Art. 16. - Principalele responsabilităţi ale AOSIC sunt următoarele: - Ordinul 86/2013 pentru aprobarea Directivei privind structurile cu responsabilităţi în domeniul INFOSEC - INFOSEC 1

M.Of. 627

În vigoare

Versiune de la: 9 Octombrie 2013

Art. 16

(1)Principalele responsabilităţi ale AOSIC sunt următoarele:

a)elaborarea şi actualizarea documentaţiei de securitate aferente procesului de acreditare de securitate a SIC din responsabilitatea sa;

b)propunerea de măsuri INFOSEC în vederea implementării acestora în SIC din responsabilitatea sa, în cooperare cu structura de planificare a SIC, şi asigurarea faptului că măsurile INFOSEC sunt implementate şi menţinute;

c)stabilirea, încă de la începutul ciclului de viaţă a sistemului, a resurselor necesare aplicării standardelor INFOSEC;

d)participarea la selectarea şi testarea măsurilor de securitate asociate SIC din responsabilitate şi supravegherea punerii lor în aplicare, pentru a se asigura că instalarea, configurarea, exploatarea şi întreţinerea acestora se realizează în conformitate cu documentaţia de securitate aprobată;

e)asigurarea formării şi dezvoltării culturii de securitate în domeniul protecţiei informaţiilor vehiculate prin SIC;

f)asigurarea derulării eficiente a procesului de acreditare de securitate a SIC; solicitarea reacreditării de securitate, în conformitate cu cerinţele stabilite de către AAS;

g)asigurarea implementării şi menţinerii măsurilor de securitate asociate SIC în conformitate cu documentaţia de securitate aprobată;

h)verificarea periodică a implementării şi menţinerii măsurilor de securitate asociate SIC, pentru a se asigura că acestea sunt în conformitate cu documentaţia de securitate aprobată;

i)investigarea cazurilor de încălcare sau a celor în care se suspectează încălcarea măsurilor de securitate, evaluarea prejudiciului cauzat şi raportarea concluziilor către structura de planificare a SIC şi către AAS;

j)asigurarea managementului materialului criptografic şi asigurarea custodiei elementelor criptografice şi celor controlate şi, dacă este cazul, asigurarea generării variabilelor criptografice.

(2)În funcţie de complexitatea SIC, AOSIC poate conţine, pe lângă administratorul de securitate al SIC şi administratorul de sistem, şi alte persoane, cum ar fi administratorul de securitate al componentei de comunicaţii a SIC, administratori de securitate pentru zonele terminalelor SIC etc., care pot avea atribuţii similare cu cele ale administratorului de securitate al SIC, corespunzătoare domeniului lor de responsabilitate.

(3)AOSIC asigură controlul şi evidenţa activităţilor desfăşurate de utilizatorii SIC. În cazul în care SIC este interconectat cu alte SIC aflate sub controlul altor AOSIC, aceasta trebuie să colaboreze cu celelalte AOSIC pentru a se asigura că securitatea SIC propriu nu este afectată.

(4)În cazul interconectării mai multor SIC, trebuie încheiat un acord oficial între AOSIC implicate, acord care să stabilească limitele de responsabilitate ale fiecărei părţi, cerinţele de securitate şi cerinţele privind acreditarea de securitate pentru fiecare dintre SIC interconectate.