Autoritatea pentru Digitalizarea României anunţă lansarea procedurii de selecţie a auditorilor pentru verificarea îndeplinirii condiţiilor de acreditare a furnizorului Certsign S.A.
În acest scop, părţile interesate găsesc documentul privind condiţiile de calificare pe site-ul ADR sau la sediul ADR din b-dul Libertăţii nr. 14, sector 5, Bucureşti, Registratură, etaj 1, începând cu data de 28.07.2020, ora 10:00.
Documentele de identificare necesare, în cazul ridicării de la sediul ADR, sunt: împuternicirea din partea firmei şi copie xerox a actului de identitate al persoanei împuternicite să ridice documentul privind condiţiile de calificare.
Procedura de selecţie a auditorilor este descrisă în Ordinul Ministrului nr. 473/09.06.2009 privind procedura de acordare, suspendare şi retragere a deciziei de acreditare a furnizorilor de servicii de certificare, cu modificările şi completările ulterioare.
Data limită până la care se poate depune documentaţia de calificare este 03.08.2020, ora 16:00.
Documentaţia poate fi adusă la sediul ADR sau trimisă prin poştă.
CRITERII DE CALIFICARE PENTRU AUDITORI în vederea realizării auditului necesar acreditării furnizorului Certsign S.A.
I. Preambul
Legislaţia în vigoare în domeniul semnăturii electronice prevede posibilitatea acreditării furnizorilor de servicii de certificare. Această acreditare se acordă de către Autoritatea pentru Digitalizarea României la cererea furnizorilor, în temeiul art. 5 lit.d) din Hotărârea Guvernului nr. 89/2020 organizarea şi funcţionarea Autorităţii pentru Digitalizarea României.
Pentru obţinerea sau reînnoirea acreditării furnizorul de servicii de certificare trebuie să îndeplinească toate condiţiile necesare emiterii de certificate calificate şi să utilizeze dispozitive securizate de creare a semnăturii electronice, omologate de o agenţie de omologare agreată de autoritate. În cadrul procesului premergător acordării sau reînnoirii calităţii de furnizor de servicii de certificare acreditat se vor face verificări atât în ceea ce priveşte declaraţiile conţinute în documentaţia depusă la ADR, cât şi asupra concordanţei dintre sistemele, procedurile şi practicile afirmate a fi folosite şi cele existente în realitate.
Verificarea îndeplinirii condiţiilor de acreditare se face de către un auditor ales de către furnizor în urma calificării auditorilor și desemnat ulterior prin decizie a Președintelui ADR, în urma parcurgerii procesului de calificare a auditorilor prevăzut de Ordinul Ministrului nr.473/09.06.2009 privind procedura de acordare, suspendare si retragere a deciziei de acreditare a furnizorilor de servicii de certificare, cu modificările ulterioare.
Prezentul document cuprinde condiţiile minimale care trebuie îndeplinite de către auditori pentru a fi incluşi pe lista candidaţilor calificaţi în vederea realizării auditului, precum şi conţinutul documentaţiei de calificare.
După primirea documentaţiei de calificare din partea candidaţilor, ADR va verifica respectarea criteriilor prezentate, va întocmi şi va comunica furnizorului care a solicitat acreditarea lista candidaţilor calificaţi. Furnizorul va selecta, dintre candidaţii calificaţi, auditorul care va fi desemnat de către ADR pentru efectuarea auditului de acreditare.
II. Legislaţie aplicabilă şi standarde relevante din domeniul securităţii informaţiei şi furnizării de servicii de certificare calificată pentru semnătura electronică
- Legea nr.455/2001 privind semnătura electronică, republicată;
- Hotărârea de Guvern nr. 1259/2001 privind aprobarea normelor tehnice şi metodologice pentru aplicarea Legii nr.455/2001 privind semnătura electronică, cu modificările ulterioare;
- Ordinul Ministrului nr.473/09.06.2009 privind procedura de acordare, suspendare si retragere a deciziei de acreditare a furnizorilor de servicii de certificare cu modificările ulterioare;
- ETSI TS 101 456 V1.4.3 (2007-05) “Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates”;
- ETSI TR 102 437 V1.1.1 (2006-10) “Electronic Signatures and Infrastructures (ESI); Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates)”;
- ETSI TR 102 044 V1.1.1 (2002-12) “Electronic Signatures and Infrastructures (ESI); Requirements for role and attribute certificates”;
- ETSI TR 102 040 V1.3.1 (2005-03) “Electronic Signatures and Infrastructures (ESI); International Harmonization of Policy Requirements for CAs issuing Certificates”;
- ETSI TS 102 158 V1.1.1 (2003-10) “Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates”;
- ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
- ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management;
- ISO/IEC 17799:2005 Information technology – Security techniques – Code of practice for information security management
- BS 7799-2 “Information security management – Part 2: Specification for information security management systems”;
- ISO/IEC 15408-1:2005 Security techniques/Evaluation criteria for IT security/ Part 1: Introduction and general model;
- ISO/IEC 15408-2:2005 Security techniques/Evaluation criteria for IT security/ Part 2: Security functional requirements;
- ISO/IEC 15408-3:2005 Security techniques/Evaluation criteria for IT security/ Part 3: Security assurance requirements.
III. Cerinţe pentru auditori IT
Auditul poate fi realizat atât de o persoană fizică, care îndeplineşte condiţiile necesare realizării acestei proceduri, cât şi de o persoană juridică de drept privat.
În vederea realizării auditului necesar pentru acordarea calităţii de furnizor acreditat de servicii de certificare pentru semnătura electronică, selectarea persoanelor fizice/ persoanelor juridice calificate se va face după următoarele criterii obligatorii:
- metodologia de audit utilizată;
- bonitatea candidatului;
- existenţa unui sistem de management al calităţii implementat;
- experienţa în domeniul auditului securităţii tehnologiei informaţiei;
- îndeplinirea cerinţelor pentru personalului implicat în activitatea de audit solicitată (aceste cerinţe sunt prezentate la capitolul IV al acestui document);
- independenţa auditorului faţă de furnizorul de servicii de certificare care solicită acreditarea.
IV. Cerinţe pentru personalul care va realiza auditul
- să fie absolvenţi de studii superioare în domeniul tehnologiei informaţiei (experienţa vastă şi studiile de specialitate suplimentare pot fi echivalente unui astfel de nivel de studii) şi să aibă cunoştinţe şi abilităţi în domeniul managementului securităţii informaţiei şi a infrastructurii PKI (public key infrastructure);
- să aibă cel puţin patru ani de experienţă practică în domeniul tehnologiei informaţiei, din care cel puţin doi ani într-o funcţie din cadrul departamentului de management al securităţii informaţiei;
- să fi urmat un curs de instruire de cel puţin 5 zile având ca subiect auditul sistemelor informatice, auditul sistemelor de management şi managementul proceselor de audit;
- să aibă calificări/atestări pe standardele menţionate la Capitolul II sau pe standarde echivalente;
- să aibă experienţă în domeniul auditului sistemelor informatice.
Auditorul desemnat să conducă echipa de audit (auditorul şef) trebuie să îndeplinească în plus următoarele condiţii:
- să fi efectuat cel puţin trei audituri complete în domeniul tehnologiei informaţiei, ca auditor calificat;
- să aibă cunoştinţe şi calităţi de conducere a procesului de audit;
- calităţi personale: capacitatea de a conduce un audit în concordanţă cu procedura de audit, capacitate organizatorică.
Pentru realizarea auditului, echipa de audit poate fi asistată de experţi, care să aibă şi să demonstreze cunoştinţe specifice în domeniul de audit: cerinţe şi reglementări legale referitoare la furnizorii de servicii de certificare, cunoştinţe tehnice privind infrastructura de chei publice, evaluarea ameninţărilor, vulnerabilităţilor şi riscurilor din punct de vedere al securităţii informaţiei pentru furnizorii de servicii de certificare.
V. Conţinutul documentaţiei de calificare
Documentaţia de calificare trebuie să asigure o descriere corectă şi concisă a îndeplinirii de către persoana fizică/ persoana juridică a condiţiilor de calificare. Pentru o abordare uniformă a documentaţiei de calificare şi obţinere a unui grad maxim de comparabilitate, documentaţia de calificare va fi organizată astfel:
- Pagina de titlu: numele persoanei fizice/ persoanei juridice, adresa, număr telefon, fax.
- Data depunerii documentaţiei de calificare, numele persoanei de contact.
- Cuprins: identificarea clară a textului prin număr de secţiune sau pagină.
- Considerente operaţionale: se va oferi o descriere a companiei, subliniind metodele de operare, structura operaţională, serviciile oferite. Această descriere trebuie să demonstreze capacitatea candidatului de a îndeplini cerinţele de calificare în scopul selecţiei pentru realizarea auditului în vederea acreditării furnizorului de servicii de certificare.
- Metodologia de lucru (Cap. III lit. a): se va descrie modalitatea de abordare a procesului de audit în cazul auditului realizat în scopul verificării condiţiilor de acreditare a furnizorului, conform legii nr.455/2001 privind semnătura electronică, republicată.
- Prezentarea experienţei în domeniu (Cap. III lit. d): se va prezenta un document în care se va descrie experienţa în efectuarea auditului sistemelor informatice; se va prezenta o listă de referinţe de la cel puţin trei clienţi către care s-au oferit servicii de audit al sistemelor informatice, audit al sistemelor de management al securităţii informaţiei. Lista va conţine:
- Numele clientului.
- Data la care s-a efectuat auditul
- Adresa clientului
- Persoana de contact
- Numărul de telefon/fax.
- Prezentarea CV-urilor personalului care va realiza auditul (Cap. III lit. e): se va face o prezentare completă din punct de vedere a personalului (experienţă, instruire) care va fi angrenat în activitatea de audit pentru care se face calificarea.
- Descrierea sistemului de management al calităţii (Cap. III lit. c).
- Planificarea activităţii de audit solicitate.
- Declaraţia candidatului (Cap. III lit. f): declaraţia de independenţă a auditorului faţă de compania şi sistemul care vor fi auditate.
- Documente financiare (Cap. III lit. b): se vor prezenta documente oficiale din care să rezulte cifra de afaceri realizată în ultimii trei ani, cu specificarea sumelor provenite din activităţi similare celei supuse atenţiei în cerinţele de calificare, acolo unde este cazul.
- Semnătura candidatului: în cazul unei persoane juridice, documentaţia de calificare trebuie semnată de către persoana cu drept de semnătură, cu precizarea în clar a numelui şi funcţiei deţinute.
Documentaţia de calificare: fiecare pagină a va fi numerotată, semnată şi ştampilată, iar copiile xerox vor avea menţiunea “conform cu originalul”.