ORDIN nr. 489 din 15 iunie 2009
privind normele metodologice de autorizare a centrelor de date

EMITENT: MINISTERUL COMUNICAŢIILOR ȘI SOCIETĂȚII INFORMAŢIONALE
PUBLICAT: MONITORUL OFICIAL nr. 435 din 25 iunie 2009

În temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, precum şi al art. 17 alin. (2) şi art. 27 alin. (2) din Legea nr. 135/2007 privind arhivarea documentelor în forma electronică, ministrul comunicaţiilor şi societăţii informaţionale emite următorul ordin:


Art 1
1. Prezentul ordin se aplică centrelor de date utilizate de către administratorii de arhive electronice, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în forma electronică.

2. Prezentul ordin stabileşte procedura şi condiţiile privind acordarea, suspendarea şi retragerea autorizării centrelor de date, emise de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, denumit în continuare MCSI, precum şi conţinutul, durata de valabilitate şi efectele suspendării sau retragerii autorizării.

Art 2
În înţelesul prezentului ordin, următorii termeni se definesc astfel:
a) centru de date - spaţiu securizat, dotat cu tehnică de calcul şi echipamente de comunicaţii prin intermediul cărora se primesc, se stochează şi se transmit date în formă electronică;
b) procedură de autorizare - metodă de evaluare sistematică, documentată, periodică şi obiectivă a performanţei centrului de date, a sistemului de management şi a proceselor destinate protecţiei arhivelor electronice, în scopul verificării respectării cerinţelor prevăzute de legislaţia în vigoare;
c) ordin de autorizare - document emis de MCSI care atestă că un centru de date îndeplineşte toate condiţiile cerute de legislaţia în vigoare în vederea desfăşurării operaţiunilor de arhivare electronică; d) backup - activitatea de copiere a unor fişiere sau baze de date în vederea conservării şi recuperării acestora în cazul unei avarii sau al altui eveniment neprevăzut;
e) UPS (Uninterruptible Power Supply) - dispozitiv care permite calculatorului să funcţioneze pentru o perioadă scurtă de timp în cazul în care sursa principală de energie este întreruptă, respectiv care asigură protecţie împotriva suprasarcinilor tranzitorii;
f) firewall - dispozitiv hardware sau aplicaţie software care monitorizează şi filtrează permanent transmisiile de date realizate între reţeaua protejată şi alte reţele, pe baza unui set de reguli şi criterii;
g) router - dispozitiv hardware sau aplicaţie software care conectează două sau mai multe reţele de calculatoare;
h) upgrade - proces de îmbunătăţire a unui echipament tehnic sau a unei aplicaţii software;
i) redundanţă - introducere de dispozitive suplimentare faţă de cel de bază, care să asigure funcţionarea unui sistem în cazul în care unul dintre dispozitivele cu aceeaşi funcţie a ieşit întâmplător din uz

.
Art 3
Centrele de date utilizate de către administratorii de arhive electronice trebuie să dispună de dotările tehnice şi să aplice politicile şi procedurile de management şi de securitate necesare pentru a îndeplini condiţiile prevăzute la art. 17 alin. 1 din Legea nr. 135/2007.

Art 4
1. Persoana fizică sau juridică care intenţionează să obţină autorizarea unui centru de date în vederea desfăşurării activităţilor legate de arhivarea electronică a documentelor, denumită în continuare solicitant, va transmite MCSI o cerere scrisă în acest sens. Forma şi conţinutul acestei cereri sunt prevăzute în anexa nr. 1.

2. Cererea prevăzută la alin (1) va fi însoţită de următoarele documente:
a) descrierea politicilor şi procedurilor de lucru, incluzând enumerarea posturilor şi a funcţiilor personalului, precum şi calificările / atestările profesionale ale acestuia;
b) descrierea generală a echipamentelor utilizate în procesul de arhivare;
c) procedurile pentru asigurarea disponibilităţii serviciului;
d) politica generală de securitate, politicile privind utilizatorii, parolele şi accesul la sisteme.

3. Cererea şi documentele anexate se transmit la sediul MCSI în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul legal, cu luare de număr de înregistrare de la registratura generală a MCSI;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a încorporat, i s-a ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice.

4. Este considerată dată a transmiterii, după caz, data înscrierii în registrul general de intrare-ieşire a corespondenţei al MCSI, data confirmării primirii documentelor la sediul MCSI printr-un serviciu poştal cu confirmare de primire sau data confirmării primirii înscrisului în formă electronică.

5. În cazul în care documentaţia nu îndeplineşte condiţiile prevăzute de prezentul ordin, MCSI va solicita completarea acesteia, în termen de 10 zile de la transmiterea solicitării de completare.

6. În cazul în care documentaţia transmisă potrivit alin. (1)-(3) este completă sau a fost completata în conformitate cu prevederile alin. (5), MCSI demarează procedura de autorizare a centrului de date.

Art 5
1. Verificarea îndeplinirii condiţiilor în vederea autorizării se face de către personalul MCSI cu atribuţii în acest sens, în cadrul procedurii de autorizare.

2. Pe perioada desfăşurării procedurii de autorizare, MCSI poate solicita orice documente referitoare la activitatea centrului de date care au legătură cu activitatea de arhivare electronică şi poate efectua acţiuni de control pentru a verifica conformitatea dintre informaţiile declarate în cursul procedurii de autorizare şi realitate.

Art 6
În vederea autorizării, centrul de date trebuie să îndeplinească condiţiile prevăzute la art. 17 alin. (1) din Legea nr. 135/2007, obiectivele principale urmărite de MCSI în cursul procedurii de autorizare pentru verificarea îndeplinirii acestor condiţii fiind următoarele:
a) asigurarea securităţii şi integrităţii datelor, la nivel de securitate fizică şi acces prin mijloace informatice;
b) disponibilitatea serviciului de arhivare electronică şi backupul informaţiilor stocate.

Art 7
În cursul procedurii de autorizare, MCSI va verifica îndeplinirea de către centrul de date, în mod cumulativ, a condiţiilor prevăzute la art. 8-12.

Art 8
Spaţiul în care funcţionează centrul de date trebuie să fie amenajat astfel încât să fie posibilă respectarea cerinţelor de securitate specifice şi să asigure funcţionarea echipamentelor la parametrii optimi prevăzuţi de producătorii acestora. În acest sens, se vor asigura:
a) instalarea unor sisteme de climatizare care să asigure valorile optime de temperatura şi umiditate în vederea funcţionarii echipamentelor în condiţii de siguranţă;
b) utilizarea de materiale ignifuge şi instalarea unor sisteme de prevenire şi stingere a incendiilor, concepute special pentru evitarea deteriorării echipamentelor;
c) dimensionarea corespunzătoare a reţelei electrice, în funcţie de consumurile echipamentelor folosite; d) garantarea siguranţei la defecţiunile previzibile ale sistemelor de utilităţi (apă, gaze etc.) care deservesc spaţiul care găzduieşte centrul de date.

Art 9
Asigurarea redundanţei şi realizarea backup-ului trebuie să fie implementate prin următoarele măsuri:
a) utilizarea de dispozitive UPS şi / sau generatoare electrice, care să asigure funcţionarea neîntreruptă a echipamentelor în cazul opririi alimentării cu curent electric de la reţeaua principală; timpul de asigurare a alimentării din sursa de urgenţă va fi calculat în funcţie de timpii estimaţi pentru remedierea posibilelor avarii care ar surveni la reţeaua electrică principală;
b) duplicarea tuturor elementelor reţelei electrice şi asigurarea posibilităţii comutării automate de pe reţeaua principală pe reţeaua de rezervă;
c) utilizarea procedurilor de lucru care să asigure efectuarea de backup periodic al tuturor informaţiilor păstrate în centrul de date şi stocarea acestora în alt spaţiu, diferit de spaţiul principal al centrului de date, cu asigurarea aceloraşi condiţii de securitate ca şi cele ale spaţiului principal, aflat la o distanţă faţă de spaţiul principal care să corespundă normelor europene în domeniu;
d) asigurarea unor proceduri de mentenanţă pentru echipamente şi pentru infrastructură, respectând recomandările producătorilor echipamentelor respective, astfel încât să se minimizeze riscul apariţiei de probleme tehnice;
e) în cazul echipamentelor critice (a căror funcţionare permanentă este esenţială în asigurarea continuităţii funcționării centrului de date) se vor asigura echipamente de rezervă, care vor fi folosite pe perioada efectuării operaţiunilor de mentenanţă ce implică oprirea sau deconectarea respectivului echipament şi pe perioada în care echipamentul principal este afectat de defecţiuni tehnice.

Art 10
Centrul de date trebuie să aibă o structură scalabilă, atât în ceea ce priveşte echipamentele informatice utilizate, cât şi în ceea ce priveşte infrastructura, cu scopul de a păstra performanţele sistemului la un nivel constant în cazul apariţiei de condiţii noi (mărirea capacităţii centrului de date, facilităţi noi etc.).

Art 11
1. Centrul de date trebuie să asigure securitatea şi integritatea informaţiilor stocate, atât în ceea ce priveşte accesul fizic la echipamentele utilizate, cât şi în ceea ce priveşte accesul prin mijloace electronice la documentele arhivate.

2. Securitatea fizică presupune luarea următoarelor măsuri:
a) accesul controlat la echipamentele centrului de date utilizate pentru arhivarea electronică a documentelor, cu precizarea mai multor niveluri de drepturi de acces ale personalului care operează sistemele;
b) utilizarea echipamentelor speciale de evitare şi detecţie a intruziunilor fizice.

3. Pentru asigurarea securităţii accesului prin mijloace electronice la documentele arhivate trebuie utilizate următoarele măsuri tehnice:
a) sisteme de detecţie a intruziunilor (Intrusion Detection System - IDS);
b) firewall (software şi/sau hardware), routere pentru filtrarea traficului;
c) sisteme antivirus;
d) securizarea proceselor de autentificare şi de autorizare a accesului la date;
e) jurnalizarea automată a acţiunilor efectuate în sistem.

Art 12
Operarea centrului de date trebuie realizata respectându-se strategii, politici şi proceduri bine determinate în ceea ce priveşte managementul, controlul şi securitatea sistemelor. În realizarea acestor politici şi proceduri se vor respecta următoarele cerinţe minimale:
a) jurnalizarea cronologică a acţiunilor efectuate în sistem (accesul fizic la echipamente, comutări de pe un sistem pe altul, procese de mentenanţă, acţiuni ale operatorului etc.);
b) evaluarea la intervale regulate a infrastructurii centrului de date, a sistemului de securitate şi a echipamentelor informatice folosite, inclusiv a sistemelor de backup;
c) folosirea unui sistem de management al calităţii;
d) evaluarea efectelor extinderilor şi upgrade-urilor;
e) realizarea auditului regulat al planului de securitate;
f) evaluarea şi perfecţionarea periodică a personalului;
g) implementarea unor politici de resurse umane care să asigure operarea centrului de date de către personal specializat care să dispună de certificări în domeniu.

Art 13
1. În termen de 30 de zile de la primirea documentaţiei în conformitate cu prevederile art. 4 alin. (1)-(3) sau a completărilor solicitate în conformitate cu prevederile art. 4 alin. (5), MCSI emite ordinul de autorizare a centrului de date sau ordinul de respingere a cererii de autorizare, motivat în mod corespunzător.

2. Forma şi conţinutul ordinului de autorizare a centrului de date sunt prevăzute în anexa nr. 2.

Art 14
1. Ordinul de autorizare este valabil pentru o perioada de 3 ani de la data emiterii acestuia.
2. Autorizarea poate fi reînnoită, procedura de reautorizare fiind identică cu cea de autorizare.
3. Pe durata valabilităţii autorizării, MCSI are dreptul de a efectua acţiuni de control periodice, pentru verificarea menţinerii condiţiilor de funcţionare a centrului de date.

Art 15
1. Constatarea de către personalul de control de specialitate din cadrul MCSI a neîndeplinirii condiţiilor minime de funcţionare a centrului de date atrage suspendarea ordinului de autorizare pe o perioadă de 30 de zile; în această perioadă, centrul de date nu poate primi spre stocare documente în formă electronică.

2. Dacă deficienţele survenite în funcţionarea centrului de date nu sunt remediate în intervalul de timp prevăzut la alin. (1), autorizarea se retrage, prin ordin emis de ministrul comunicaţiilor şi societăţii informaţionale.

3. În cazul expirării duratei de valabilitate a autorizării, precum şi în cazul retragerii autorizării de către MCSI în condiţiile alin. (2), centrul de date nu mai poate furniza servicii legate de arhivarea electronică în sensul Legii nr. 135/2007.

4. În cazul intenţiei de încetare a activităţii centrului de date autorizat în condiţiile prezentului ordin, MCSI va fi informat, cu cel puţin 30 de zile în avans, despre această intenţie şi despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţii. La data încetării activităţii centrului de date, autorizarea se retrage, prin ordin emis de ministrul comunicaţiilor şi societăţii informaţionale.

Art 16
Pentru funcţionarea corespunzătoare a centrelor de date se recomandă aplicarea şi respectarea următoarelor standarde sau a unor standarde echivalente:
a) SR ISO/CEI 17799: 2006 Tehnologia informaţiei. Tehnici de securitate. Cod de bună practică pentru managementul securităţii informaţiei;
b) SR ISO/IEC 27001: 2006 Tehnologia informaţiei. Tehnici de securitate. Sisteme de management al securităţii informaţiei. Cerinţe;
c) SR ISO/CEI 15408-1: 2004 Tehnologia informaţiei. Tehnici de securitate. Criterii de evaluare pentru securitatea tehnologiei informaţiei. Partea 1: Introducere şi model general;
d) ISO/IEC 20000-1: 2005 Tehnologia informaţiei - Managementul securităţii - Partea 1: Specificaţii;
e) ISO/IEC 20000-2: 2005 Tehnologia informaţiei - Managementul securităţii - Partea a 2-a: Cod de practica;
f) TIA/EIA 942 2005 Standard privind infrastructura de telecomunicaţii a Centrului de date;
g) SR EN 50173-5 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea a 5-a: Centre de date;
h) SR EN 50173-1 2008 Tehnologia informaţiei. Sisteme generice de cablare. Partea 1: Cerinţe generale.

Art 17
Anexele nr. 1 şi 2 fac parte integrantă din prezentul ordin.

Art 18
1. La data intrării în vigoare a prezentului ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 1.131/2008 privind normele metodologice de autorizare a centrelor de date, publicată în Monitorul Oficial al României, Partea I, nr. 861 din 20 decembrie 2008.

2. Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

CERERE pentru începerea procedurii de autorizare

Către:

Stimate domnule ministru,

Având în vedere prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, precum și ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, vă solicităm să dispuneţi începerea procedurii de autorizare a centrului de date aparţinând ………………………………… (numele şi prenumele/denumirea solicitantului), având domiciliul/sediul în………………………………………………….. (adresa completă, inclusiv telefon şi fax) ……………………….. înregistrat în Registrul Comerţului al Municipiului ……..………….., cod numeric personal / cod unic de înregistrare / cod de identificare fiscal, …………………………… reprezentat legal prin ………………………………. (numele şi prenumele), domiciliat(ă) în ……………………………………………………………………………… (adresa completă, inclusiv telefon, identificat (ă) prin ………………………………………………………….. (actul de identitate: seria, numărul, codul numeric personal)

Numele şi prenumele / Denumirea solicitantului
Semnătura reprezentantului legal şi ştampila solicitantului
Data

ORDIN de autorizare a centrului de date

Având în vedere dispoziţiile Legii nr. 135/2007 privind arhivarea documentelor în forma electronică, precum şi ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date, în baza Referatului de aprobare al Direcţiei*1) ……………………………………….., înregistrat cu nr ...……./…………. în temeiul art. 4 alin. (1) pct. 58 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin.

Art. 1.
Începând cu data comunicării prezentului ordin, centrul de date aparţinând ……………………………………….. (numele şi prenumele/denumirea solicitantului autorizării) este autorizat să desfăşoare operaţiuni de arhivare electronică în condiţiile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.

Art. 2.
Se certifică faptul că centrul de date îndeplineşte condiţiile stabilite de dispoziţiile art. 17 din Legea nr. 135/2007 şi prevederile art. 8-12 din Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009 privind normele metodologice de autorizare a centrelor de date.

Art. 3.
Autorizarea se acorda pe o perioada de 3 ani de la data comunicării prezentului ordin şi poate fi reînnoită pe baza procedurii prevăzute în Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 489/2009.

Art. 4.
Prezentul ordin se comunică ……………………………………. /(numele şi prenumele/denumirea persoanei care operează centrul de date) atât pe suport de hârtie, cât şi în formă electronică, semnată electronic. *1) Se va menţiona denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.

Ministru,
Nr.