numărul 17, martie 2010 - Serviciul Român de Informaţii
numărul 17, martie 2010 - Serviciul Român de Informaţii
numărul 17, martie 2010 - Serviciul Român de Informaţii
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
SINFO<br />
EC<br />
STANDARDIZAREA ŞI EVALUAREA<br />
MĂSURILOR DE PROTECŢIE A<br />
SURSELOR GENERATOARE DE<br />
INFORMAŢII<br />
Articolul <strong>de</strong> faţă prezintă standardul <strong>de</strong> facto din domeniul evaluării criptografice, cunoscut sub acronimul<br />
FIPS PUB 140-2, precum şi metodologia <strong>de</strong> aplicare a acestuia în cadrul procesului <strong>de</strong> evaluare criptografică.<br />
Emil Simion<br />
L egea 182/2002 [9] şi normele <strong>de</strong> aplicare ale<br />
acesteia, prevăzute în H.G. 585/2002 [6], cu<br />
<strong>de</strong>sfăşoară activitatea în cadrul Institutului pentru<br />
Tehnologii Avansate (ITA), institut aflat în subordinea<br />
<strong>Serviciul</strong>ui <strong>Român</strong> <strong>de</strong> <strong>Informaţii</strong>.<br />
completările şi modificările ulterioare, stabilesc cadrul SISTEMUL DE SECURITATE AL<br />
normativ <strong>de</strong> protecţie a informaţiilor naţionale<br />
clasificate. Astfel, o parte dintre măsurile prevăzute în<br />
INFORMAŢIILOR<br />
H.G. 585/2002 sunt cele referitoare la protecţia În cele ce urmează, vom încerca să <strong>de</strong>finim ierarhizat<br />
surselor generatoare <strong>de</strong> informaţii - INFOSEC. sistemul <strong>de</strong> securitate al informaţiilor INFOSEC, aşa<br />
Oficiul Registrului Naţional al <strong>Informaţii</strong>lor Secrete cum rezultă din standar<strong>de</strong>le internaţionale din<br />
<strong>de</strong> Stat (ORNISS), ce funcţionează în baza O.G.U. domeniul securităţii informatice, reprezentate, spre<br />
153/2002 [7], este autoritatea naţională cu atribuţii în exemplu, <strong>de</strong> ISO 15408 şi FIPS PUB 140-2, şi ale<br />
domeniul certificării Sistemelor Informatice şi <strong>de</strong> legislaţiei naţionale reprezentate <strong>de</strong> Legea 182/2002<br />
Comunicaţii (SIC) ce vehiculează informaţii naţionale privind protecţia informaţiilor clasificate şi H.G.<br />
clasificate. Această certificare presupune, printre 585/2002 referitoare la normele <strong>de</strong> aplicare ale<br />
altele, verificarea conformităţii SIC cu normativele<br />
naţionale. O atenţie <strong>de</strong>osebită, fără a neglija factorul<br />
acesteia.<br />
uman, măsurile procedurale şi cele administrative,<br />
trebuie acordată securităţii IT şi a comunicaţiilor,<br />
Legislaţie şi standar<strong>de</strong> internaţionale<br />
măsurilor TEMPEST, precum şi măsurilor Reţelele <strong>de</strong> comunicaţii şi sistemele informatice au<br />
criptografice. În cele ce urmează, vom realiza un <strong>de</strong>venit un factor cheie în <strong>de</strong>zvoltarea economicostudiu<br />
al standar<strong>de</strong>lor criptografice utilizate în socială şi <strong>de</strong> aceea integritatea şi disponibilitatea lor a<br />
proiectarea şi evaluarea sistemelor criptografice ca<br />
părţi componente ale unui SIC.<br />
căpătat o importanţă vitală.<br />
Practica în domeniul evaluării sistemelor Rezoluţia Consiliului European din 30 mai<br />
criptografice a impus ca standard <strong>de</strong> facto standardul 2001 <strong>de</strong>fineşte securitatea informaţiilor şi reţelelor ca<br />
FIPS PUB 140-2, elaborat <strong>de</strong> către National Institute reprezentând mijloacele care:<br />
of Standards and Technologies (NIST). În <strong>Român</strong>ia, ◦ asigură disponibilitatea serviciilor şi datelor;<br />
prin directiva INFOSEC 12 [2], emisă <strong>de</strong> către ◦ previn distrugerea şi interceptarea neautorizată a<br />
ORNISS, s-a creat cadrul legal <strong>de</strong> funcţionare al comunicaţiilor;<br />
entităţilor <strong>de</strong> evaluare. Până la ora actuală, sunt ◦ asigură confi<strong>de</strong>nţialitatea datelor;<br />
certificate la nivel naţional, <strong>de</strong> către ORNISS, trei ◦ protejează sistemele informatice împotriva accesului<br />
laboratoare <strong>de</strong> evaluare a produselor criptografice şi neautorizat;<br />
patru laboratoare <strong>de</strong> evaluare TEMPEST. Unul dintre ◦ asigură protecţia împotriva atacurilor prin software<br />
cele trei laboratoare <strong>de</strong> evaluare a produselor cu <strong>de</strong>stinaţie răuvoitoare;<br />
criptografice, ce a fost certificat <strong>de</strong> către ORNISS, îşi ◦ asigură sistemele <strong>de</strong> autentificare.<br />
<strong>martie</strong>-mai <strong>2010</strong> 97