: componentele hardware, software si firmware; alte componente necesare realizarii infrastructurii de testare; elemente necesare verificarii corectitudinii implementarii mecanismelor criptografice;
b) setul de documentatii aferent solutiei criptografice supuse evaluarii: documentatie tehnica care trebuie sa acopere: descrierea arhitecturii fizice si logice; cerintele mentionate in standardele stabilite pentru evaluare in etapa anterioara; codurile sursa; specificatiile mecanismelor criptografice, vectori de test; descrierea parametrilor critici de securitate; documentatii de administrare, instalare si utilizare;
c) teste proprii si platformele de testare, documentatii aferente testelor proprii, precum si rezultatele testelor.

Art. 10
(1) Pe baza elementelor prevazute la art. 9, entitatile evaluatoare desfasoara activitati de testare si evaluare criptografica.
(2) Activitatile de testare si evaluare criptografica au in vedere criterii minime/standarde/metodologii nationale impuse pentru solutia criptografica care este supusa evaluarii, precum si procedurile proprii ale fiecarei entitati evaluatoare.
(3) In functie de tipul solutiei criptografice, procesul de evaluare poate viza urmatoarele tipuri de activitati:
a) studiul si analiza documentatiei tehnice pentru solutia criptografica supusa evaluarii;
b) verificarea implementarii corecte a mecanismelor criptografice;
c) analiza managementului cheilor;
d) teste statistice pentru verificarea aleatorismului;
e) analiza codurilor sursa;
f) analiza interfetelor si/sau a porturilor;
g) verificarea si analiza rolurilor, serviciilor si autentificarii, a controlului accesului;
h) verificarea si analiza securitatii fizice (de exemplu: tamper evidence, tamper detection, tamper response, tamper proof, tamper resistance etc.);
i) verificarea autotestarilor efectuate de solutia criptografica;
j) verificarea mecanismelor de auditare;
k) rezistenta la atacuri nestandard;
l) evaluare TEMPEST;
m) verificarea testelor realizate de catre dezvoltator;
n) teste de penetrare si analiza vulnerabilitatilor.
(4) In cazul evaluarii unei solutii criptografice modificate fata de o versiune deja certificata, pot fi considerate concludente rezultatele evaluarilor anterioare.

SECTIUNEA 4 - Finalizarea procesului de evaluare


Art. 11
Fiecare dintre entitatile evaluatoare implicate in procesul de evaluare elaboreaza un raport tehnic de evaluare, potrivit modelului prevazut in anexa nr. 2 la Metodologia INFOSEC 14.


Capitolul III - Procesul de certificare a produselor si sistemelor criptografice, altele decat cele din categoria cifrului de stat


Art. 12
(1) Procesul de certificare presupune o analiza independenta a evaluarii si a rezultatelor acesteia si atesta ca solutia criptografica evaluata satisface criteriile minime de securitate stabilite prin Standardul de securitate criptografica.
(2) Procesul de certificare se finalizeaza, dupa caz, astfel:
a) in cazul acordului privind certificarea solutiei criptografice, prin eliberarea unui document de certificare care contine aspecte privind identificarea solutiei criptografice, nivelul de clasificare/secretizare, termenul de valabilitate si eventualele conditii de functionare;
b) in cazul refuzului certificarii solutiei criptografice, prin eliberarea unui document justificativ care contine aspecte privind identificaea solutiei criptografice, precum si motivele refuzului certificarii, cu posibilitatea mentionarii unor rezultate ale procesului de evaluare.
(3) In vederea includerii in Catalogul national, documentele prevazute la alin. (2) se transmit ORNISS de catre entitatile evaluatoare implicate in procesul de evaluare si certificare, mentionandu-se nivelul de clasificare/secretizare, termenul de valabilitate si conditiile specifice de functionare, astfel cum au fost stabilite in documentele de certificare.

Art. 13
Scoaterea produsului sau mecanismului criptografic din Catalogul national se solicita in urmatoarele cazuri:
a) la expirarea termenului de valabilitate;
b) daca apar elemente noi care justifica o astfel de decizie, la sesizarea oricarei entitati evaluatoare dintre cele doua care au realizat evaluarea.

Art. 14
(1) Cu cel putin un an inainte de expirarea termenului de valabilitae, beneficiarul sau, dupa caz, producatorul poate solicita mentinerea produsului ori mecanismului criptografic in Catalogul national, sub conditia demararii procesului de recertificare.
(2) Entitatile evaluatoare pot propune mentinerea produsului sau mecanismului criptografic in Catalogul national pe baza unei analize de risc ori, dupa caz, a unei noi evaluari si certificari.

Art. 15
Evaluarea poate fi contestata de catre solicitant, in termen de 30 de zile de la data luarii la cunostinta a rezultatului.

Art. 16
Anexele nr. 1 si 2 fac parte integranta din prezenta metodologie.

ANEXA Nr. 1 la metodologie - CERINTE PRELIMINARE pentru evaluarea criptografica


Pentru acceptarea evaluarii, in functie de tipul solutiei criptografice supuse evaluarii, solicitantul trebuie sa furnizeze entitatii evaluatoare o documentatie preliminara care sa cuprinda urmatoarele date:
* Mecanisme criptografice descriere generala a mecanismului criptografic, criterii de proiectare/rezultate ale testelor proprii si posibilitati de implementare (hardware/software).
* Module criptografice:
- descrierea generala a modulului criptografic, cu mentionarea nivelului de securitate solicitat;
- politica de securitate a modulului criptografic (model FIPS 140-2).
* Produse/Sisteme criptografice documentatia tehnica/tinta de securitate (conform Common Criteria).

ANEXA Nr. 2 la metodologie

Extras din aplicatia online a Monitorului Oficial

Mecaniusme si tehnici criptografice
Mecanisme si tehnici criptografice
Mecanisme si tehnici criptografice
Mecanisme si tehnici criptografice




Materialul de fata reprezinta o prelucrare si formatare neoficiala a prevederilor oficiale, avand la baza texte publice preluate de la: Monitorul Oficial

Poate fi de interes si:
Niciun link inscris in sistemul contextual
Codul de procedura fiscala si Normele metodologice. Cod 562. Actualizat la 20.02.2015
Editie coordonata si prefatata de Bragaru Mihai

Pret: 15.9 lei
13.52 lei
COMANDA ACUM

Cautare legislatie:



-------------
Drept OnLine va prezinta in cadrul acestei Sectiuni cateva reglementari juridice de interes general, cu mentiunea ca informatiile prezentate in aceasta sectiune au un caracter pur informativ, existand posibilitatea de a fi intervenit modificari ulterioare, abrogari, nesurprinse aici.
-------------


Alte reglementari




Termeni juridici, grupare tematica




Coordonator
Magdalena Popeanga

Website administrat de
Alioth Software
Politica de securitate
Termeni si conditii
 RSS DreptOnline.ro - Canale RSS juridice
68 useri online

Useri autentificati: