Implementarea Public Key Infrastructure (pki) la Nivelul Ministerului Afacerilor Interne (mai)

Implementarea Public Key Infrastructure (PKI) la nivelul Ministerului Afacerilor Interne (MAI)

CUPRINS

INTRODUCERE

CAPITOLUL 1

1. Informatii generale

1.1 Cadrul legal

1.2 Obiectivele PKI MAI

2. Componentele PKI MAI

2.1 PKI central MAI

2.1.1. Cerinte tehnice si functionale

2.1.1.1. Bridge CA

2.1.1.2. Serviciu de directoare central

2.1.1.3.Serviciu de validare a stării certificatelor

CAPITOLUL 2

2.2. PKI – structuri MAI

2.2.1. Gestiune certificatelor digitale

2.2.1.2 Serviciul de validare a starii certificatelor

2.2.1.3. Serviciul de marcare temporala

2.2.1.4.Serviciul de recuperare a cheilor private de criptare

2.2.1.5.Modulul de administrare al token-urilor USB

2.2.1.6.Serviciul de directoare local

2.3. Echipamente hardware si de comunicații

3.Sistemul de securitate fizica

3.1Structura sistemului de securitate fizica

3.1.1.Subsistemul de televiziune cu circuit inchis

3.1.2.Subsistemul de control acces

3.1.3.Subsistemul de detectie si avertizare a efractiei

3.1.4.Subsistemul de detectie a inundatiilor

3.1.5.Subsistemul de protectie perimetrala

3.1.6.Subsistemul dispecerat

3.1.7.Managementul structurii sistemului de securitate fizica

4. Sistemul de detectie si stingere incendiu

4.1.Subsistemul de stingere incendiu

4.2.Protectie TEMPEST

5.Aplicatii ce utilizeaza PKI

5.1.Aplicatie pentru autentificare unitara la aplicatii Web pe baza de certificat digital

5.2.Aplicatie de securitate pentru statiile de lucru

5.2.1Cerinte functionale si tehnice

5.2.1.1Asigurarea confidentialitatii informatiilor

5.3.Aplicatie pentru management securizat de documente

5.3.1.Cerinte functionale

5.3.1.1.Caracteristici avansate de securitate

5.3.1.2.Managementul ciclului de viata al documentelor.

5.3.1.3.Lucrul in comun pe documente

5.3.1.4.Managementul fluxurilor de lucru

5.3.1.5.Arhivarea documentelor

5.3.1.6.Registratura electronica

CONCLUZII

BIBLIOGRAFIE

Introducere

Instaurarea erei informatice constituie în prezent una dintre cele mai mari realizări tehnico-științifice, având un impact pozitiv asupra tuturor laturilor vieții societății contemporane. La etapa actuală, activitatea celor mai multe organizații depinde în proporție de peste 65 % de propriul lor sistem informatic . Dezvoltarea și ampla implementare a tehnologiilor informaționale a generat însă, un șir de probleme legate de asigurarea integrității, confidențialității și a disponibilității informației aflate pe suport electronic. Problema securității informației se acutizează pe măsură ce sunt inventate și puse în aplicare metode tot mai sofisticate de atac asupra informației

In aceasta lucrare voi discuta despre necesitatea implementării Public Key Infrastructure (PKI) la nivelul Ministerului Afacerilor Interne (MAI), necesitate apărută odată cu aderarea ca membru cu drepturi depline la Uniunea Europeana, la 1 ianuarie 2007. Atunci Romania a intrat într-o nouă etapă, care presupune pregatirea si adoptarea masurilor necesare aderării ulterioare la spațiul Schengen.

Necesitatea implementarii Public Key Infrastructure (PKI) la nivelul Ministerului Afacerilor Interne (MAI), a apărut odată cu obligativitatea securizării accesului tuturor utilizatorilor Sistemului Informațional Schengen (SIS) la sistemele ce au facut obiectul finanțării „Schengen Facility” sau cu care acestea interacționeaza, ca urmare a nivelul de securizare al acestui tip de acces extrem de scăzut, și care, nu permitea integrarea cerințelor SIS, naționale și europene cu privire la manipularea datelor cu caracter personal și a altor tipuri de informații.

Obligativitatea implementarii acestui tip de infrastructura Public Key Infrastructure (PKI)- rezulta din cadrul său functional, bazat pe standarde, pentru o mare varietate de componente, aplicatii, politici si practici al caror scop este atingerea celor patru functionalitati principale ale schimbului de informatii:

• confidentialitatea – secretizarea informatiei;

• integritatea – asigurarea impotriva manipularii frauduloase a informatiei;

• autentificarea – verificarea identitatii unui individ sau a unei aplicatii;

• non-repudierea – asigurarea paternitatii mesajului;

In sectiunea practica a tezei voi analiza „Extinderea Infrastructurii de Chei Publice (PKI) la Nivelul Sistemelor Informatice Sectoriale din Cadrul MAI”. Principalul obiectiv a fost sporirea nivelului de protectie a informatiilor procesate, stocate si transmise de catre structurile din cadrul MAI precum si pentru asigurarea cadrului de interoperabilitate pentru schimbul protejat de informatii cu institutii externe. Acest schimb de informatii a fost necesar in principal pentru îndeplinirea aquis-ului Schengen si în secundar pentru buna realizare a altor proiecte de cooperare in spatiul Schengen.

Implementarea unei asemenea solutii tip PKI la nivelul MAI a imbunatatit confidentialitatea, siguranta si nivelul de incredere al datelor schimbate intre institutiile MAI (si intre utilizatori) in concordanta cu aquis-ul Schengen (in special pentru controlul la frontiere).

Principalele obiective ale implementarii unui asemenea sistem au fost:

a. intarirea controlului la frontiere (in special in punctele de trecere) prin utilizarea unei metode de autentificare de un inalt nivel de securizare;

b. cresterea eficientei pentru supraveghere si control la frontierele externe;

c. securizarea datelor schimbate intre autoritatile de la frontiera (si/sau structuri MAI).

CAPITOLUL 1

1.Informatii Generale

Informația este importanta pentru o varietate largă de motive și timp de foarte multe secole omul a fost capabil să transmita date valoroase de la o persoana la alta. Metoda transferului și stocarea acestor informații au fost mult mai primitive, dar la bază, principiile de securitate ale informațiilor nu s-au schimbat prea mult de atunci.

Securitatea informatiei este acum bine fondata in trei concepte majore- cele de confidentialitate, integritate si disponibilitate. Mecanismele pe care le folosim pentru a gestiona informatiile sunt domeniile in care am vazut schimbari importante , in special in ultimele decenii. Aparitia calculatoarelor a modificat modul in care gestionam informatiiile si a insemnat de asemenea , faptul ca avem mai multe informatii pentru care sa ne facem griji , decat oricand inainte. Informatia a devenit cheia succesului in aproape orice domeniu si astfel securitatea a castigat o importanta si mai mare , in special in mediul afacerilor si al organizatiilor.

Un alt factor care a modificat in mod semnificativ nevoie noastra pentru securitatea informatiilor este cel al mobilitatii.Atunci cand singurul loc in care aveam informatii de afaceri era la birou , viata era simpla. Pentru a securiza informatiile incuiam usa biroului . Astazi ne asteptam si avem nevoie de informatii intr-o varietate de locatii, inclusiv atunci cand suntem in miscare.

ISO (Organizația Internațională de Standardizare) și CEI (Comisia Electrotehnică Internațională) formează sistemul internațional specializat pentru standardizare. Organismele naționale care sunt membre ale ISO sau CEI participă la dezvoltarea standardelor internaționale prin comitetele tehnice stabilite de respectiva organizație pe domenii specifice de activitate tehnică. Standardul internațional ISO/IEC 27001 a fost elaborat de Comitetul tehnic comun ISO/CEI JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques.

Acest standard internațional a fost elaborat pentru a procura un model pentru stabilirea, implementarea, funcționarea, monitorizarea, revizuirea, întreținerea și îmbunătățirea unui Sistem de Management pentru Securitatea Informației (SMSI).

Abordarea bazată pe proces pentru managementul securității informației prezentată în acest standard internațional încurajează utilizatorii acestuia să accentueze importanta următoarelor aspecte:

a) înțelegerea cerințelor de securitate a informației ale unei organizații și stabilirea de politici și obiective pentru securitatea informației;

b) introducerea și utilizarea măsurilor pentru a administra riscurile securității informației;

c) monitorizarea și bilantul performantei și eficientei SMSI;

d) îmbunătățirea neincetata bazata pe măsurarea obiectiva.

Acest standard internațional adoptă modelul "Plan-Do-Check-Act" (Planifică – Implementează-Verifică-Acționează.) ,care este aplicat pentru a structura toate procesele SMSI.

Părțile interesate Părțile interesate

Cerințe și așteptări, privind

Securitatea informației Gestionarea securitatii informatiei

Figura 1 — Modelul PDCA aplicat proceselor SMSI

Sistemul de management pentru securitatea informatiei reprezinta acea parte a unui sistem general de management, care se bazeaza pe abordarea riscului afacerii, in scopul stabilirii, implementarii, functionarii, monitorizarii, analizei, mentinerii si imbunatatirii securitatii informatiei.

Securitatea informației constă în conservarea atributelor fundamentale ale informației:

• confidențialitate

• integritate

• disponibilitate

Securitatea informației înseamnă protejarea informației de acces, utilizare, divulgare, modificare, dislocare sau distrugere neautorizate în scopul continuității afacerii, diminuării pierderilor, maximizării rentabilității investițiilor și oportunităților de afaceri.

1.1.Cadrul legal

LEGISLAȚIA PRIVIND SECURITATEA INFORMAȚIEI

a) Legislația în domeniul securității informației este în continuă dezvoltare și perfecționare pentru a oferi un cadru de reglementare coerent aliniat la cerințele impuse de dezvoltarea socio-economică și tehnologică. Câteva dintre legile de bază sunt:

• Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

• Legea nr. 182/2002 –privind protecția informațiilor clasificate;

• HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

• HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

• HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

• Legea nr. 544 /2001 –privind informațiile de interes public;

• Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

• Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

• Legea nr. 455/2001 –privind semnătura electronică;

• Legea nr. 365/2002 –privind comerțul electronic

b) LEGISLATIA NATIONALA SI EUROPEANA OPOZABILA IMPLEMENTARII PKI LA NIVELUL MAI ESTE URMATOAREA:

a. OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

b. HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

c. HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

d. Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

e. Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

f. Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

g. Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

h. Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

i. Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si caa nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

• Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

• Legea nr. 455/2001 –privind semnătura electronică;

• Legea nr. 365/2002 –privind comerțul electronic

b) LEGISLATIA NATIONALA SI EUROPEANA OPOZABILA IMPLEMENTARII PKI LA NIVELUL MAI ESTE URMATOAREA:

a. OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

b. HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

c. HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

d. Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

e. Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

f. Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

g. Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

h. Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

i. Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si capitolul 3.

j. Tratatul de Aderare la Uniunea Europeana – art.32;

k. Catalogul Schengen de recomandari si bune practici;

l. Planul de Actiune Schengen, revizuit 2007;

m. ISO 27001:2005 –Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Pentru realizarea aderarii la Conventia de Aplicarea a Acordului Schengen s-a creat Sistemul Informatic National de Semnalari (SINS) si conectarea acestuia cu sistemul central SIS ca masura necesară pentru accesul la informatii privind situatia operativa a frontierelor Uniunii Europene si identificarea semnalarilor aparute.

SINS permite organizatiilor abilitate din Romania sa realizeze dupa caz cautari automate in sistem sau modificari/adaugiri de date si astfel sa aiba acces la semnalarile privind persoane si bunuri pentru desfasurarea activitatilor specifice de control al frontierei, eliberare vize si permise de sedere, verificare a respectarii regimului vamal in conditiile de stat membru Schengen.

Cerintele de securitate ale SINS sunt definite in OUG nr 128/2005 si cuprind:

a. controlul accesului la echipamente pentru a impiedica accesul persoanelor neautorizate la echipamentele de prelucrare a datelor cu caracter personal;

b. controlul suportului de date pentru a impiedica citirea, copierea, modificarea sau stergerea suportului de date in mod neautorizat;

c. controlul stocarii pentru a impiedica introducerea neautorizata de date si inspectarea, modificarea sau stergerea neautorizata a datelor cu caracter personal;

d. controlul utilizarii pentru a impiedica utilizarea sistemelor de prelucrare automata a datelor de catre persoane neautorizate cu ajutorul echipamentelor de transmitere a datelor;

e. controlul accesului la date pentru a limita accesul persoanelor autorizate sa utilizeze un sistem de prelucrare automata a datelor, numai la datele pentru care au fost autorizate;

f. controlul comunicatiilor astfel incat sa se poata asigura verificarea si stabilirea organismelor carora le pot fi transmise datele cu caracter personal folosind echipamentele de comunicatii;

g. controlul introducerii de date pentru a se asigura ca este posibil ulterior sa se verifice si sa se stabileasca ce date cu caracter personal au fost introduse in sistemele de prelucrare automata a datelor, cand si pentru cine au fost introduse datele;

h. controlul transportului de date pentru a impiedica citirea, copierea, modificarea sau stergerea neautorizata a datelor cu caracter personal in timpul transmiterii acestora sau in timpul transportului de suporturi de date.

Cerintele de securitate pentru accesul la resursele sistemului informatic Schengen sunt cuprinse in Volumul al 2-lea al catalogului Schengen, SCHENGEN INFORMATION SYSTEM, SIRENE: Recommendations and Best Practices. Aceste cerinte se impart in urmatoarele categorii:

a. Securitatea personalului si accesul controlat al utilizatorilor la resurse;

b. Protectia echipamentelor ce stocheaza informatii ale SIS impotriva accesului neautorizat la informatii, pierdere sau distrugere;

c. Securitatea statiilor de lucru si a sesiunilor de acces la distanta;

d. Managementul retelei, asigurarea confidentialitatii informatiilor transmise, protectia retelelor impotriva accesului neautorizat;

e. Controlul accesului utilizatorilor, asigurarea unor elemente unice si sigure de indentificare a utilizatorilor, posibilitatea revocarii rapide a drepturilor de acces;

f. Visa Information System (VIS) este un alt proiect al Uniunii Europene de interes pentru verificari in procesul de control al traficului la frontiera.

1.2. Obiectivele PKI MAI

Infrastructura de chei publice (PKI – Public Key Infrastructure) este acea componenta de Infrastructura a unei organizatii care furnizeaza din punct de vedere tehnic si procedural mecanismele de securitate necesare intr-o organizatie.

In MAI, infrastructura PKI asigura:

a. identitatea utilizatorilor electronici;

b. autentificarea si autorizarea accesului la sistemele informatice ale MAI;

c. servicii de securizare a schimbului de informatii intre utilizatorii si/sau sistemele informatice ale MAI;

d. servicii de validare in timp real a certificatelor digitale;

e. servicii de recuperare a cheilor private de criptare;

f. servicii de marcare temporala;

g. suport pentru interconectarea cu PKI ale institutiilor externe ca element de baza pentru schimbul securizat de informatii intre acestea si MAI;

h. suport pentru interconectarea cu STS in vederea verificarii si validarii certificatelor emise de Furnizori de Servicii de Certificare externe MAI;

i. scalabilitate pentru dezvoltari ulterioare, care nu tin neaparat de aderarea la Spatiul Schengen, tinand cont de atributiile institutionale ale MAI.

Serviciile oferite de PKI se impart in doua categorii:

I. Servicii publice, accesibile tuturor utilizatorilor. Aceste servicii se afla intr-o zona publica a retelei de comunicatii a structurii.

II. Servicii interne, care tin de operarea si administrarea PKI a structurii. Aceste servicii sunt Autoritatea de Certificare si Serviciul de recuperare chei private de criptare, componentele cele mai importante din punct de vedere al securitatii pentru PKI. Din acest motiv, serviciile interne, ale CA, vor fi separate fizic de serviciile publice.

Pentru îndeplinirea obiectivelor PKI MAI prin implementarea arhitecturii PKI a MAI si a unora dintre aplicatiile ce utilizeză serviciile PKI MAI s-au achiziționat sisteme software, hardware si de securitate, precum si servicii asociate necesare.

PKI MAI este compus din:

– Bridge CA ( Bucuresti);

– solutii PKI implementate la nivelul unor structuri ale MAI , toate din Bucuresti;

– centrul de back-up si recuperare in caz de dezastru.

2.Componentele PKI MAI

2.1.PKI central MAI

PKI central al MAI este format din Bridge CA și are rolul de a stabili relatiile de incredere atat in interiorul Ministerului Afacerilor Interne cat si cu institutiile externe.

2.1.1.Cerinte tehnice si functionale

Implementarea Bridge CA a avut in vedere urmatoarele cerinte:

• Implementarea unei autoritati de certificare;

• Crearea unui sablon de politica de certificare.

2.1.1.1.Bridge CA

Componenta centrala a Bridge CA MAI este serviciul de gestiune a certificatelor digitale, responsabil cu administrarea certificatelor proprii si ale autoritatilor care se vor conecta la Bridge CA, pe toata durata acestora de viata. Aceasta impune urmatoarele operatii privind certificatele digitale:

a) Generare si administrare chei private proprii ale Bridge CA;

b) Generare certificat digital Bridge CA;

c) Generare cerere de certificat in vederea certificarii incrucisate cu autoritatile care se vor conecta la Bridge CA;

d) Inregistrare cereri de certificate digitale;

e) Emitere certificate digitale;

f) Revocare certificate digitale;

g) Reinnoire certificate digitale;

h) Implementarea corespondentei intre politicile de certificare ale Bridge CA cu cele ale autoritatilor care se vor conecta ;

i) Publicarea certificatelor si a Listei Certificatelor Revocate (CRL) emise.

Pentru a exista un nivel de incredere maxim in certificatele gestionate de aceasta autoritate, Bridge CA permite o arhitectura bazata pe doua zone de securitate care permit accesul diferentiat al operatorilor, și anume zona de inregistrare a autoritatii și zona de administrare a certificatelor si cheilor.

In zona de inregistrare a autoritatii sunt plasate serviciile cu caracter public a autoritatii de certificare:

a) Publicarea certificatului si CRL-urilor autoritatii;

b) Inregistrare cereri de certificate digitale;

c) Publicarea certificatelor si a CRL-urilor emise .

In zona de administrare a certificatelor si cheilor au fost plasate serviciile cu caracter sensibil:

a) generarea si administrarea cheilor private proprii ale Bridge CA;

b) generarea certificatului digital al Bridge CA;

c) generarea cererii de certificat pentru certificare incrucisata cu autoritatile care se vor conecta la Bridge CA;

d) importul certificatelor emise de autoritatile care se vor conecta la Bridge CA;

e) semnarea CRL-urilor autoritatilor;

f) semnarea certificatelor autoritatilor partenere;

g) administrarea politicilor de utilizare a certificatelor;

h) administrarea corespondentei intre politicile de certificare ale Bridge CA cu cele ale autoritatilor care se vor conecta ;

i) administrarea operatorilor autoritatii de certificare.

Autoritatea de certificare va utiliza dispozitive criptografice hardware pentru toate operatiunile ce implica generarea si utilizarea cheilor private .

Pentru operarea autoritatii de certificare este necesar un nivel de securitate crescut atat pentru autentificare cat si pentru protejarea informatiilor ce vor fi transmise. Pentru aceasta a fost necesara implementarea unei metode de autentificare ce a permis criptarea datelor transmise si identificarea sigura a celor doua entitati ce comunica.

2.1.1.2.Serviciu de directoare central

Autoritatea de certificare oferă utilizatorilor accesul la certificatele autoritatii, a listelor de certificate revocate si a certificatelor autoritatilor partenere si emise de autoritatile partenere , accesibil utilizatorilor fara a fi necesara autentificarea la acesta, drept pentru care a fost implementat serviciu de directoare central.

2.1.1.3.Serviciul de validare a starii certificatelor

Pentru verificarea starii certificatelor s-a implementat un serviciu de validare online a acestora, serviciu ce furnizeză un raspuns in timp real privind starea certificatelor și care utilizează un dispozitiv criptografic certificat pentru stocarea cheilor utilizate pentru semnarea raspunsurilor trimise catre client.

CAPITOLUL II

2.2.PKI – structuri MAI

La nivelul fiecarei structuri MAI s-a implementat o arhitectura PKI ierarhica .

Pentru fiecare structura a fost necesara implementarea unei infrastructuri cu chei publice pentru a raspunde la cerintele de integritate, autenticitate, confidentialitate si non-repudiere. In cadrul fiecarei structuri, implementarea infrastructurii cu chei publice a avut in vedere urmatoarele cerinte:

a) Implementarea unei autoritati de certificare;

b) Materialul criptografic al utilizatorilor va fi stocat pe token USB (generare, utilizare chei criptografice);

c) Crearea unui sablon de politica de certificare;

Infrastructura cu chei publice a inclus toate serviciile aferente unei astfel de solutii:

a) Serviciul de gestiune a certificatelor digitale;

b) Modul de recuperare a cheilor private de criptare;

c) Serviciul de validare online a starii certificatului ;

d) Serviciul de marcare temporala .

2.2.1. Gestiunea certificatelor digitale

Serviciul de gestiune a certificatelor digitale este responsabil cu administrarea cheilor si certificatelor utilizatorilor din cadrul unei structuri pe toata durata acestora de viata. Acest serviciu a fost implementat de autoritatea de certificare din fiecare structura. Aceasta a impus urmatoarele operatii:

a) Generarea cheilor private și generarea certificatelor autoritatii de certificare;

b) Generarea cheilor si cererilor de certificare ale autoritatilor subordonate;

c) Instalarea certificatelor autoritatilor de certificare subordonate;

d) Instalarea certificatelor emise de Bridge CA;

e) Generarea cheilor certificatelor utilizatorilor;

f) Inregistrarea cererilor de certificat ale utilizatorilor;

g) Emiterea certificatelor utilizatorilor;

h) Revocarea certificatelor utilizatorilor;

i) Reinnoirea certificatelor utilizatorilor;

j) Recuperarea cheilor private de criptare;

k) Publicarea certificatelor si CRL-urilor autoritatilor de certificare ;

l) Publicarea certificatelor utilizatorilor .

Pentru existenta unui nivel de incredere maxima in certificatele gestionate de aceasta autoritate, aceasta a permis o arhitectura bazata pe doua zone de securitate ce pot fi separate atat logic cat si fizic. Zonele au delimitat clar inregistrarea utilizatorilor de administrarea certificatelor si a cheilor.

Pentru a obtine un nivel de securitate ridicat este necesar ca zonele publica si privata ale autoritatii de certificare sa nu fie conectate prin intermediul echipamentelor de retea. Astfel se poate proteja zona privata in cazul in care zona publica a fost compromisa.

Certificatele ce vor permite operarea autoritatii de certificare si certificatele utilizatorului nu vor fi semnate utilizand aceleasi chei criptografice. Pentru a indeplini aceasta cerinta a fost necesara implementarea unei infrastructuri PKI complet separata pentru gestiunea certificatelor operatorilor si a sistemelor din infrastructura PKI.

Cheile operatorilor sistemului sunt generate obligatoriu pe dispozitive criptografice de tip smartcard.

Fiecare structura are propriul personal pentru operarea autoritatii de certificare.

2.2.1.2.Serviciul de validare a starii certificatelor

Pentru verificarea starii certificatelor emise in cadrul fiecarei structuri s-a implementat un serviciu de validare online a acestora, serviciu care jurnalizează toate evenimentele si actiunile ce au loc si sa le pastreze in siguranta pentru analiza si verificari ulterioare și care permite validarea certificatelor digitale si pe baza informatiilor extrase direct din baza de date a autoritatii de certificare.

2.2.1.3.Serviciul de marcare temporala

Acest serviciu constă în cunoasterea cu exactitate a momentului semnarii unui anumit document și asigura nerepudierea actiunilor prin emiterea unor marci temporale semnate ce contine cel putin urmatoarele:

a) Data si ora la care s-a realizat marcarea temporala;

b) Semnatura electronica a seriviciului de marcare pe amprenta electronica a documentului (digest-ul documentului);

c) Informatii prin care se poate identifica unic marca temporala in lista marcilor emise de serviciu.

2.2.1.4.Serviciul de recuperare a cheilor private de criptare

Cerintele de securitate ale structurilor impun ca in cazul documentelor criptate sa existe o procedura prin care respectivele documente sa poata fi recuperate atunci cand dispozitivul criptografic nu mai exista sau nu mai poate fi utilizat (defect, pierdere, etc.). Cheile private de criptare trebuie pastrate in forma criptata utilizand chei de criptare diferite de cele de semnare ale autoritatilor de certificare.

2.2.1.5.Modulul de administrare al token-urilor USB

Modulul de administrare al token-urilor USB oferă urmatoarele functionalitati:

a) administrarea token-urilor (schimbare pin, deblocare token, administrarea certificatelor de pe token) ;

b) posibilitate de administrarea a token-urilor ;

c) integrare cu modulul de recuperare a cheilor criptografice.

Pentru cazurile in care token-ul nu mai este accesibil (PIN pierdut, token pierdut sau distrus), modulul trebuie sa fie accesibil prin intermediul administratorilor care vor modifica corespunzator in sistem starea token-ului si de asemenea se va genera o cerere de revocare a certificatelor de pe acel token.

2.2.1.6.Serviciul de directoare local

La nivelul fiecarei structuri s-a implementat un serviciu de directoare accesibil utilizatorilor structurii fara a fi necesara autentificarea la acesta, serviciu în care se publica cel putin urmatoarele elemente:

I. certificatele autoritatii de certificare;

II. listele de certificate revocate emise a autoritatea de certificare;

III. certificatele emise ale utilizatorilor.

2.2.2. Echipamente hardware si de comunicatii

Pentru securizarea infrastructurilor PKI se utilizeaza echipamente hardware dedicate care asigura urmatoarele functionalitati minimale:

• securizare perimetrala – prin implementarea de filtre/drepturi de acces in functie de porturi, aplicatii, adrese IP sursa/destinatie;

• protectie antivirus ;

• protectie anti-spyware;

• criptare trafic;

• compatibilitate cu sistemele de management (SNMP) existente la nivelul structurilor MAI.

Echipament IDS-IPS : Pentru detectarea si prevenirea unor posibile atacuri din interiorul dar si din exteriorul retelelor publice PKI se utilizează echipamente Sistem de Detectie ale Intruziunilor (IDS) / Sistem de Prevenire al Intruziunilor (IPS) hardware dedicate. Acestea permit conectarea in retelele interne, externe si in Zonele Demilitarizate (DMZ), si poate realiza captarea si inspectarea traficului inspre si dinspre zonele PKI .

Dispozitive criptografice pentru operatori si utilizatori : Pentru fiecare structura s-au furnizat carduri ce permit accesul in locatiile in care sunt instalate componentele PKI , smart carduri acces la resursele software ce tin de administrarea si operarea PKI structura și dispozitivele criptografice de tip token USB pentru utilizatorii PKI din MAI.

3.Sistemul de securitate fizica

Sistemul de securitate fizica implementat pentru protejarea zonelor in care au fost instalate componentele PKI MAI asigura integrarea tuturor subsistemelor componente: televiziune cu circuit inchis, control acces, alarmare la efractie si dispeceratul sistemului.

Sistemul este tolerant la defecte (defectarea unor echipamente nu va afecta functionalitatea sistemului). Este conceput intr-o structura modulara si este realizat in conceptia "sistem deschis" și poate fi extins prin introducerea de noi senzori si echipamente de in cazul folosirii unor noi tipuri de echipamente acestea vor fi integrate in aplicatia deja existenta .

Aplicatia de management a securitatii asigură stocarea intr-o baza de date a tuturor evenimentelor aparute in sistem si asigură posibilitatea reconstituirii in orice moment, atat a evenimentelor stocate cat si a masurilor luate.

3.1.Structura sistemului de securitate fizica

Sistemul de securitate fizica este compus din mai multe sisteme de securitate care asigură detectia tentativelor de patrundere in incintele in care opereaza aparatura PKI, intarzierea accesului la aceasta dupa momentul detectiei si inregistrarea imaginilor referitoare la intruziune.

Sistemul dispune de un dispecerat central care va integra toate sistemele din obiective.

Exista urmatoarele categorii de sisteme:

a) Sistem de securitate pentru Bridge, continand un sistem de securitate pentru camera Bridge si dispecerat local;

b) Sistem de securitate pentru camere tehnice PKI, continand sisteme de securitate pentru camera PKI si dispecerate locale;

c) Sistem de securitate pentru in containere PKI, continand sisteme de securitate pentru containere PKI si dispecerate locale;

d) Dispecerat national de monitorizare pentru toate sistemele .

3.1.1. Subsistemul de televiziune cu circuit inchis

Sistemul de televiziune cu circuit inchis este destinat supravegherii urmatoarelor zone:

a) Puncte de acces

b) Zone interioare

c) Zone exterioare (in cazul containerelor)

Subsistemul TVCI asigură supravegherea pe timp de zi si noapte. Subsistemul permite monitorizarea tuturor camerelor instalate, din dispecerat.

Se asigura evaluarea automata a alarmelor date de sistemele de efractie, control acces si detectie incendiu (pentru zonele unde exista camere TV), prin afisarea automata a imaginilor din zona in care s-a generat alarma.

Imaginile video sunt inregistrate pentru analize post-eveniment si furnizare de probe. Se asigura stocarea imaginilor inregistrate si arhivarea lor pe suport optic.

Subsistemul TVCI permite interconectarea cu celelalte subsisteme de securitate.

Subsistemul TVCI este compus din:

a) camere video fixe de interior;

b) camere video mobile de exterior;

c) inregistratoare video digitale;

d) monitoare .

3.1.2. Subsistemul de control acces

Scopul sistemului de control acces este acela de a restrictiona, selecta si ordona miscarea persoanelor in interiorul unor zone definite din cadrul obiectivului, prin verificarea dreptului de acces a fiecarei persoane care solicita accesul in zona.

Pentru controlul/dirijarea persoanelor se folosesc sisteme de control acces ce utilizeaza cititoare de cartele, cod si de caracteristici biometrice.

Subsistemul de control acces interzice accesul neautorizat al persoanelor in zonele de securitate ale obiectivului.

Subsistemul permite obtinerea de situatii si rapoarte privind prezenta in zonele de securitate ale obiectivului.

Subsistemul de control acces permite dezactivarea manuala a filtrelor de control acces in situatii de panica.

Subsistemul de control acces permite interconectarea cu celelalte subsisteme pentru integrare.

3.1.3. Subsistemul de detectie si avertizare a efractiei

Subsistemul este proiectat in asa fel incat sa asigure detectia tentativelor de patrundere neautorizata in zonele protejate si alarmarea fortelor de interventie in timp util.

Subsistemul de detectie si avertizare a efractiei asigura detectia incercarilor de intruziune in zonele protejate.

3.1.4. Subsistemul de detectie a inundatiilor

Pentru detectia inundatiilor se utilizeaza detectoare de inundatie montate pe pereti, cu zona de detectie la nivelul pardoselii sau sub pardoseala falsa, acolo unde aceasta este instalata.

Detectoarele dispun de iesiri tip contact care sunt monitorizate pe intrarile modulelor centralei de efractie.

3.1.5. Subsistemul de protectie perimetrala

Sistemul de protectie perimetrala asigura protectia perimetrului containerului care contine echipamentele PKI.

Sistemul de protectie perimetrala este compus din:

a) Gard perimetral cu poarta de acces persoane, cu fundatie si suprainaltare concertina;

b) Sistem de detectie cu cablu sensibil la vibratii;

c) Contact magnetic (montat pe poarta de acces persoane).

3.1.6. Subsistemul dispecerat

Dispeceratul este concentratorul tuturor informatiilor care provin direct de la echipamentele amplasate in exteriorul si / sau interiorul zonelor protejate. Dispeceratele sunt implementate la nivel local si sunt formate dintr-o incapere dotata cu un birou, calculator si monitor pentru supraveghere si un dupal incuiat care gazduiesc echipamente de inregistrare video si centrala de securitate. In aceasta incapere este localizat un operator.

Sistemul asigura atat memorarea evenimentelor a fiselor de tratare a acestora (continand reactiile si observatiile operatorilor – jurnalul de operare) cat si a actiunilor operatorilor. Fiecare inregistrare contine marca de timp.

Sistemul asigura inregistrarea digitala cu data / ora / minut, a imaginilor de la toate camerele video, cu posibilitatea exportarii clipurilor video catre mijloace de arhivare externa.

Pornind de la bazele de date astfel create, subsistemul permite realizarea de rapoarte sintetice, folosind diverse criterii de selectie.

3.1.7 Management centralizat

Aplicatiile de management a securitatii din obiective sunt conectate la un dispecerat central (esalon superior).

Aplicatia de la nivel central afiseaza elementele sistemului in format grafic, in aceeasi maniera ca si aplicatiile instalate in obiective.

Alarmele de efractie se transmit in timp real catre esalonul superior.

Aplicatia de la nivel central permit conectarea la obiective pentru vizualizarea imaginilor de la camerele video in timp real.

Drepturile de acces pentru cartelele de acces sunt gestionate atat de la nivel central, cat si local, pe fiecare obiectiv in parte.

La nivel central exista o instalatie de productie cartele, compusa din imprimanta cartele, programator cartele (inclusiv caracteristici biometrice) si camera foto. Imprimarea cartelelor se face cu ajutorul aplicatiei de management a securitatii.

4.Sistemul de detectie si stingere incendiu

4.1.Subsistemul de stingere incendiu

Sistemul de stingere incendiu cu gaz inert trebuie sa asigure protectia persoanelor, precum si a echipamentelor electrice si electronice din camerele de protejat.

Camerele de protejat sunt ocupate sau posibil ocupate de personal operator sau de intretinere si interventii, care trebuie sa fie protejat de compusi toxici.

Echipamentul electric si electronic trebuie sa fie protejat de orice compusi corozivi posibil a fi produsi in urma deversarii agentului de stingere.

Sistemul de stingere incendiu cu gaz inert, asigura stocarea cantitatii de gaz necesara, precum si reteaua de tevi de transport, distributie si duze de deversare necesare pentru fiecare zona de stingere.

Sistemul de stingere incendiu trebuie sa indeplineasca urmatoarele cerinte de baza:

a) stingerea cat mai rapida a unui incendiu incipient, ceea ce presupune existenta unui sistem de detectie si alarmare prompt, iar agentul de stingere sa aiba efect in adancime;

b) protejarea personalului care isi desfasoara activitatile zilnice in zona, cu realizarea conditiei de siguranta totala in cazul producerii unui incendiu, fara parasirea locului de munca, dar si cu posibilitatea luarii deciziei corecte in actiunea de stingere a incendiului;

c) protejarea in intregime a bunurilor existente, de exemplu echipamente de comunicatii si calculatoare, precum si a informatiilor stocate de acestea;

d) asigurarea atingerii concentratiei de amestec gazos de stingere in zonelor supravegheate;

e) asigurarea unei durate maxime de 72 ore de repunere in functiune dupa o descarcare accidentala sau reala a sistemului;

f) cost de exploatare cat mai redus;

g) nu trebuie sa produca "soc termic" asupra materialelor si echipamentelor stocate in zonele protejate;

h) atmosfera in camere dupa deversarea agentului de stingere trebuie sa fie respirabila minim 20 de minute, fara urmari biologice asupra oamenilor aflati in zona protejata;

i) sa protejeze toate spatiile din incinta, pardoseala tehnologica, tavan fals.

4.2.Protectie TEMPEST

Locatiile fizice in care s-au instalat si functioneaza componentele PKI MAI trebuie sa fie protejate TEMPEST (incintă ecranată care se stabileste în functie de echipamentul utilizat sau propus a fi utilizat în interiorul ecranului electromagnetic). Această cameră TEMPEST este utilă pentru a preveni scurgerea de informatii clasificate procesate de sisteme informatice comerciale, prin emisii electromagnetice neintentionate. Incintele protejate TEMPEST sunt destinate pentru atenuarea semnalelor purtatoare de informatie confidentiala. Metodele fizice de protecție cuprind atât măsuri de ecranare arhitecturală asupra pereților, tavanului și pardoselilor, de filtrare a circuitelor electrice de alimentare, de comunicații, curenți slabi, cât și măsuri de protecție electromagnetică a ușilor, ferestrelor, țevilor, a gurilor de ventilație etc. care străpung pereții încăperilor protejate.

Calculatorul si echipamentele de comunicatie primesc si emit energie in forme variate, cum ar fi: curent electric, caldura, lumina, unde electromagnetice conductoare sau radiante, sunet si vibratii. Majoritatea energiei consumate este eliberata sub forma de caldura sau este folosita pentru formarea unor simboluri intentionate pe canalele de comunicare. Restul energiei este corelata in diverse feluri pentru procesarea datelor si poate forma o scurgere de informatii neintentionata. In acest fel se deschid oportunitati neconventionale pentru intrusii care dispun de tehnologie sofisticata putand obtine acces neautorizat la informatia confidentiala.

5.Aplicatii ce utilizeaza PKI

5.1.Aplicatie pentru autentificare unitara la aplicatii Web pe baza de certificat digital

Pentru a oferi un context unitar de autentificare la aplicatiile de tip web s-a implementat un serviciu care executa operatiunile de autentificare si autorizare. Acest serviciu ofera urmatoarele functionalitati:

a) Autentificarea utilizatorilor pe baza certificatului digital detinut. Certificatul digital trebuie sa fie emis de o autoritate de certificare de incredere;

b) Autorizarea utilizatorilor pe baza listelor de acces detinute de acest serviciu;

c) Criptarea canalului de comunicatie intre clientul web (browser) si serviciul de autentificare;

d) Single Sign On la aplicatii. Odata autentificat cu certificatul digital, utilizatorului nu trebuie sa i se mai ceara alte informatii, pentru oricare dintre aplicatiile ce urmeaza a fi accesate.

5.2.Aplicatie de securitate pentru statiile de lucru

Informatiile create, accesate, stocate sau transmise de pe statiile de lucru ale utilizatorilor MAI trebuiesc protejate in conformitate cu cerintele ce privesc confidentialitea, autenticitatea integritatea si non-repudierea datelor.

Confidentialitatea datelor se asigura prin criptarea acestora si prin distrugere prin rescriere cu informatii aleatoare.

Autenticitatea, integritatea si non-repudierea se asigura prin utilizarea semnaturii electronice si marcarea temporala a datelor semnate.

Pentru toate aplicatiile de securitate pentru statiile de lucru s-a avut in vedere evaluarea si certificarea nationala ca produse de securitate la nivel minim Secret de Serviciu, sub coordonarea Oficiul Registrului Național al Informațtiilor Secrete de Stat (ORNISS).

5.2.1 Cerinte functionale si tehnice

5.2.1.1.Asigurarea confidentialitatii informatiilor

Confidentialitatea informatiilor trebuie asigurata in conformitate cu prevederile legale din Romania, normele interne ale MAI si cerintele Schengen. Pe statiile de lucru ale utilizatorilor MAI exista aplicatii care implementeaza mecanismele de asigurare a confidentialitatii informatiilor, prin utilizarea certificatelor digitale emise de PKI ale structurilor Ministerului. Astfel, sunt necesare urmatoarele elemente:

a) Criptarea/Decriptarea informatiilor la nivelul partitiilor sistemului de operare;

b) Criptarea/Decriptarea fisierelor individuale;

c) Criptarea/Decriptarea mesajelor e-mail;

d) Distrugere informatiilor prin rescriere cu date aleatoare . Aceasta operatiune nu implica utilizarea certificatelor digitale dar este o masura de securitate importanta pentru asigurarea confidentialitatii.

5.3.Aplicatie pentru management securizat de documente

Sistemul informatic de management securizat al documentelor trebuie sa acopere necesitatile de operare ale MAI, rezultate din reglementarile care definesc cadrul de organizare si functionare, in concordanta cu strategia de dezvoltare adoptata.

5.3.1. Cerinte functionale

Sistemul de management al documentelor si fluxurilor de lucru digitale trebuie sa asigure urmatoarele functionalitati:

a) Managementul ciclului de viata al documentelor electronice;

b) Managementul fluxurilor electronice de documente;

c) Arhivarea electronica a documentelor;

d) Raportare;

e) Administrare facila.

Sistemul de management al documentelor si fluxurilor de lucru trebuie sa asigure conformitatea cu standarde internationale recunoscute in domeniu.

Sistemul trebuie sa permita lucrul cu documente clasificate, conform legislatiei in vigoare (Legea 182 din 2002).

Sistemul de management al documentelor trebuie sa ruleze intr-o singura instanta centrala dar sa permita urmatoarele:

a) Definirea de spatii de lucru izolate, corespunzatoare nivelului unei structuri MAI, in care sa se poate face gestiunea independenta a structurii organizatorice, fluxurilor de lucru, documentelor, utilizatorilor si rolurilor asociate.

b) Posibilitatea ca spatiile de lucru enuntate anterior sa poata comunica intre ele in mod nativ, prin schimbul de documente prin fluxuri electronice comune de lucru.

5.3.1.1. Caracteristici avansate de securitate

Dat fiind caracterul senzitiv al informatiilor vehiculate in sistemul de management de documente si fluxuril electronice al MAI, sistemul PKI asigură un set de functionalitati avansate de securizare a lucrului cu acest tip de informatii. Astfel, sistemul PKI este capabil sa ofere:

a) Autentificare pe baza de elemente avansate de securitate (certificat digital, echipamente de tip token);

b) Utilizarea semnaturii digitale la adaugarea si modificarea documentelor, precum si la luarea deciziilor asupra documentelor electronice din sistem, in scopul garantarii integritatii si non-repudierii informatiilor;

c) Verificarea semnaturii de catre sistem, pe baza recipiselor si a datelor mentinute in sistem;

d) Controlul strict al accesului la documente, indiferent de starea acestora. Se doreste folosirea unui set cat mai larg de criterii de acordare a accesului (in functie de tipul documentelor, tipul de operatie, starea documentului, etc) ;

e) Monitorizarea stricta a accesului la documente si jurnalizarea operatiilor;

f) Operatiunile implicand semnarea si criptarea se realizează utilizand certificate digitale emise de PKI MAI;

g) Certificatele digitale ale utilizatorilor sunt stocate pe dispozitive de token USB Operatiunile criptografice care implica utilizarea cheii private se vor desfasura numai pe dispozitive de tip token ;

h) Asigurarea legaturii cu serviciul de marcare temporala de la nivelul structurilor MAI;

i) Folosirea unor certificate digitale separate pentru operatiunile de criptare si semnare;

j) Autentificarea utilizatorilor in sistem se realizeză pe baza de nume si parola, precum si de certificate emise de PKI MAI, cu garantarea validitatii starii certificatelor digitale la acel moment de timp;

k) Comunicatia intre partea client a sub-sistemului si partea server este garantata din punct de vedere al confidentialitatii in orice moment de timp;

l) La fiecare operatiune senzitiva, de aprobare sau avizare pe fluxurile de documente sistemul solicită utilizatorului semnarea formularului de date.

5.3.1.2.Managementul ciclului de viata al documentelor

Pentru gestionarea ciclului de viata al documentelor electronice managementul ciclului de viata al documentelor trebuie sa ofere urmatoarele functionalitati:

a) Adaugarea de documente in sistem in orice format electronic impreuna cu un set de metadate standard (nume document, tip, data creare, cuvinte cheie, etc);

b) Definirea si adaugarea de formulare electronice prin adaugarea de metadate specifice (date despre date);

c) Exportul formularelor in format PDF;

d) Versionarea automata a documentelor la orice modificare, cu pastrarea si vizualizarea versiunilor anterioare;

e) Pentru fiecare document, trebuie sa se poata adauga adnotari. Unui document ii pot fi adaugate oricate comentarii atat de catre utilizatorul care a creat documentul, cat si de utilizatorii care au primit documentul, sau au fost solicitati pentru lucru colaborativ la respectivul document, etc., in general de toti utilizatorii care au drept de editare a documentului;

f) Pentru fiecare document, trebuie sa se poata adauga cuvinte cheie. Cuvintele cheie definesc un set de cuvinte reprezentative asociate unui document, pentru ca ulterior sa ajute la cautarea facila a documentului;

g) Semnarea digitala a versiunii curente a documentelor si posibilitatea de verificare si validare a semnaturii de catre alti utilizatori;

h) Posibilitatea de a vizualiza documente in formate proprietare fara a fi necesara instalarea de aplicatii suplimentare. Astfel de formate includ: Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Project, Adobe Acrobat, fisiere imagine in formatele consacrate (jpg, etc.);

i) Integrare cu suite de aplicatii Microsoft Office (Word, Excel, Powerpoint) care sa permita salvarea directa in sistem a documentelor editate cu aceasta suita;

j) Posibilitatea de a organiza documentele pe categorii de documente in scopul regasirii facile a informatiilor prin intermediul explorarii ieharhice multi-criteriale;

k) Posibilitatea de a organiza documentele in dosare (grupuri de documente);

l) Posibilitatea de a copia documentele, iar noul document (copia) trebuie sa pastreze o legatura catre original;

m) Sistemul trebuie sa fie capabil sa ofere fiecarui utilizator un spatiu privat de lucru, in care acesta sa-si pastreze si organizeze documentele;

n) Suport pentru integrarea cu echipamente de scanare/indexare a documentelor in format hartie;

o) Sarcinile de lucru in cadrul sistemului vor fi transmise sub forma de mesaje interne ale aplicatiei si vor fi vizualizate de fiecare utilizator in propriul inbox virtual din spatiul de lucru propriu.

5.3.1.3.Lucrul in comun pe documente

Sistemul de document management trebuie sa puna la dispozitie diferite tipuri de lucru in comun cu documentele electronice prin metode de colaborare in elaborarea documentelor.

a) Colaborare formala: in acest caz, etapele prin care trece un document (draft, avizat, aprobat) sunt definite unor fluxuri electronice de lucru, conform unor proceduri de lucru. La executia fluxului, fiecare utilizator va executa sarcina alocata si va trimite documentul/documentele catre receptor . Trebuie sa fie posibila configurarea fluxului astfel incat in anumiti pasi sa se impuna semnarea digitala a documentului si a deciziilor luate asupra documentului in acel pas.

b) Colaborare informala: Posibilitatea de a partaja documentele:

1. direct intre utilizatori, prin publicarea unui document/set de documente catre o lista nominala de utilizatori pentru lucru colaborativ.

2. prin intermediul unei biblioteci de lucru, cu configurarea drepturilor de access. Documente trebuie sa poata fi vizualizate, preluate din biblioteca pentru modificare, pastrand o urma in biblioteca, respectiv sa poata fi retrase complet din biblioteca conform drepturilor alocate pentru fiecare utilizator.

5.3.1.4.Managementul fluxurilor de lucru

In cazul colaborarii formale intre utilizatori, prin intermediul fluxurilor electronice de lucru, se solicita urmatoarele functionalitati:

a) Definirea metadatelor generale ale fluxurilor electronice (nume, perioada de valabilitate, durata maxima de executie, etc)

b) Definire setului de activitati ce fac parte dintr-un proces si metadatelor asociate (nume, tip, durata maxima, roluri asociate, drepturi de acces si prelucrare asupra documentelor asociate respectivei activitati)

c) In fiecare activitate trebuie sa se poata acorda un set de decizii (rezolutii) configurabile la nivel administrativ. Aceste decizii trebuie sa poate fi insotite de comentarii in mod text sau de comentarii vocale (prin inregistrarea de mesaje).

d) Pe langa administrator, trebuie ca si initiatorul unui flux sa poata configura urmatorii parametrii: timpul maxim de executie al intregului proces, timpul maxim de executie al fiecarei activitati

e) Posibilitatea de a configura sistemul astfel incat sa ia decizii automate prestabilite in cazul in care termenul limita al unei activitati din cadrul unui flux a fost depasit.

5.3.1.5.Arhivare

Functionalitati solicitate:

a) Sa permita stocarea datelor pe trei nivele:

1. online (in baza de date);

2. nearline (suport accesibil direct din aplicatie);

3. offline (pe medii interne si externe magnetice sau optice).

b) Sa permita definirea politicilor de arhivare pe baza unui set extins de criterii de arhivare (tip document, autor, data adaugare in sistem, grad de clasificare, etc)

c) Sa permita facilitati de auto-arhivare;

d) Sa execute arhivarea documentelor la terminarea ciclului de viata al acestora;

e) Sa permita semnarea digitala in momentul arhivarii, pentru a garanta integritatea ulterioara a documentelor in arhiva;

f) Sa respecte legislatia romana in vigoare privind arhivarile;

g) Sa permita dezarhivarea documentelor ;

h) Aplicatia de arhivare sa permita criptarea/decriptarea automata folosind certificate digitale emise in cadrul solutiei PKI.

5.3.1.6.Registratura electronica

Sistemul va pune la dispozitie un modul de tip registratura electronica cu urmatoarele functionalitati:

a) Numerotarea documentelor ;

b) Asociarea fiecarui utilizator a cate unui registru de documente personale pentru fiecare nivel de clasificare, care sa tina evidenta pe tuturor documentor adaugate in sistem de acel utilizator pe nivele de clasificare;

c) Asociarea fiecarui utilizator a unui cate unui registru al documentelor electronice procesate pentru fiecare nivel de clasificare, care sa tina evidenta pe nivele de clasificare a tuturor documentor pe care un utilizator le-a primit prin intermediul fluxurilor electronice de lucru;

d) Asociarea unui registru general pe fiecare structura din sistem, registru electronic in care vor fi inregistrate toate documente oficiale ale acelei structuri. Acest registru va tine evidenta documentelor intrare in structura, precum si evidenta documentelor care ies din structura sau sunt depuse in arhiva;

e) Toate registrele trebuie inregistrate intr-un registru unic in care se tine evidenta tuturor registrelor folosite in sistem.

CONCLUZII

Rezultatele pe care acest proiect le-a produs sunt urmatoarele:

a. accesul securizat al utilizatorilor SINS la celelalte aplicatii si/sau baze de date relevante;

b. un instrument sigur de schimb de date intre autoritatile competente de la frontierele externe ale Romaniei si U.E.;

c. reducerea timpului de control al documentelor la punctele de trecere a frontierelor;

d. dezvoltarea securizarii controlului de documente si detectarea eficienta a persoanelor care au facut fapte care fac obiectul unor restrictii la punctele de trecere a frontierelor;

e. creeaza posibilitatea intocmirii unor rapoarte complete si eficiente ale personalului de la punctele de trecere prin accesul la informatii furnizate de alte surse;

f. dezvoltarea unor conditii preliminare pentru interconectarea cu sisteme informatice similare europene si internationale.

Bibliografie

Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

Legea nr. 182/2002 –privind protecția informațiilor clasificate;

HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

Legea nr. 544 /2001 –privind informațiile de interes public;

Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

Legea nr. 455/2001 –privind semnătura electronică;

Legea nr. 365/2002 –privind comerțul electronic

OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si capitolul 3.

Tratatul de Aderare la Uniunea Europeana – art.32;

Catalogul Schengen de recomandari si bune practici;

Planul de Actiune Schengen, revizuit 2007;

ISO 27001:2005 –Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Ioan-Cosmin Mihai „Securitatea informațiilor”, Editura Sitech, Craiova, 2012

Victor Valeriu Patriciu, Monica Ene Pietrosanu, Ion Bica, Justin Priescu , „Semnături electronice și securitate informatică”, Editura All, Bucuresti , 2006

Bogdan-Dumitru Țigănoaia , „Asigurarea securității informațiilor în organizații” , Iasi, 2013

Meda Udroiu, Cristian Popa, „Securitatea informațiilor în societatea informatională”, Editura Universitară ,Bucuresti, 2010

Michael Land, Truett Ricks, Bobby Ricks, „Security Management: A Critical Thinking Approach” , CRC Press , 2013

J.J. Stapleton, „Security without Obscurity: A Guide to Confidentiality, Authentication, and Integrity”, Auerbach Publications 2014

Douglas Landoll, „The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, Second Edition”, CRC Press 2011

Bel G. Raggad, „Information Security Management: Concepts and Practice”, CRC Press , 2010

Andy Taylor , David Alexander , Amanda Finch , David Sutton , Andy Taylor, „Information Security Management Principles -2nd edition” , 2013

Brook S. E. Schoenfield, „Securing Systems: Applied Security Architecture and Threat Models”, CRC Press, 2015

Richard O'Hanley, James S. Tiller, „Information Security Management Handbook, Sixth Edition, Volume 7” , Auerbach Publications , 2013

Bibliografie

Legea nr. 8/1996–privind dreptului de autor și a drepturilor conexe;

Legea nr. 182/2002 –privind protecția informațiilor clasificate;

HG nr. 585/2002 –privind standardele naționale de protecție a informațiilor clasificate în România;

HG nr. 781/2002 –privind protecția informațiilor secrete de serviciu;

HG nr. 353/2002 –privind aprobarea normelor de protecție a informațiilor clasificate NATO în România;

Legea nr. 544 /2001 –privind informațiile de interes public;

Legea nr. 676/2002 –privind protecția datelor cu caracter personal în rețelele de comunicații;

Legea nr. 677/2001 –privind protecția datelor cu caracter personal și libera circulație a acestor date;

Legea nr. 455/2001 –privind semnătura electronică;

Legea nr. 365/2002 –privind comerțul electronic

OUG nr. 128 din 15 septembrie 2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari , aprobata si completata prin LEGEA nr. 345 din 29 noiembrie 2005;

HG nr. 1.411 din 11 octombrie 2006 pentru aprobarea Normelor de aplicare a OUG nr. 128/2005 privind infiintarea, organizarea si functionarea Sistemului Informatic National de Semnalari;

HG nr. 769 din 14 iunie 2006 privind aprobarea Planului de implementare a Sistemului Informatic National de Semnalari;

Strategia Nationala privind aderarea la spatiul Schengen punctul „4.1. Adoptarea si implementarea acquis-ului Schengen”, sub-punctul „Sistemul Informatic Schengen” ;

Directiva Parlamentului si Consiliului European 1999/93/EC din 13 decembrie 1999 privind cadrul comunitar de reglementare a semnaturilor electronice

Directiva Parlamentului si Consiliului European 2002/58/EC din 12 iulie 2002 privind procesarea datelor cu caracter personal si protejarea intimitatii in sectorul comunicatiilor electronice (Directiva privind intimitatea si comunicatiile electronice).

Directiva Parlamentului si Consiliului European 2003/98/EC din 17 noiembrie 2003 privind reutilizarea informatiei din sectorul public.

Regulamentul Parlamentului si Consiliului European 526 din 2006 privind stabilirea unui cod comunitar referitor la circulatia persoanelor intre frontiere-art. 7

Conventia de Aplicare a Acordului Schengen – art. 92, 94, 97, 98, si capitolul 3.

Tratatul de Aderare la Uniunea Europeana – art.32;

Catalogul Schengen de recomandari si bune practici;

Planul de Actiune Schengen, revizuit 2007;

ISO 27001:2005 –Tehnologia Informației – Tehnici de Securitate – Sistemul de Management al Securității Informației.

Ioan-Cosmin Mihai „Securitatea informațiilor”, Editura Sitech, Craiova, 2012

Victor Valeriu Patriciu, Monica Ene Pietrosanu, Ion Bica, Justin Priescu , „Semnături electronice și securitate informatică”, Editura All, Bucuresti , 2006

Bogdan-Dumitru Țigănoaia , „Asigurarea securității informațiilor în organizații” , Iasi, 2013

Meda Udroiu, Cristian Popa, „Securitatea informațiilor în societatea informatională”, Editura Universitară ,Bucuresti, 2010

Michael Land, Truett Ricks, Bobby Ricks, „Security Management: A Critical Thinking Approach” , CRC Press , 2013

J.J. Stapleton, „Security without Obscurity: A Guide to Confidentiality, Authentication, and Integrity”, Auerbach Publications 2014

Douglas Landoll, „The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, Second Edition”, CRC Press 2011

Bel G. Raggad, „Information Security Management: Concepts and Practice”, CRC Press , 2010

Andy Taylor , David Alexander , Amanda Finch , David Sutton , Andy Taylor, „Information Security Management Principles -2nd edition” , 2013

Brook S. E. Schoenfield, „Securing Systems: Applied Security Architecture and Threat Models”, CRC Press, 2015

Richard O'Hanley, James S. Tiller, „Information Security Management Handbook, Sixth Edition, Volume 7” , Auerbach Publications , 2013