In temeiul art. 4 alin. (1) pct. 58 si al art. 6 alin. (6) din Hotararea Guvernului nr. 12/2009 privind organizarea si functionarea Ministerului Comunicatiilor si Societatii Informationale, cu modificarile si completarile ulterioare, precum si al art. 17 alin. (2) si art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor in forma electronica,
ministrul comunicatiilor si societatii informationale emite urmatorul ordin:
Art. 1. — (1) Prezentul ordin se aplica centrelor de date utilizate de catre administratorii de arhive electronice, in conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica.
(2) Prezentul ordin stabileste procedura si conditiile privind acordarea, suspendarea si retragerea autorizarii centrelor de date, emise de catre Ministerul Comunicatiilor si Societatii Informationale, denumit in continuare MCSI, precum si continutul, durata de valabilitate si efectele suspendarii sau retragerii autorizarii.
Art. 2. — In intelesul prezentului ordin, urmatorii termeni se definesc astfel:
a) centru de date — spatiu securizat, dotat cu tehnica de calcul si echipamente de comunicatii prin intermediul carora se primesc, se stocheaza si se transmit date in forma electronica;
b) procedura de autorizare — metoda de evaluare sistematica, documentata, periodica si obiectiva a performantei centrului de date, a sistemului de management si a proceselor destinate protectiei arhivelor electronice, in scopul verificarii respectarii cerintelor prevazute de legislatia in vigoare;
c) ordin de autorizare — document emis de MCSI care atesta ca un centru de date indeplineste toate conditiile cerute de legislatia in vigoare in vederea desfasurarii operatiunilor de arhivare electronica;
d) backup — activitatea de copiere a unor fisiere sau baze de date in vederea conservarii si recuperarii acestora in cazul unei avarii sau al altui eveniment neprevazut;
e) UPS (Uninterruptible Power Supply) — dispozitiv care permite calculatorului sa functioneze pentru o perioada scurta de timp in cazul in care sursa principala de energie este intrerupta, respectiv care asigura protectie impotriva suprasarcinilor tranzitorii;
f) firewall — dispozitiv hardware sau aplicatie software care monitorizeaza si filtreaza permanent transmisiile de dater realizate intre reteaua protejata si alte retele, pe baza unui set de reguli si criterii;
g) router — dispozitiv hardware sau aplicatie software care conecteaza doua sau mai multe retele de calculatoare;
h) upgrade — proces de imbunatatire a unui echipament tehnic sau a unei aplicatii software;
i) redundanta — introducere de dispozitive suplimentare fata de cel de baza, care sa asigure functionarea unui sistem in cazul in care unul dintre dispozitivele cu aceeasi functie a iesit intamplator din uz.
Art. 3. — Centrele de date utilizate de catre administratorii de arhive electronice trebuie sa dispuna de dotarile tehnice si sa aplice politicile si procedurile de management si de securitate necesare pentru a indeplini conditiile prevazute la art. 17 alin. (1) din Legea nr. 135/2007.
Art. 4. — (1) Persoana fizica sau juridica care intentioneaza sa obtina autorizarea unui centru de date in vederea desfasurarii activitatilor legate de arhivarea electronica a documentelor, denumita in continuare solicitant, va transmite MCSI o cerere scrisa in acest sens. Forma si continutul acestei cereri sunt prevazute in anexa nr. 1.
(2) Cererea prevazuta la alin. (1) va fi insotita de urmatoarele documente:
a) descrierea politicilor si procedurilor de lucru, incluzand enumerarea posturilor si a functiilor personalului, precum si calificarile/atestarile profesionale ale acestuia;
b) descrierea generala a echipamentelor utilizate in procesul de arhivare;
c) procedurile pentru asigurarea disponibilitatii serviciului;
d) politica generala de securitate, politicile privind utilizatorii, parolele si accesul la sisteme.
(3) Cererea si documentele anexate se transmit la sediul MCSI in unul dintre urmatoarele moduri:
a) prin depunere, personal sau de catre reprezentantul legal, cu luare de numar de inregistrare de la registratura generala a MCSI;
b) printr-un serviciu postal;
c) ca inscris in forma electronica, caruia i s-a incorporat, I s-a atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice.
(4) Este considerata data a transmiterii, dupa caz, data inscrierii in registrul general de intrare-iesire a corespondentei al MCSI, data confirmarii primirii documentelor la sediul MCSI printr-un serviciu postal cu confirmare de primire sau data confirmarii primirii inscrisului in forma electronica.
(5) In cazul in care documentatia nu indeplineste conditiile prevazute de prezentul ordin, MCSI va solicita completarea acesteia, in termen de 10 zile de la transmiterea solicitarii de completare.
(6) In cazul in care documentatia transmisa potrivit alin. (1)—(3) este completa sau a fost completata in conformitate cu prevederile alin. (5), MCSI demareaza procedura de autorizare a centrului de date.
Art. 5. — (1) Verificarea indeplinirii conditiilor in vederea autorizarii se face de catre personalul MCSI cu atributii in acest sens, in cadrul procedurii de autorizare.
(2) Pe perioada desfasurarii procedurii de autorizare, MCSI poate solicita orice documente referitoare la activitatea centrului de date care au legatura cu activitatea de arhivare electronica si poate efectua actiuni de control pentru a verifica conformitatea dintre informatiile declarate in cursul procedurii de autorizare si realitate.
Art. 6. — In vederea autorizarii, centrul de date trebuie sa indeplineasca conditiile prevazute la art. 17 alin. (1) din Legea nr. 135/2007, obiectivele principale urmarite de MCSI in cursul procedurii de autorizare pentru verificarea indeplinirii acestor conditii fiind urmatoarele:
a) asigurarea securitatii si integritatii datelor, la nivel de securitate fizica si acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare electronica si backupul informatiilor stocate.
Art. 7. — In cursul procedurii de autorizare, MCSI va verifica indeplinirea de catre centrul de date, in mod cumulativ, a conditiilor prevazute la art. 8—12.
Art. 8. — Spatiul in care functioneaza centrul de date trebuie sa fie amenajat astfel incat sa fie posibila respectarea cerintelor de securitate specifice si sa asigure functionarea echipamentelor la parametrii optimi prevazuti de producatorii acestora. In acest sens, se vor asigura:
a) instalarea unor sisteme de climatizare care sa asigure valorile optime de temperatura si umiditate in vederea functionarii echipamentelor in conditii de siguranta;
b) utilizarea de materiale ignifuge si instalarea unor sisteme de prevenire si stingere a incendiilor, concepute special pentru evitarea deteriorarii echipamentelor;
c) dimensionarea corespunzatoare a retelei electrice, in functie de consumurile echipamentelor folosite;
d) garantarea sigurantei la defectiunile previzibile ale sistemelor de utilitati (apa, gaze etc.) care deservesc spatiul care gazduieste centrul de date.
Art. 9. — Asigurarea redundantei si realizarea backupului trebuie sa fie implementate prin urmatoarele masuri:
a) utilizarea de dispozitive UPS si/sau generatoare electrice, care sa asigure functionarea neintrerupta a echipamentelor in cazul opririi alimentarii cu curent electric de la reteaua principala;
timpul de asigurare a alimentarii din sursa de urgenta va fi calculat in functie de timpii estimati pentru remedierea posibilelor avarii care ar surveni la reteaua electrica principala;
b) duplicarea tuturor elementelor retelei electrice si asigurarea posibilitatii comutarii automate de pe reteaua principala pe reteaua de rezerva;
c) utilizarea procedurilor de lucru care sa asigure efectuarea de backup periodic al tuturor informatiilor pastrate in centrul de date si stocarea acestora in alt spatiu, diferit de spatiul principal al centrului de date, cu asigurarea acelorasi conditii de securitate ca si cele ale spatiului principal, aflat la o distanta fata de spatiul principal care sa corespunda normelor europene in domeniu;
d) asigurarea unor proceduri de mentenanta pentru echipamente si pentru infrastructura, respectand recomandarile producatorilor echipamentelor respective, astfel incat sa se minimizeze riscul aparitiei de probleme tehnice;
e) in cazul echipamentelor critice (a caror functionare permanenta este esentiala in asigurarea continuitatii functionarii centrului de date) se vor asigura echipamente de rezerva, care vor fi folosite pe perioada efectuarii operatiunilor de mentenanta ce implica oprirea sau deconectarea respectivului echipament si pe perioada in care echipamentul principal este afectat de defectiuni tehnice.
Art. 10. — Centrul de date trebuie sa aiba o structura scalabila, atat in ceea ce priveste echipamentele informatice utilizate, cat si in ceea ce priveste infrastructura, cu scopul de a pastra performantele sistemului la un nivel constant in cazul aparitiei de conditii noi (marirea capacitatii centrului de date, facilitati noi etc.).
Art. 11. — (1) Centrul de date trebuie sa asigure securitatea si integritatea informatiilor stocate, atat in ceea ce priveste accesul fizic la echipamentele utilizate, cat si in ceea ce priveste accesul prin mijloace electronice la documentele arhivate.
(2) Securitatea fizica presupune luarea urmatoarelor masuri:
a) accesul controlat la echipamentele centrului de date utilizate pentru arhivarea electronica a documentelor, cu precizarea mai multor niveluri de drepturi de acces ale personalului care opereaza sistemele;
b) utilizarea echipamentelor speciale de evitare si detectie a intruziunilor fizice.
(3) Pentru asigurarea securitatii accesului prin mijloace electronice la documentele arhivate trebuie utilizate urmatoarele masuri tehnice:
a) sisteme de detectie a intruziunilor (Intrusion Detection System — IDS);
b) firewall (software si/sau hardware), routere pentru filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de autentificare si de autorizare a accesului la date;
e) jurnalizarea automata a actiunilor efectuate in sistem.
Art. 12. — Operarea centrului de date trebuie realizata respectandu se strategii, politici si proceduri bine determinate in ceea ce priveste managementul, controlul si securitatea sistemelor. In realizarea acestor politici si proceduri se vor respecta urmatoarele cerinte minimale:
a) jurnalizarea cronologica a actiunilor efectuate in sistem (accesul fizic la echipamente, comutari de pe un sistem pe altul, procese de mentenanta, actiuni ale operatorului etc.);
b) evaluarea la intervale regulate a infrastructurii centrului de date, a sistemului de securitate si a echipamentelor informatice folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calitatii;
d) evaluarea efectelor extinderilor si upgrade-urilor;
e) realizarea auditului regulat al planului de securitate;
f) evaluarea si perfectionarea periodica a personalului;
g) implementarea unor politici de resurse umane care sa asigure operarea centrului de date de catre personal specializat care sa dispuna de certificari in domeniu.
Art. 13. — (1) In termen de 30 de zile de la primirea documentatiei in conformitate cu prevederile art. 4 alin. (1)—(3) sau a completarilor solicitate in conformitate cu prevederile art. 4 alin. (5), MCSI emite ordinul de autorizare a centrului de date sau ordinul de respingere a cererii de autorizare, motivat in mod corespunzator.
(2) Forma si continutul ordinului de autorizare a centrului de date sunt prevazute in anexa nr. 2.
Art. 14. — (1) Ordinul de autorizare este valabil pentru o perioada de 3 ani de la data emiterii acestuia.
(2) Autorizarea poate fi reinnoita, procedura de reautorizare fiind identica cu cea de autorizare.
(3) Pe durata valabilitatii autorizarii, MCSI are dreptul de a efectua actiuni de control periodice, pentru verificarea mentinerii conditiilor de functionare a centrului de date.
Art. 15. — (1) Constatarea de catre personalul de control de specialitate din cadrul MCSI a neindeplinirii conditiilor minime de functionare a centrului de date atrage suspendarea ordinului de autorizare pe o perioada de 30 de zile; in aceasta perioada, centrul de date nu poate primi spre stocare documente in forma electronica.
(2) Daca deficientele survenite in functionarea centrului de date nu sunt remediate in intervalul de timp prevazut la alin. (1), autorizarea se retrage, prin ordin emis de ministrul comunicatiilor si societatii informationale.
(3) In cazul expirarii duratei de valabilitate a autorizarii, precum si in cazul retragerii autorizarii de catre MCSI in conditiile alin. (2), centrul de date nu mai poate furniza servicii legate de arhivarea electronica in sensul Legii nr. 135/2007.
(4) In cazul intentiei de incetare a activitatii centrului de date autorizat in conditiile prezentului ordin, MCSI va fi informat, cu cel putin 30 de zile in avans, despre aceasta intentie si despre existenta si natura imprejurarii care justifica imposibilitatea de continuare a activitatii. La data incetarii activitatii centrului de date, autorizarea se retrage, prin ordin emis de ministrul comunicatiilor si societatii informationale.
Art. 16. — Pentru functionarea corespunzatoare a centrelor de date se recomanda aplicarea si respectarea urmatoarelor standarde sau a unor standarde echivalente:
a) SR ISO/CEI 17799: 2006 Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru managementul securitatii informatiei;
b) SR ISO/IEC 27001: 2006 Tehnologia informatiei. Tehnici de securitate. Sisteme de management al securitatii informatiei.
Cerinte;
c) SR ISO/CEI 15408-1: 2004 Tehnologia informatiei. Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei informatiei. Partea 1: Introducere si model general;
d) ISO/IEC 20000-1: 2005 Tehnologia informatiei — Managementul securitatii — Partea 1: Specificatii;
e) ISO/IEC 20000-2: 2005 Tehnologia informatiei — Managementul securitatii — Partea a 2-a: Cod de practica;
f) TIA/EIA 942 2005 Standard privind infrastructura de telecomunicatii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informatiei. Sisteme
generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informatiei. Sisteme generice de cablare. Partea 1: Cerinte generale.
Art. 17. — Anexele nr. 1 si 2 fac parte integranta din prezentul ordin.
Art. 18. — (1) La data intrarii in vigoare a prezentului ordin se abroga Decizia presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.131/2008 privind normele metodologice de autorizare a centrelor de date, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 861 din 20 decembrie 2008.
(2) Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.
Ministrul comunicatiilor si societatii informationale,
Gabriel Sandu
Bucuresti, 15 iunie 2009.
Nr. 489.
_____
Nota Avocatnet.ro:
- Va prezentam ca fisiere atasate anexele 1 si 2 ale Ordinului.
avocatnet.ro explicăm legislația
articole
Informații utile în viața ta personală
Salarizare, taxare & relația cu statul
Ghid auto
Ghidul antreprenorului
Justițiabil in România
Date personale & viața privată
Start-up
Editorial
Weekend
IMM & Antreprenoriat
Taxe și impozite
Relații de muncă & Asigurări sociale
PFA & Profesii liberale
Finanțări
Aspecte juridice
întrebări și răspunsuri
Acum în comunitate
191 mesaje publicate astăzi
56 utilizatori online
4 consultanți online
56 utilizatori online
4 consultanți online
consultanți
Vreau consultanță
Pe avocatnet.ro găsești mii de consultanți, din diferite domenii, pe care îi poți contacta direct.
Află cum!
Vreau să ofer consultanță
Pe avocatnet.ro se fac lunar mii de cereri de consultanță către consultanții înscriși.
Află detalii!
Implică-te, ajută-i pe alții
și fă-te cunoscut
Vrei să afle și alții câte lucruri știi în domeniul tău de activitate?
Răspunde la întrebăriși fă-te cunoscut
bozluc
Comentarii articol (0)