A. Masuri si cerinte specifice INFOSEC
Masurile de protectie a informatiilor clasificate īn format electronic se aplica sistemelor SPAD si RTD - SIC care stocheaza, proceseaza sau transmit asemenea informatii.
Unitatile detinatoare de informatii clasificate au obligatia de a stabili si implementa un ansamblu de masuri de securitate a sistemelor SPAD si RTD - SIC - fizice, de personal, administrative, de tip TEMPEST si criptografic.
Masurile de securitate destinate protectiei SPAD si RTD - SIC trebuie sa asigure controlul accesului pentru prevenirea sau detectarea divulgarii neautorizate a informatiilor. Procesul de certificare si acreditare va stabili daca aceste masuri sunt corespunzatoare.
B. Cerinte de securitate specifice SPAD si RTD - SIC
Cerintele de securitate specifice - CSS se constituie īntr-un document īncheiat īntre agentia de acreditare de securitate si CSTIC, ce va cuprinde principii si masuri de securitate care trebuie sa stea la baza procesului de certificare si acreditare a SPAD sau RTD - SIC.
CSS se elaboreaza pentru fiecare SPAD si RTD - SIC care stocheaza, proceseaza sau transmite informatii clasificate, sunt stabilite de catre CSTIC si aprobate de catre agentia de acreditare de securitate.
CSS vor fi formulate īnca din faza de proiectare a SPAD sau RTD - SIC si vor fi dezvoltate pe tot ciclul de viata al sistemului.
CSS au la baza standardele nationale de protectie, parametrii esentiali ai mediului operational, nivelul minim de autorizare a personalului, nivelul de clasificare a informatiilor gestionate si modul de operare a sistemului care urmeaza sa fie acreditat.
C. Moduri de operare
SPAD si RTD - SIC care stocheaza, proceseaza sau transmit informatii clasificate vor fi certificate si acreditate sa opereze, pe anumite perioade de timp, īn unul din urmatoarele moduri de operare:
a) dedicat;
b) de nivel īnalt;
c) multi-nivel.
Īn modul de operare dedicat, toate persoanele cu drept de acces la SPAD sau la RTD trebuie sa aiba certificat de securitate pentru cel mai īnalt nivel de clasificare a informatiilor stocate, procesate sau transmise prin aceste sisteme. Necesitatea de a cunoaste pentru aceste persoane se stabileste cu privire la toate informatiile stocate, procesate sau transmise īn cadrul SPAD sau RTD - SIC.
Īn acest mod de operare, principiul necesitatii de a cunoaste nu impune o separare a informatiilor īn cadrul SPAD sau RTD, ca mijloc de securitate a SIC. Celelalte masuri de protectie prevazute vor asigura īndeplinirea cerintelor impuse de cel mai īnalt nivel de clasificare a informatiilor gestionate si de toate categoriile de informatii cu destinatie speciala stocate, procesate sau transmise īn cadrul SPAD sau RTD.
Īn modul de operare de nivel īnalt, toate persoanele cu drept de acces la SPAD sau la RTD - SIC trebuie sa aiba certificat de securitate pentru cel mai īnalt nivel de clasificare a informatiilor stocate, procesate sau transmise īn cadrul SPAD sau RTD - SIC, iar accesul la informatii se va face diferentiat, conform principiului necesitatii de a cunoaste.
Pentru a asigura accesul diferentiat la informatii, conform principiului necesitatii de a cunoaste, se instituie facilitati de securitate care sa asigure un acces selectiv la informatii īn cadrul SPAD sau RTD - SIC.
Celelalte masuri de protectie vor satisface cerintele pentru cel mai īnalt nivel de clasificare si pentru toate categoriile de informatii cu destinatie speciala stocate, procesate, transmise īn cadrul SPAD sau RTD - SIC.
Toate informatiile stocate, procesate sau vehiculate īn cadrul unui SPAD sau RTD - SIC īn acest mod de operare vor fi protejate ca informatii cu destinatie speciala, avānd cel mai īnalt nivel de clasificare care a fost constatat īn multimea informatiilor stocate, procesate sau vehiculate prin sistem.
Īn modul de operare multi-nivel, accesul la informatiile clasificate se face diferentiat, potrivit principiului necesitatii de a cunoaste, conform urmatoarelor reguli:
a) nu toate persoanele cu drept de acces la SPAD sau RTD - SIC au certificat de securitate pentru acces la informatii de cel mai īnalt nivel de clasificare care sunt stocate, procesate sau transmise prin aceste sisteme;
b) nu toate persoanele cu acces la SPAD sau RTD - SIC au acces la toate informatiile stocate, procesate sau transmise prin aceste sisteme.
Aplicarea regulilor prevazute la alin. impune instituirea, īn compensatie, a unor facilitati de securitate care sa asigure un mod selectiv, individual, de acces la informatiile clasificate din cadrul SPAD sau RTD - SIC.
D. Administratorii de securitate
Securitatea SPAD a retelei si a obiectivului SIC se asigura prin functiile de administrator de securitate.
Administratorii de securitate sunt:
a) administratorul de securitate al SPAD;
b) administratorul de securitate al retelei;
c) administratorul de securitate al obiectivului SIC.
Functiile de administratori de securitate trebuie sa asigure īndeplinirea atributiilor CSTIC. Daca este cazul, aceste functii pot fi cumulate de catre un singur specialist.
CSTIC desemneaza un administrator de securitate al SPAD responsabil cu supervizarea dezvoltarii, implementarii si administrarii masurilor de securitate dintr-un SPAD, inclusiv participarea la elaborarea procedurilor operationale de securitate.
La recomandarea autoritatii de acreditare de securitate, CSTIC poate desemna structuri de administrare ale SPAD care īndeplinesc aceleasi atributii.
Administratorul de securitate al retelei este desemnat de CSTIC pentru un SIC de mari dimensiuni sau īn cazul interconectarii mai multor SPAD si īndeplineste atributii privind managementul securitatii comunicatiilor.
Administratorul de securitate al obiectivului SIC este desemnat de CSTIC sau de autoritatea de securitate competenta si raspunde de asigurarea implementarii si mentinerea masurilor de securitate aplicabile obiectivului SIC respectiv.
Responsabilitatile unui administrator de securitate al obiectivului SIC pot fi īndeplinite de catre structura/functionarul de securitate al unitatii, ca parte a īndatoririlor sale profesionale.
Obiectivul SIC reprezinta un amplasament specific sau un grup de amplasamente īn care functioneaza un SPAD si/sau RTD. Responsabilitatile si masurile de securitate pentru fiecare zona de amplasare a unui terminal/statie de lucru care functioneaza la distanta trebuie explicit determinate.
E. Utilizatorii si vizitatorii
Toti utilizatorii de SPAD sau RTD - SIC poarta responsabilitatea īn ce priveste securitatea acestor sisteme - raportate, īn principal, la drepturile acordate si sunt indrumati de catre administratorii de securitate.
Utilizatorii vor fi autorizati pentru clasa si nivelul de secretizare a informatiilor clasificate stocate, procesate sau transmise īn SPAD sau RTD - SIC. La acordarea accesului la informatii, individual, se va urmari respectarea principiului necesitatii de a cunoaste.
Informarea si constientizarea utilizatorilor asupra īndatoririlor lor de securitate trebuie sa asigure o eficacitate sporita a sistemului de securitate.
Vizitatorii trebuie sa aiba autorizare de securitate de nivel corespunzator si sa īndeplineasca principiul necesitatii de a cunoaste, īn situatia īn care accesul unui vizitator fara autorizare de securitate este considerat necesar, vor fi luate masuri de securitate suplimentare pentru ca acesta sa nu poata avea acces la informatiile clasificate.