Ordin MCSI nr.473/2009 privind procedura de acordare, suspendare ÅŸi retragere a deciziei de acreditare a furnizorilor de servicii de certificare

 

Text actualizat la 11.11.2011. Modificat prin Ordinul MCSI nr. 1000/2010 și Ordinul MCSI nr.888/2011

 

Art. 1. - (1) Prezentul ordin se aplică furnizorilor de servicii de certificare care doresc să își desfășoare activitatea ca furnizori acreditați și stabilește procedura privind acordarea, suspendarea și retragerea deciziei de acreditare a furnizorilor de servicii de certificare de către Ministerul Comunicațiilor și Societății Informaționale, autoritatea de reglementare și supraveghere specializată în domeniu.
    (2) Prezentul ordin stabilește condițiile, conținutul, durata de valabilitate și condițiile suspendării deciziei de acreditare a furnizorilor de servicii de certificare.

 

Art. 2. - în înțelesul prezentului ordin, termenii de mai jos au următoarele semnificații:
   a) autoritate - Ministerul Comunicațiilor și Societății Informaționale, în calitate de autoritate de reglementare și supraveghere specializată în domeniu, conform art. 25 și 26 din Legea nr. 455/2001 privind semnătura electronică;
   b) acreditare - calificativul acordat de către autoritate unui furnizor de servicii de certificare, la solicitarea acestuia, în urma verificării documentației și a raportului de audit efectuat de o terță parte, în vederea stabilirii concordanței dintre sistemele, procedurile și practicile afirmate și cele existente în realitate;
   c) audit - procesul de verificare a concordanței dintre sistemele, procedurile și practicile afirmate de către furnizorul de servicii de certificare care solicită acreditarea și cele existente în realitate;
   d) auditor - persoana juridică numită de către autoritate pentru efectuarea auditului de acreditare, în urma evaluării îndeplinirii criteriilor de selecție;
   e) registru - Registrul furnizorilor de servicii de certificare, care este constituit și actualizat de către autoritate și care are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de Legea nr. 455/2001, stocarea datelor de identificare și a unor informații legate de activitatea furnizorilor de servicii de certificare, precum și informarea publicului cu privire la datele și informațiile stocate.
  

Art. 3. - Furnizorul de servicii de certificare care dorește să fie acreditat va înainta autorității o cerere scrisă pentru începerea procedurii de acreditare. Forma și conținutul acestei cereri sunt prevăzute în anexa nr. 1, care face parte integrantă din prezentul ordin.
  

Art. 3^1. - în vederea acreditării, furnizorul de servicii de certificare trebuie să facă dovada:
   a) utilizării a cel puțin 5 persoane angajate în baza unor contracte individuale de muncă cu normă întreagă sau prin încheierea de contracte de prestări de servicii cu societăți comerciale ori persoane fizice autorizate.
    Persoanele implicate în generarea și gestionarea de certificate trebuie:
   (i) să dețină diplomă de absolvire a unei forme de învățământ superior de lungă durată, eliberată de o instituție de învățământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, fizică, cibernetică, electronică; sau
   (ii) să dețină diplomă de masterat în una dintre specializările menționate la pct. (i).
    Angajații implicați în generarea și gestionarea de certificate trebuie să aibă cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deținerea cel puțin a uneia dintre certificările ISO/IEC 27001, CISA, CISM, LPT sau CISSP recunoscute la nivel internațional. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia;
   b) utilizării unei scheme de personal care să asigure un flux continuu de emitere, suspendare și revocare a certificatelor și segregarea rolurilor angajaților, asigurând acoperirea cel puțin a următoarelor roluri: operator pentru gestionarea cererilor de certificare (cel puțin două persoane), operator pentru verificarea cererilor și emiterea certificatelor (cel puțin două persoane), administrator al sistemului de certificare, administrator de securitate și auditor intern. Schema de personal va fi înaintată autorității;
   c) utilizării unei arhitecturi distribuite a sistemului de certificare și sistemului de înregistrare, separând logic și fizic funcționalitățile publice: înregistrarea cererilor de certificate, registrul de certificate și validarea cererilor de emitere a certificatelor. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluției de emitere, publicare și validare a certificatelor, precum și a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcționare în orice moment din intervalul de observație de o lună calendaristică. Disponibilitatea se calculează după formula:

  
D = [(To-Tî)/To]*100 [%],
    unde:
    To = durata unei luni calendaristice, aproximată la 30 de zile * 24 de ore * 60 de minute = 43.200 de minute;
    Tî = durata însumată a întreruperilor de serviciu în minute.
    Arhitectura tehnică și dovada îndeplinirii condițiilor de disponibilitate a soluției vor fi înaintate autorității;
   d) deținerii sau utilizării unui sediu de rezervă pentru continuarea operațiunilor în cazul apariției unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă acelorași condiții tehnice ca și sediul principal și să parcurgă aceleași proceduri de audit. Documentația privind sediul de rezervă și rapoartele de audit vor fi înaintate autorității;
   e) certificărilor legate de sistemul de management al calității și management al securității informaționale, certificate în conformitate cu standardele ISO 9001 și, respectiv, ISO 27001 sau Standardele naționale de protecție a informațiilor clasificate definite prin Hotărârea Guvernului nr. 585/2002 ori ultimele versiuni ale acestora sau standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorității.

 

Art. 3^2. - (1) Orice furnizor de servicii de certificare calificată poate solicita inițierea procedurii de acreditare prin bifarea opțiunii din anexa nr. 2 la Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare.
   (2) Procedura de acreditare poate fi inițiată numai după începerea activității de furnizare de servicii de certificare calificată și actualizarea registrului. Procedura de acreditare este prevăzută în anexa nr. 4, care face parte integrantă din prezentul ordin.

 

Art. 3^3. - Pentru instituțiile din domeniul apărării, ordinii publice și siguranței naționale care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat, cuantumul garanției se stabilește anual, prin decizia autorității de reglementare și supraveghere specializate în domeniu, la propunerea conducerii instituțiilor respective, proporțional cu prejudiciile create în anul anterior, stabilite prin decizii judecătorești definitive. Extensia certificatului va conține mențiuni referitoare la limitări privind utilizarea.

 

Art. 3^4. - (1) Furnizorul va notifica autoritatea în legătură cu orice modificare a soluției tehnice sau a procedurilor de lucru. Notificarea va fi însoțită de opinia auditorului intern al furnizorului, opinie din care să rezulte faptul că furnizarea serviciilor de certificare se face în continuare cu respectarea standardelor în domeniu și a legislației în vigoare.
   (2) Notificarea prevăzută la alin. (1) se va face cu 10 zile înainte de data la care modificările specificate la alin. (1) devin operaționale sau în cazul unor urgențe ori evenimente neprevăzute, justificate, în termen de maximum 24 de ore de la efectuarea modificărilor.
   (3) în urma notificării adresate de către furnizor autorității, dacă se consideră că modificările efectuate afectează major procesul de furnizare a serviciilor de certificare, în sensul nerespectării standardelor în domeniu sau a legislației în vigoare, autoritatea poate solicita reînnoirea acreditării.
   (4) Furnizorul acreditat va testa anual nivelul de securitate al sistemului informatic. în urma testării, acesta trebuie să înainteze către autoritate un raport de testare de securitate (test de penetrare) a întregului sistem informatic utilizat pentru furnizarea de servicii de certificare. Testele vor fi realizate de personal specializat, echipa de testare fiind compusă din minimum un expert în teste de penetrare cu certificare (LPT sau echivalent) și un auditor certificat în auditarea sistemelor informatice (CISA). Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. în urma raportului de testare, autoritatea va putea solicita furnizorului implementarea măsurilor de securitate în vederea reducerii nivelului de risc.
   (5) Instituțiile care emit certificate calificate ce urmează a fi folosite exclusiv pentru nevoi proprii și ale căror sisteme de generare, evidență și distribuție fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat vor realiza testele de penetrare și auditul de securitate cu personal propriu care deține cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu, având o experiență de cel puțin 5 ani în domeniul securității sistemelor informatice. Testele de penetrare vor fi realizate atât din exteriorul sistemului, cât și din interiorul acestuia, pe baza unor metodologii recunoscute la nivel internațional. Raportul de testare va conține toate testele efectuate, vulnerabilitățile identificate, precum și nivelul de risc asociat acestora. în urma raportului de testare, autoritatea va putea solicita instituției implementarea măsurilor de securitate în vederea reducerii nivelului de risc.

 

Art. 3^5. - abrogat

Art. 3^6. - Verificarea informațiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât și la emiterea certificatului, în conformitate cu prevederile art. 19 din Legea nr. 455/2001 privind semnătura electronică.

 

 Art. 3^7. - Autoritatea poate dispune suspendarea activității furnizorului de servicii de certificare până la încetarea cauzelor care au determinat luarea măsurii și în următoarele situații:
   1. furnizorul nu îndeplinește cerințele privind personalul sau nu anunță modificarea schemei de personal, așa cum este prevăzut la art. 31 lit. a) și b);
   2. furnizorul nu asigură disponibilitatea soluției sau nu anunță modificările tehnice, așa cum este prevăzut la art. 31 lit. c) și art. 34;
   3. furnizorul nu mai îndeplinește cerințele tehnice definite la art. 31 lit. d) și e).

 

Art. 3^8. - în cazurile prevăzute la art. 37, autoritatea are dreptul de a emite pretenții asupra scrisorii de garanție bancară sau a poliței de asigurare, în limita prejudiciului.

 

Art. 4. - (1) Verificarea îndeplinirii condițiilor de acreditare se face de către un auditor numit de către autoritate în urma parcurgerii procedurii prevăzute la alin. (2)-(7).
   (2) Numirea auditorului se face în urma unui proces de calificare, pe baza criteriilor stabilite de către autoritate și în urma selecției acestuia dintre candidații calificați.
   (3) în acest scop autoritatea va face public anunțul de selecție odată cu punerea la dispoziție oricărei parți interesate, contra cost, a condițiilor de calificare. Anunțul va cuprinde inclusiv data-limită de depunere a documentației de calificare.
   (4) Orice persoană juridică care a intrat în posesia condițiilor de calificare conform alin. (3) poate participa la procesul de calificare.
   (5) Autoritatea verifică documentele de calificare din partea candidaților și respectarea criteriilor stabilite.
   (6) în termen de 30 de zile de la data primirii cererii pentru începerea procedurii de acreditare, autoritatea întocmește și comunică furnizorului de servicii de certificare lista candidaților calificați.
   (7) Furnizorul de servicii de certificare care solicită acreditarea selectează dintre candidații calificați auditorul care va fi numit de către autoritate pentru efectuarea auditului de acreditare.
  

Art. 5. - (1) în urma selecției efectuate de către furnizorul de servicii de certificare, autoritatea emite decizia de numire a auditorului.
   (2) Numirea auditorului se face prin ordin al ministrului comunicațiilor și societății informaționale. Forma și conținutul ordinului de numire sunt prevăzute în anexa nr. 2, care face parte integrantă din prezentul ordin.
  

Art. 6. - Auditul se realizează pe cheltuiala furnizorului de servicii de certificare.
  

Art. 7. - Pe perioada efectuării auditului, autoritatea poate solicita orice documente referitoare la activitatea furnizorului de servicii de certificare care solicită acreditarea și poate desemna personal propriu pentru a participa la procesul de audit.
  

Art. 8. - (1) Rezultatul auditului efectuat asupra activității furnizorului de servicii de certificare va fi prezentat sub forma unui raport de audit însoțit de opinia de audit.
   (2) Autoritatea își rezervă dreptul de a respinge cererea de acreditare în urma analizei raportului de audit, precum și în cazul unei opinii de audit exprimate cu rezerve.
   (3) în cazul unor observații referitoare la raportul de audit prezentat, autoritatea are obligația comunicării acestora atât furnizorului de servicii de certificare, cât și auditorului, în termen de 5 zile de la prezentarea raportului.
  

Art. 9. - (1) în termen de 10 zile de la prezentarea opiniei de audit favorabile, autoritatea emite decizia de acreditare și înscrie în registru mențiunea privind acreditarea furnizorului de servicii de certificare.
   (2) Acreditarea se face prin ordin al ministrului comunicațiilor și societății informaționale. Forma și conținutul ordinului de acreditare sunt prevăzute în anexa nr. 3, care face parte integrantă din prezentul ordin.
   (3) în cazul respingerii cererii de acreditare, autoritatea va comunica furnizorului motivele respingerii.
  

Art. 10. - (1) Procedura de suspendare sau de retragere a deciziei de acreditare este prevăzută la art. 19 și 20 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare.
   (2) Suspendarea sau retragerea deciziei de acreditare se face prin ordin al ministrului comunicațiilor și societății informaționale.
   (3) Pe perioada suspendării acreditării furnizorului de servicii de certificare încetează dreptul acestuia de a folosi în toate activitățile pe care le desfășoară o mențiune distinctivă care să se refere la această calitate.
   (4) Semnăturile electronice extinse bazate pe certificate calificate eliberate de către furnizorul de servicii de certificare pe perioada suspendării acreditării sunt exceptate de la prevederile art. 9 alin. (2) din Legea nr. 455/2001.
   (5) în cazul suspendării sau retragerii acreditării acordate furnizorului de servicii de certificare, autoritatea va face mențiunile necesare în registru.
  

Art. 11. - (1) La data intrării în vigoare a prezentului ordin se abrogă Decizia președintelui Autorității Naționale pentru Reglementare în Comunicații și Tehnologia Informației nr. 31/2008 privind procedura de acreditare a furnizorilor de servicii de certificare, publicată în Monitorul Oficial al României, Partea I, nr. 46 din 21 ianuarie 2008.
   (2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

 

  ANEXA Nr. 1

 

    CERERE PENTRU îNCEPEREA PROCEDURII DE ACREDITARE

    Stimate Domnule Ministru,
    Având în vedere prevederile art. 4 alin. (1) pct. 55 din Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare, în temeiul dispozițiilor art. 36 din Legea nr. 455/2001 privind semnătura electronică și ale art. 16 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare, vă solicităm să dispuneți începerea procedurii de acreditare a ............................., (numele și prenumele/denumirea solicitantului) furnizor de servicii de certificare, având domiciliul/sediul în ......................................., (adresa completă, inclusiv telefon și fax) înregistrată la Oficiul Registrului Comerțului de pe lângă Tribunalul ................................., cod unic de înregistrare/cod de identificare fiscală ...................., reprezentat legal prin ...................................................., (numele și prenumele) domiciliat(ă) în .............................................................., (adresa completă, inclusiv telefon) identificat(ă) prin actul de identitate ........................................................... . (serie, număr, cod numeric personal)

    Semnătura reprezentantului legal și ștampila solicitantului
...............................................................

  

 ANEXA Nr. 2

    ORDIN DE DESEMNARE A AUDITORULUI

    Având în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, precum și ale Normelor tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,
    în baza Ordinului ministrului comunicațiilor și societății informaționale nr. 473/2009 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare,
    în temeiul art. 4 alin. (1) pct. 55 și al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,
    având în vedere Referatul de aprobare nr. ........./......................... al Direcției .........1),

    ministrul comunicațiilor și societății informaționale emite prezentul ordin.

   Art. 1. - .........................................., (denumirea auditorului) cu domiciliul/sediul în ......................., înregistrat la Oficiul Registrului Comerțului de pe lângă Tribunalul ................., cod unic de înregistrare/cod de identificare fiscală ................., este desemnat pentru a efectua auditul în vederea acreditării furnizorului de servicii de certificare ............................................... . (denumirea furnizorului)
   Art. 2. - ........................................... (denumirea auditorului) va prezenta Ministerului Comunicațiilor și Societății Informaționale raportul de audit, însoțit de opinia de audit, efectuate în vederea acreditării furnizorului de servicii de certificare ...................................................., (denumirea furnizorului) în termen de 30 de zile de la comunicarea prezentului ordin.
   Art. 3. - Prezentul ordin se comunică ..................................... . (denumirea auditorului)

    Ministrul comunicațiilor și societății informaționale,
............................................................

    Ordin nr. ....../..........
    București
    ___________
   1) Se va menționa denumirea direcției de specialitate din cadrul Ministerului Comunicațiilor și Societății Informaționale care îndeplinește atribuțiile de punere în aplicare a Legii nr. 455/2001 privind semnătura electronică.

  

ANEXA Nr. 3

    ORDIN DE ACREDITARE

    Având în vedere prevederile Legii nr. 455/2001 privind semnătura electronică, precum și ale Normelor tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,
    în baza Ordinului ministrului comunicațiilor și societății informaționale nr. 473/2009 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare,
    în temeiul art. 4 alin. (1) pct. 55 și al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,
    având în vedere Referatul de aprobare nr. ........./....... al Direcției .........1),

    ministrul comunicațiilor și societății informaționale emite prezentul ordin.

   Art. 1. - începând cu data comunicării prezentului ordin, ................... (denumirea furnizorului) dobândește calitatea de furnizor acreditat de servicii de certificare.
   Art. 2. - Acreditarea se acordă pe o perioadă de 3 ani de la data comunicării prezentului ordin și poate fi reînnoită pe baza procedurii prevăzute în Ordinul ministrului comunicațiilor și societății informaționale nr. .................... privind procedura de acreditare a furnizorilor de servicii de certificare.
   Art. 3. - Prezentul ordin se comunică ....................................... (denumirea furnizorului) atât pe suport hârtie, cât și în format electronic, semnat digital.

    Ministrul comunicațiilor și societății informaționale,
....................................................

    Ordin nr. ...............................
    București
    ___________
   1) Se va menționa denumirea direcției de specialitate din cadrul Ministerului Comunicațiilor și Societății Informaționale care îndeplinește atribuțiile de punere în aplicare a Legii nr. 455/2001 privind semnătura electronică.