HOTĂRÂRE nr. 952 din 14 august 2003
privind aprobarea normelor şi procedurilor în vederea operationalizarii Sistemului informatic integrat, componenta a Sistemului Electronic Naţional
EMITENT
  • GUVERNUL
  • Publicat în  MONITORUL OFICIAL nr. 631 din 3 septembrie 2003



    În temeiul art. 107 din Constituţie şi având în vedere prevederile art. 3 din Legea nr. 415/2002 privind organizarea şi funcţionarea Consiliului Suprem de Apărare a Tarii, precum şi prevederile cuprinse în cartea I titlul II din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, cu modificările ulterioare,
    Guvernul României adopta prezenta hotărâre.

    Articolul 1

    Se aprobă normele şi procedurile în vederea operationalizarii Sistemului informatic integrat, componenta a Sistemului Electronic Naţional, aprobat conform hotărârii Consiliului Suprem de Apărare a Tarii. În acest scop, conceptia şi dezvoltarea Sistemului informatic integrat ca o structura informationala specializată se vor face în contextul cooperării cu celelalte doua componente ale Sistemului Electronic Naţional: "Sistem e-guvernare" şi "Sistem e-administraţie", definit în cartea I titlul II art. 9 din Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnitatilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei. Pentru asigurarea complementaritatii Sistemului informatic integrat cu celelalte doua componente ale Sistemului Electronic Naţional, funcţiunile acestuia se supun următoarelor norme:
    a) asigurarea interoperabilitatii instituţiilor conectate la Sistemul informatic integrat, conform prevederilor cărţii I titlul II art. 11 lit. i) din Legea nr. 161/2003;
    b) punerea în evidenta mai clar a responsabilităţilor fiecărei instituţii, precum şi a responsabilităţii funcţionarului public în utilizarea informaţiilor furnizate de Sistemul informatic integrat;
    c) prezervarea autonomiei tuturor instituţiilor participante pentru dezvoltarea reţelelor proprii de tehnologia informatiei şi comunicaţii;
    d) reducerea costurilor de dezvoltare şi utilizare a reţelei (IT & C) de tehnologia informatiei şi comunicaţii pentru fiecare instituţie;
    e) asigurarea, pentru toate instituţiile participante la Sistemul informatic integrat, a dublei calităţi de furnizor şi beneficiar al informaţiilor existente în sistem;
    f) reorientarea activităţii instituţionale atât la nivel central, cat şi teritorial către creşterea eficientei, corectitudinii şi transparenţei în serviciile oferite, datorită cooperării generate de arhitectura de interoperabilitate a Sistemului informatic integrat;
    g) scurtarea timpului de implementare a proiectelor proprii;
    h) creşterea posibilităţii de gestionare şi implementare a proiectelor naţionale şi a soluţiilor ce implica cooperare interdisciplinara; reducerea paralelismului unor proiecte şi eliminarea proiectelor mici, neeficiente.


    Articolul 2

    În sensul prezentei hotărâri, următorii termeni sunt definiţi astfel:
    a) normele de dialog sunt reglementări privind schimbul de informaţii dintre Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
    b) procedurile de dialog sunt acţiuni necesare pentru deschiderea, realizarea şi închiderea unei sesiuni de schimb de informaţii între Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
    c) normele de securitate sunt reglementări interne specifice instituţiei, rezultate din aplicarea politicii de securitate şi a legislaţiei în vigoare pentru a asigura o protecţie adecvată a informaţiilor;
    d) procedurile de securitate sunt acţiuni ce trebuie desfăşurate în mod obligatoriu de către participanţii la Sistemul informatic integrat şi administratorii sistemului pentru a implementa normele de securitate;
    e) replicarea bazelor de date este procedura prin care se asigura o copie de siguranţă a bazei de date pentru a asigura o disponibilitate permanenta a datelor pentru toţi beneficiarii. Aceasta este în gestiunea şi proprietatea participantului la sistem. Realizarea copiei nu implica înstrăinarea bazei de date faţă de instituţiile participante la Sistemul informatic integrat, acestea purtând întreaga responsabilitate pentru acuratetea informaţiilor puse la dispoziţie. Din punct de vedere al gestiunii bazelor de date, Centrul de management al Sistemului informatic integrat oferă doar spaţiul, serviciul de stocare şi serviciul de consultare de către participanţi conform drepturilor de acces ale acestora. Centrul de management al Sistemului informatic integrat nu are dreptul sa modifice sub nici o formă nici o baza de date replicata în sistem;
    f) tranzacţionarea informaţiilor reprezintă dialogul dintre Centrul de management al Sistemului informatic integrat şi participanţii la sistem în condiţiile verificărilor de securitate impuse de normele de securitate;
    g) tranzacţionarea interna reprezintă tranzacţionarea de informaţii între diverse replici ale bazelor de date din Centrul de management al Sistemului informatic integrat în procesul de căutare şi prelucrare;
    h) tranzacţionarea externa reprezintă tranzacţionarea de informaţii între Centrul de management al Sistemului informatic integrat şi participanţii la sistem;
    i) interfatarea este o procedură care implica şi utilizarea de mijloace materiale specifice şi realizează adaptarea modului de lucru al participanţilor la sistem cu modul de lucru al Centrului de management al Sistemului informatic integrat.


    Articolul 3

    Normele de dialog ale Centrului de management al Sistemului informatic integrat sunt următoarele:
    a) dialogul este biunivoc, în timp real şi permanent;
    b) dialogul se supune normelor de securitate;
    c) dialogul este arhivat;
    d) dialogul este urmat de cel puţin o tranzacţie informationala;
    e) dialogul trebuie să conţină raspunsuri conforme cu procedurile de tranzactionare interna a informatiei;
    f) accesul la dialog cu Sistemul informatic integrat din punct de vedere maximal trebuie să poată fi asigurat pentru toţi participanţii simultan;
    g) cererile şi răspunsurile se fac ori de câte ori este nevoie;
    h) cererile şi răspunsurile se fac exclusiv conform cu specificul de acces al fiecărei instituţii participante;
    i) cererea conţine un singur subiect. Subiectele se vor supune protocoalelor de dialog-cerere;
    j) răspunsurile pot conţine mai multe date referitoare la subiectul cererii;
    k) interfatarea este standardizata pentru toţi participanţii la Sistemul informatic integrat conform standardelor de interconectare a sistemelor informatice (Open System Interconnection);
    l) interfatarea este subordonata normelor de dialog ale Centrului de management al Sistemului informatic integrat;
    m) interfatarea se face în deplina concordanta cu normele de securitate ale Centrului de management al Sistemului informatic integrat;
    n) interfatarea se face corelat cu identificarea utilizatorului atât din punct de vedere al interogarii Sistemului informatic integrat, cat şi al replicarii bazei de date aferente. Prin natura interfetelor cu utilizatorii Sistemului informatic integrat trebuie puse în evidenta aspectele juridice legate de competenţa şi activităţile acestora, în concordanta cu prevederile legale în vigoare;
    o) interfatarea trebuie să fie urmată de validarea utilizatorului conform normelor şi procedurilor de securitate ale Centrului de management al Sistemului informatic integrat;
    p) interfatarea cu utilizatorul în cazul replicarii bazelor de date se face astfel încât conţinutul acestora sa nu fie afectat în sensul păstrării responsabilităţii utilizatorului;
    q) procedurile şi normele tehnice de interfatare, precum şi cele de comunicaţie trebuie să fie corelate din punct de vedere juridic atât cu legile în vigoare privind funcţionarea instituţiilor participante la Sistemul informatic integrat, cat şi cu legislaţia privind semnatura electronică şi transparenta instituţională a funcţionarii statului.


    Articolul 4

    (1) În corelare cu normele prevăzute la art. 2, procedurile de dialog ale Sistemului informatic integrat sunt următoarele:
    a) dialogul se face în conformitate cu structura instituţională a Sistemului informatic integrat şi cu reglementările privind siguranţa naţionala;
    b) dialogul are loc în urma unor acorduri bilaterale cu instituţiile participante la Sistemul informatic integrat;
    c) dialogul se face pe baza unor proceduri tehnice în conformitate cu normele şi procedurile infrastructurii comunicationale a Sistemului informatic integrat;
    d) dialogul se face pe baza unor proceduri de securitate ce vor trebui acreditate independent de Sistemul informatic integrat.
    (2) Dialogul va permite următoarele tipuri de schimburi de date:
    a) colectare;
    b) schimb propriu-zis de date;
    c) atenţionari;
    d) servicii interactive;
    e) arhivare şi copie de siguranţă;
    f) transfer de date cerere-răspuns.


    Articolul 5

    Normele de tranzactionare a informaţiilor ale Centrului de management al Sistemului informatic integrat vor trebui concepute şi aplicate astfel încât:
    a) tranzacţionarea informaţiilor să se realizeze în timp real;
    b) tranzacţiile să fie atât interne, cat şi externe;
    c) tranzacţia interna să fie multidimensionala;
    d) tranzacţia interna sa conţină criterii multiple de căutare; căutarea să fie simultană;
    e) toate tranzacţiile să prezinte aceeaşi norma de prioritate;
    f) tranzacţiile să se supună gestionării situaţiilor de criza prevăzute conform legii;
    g) tranzacţia externa să fie biunivoca şi identică cu dialogul din punct de vedere al normelor şi procedurilor.


    Articolul 6

    În conformitate cu normele prevăzute la art. 4, procedurile de tranzactionare interna a informatiei ale Sistemului informatic integrat sunt următoarele:
    a) tranzacţionarea interna a informatiei conţine identificari despre fiecare informaţie tranzactionata intern până la formularea răspunsului final cerut;
    b) tranzacţionarea interna a informatiei se supune principiului jurnalizarii;
    c) tranzacţionarea interna a informatiei se subordonează caracterului informaţiilor din fiecare baza de date continuta în sistem;
    d) tranzacţionarea interna a informatiei conţine elemente de validare a tranzacţiei interne, ce trebuie supuse unor protocoale de interoperabilitate între instituţii;
    e) tranzacţionarea interna a informatiei trebuie să conţină elemente de securitate interna pentru anihilarea tentativelor de manipulare frauduloasă a informaţiilor asa cum sunt ele acreditate atât din punct de vedere intern, cat şi internaţional.


    Articolul 7

    (1) Normele de gestiune a bazelor de date în cadrul Centrului de management al Sistemului informatic integrat se întemeiază pe următoarele reguli de baza:
    a) actualizarea bazelor de date se face în fiecare zi, pe parcursul nopţii, prin furnizarea doar a datelor modificate;
    b) informaţiile primite de Centrul de management al Sistemului informatic integrat de la alte instituţii sunt introduse în baza de date numai după ce s-a obţinut avizul favorabil al conducerii Centrului de management. La momentul introducerii acestor date se va urmări să se respecte toate cerinţele metodologice de actualizare a Sistemului informatic integrat, astfel încât acestea să se integreze în structura de ansamblu a bazei de date; arhiva se supune principiilor de identificare şi nonrepudiere;
    c) toate neconcordantele sau erorile apărute în procesul actualizării sunt returnate spre soluţionare instituţiilor care au furnizat datele;
    d) în timpul introducerii datelor în sistemul automat se utilizează, după caz, şi codificarea asistată de calculator;
    e) este necesară asigurarea flexibilitatii functionale a bazelor de date în condiţiile unor mutaţii sau extinderi în aria de cuprindere a problemelor specifice;
    f) este obligatorie asigurarea unui înalt grad de prelucrare şi accesibilitate simultane, conform drepturilor de acces, la fondul de date şi informaţii inmagazinate în bazele de date din Centrul de management al Sistemului informatic integrat;
    g) sistemul de reprezentare şi codificare trebuie să fie unitar la nivelul informaţiilor tuturor instituţiilor;
    h) bazele de date trebuie să fie proiectate modular şi să permită dezvoltări şi adaptari uşoare la noile mutaţii din situaţia de fapt;
    i) este necesară asigurarea protecţiei şi securităţii datelor şi informaţiilor inmagazinate în bazele de date;
    j) în sensul implementarii conceptului de interoperabilitate, definit în cartea I titlul II art. 11 lit. i) din Legea nr. 161/2003, a produselor informatice şi a soluţiilor folosite atât de instituţiile administraţiei publice înregistrate în sistemele e-guvernare şi e-administraţie, cat şi de celelalte instituţii participante la Sistemul informatic integrat, Centrul de management al acestuia va trebui să asigure conform Legii nr. 161/2003 şi servicii de arhivare electronică în condiţii de siguranţă a bazelor de date aflate în sistem, astfel încât acestea să poată fi oricând consultate de orice participant la sistem, în funcţie de obiectul sau de activitate. Serviciul de arhivare nu are caracter exclusiv pentru Sistemul informatic integrat, acesta având în principal funcţie de operator al arhivelor electronice, arhivarea propriu-zisa putând fi efectuată de orice persoană juridică abilitata în acest sens de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat (O.R.N.I.S.S.). De asemenea, Consiliul de conducere al Sistemului informatic integrat are obligaţia de a propune Guvernului împreună cu ceilalţi operatori ai Sistemului Electronic Naţional, în termen de maximum 60 de zile de la constituire, reglementări cu privire la cadrul legal al arhivarii electronice şi al protecţiei informatiei în format electronic. Serviciul de arhivare electronică astfel reglementat se supune legii achiziţiilor publice;
    k) partajarea accesului la datele şi informaţiile din bazele de date se va face în conformitate cu drepturile atribuite ierarhic;
    l) prin gestiunea bazelor de date este necesară oferirea posibilităţii de previzionare a unor evenimente, fenomene, fapte, stări de fapt etc., care interesează instituţiile statului;
    m) gestiunea bazelor de date implica standardizarea formatelor bazelor de date existente în Centrul de management al Sistemului informatic integrat şi evidentierea corelatiilor la nivelul datelor provenite de la diversi participanţi la Sistemul informatic integrat;
    n) gestiunea bazelor de date se face în deplina concordanta cu normele de securitate ale Centrului de management al Sistemului informatic integrat;
    o) gestiunea bazelor de date trebuie să asigure în orice moment corectitudinea conţinutului acestora conform protocoalelor de gestiune aferente;
    p) gestiunea bazelor de date trebuie să se facă astfel încât rezolvarea inconsistentelor în date să se realizeze de către participanţii la Sistemul informatic integrat pe baza sesizarilor Centrului de management al Sistemului informatic integrat. Sistemul informatic integrat, prin gestiunea bazelor de date, nu are dreptul sa intervină în conţinutul datelor primite de la diferiţi participanţi;
    q) conversia şi actualizarea datelor vor trebui să fie acreditate de un organism independent.
    (2) Bazele de date participante la Sistemul informatic integrat sunt constituite astfel:
    a) la instituţiile furnizoare de date, conform competentelor materiale - baze de date primare. Bazele de date primare sunt constituite de instituţiile furnizoare pentru îndeplinirea sarcinilor prevăzute în regulamentele de organizare şi funcţionare ale acestora;
    b) la Centrul de management al Sistemului informatic integrat - baza de date centrala. Baza de date centrala este constituită pe baza datelor furnizate de bazele de date primare.


    Articolul 8

    (1) În concordanta cu prevederile art. 6, gestiunea bazelor de date ale Sistemului informatic integrat se supune următoarelor proceduri:
    a) se face în conformitate cu normele de siguranţă şi integritate a bazelor de date recunoscute internaţional;
    b) bazele de date specifice fiecărei instituţii, puse la dispoziţia Sistemului informatic integrat, sunt pregătite de fiecare instituţie şi transferate în formatul stabilit conform protocolului de cooperare;
    c) se face în conformitate cu normele şi procedurile de tranzactionare interna a informaţiilor;
    d) se face în asa fel încât structura bazelor de date să prezinte scalabilitate în funcţie de evoluţia din punct de vedere juridic a instituţiilor participante;
    e) se face în conformitate cu necesităţile de extindere a interoperabilitatii între diferitele instituţii participante, asigurându-se instrumentele necesare evidenţierii corelatiilor şi legăturilor dintre datele provenite de la diferiţi participanţi la Sistemul informatic integrat;
    f) se vor asigura instrumentele necesare evidenţierii corelatiilor şi legăturilor dintre datele provenite de la diferiţi participanţi la Sistemul informatic integrat;
    g) procedurile bazelor de date din punctul de vedere al securităţii sunt identice cu normele şi procedurile de securitate ale Centrului de management al Sistemului informatic integrat;
    h) actualizarea bazelor de date se va face de către furnizorii de informaţii în funcţie de evoluţia dinamica a acestora, cu respectarea procedurilor stabilite atât în baza prevederilor hotărârilor Consiliului Suprem de Apărare a Tarii referitoare la Sistemul informatic integrat, cat şi prin alte protocoale dintre Sistemul informatic integrat şi instituţiile participante.
    (2) În funcţie de datele şi informaţiile care se deţin despre persoana fizica sau juridică verificata, în baza de date centrala sunt furnizate răspunsurile:
    a) "necunoscut" - dacă persoana nu figurează în baza de date;
    b) "date insuficiente" - dacă cererea de verificare nu conţine datele minime şi nici alte indicii de individualizare ori indiciile nu sunt concludente;
    c) "acces interzis" - dacă drepturile de acces nu corespund nivelului de protecţie al informaţiilor solicitate;
    d) datele şi informaţiile cu care persoana fizica sau juridică figurează în baza de date centrala şi la care utilizatorul care a formulat cererea este autorizat să aibă acces.


    Articolul 9

    Infrastructura de comunicaţii a Sistemului informatic integrat va respecta, din punct de vedere funcţional, următoarele norme:
    a) conectarea agentiilor va fi pe interfete standardizate, fiind independenta de furnizori, şi infrastructura nu va dicta în procesul de achiziţii de echipamente;
    b) este flexibila şi modulară;
    c) este total interoperabila;
    d) asigura autoapararea adaptiva şi securitatea cu servicii garantate;
    e) asigura un mediu comun de operare;
    f) asigura integrarea deplina a serviciilor;
    g) asigura operarea transparenta de către utilizatori;
    h) asigura o bandă variabila (capacitate) la solicitare. Largimea benzii de comunicaţii trebuie să permită accesul tuturor utilizatorilor Sistemului informatic integrat la informaţii în cel mai scurt timp;
    i) infrastructura de comunicaţii trebuie să aibă un caracter redundant atât din punct de vedere al asigurării unui canal de rezerva, cat şi din punct de vedere al normelor de securitate ale Centrului de management al Sistemului informatic integrat, conform managementului de riscuri;
    j) managementul traficului de comunicaţii va trebui să asigure descongestionarea segmentelor de reţea pe perioada vârfurilor de comunicaţie.


    Articolul 10

    (1) Protecţia informaţiilor în forma electronică din cadrul Sistemului informatic integrat va integra toate formele de protecţie pentru a acoperi vulnerabilitatile şi amenintarile cele mai probabile.
    (2) Sistemul de protecţie va urmări pe tot ciclul de viaţa al Sistemului informatic integrat respectarea următoarelor norme:
    a) normele de securitate se vor supune managementului de risc;
    b) normele de securitate vor fi elaborate în conformitate cu Legea nr. 182/2002 privind protecţia informaţiilor clasificate, Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicatiilor, cu modificările ulterioare, Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi cu Legea nr. 544/2001 privind liberul acces la informaţiile de interes public;
    c) normele de securitate vor trebui sa acopere întreaga sfera de manipulare a informaţiilor;
    d) normele de securitate cuprind asigurarea unei structuri de securitate proprii specializate pentru Sistemul informatic integrat;
    e) normele de securitate cuprind existenta unui audit intern şi acreditare de securitate din partea unui organism independent;
    f) rapoartele de securitate semestriale vor fi aduse la cunoştinţa structurilor de securitate ce răspund de protecţia informaţiilor stocate în cadrul sistemelor de prelucrare automată a datelor (INFOSEC) din instituţiile participante;
    g) depăşirea unei bariere de securitate trebuie să declanseze o alarma şi contramasuri înainte de a se aduce prejudicii;
    h) informaţiile vor avea etichete privind nivelul de protecţie necesar şi vor conţine date privind drepturile de acces;
    i) revizuirea nivelurilor de acces al diferiţilor participanţi la un anumit interval de timp, în funcţie de tipul informatiei pe care aceştia îl solicita sau au dreptul sa îl solicite, cat şi din punct de vedere al caracteristicilor informaţiilor pe care aceştia le incarca în sistem, norma similară cu prevederile documentului CM 49(2002) al Organizaţiei Tratatului Atlanticului de Nord;
    j) sistemul trebuie să ofere suport tehnic pentru controlul accesului, trasabilitatea informaţiilor şi a activităţilor;
    k) normele şi procedurile de securitate vor trebui să ofere suport pentru procedurile administrative, pentru îndeplinirea politicii de securitate pe toată durata de viaţa a sistemului şi a suporturilor informatiei;
    l) accesul va fi permis exclusiv persoanelor acreditate de la terminale acreditate; accesul unor persoane la baza de date comuna de la alte terminale decât cele desemnate va fi permis numai în baza unor aprobări temporare speciale;
    m) sistemul de securitate va face o delimitare clara între informaţiile publice (cu acces liber) şi informaţiile pentru care trebuie păstrată confidenţialitatea (se vor pune în practica prevederile Legii nr. 544/2001 şi Legii nr. 677/2001);
    n) pentru evaluarea sistemelor de securitate se va pleca de la Criteriile comune adoptate şi folosite în ţările integrate în structurile euroatlantice, iar acreditarea acestora va trebui facuta de O.R.N.I.S.S. în conformitate cu prevederile Hotărârii Guvernului nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România şi ale Ordonanţei de urgenta a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003;
    o) drepturile de acces în Centrul de management al Sistemului informatic integrat vor fi acordate în funcţie de evaluarile independente de securitate obţinute de fiecare locatie conectata la Centrul de management şi de reţeaua de conectare aferentă. Centrul de Management va tine evidenta tuturor statiilor conectate în sistem.
    (3) Sistemul de protecţie trebuie să asigure:
    a) disponibilitatea informatiei fiecărui beneficiar în momentul în care acesta are nevoie de ea;
    b) confidenţialitatea, prin păstrarea secretului tranzacţiilor şi al conţinutului informaţiilor faţă de un intrus sau faţă de un utilizator neautorizat;
    c) integritatea, prin păstrarea informaţiilor cu conţinutul şi forma date de autor;
    d) autenticitatea, astfel încât informaţia introdusă sau furnizată de Sistemul informatic integrat trebuie păstrată în legătură cu informaţia de autor;
    e) nerepudierea; sistemul va trebui să asigure mecanismul prin care atât autorul, cat şi utilizatorul informatiei sa nu poată sa conteste faptul ca a initiat informaţia sau ca a utilizat-o.
    (4) Politica de protecţie a informaţiilor în Sistemul informatic integrat va trebui sa integreze echilibrat următoarele forme de protecţie:
    a) protecţia fizica a ariilor de lucru, a echipamentelor, a suporturilor de memorie, a canalelor de comunicaţie etc. se va realiza prin barierele fizice de separare a ariilor de protecţie, cu delimitarea clara a tuturor punctelor de acces, metodele de control al accesului şi politica de acces în ariile protejate şi la echipamente;
    b) protecţia personalului va stabili criteriile de verificare, va urmări acreditarea personalului de deservire, întreţinere şi dezvoltare a Sistemului informatic integrat şi va defini categoriile de personal ce au acces la echipamente pentru operare sau întreţinere, nivelurile de verificare şi drepturile de acces în sistem, la informaţii şi aplicaţii. Protocoalele de acces vor stabili modul de schimbare a informaţiilor între Sistemul informatic integrat şi parteneri privind drepturile de acces convenite;
    c) protecţia împotriva scurgerii de informaţii prin emisii electromagnetice parazite (TEMPEST), care va include evaluări de susceptanta şi compatibilitate electromagnetica, iar în sistemele care vor prelucra sau tranzita informaţii clasificate se vor face şi măsurători şi evaluări TEMPEST;
    d) protecţia administrativă va urmări integrarea sarcinilor de securitate ce deriva din politica de securitate şi documentele aferente în proceduri operationale de securitate şi în fişele de post pentru toţi lucrătorii;
    e) protecţia comunicaţiilor (COMSEC) care dezvolta politica de protecţie a mesajelor transmise prin reţele de comunicaţii împotriva interceptarii, incluzând toate măsurile de protecţie a transmisiilor, canalelor şi echipamentelor ce deservesc comunicaţiile;
    f) protecţia informaţiilor în format electronic (INFOSEC), care va dezvolta politica de protecţie a echipamentelor de calcul şi a suporturilor de memorie, instituie mecanismul de securitate independent de administratorul de sistem, reglementează subordonarea administratorului de sistem şi a administratorului de securitate (ofiţerul de securitate al sistemului) şi stabileşte atribuţiile specifice fiecăruia;
    g) protecţia criptografica, care va face managementul şi urmărirea materialelor criptografice (echipamente de criptare, generare şi distribuţie de chei de criptare), va stabili regulile de utilizare a echipamentelor criptografice în conformitate cu politica generală de securitate.
    (5) Instituţiile abilitate prin lege vor pune la dispoziţia structurii de securitate a Sistemului informatic integrat toate informaţiile disponibile, precum şi analize privind amenintarile şi vulnerabilitatile sistemului descoperite în urma verificărilor făcute cu mijloace specifice.


    Articolul 11

    (1) În concordanta cu normele prevăzute la art. 9, procedurile de securitate ale Sistemului informatic integrat vor respecta următoarele principii:
    a) va trebui ţinuta o evidenta a vulnerabilitatilor cunoscute ale tuturor echipamentelor şi sistemelor, la nivel central, şi vor trebui evaluate permanent amenintarile la adresa sistemului, adaptate mereu la contramasurile adoptate prin reglementări generale şi politicile locale de securitate pentru a minimiza riscurile;
    b) sistemul trebuie protejat prin aranjarea unor arii de protecţie concentrice (minimum doua), separate prin bariere de netrecut şi puncte de acces bine definite pentru toate locatiile centrale şi terminale;
    c) fiecare bariera trebuie să oblige la întârzieri astfel încât contramasurile sa oprească depăşirea barierei şi ajungerea la informaţiile care necesita protecţie de nivel ridicat;
    d) se vor determina structurile critice ale sistemului din punct de vedere hard şi soft;
    e) analiza structurilor critice se va face pentru infrastructura de suport (hard şi soft) şi separat pentru aplicatiile critice;
    f) softul şi echipamentele folosite vor fi certificate din punct de vedere al securităţii;
    g) fiecare locatie aflată în proprietatea distinctă a unei instituţii va fi considerată un sistem de tehnologia informatiei separat, care va fi evaluat independent, conform politicii de securitate proprii;
    h) conectarea la Centrul de management al Sistemului informatic integrat se va face după obţinerea avizului de funcţionare a reţelei locale şi după aprobarea procedurilor şi normelor de conectare conform documentaţiei întocmite în acest sens;
    i) ariile de protecţie vor fi definite conform legilor şi reglementărilor internaţionale şi naţionale (Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România, Directiva Organizaţiei Tratatului Atlanticului de Nord AC/35-D/2001 privind securitatea fizica);
    j) administrarea Sistemului informatic integrat trebuie să prevadă separarea funcţiilor de securitate de cele administrative;
    k) sistemul va fi multinivel (în sensul Legii nr. 182/2002 şi al directivelor AC/35-D/2004 şi AC/35-D/2005 ale Organizaţiei Tratatului Atlanticului de Nord);
    l) accesul la informaţii se va realiza conform principiului "need to know" (nevoia de a şti) conferit de legi, regulamente, protocoale;
    m) structura de securitate va face analize de securitate semestrial şi va întocmi rapoarte de activitate (incidente);
    n) cuplarea bazelor de date la Centrul de management al Sistemului informatic integrat se va face după acreditarea sistemului de securitate al instituţiei conformă reglementărilor legale în vigoare la data cuplarii;
    o) rapoartele de activitate vor cuprinde informaţii privind vulnerabilitatile cunoscute şi neacoperite, ameninţări probabile, recomandări de contramasuri, studii de caz, analize de incidente detectate.
    (2) În faza de proiectare fizica a Sistemului informatic integrat se vor întocmi documentele necesare acreditării de securitate în conformitate cu practicile Organizaţiei Tratatului Atlanticului de Nord:
    a) politica de protecţie a Sistemului informatic integrat;
    b) profilul de protecţie (ameninţări generale) pentru sistemul suport şi principalele aplicaţii;
    c) obiectivele de securitate specifice Sistemului informatic integrat;
    d) proiectul de plan de securitate.
    (3) Evaluarea securităţii Sistemului informatic integrat se va face separat pe componente esenţiale:
    a) Centrul de management;
    b) reţelele de terminale de la instituţii;
    c) reţeaua de comunicaţii.


    Articolul 12

    (1) Conform prevederilor art. 18 din titlul II cartea I din Legea nr. 161/2003, în scopul asigurării protecţiei datelor, în ariile de responsabilitate ale Sistemului informatic integrat, pe lângă metodele, procedurile şi tehnologiile implementate la cererea administratorului Sistemului informatic integrat, instituţii din cadrul Sistemului naţional de apărare vor furniza mecanisme, echipamente şi proceduri de securitate a datelor, utilizând tehnologii de tip PKI, pentru: generarea şi distribuţia cheilor primare, validarea cheilor şi certificarea cheilor.
    (2) Desemnarea instituţiilor însărcinate cu îndeplinirea prevederilor alin. (1) se va face prin hotărâre a Guvernului, la propunerea Consiliului de conducere al Sistemului informatic integrat.


    Articolul 13

    (1) În termen de 6 luni de la intrarea în vigoare a prezentei hotărâri, instituţiile cu funcţie de administrare în Consiliul de conducere al Sistemului informatic integrat, conform hotărârilor Consiliului Suprem de Apărare a Tarii referitoare la Sistemul informatic integrat, au obligaţia de a adopta şi implementa măsurile necesare în vederea operationalizarii Centrului de management al Sistemului informatic integrat, prin replicarea bazelor de date proprietare, cu respectarea normelor şi procedurilor aprobate prin prezenta hotărâre.
    (2) În termen de 12 luni de la intrarea în vigoare a prezentei hotărâri, toate celelalte instituţii participante la Sistemul informatic integrat au obligaţia de a aplica prevederile art. 5.
    (3) În vederea operationalizarii celor trei componente ale Sistemului Electronic Naţional în sensul complementaritatii dintre acestea, conform prevederilor art. 9 şi 11 din titlul II cartea I din Legea nr. 161/2003, precum şi conform prevederilor hotărârilor Consiliului Suprem de Apărare a Tarii referitoare la Sistemul informatic integrat, până la data de 1 februarie 2004, operatorii Sistemului Electronic Naţional vor lua măsuri privind interconectarea Centrului Informatic Naţional al Bazelor de Date Integrate ale Ministerului Administraţiei şi Internelor, prevăzut la art. 32 din titlul II cartea I din Legea nr. 161/2003, cu Centrul de management al Sistemului informatic integrat.


    Articolul 14

    Normele şi procedurile interne ale Centrului de management al Sistemului informatic integrat, altele decât cele menţionate la art. 2-11 şi care urmează să fie elaborate de Consiliul de conducere al Sistemului informatic integrat, trebuie să fie în concordanta cu principiile conţinute în documentul CM 60/2002 al Organizaţiei Tratatului Atlanticului de Nord, în principal în sensul asigurării integrităţii şi disponibilităţii informaţiilor. Adoptarea acestora se face în urma aprobării lor de către Consiliul Suprem de Apărare a Tarii, precum şi de către Guvern.


    Articolul 15

    (1) Documentele de securitate ale Sistemului informatic integrat sunt:
    a) Politica de protecţie - consta în declaraţiile generale de protecţie, filozofia de protecţie a administraţiei Sistemului informatic integrat, cooperarea din punct de vedere al securităţii dintre administraţia sistemului şi partenerii la sistem;
    b) Profilul de protecţie (PP) - descrierea condiţiilor generale de mediu şi măsurile generale de protecţie ce deriva din vulnerabilitati, ameninţări şi reglementări ce privesc protecţia;
    c) Profilul de protecţie specific (SP) - descrierea condiţiilor specifice şi măsurile suplimentare date de specificitate;
    d) Planul de protecţie - măsurile de contracarare a amenintarilor şi vulnerabilitatilor pentru minimizarea riscurilor;
    e) Procedurile operationale de securitate - implementarea măsurilor de securitate din planul de securitate la nivelul fiecărui post de lucru.
    (2) Forma şi conţinutul documentelor de securitate ale Sistemului informatic integrat se aproba de către Consiliul de conducere al acestuia conform metodologiilor şi normelor elaborate de O.R.N.I.S.S.
    PRIM-MINISTRU
    ADRIAN NASTASE
    Contrasemnează:
    ---------------
    Directorul Serviciului Roman de Informaţii,
    Alexandru-Radu Timofte
    Ministrul comunicaţiilor
    şi tehnologiei informatiei,
    Dan Nica
    Ministrul administraţiei şi internelor,
    Ioan Rus
    Ministrul finanţelor publice,
    Mihai Nicolae Tanasescu
    Bucureşti, 14 august 2003.
    Nr. 952.
    -----------