Ordin privind modificarea Ordinului MCSI nr.473/2009

Ordin MCSI nr.1000/2010 pentru modificarea Ã…Å¸i completarea Ordinului MCSI nr. 473/2009 privind procedura de acordare, suspendare Ã…Å¸i retragere a deciziei de acreditare a furnizorilor de servicii de certificare

Publicat in Monitorul Oficial nr.797 din 29.11.2010

Având în vedere prevederile art. 36 și 37 din Legea nr. 455/2001 privind semnătura electronică, precum și ale art. 16-20 din Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare,
în temeiul art. 4 alin. (1) pct. 55 și al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,

ministrul comunicațiilor și societății informaționale emite prezentul ordin.

Art. I. - Ordinul ministrului comunicațiilor și societății informaționale nr. 473/2009 privind procedura de acordare, suspendare și retragere a deciziei de acreditare a furnizorilor de servicii de certificare, publicat în Monitorul Oficial al României, Partea I, nr. 411 din 16 iunie 2009, se modifică și se completează așa cum urmează:
   1. La articolul 1, alineatul (2) se modifică și va avea următorul cuprins:
    "(2) Prezentul ordin stabilește condițiile, conținutul, durata de valabilitate și efectele suspendării sau retragerii deciziei de acreditare a furnizorilor de servicii de certificare."
   2. După articolul 3 se introduc opt noi articole, articolele 31-38, cu următorul cuprins:
    "Art. 31. - (1) în vederea acreditării, furnizorul de certificate calificate trebuie să facă dovada deținerii:
    a) a cel puțin 5 angajați care au diplomă de absolvire a unei forme de învățământ superior de lungă durată, eliberată de o instituție de învățământ superior acreditată, având înscrisă una dintre următoarele specializări: automatică, calculatoare, informatică, matematică, cibernetică, electronică. Angajații trebuie să aibă cunoștințe în domeniul securității informatice, dovedite prin studii universitare sau postuniversitare în acest domeniu ori prin deținerea cel puțin a uneia dintre certificările CISA, CISM sau CISSP recunoscute la nivel internațional. Schema de personal va fi înaintată autorității și publicată în registrul furnizorilor. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia;
    b) unei scheme de personal care să asigure un flux continuu de emitere, suspendare și revocare a certificatelor și segregarea rolurilor angajaților, asigurând acoperirea cel puțin a următoarelor roluri: operator pentru crearea cererilor de certificare (cel puțin două persoane), operator pentru verificarea cererilor și emiterea certificatelor (cel puțin două persoane), administrator al sistemului de certificare, administrator de securitate și auditor intern. Schema de personal va fi înaintată autorității și publicată în registrul furnizorilor. Orice modificare a schemei de personal va fi notificată către autoritate în termen de 10 zile lucrătoare de la producerea acesteia;
    c) unei arhitecturi distribuite a sistemului de certificare și sistemului de înregistrare, separând logic și fizic funcționalitățile publice: înregistrarea cererilor de certificate, registrul de certificate și validarea certificatelor de emitere a certificatelor digitale. Furnizorul trebuie să dovedească disponibilitatea lunară de 99,98% a soluției de emitere, publicare și validare a certificatelor, precum și a registrului de certificare. Disponibilitatea reprezintă capacitatea sistemelor informatice ale furnizorului de a se afla în stare de funcționare în orice moment din intervalul de observație de o lună calendaristică. Disponibilitatea se calculează după formula:

    T(O) - T(î)
D = â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬â”â‚¬ * 100                                                       [%],
       T(O)

    unde:
    T(O) = durata unei luni calendaristice, aproximată la 30 zile * 24 ore * 60 minute = 43.200 minute;
    T(î) = durata însumată a întreruperilor de serviciu în minute.
    Arhitectura tehnică și dovada îndeplinirii condițiilor de disponibilitate a soluției vor fi înaintate autorității și publicate în registrul furnizorilor;
    d) unui sediu de rezervă pentru continuarea operațiunilor în cazul apariției unui eveniment care să împiedice utilizarea sediului principal. Sediul de rezervă trebuie să răspundă acelorași condiții tehnice ca și sediul principal și să parcurgă aceleași proceduri de audit. Documentația privind sediul de rezervă și rapoartele de audit vor fi înaintate autorității și publicate în registrul furnizorilor;
    e) unor sisteme de management al calității, management al securității informaționale, management de mediu și management al sănătății și securității ocupaționale, certificate în conformitate cu standardele ISO 9001, ISO 27001, ISO 14001, respectiv OHSAS 18001, sau ultimele versiuni ale acestora ori standardele care le înlocuiesc. Rapoartele de audit vor fi înaintate autorității și publicate în registrul furnizorilor.
    (2) Furnizorii de certificate calificate deja acreditați vor trebui să facă dovada îndeplinirii condițiilor prevăzute la alin. (1) lit. a)-e) în cel mult 6 luni de la data publicării în Monitorul Oficial al României, Partea I, a prezentului ordin.
    Art. 32. - Solicitarea acreditării se poate face nu înainte de un an de la începerea activității ca furnizor de certificate calificate.
    Art. 33. - Raportul de audit care demonstrează îndeplinirea condițiilor de funcționare ca furnizor acreditat va fi obligatoriu publicat de către autoritate în registrul furnizorilor.
    Art. 34. - Orice modificare a soluției tehnice sau a procedurilor de lucru ale furnizorului va presupune reluarea procedurii de reînnoire a acreditării. în acest caz furnizorul este obligat să reia procedura de acreditare în cel mult 10 zile de la producerea modificărilor.
    Art. 35. - Pentru marcarea riguroasă a creării semnăturii electronice extinse și verificarea ulterioară a faptului că la acel moment certificatul utilizat pentru crearea semnăturii nu era suspendat sau revocat, așa cum este definit în art. 5 din Legea nr. 455/2001, se va realiza o marcă temporală, așa cum este definită în Legea nr. 451/2004 privind marca temporală.
    Art. 36. - Verificarea informațiilor din cererea de eliberare a certificatului va fi realizată atât la înregistrarea cererii, cât și la emiterea certificatului, numai de personalul încadrat în schema de personal al furnizorului cu atribuții în acest scop.
    Art. 37. - Autoritatea poate dispune suspendarea activității furnizorului până la încetarea cauzelor care au determinat luarea măsurii și în următoarele situații:
    1. furnizorul nu îndeplinește cerințele privind personalul sau nu anunță modificarea schemei de personal, așa cum este prevăzut la art. 31 alin. (1) lit. a) și b);
    2. furnizorul nu asigură disponibilitatea soluției sau nu anunță modificările tehnice prevăzute la art. 31 alin. (1) lit. c);
    3. furnizorul nu mai îndeplinește cerințele tehnice definite la art. 31 alin. (1) lit. d) și e) și la art. 35;
    4. furnizorul nu îndeplinește cerințele definite la art. 36. Toate certificatele emise fără respectarea acestei prevederi vor fi revocate.
    Art. 38. - în cazurile prevăzute la art. 37 pct. 1-4, autoritatea are dreptul de a emite pretenții asupra scrisorii de garanție bancară sau a poliței de asigurare, în limita prejudiciului creat."

Art. II. - Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

Marca de Încredere TRUSTED.RO