I. DISPOZIȚII GENERALE
1. Prezentul regulament reglementează activitatea de prestare a serviciilor în domeniul protecției criptografice a informației care nu este atribuită la secret de stat.
2. Prestarea serviciilor în domeniul protecției criptografice a informației se realizează în baza unui contract scris, semnat de către ambele părți.
3. În sensul prezentului regulament se definesc următoarele noțiuni:
protecție criptografică a informației – ansamblu de măsuri orientate spre asigurarea confidențialității şi a integrității informației, ce se realizează pe calea transformării criptografice a informației;
mijloace de protecție criptografică a informației (în continuare – MPCI) – mijloace tehnice şi/sau de program, sisteme şi complexe, care realizează algoritmii de transformare criptografică a informației, destinate protecției integrității şi confidenţialității informației în procesul de prelucrare, păstrare şi transmitere prin canalele de comunicații electronice, de asemenea realizează generarea, crearea, distribuirea sau administrarea cheilor criptografice;
mijloace de criptare
– mijloace tehnice şi/sau de program, sisteme şi complexe, care realizează algoritmi criptografici, destinate protecției informației transmise prin canalele de comunicații electronice şi/sau protecției informației contra accesului nesancționat în procesul de prelucrare şi păstrare a informației;
mijloace de protecție contra impunerii informației false
– mijloace tehnice şi/sau de program, sisteme şi complexe, care realizează algoritmi criptografici, destinate pentru protejarea contra impunerii informației false;
transformare criptografică a informației
– transformare a informației cu ajutorul unui algoritm criptografic, utilizînd cheile criptografice în scopul protejării informației contra accesului nesancționat, precum şi al confirmării de către autor a autenticității, a integrității şi a calității informației;
confidențialitate –
proprietate a informației din cadrul sistemului care caracterizează capacitatea acesteia de a nu fi disponibilă sau divulgată persoanelor, entităților sau proceselor neautorizate;
criptare –
proces de transformare a informaţiei în mesaj cifrat conform regulilor determinate de algoritmul criptografic;
cheie criptografică
– element al cifrului ce se foloseşte pentru criptarea/decriptarea unui mesaj dat, pentru aplicarea şi verificarea semnăturii electronice, pentru calcularea codurilor de autenticitate;
integritate – proprietate a informaţiei din cadrul sistemului, care caracterizează veridicitatea, concordanța şi invariabilitatea acesteia, inclusiv în condițiile de acțiune intenționată sau neintenționată cu scopul modificării sau distrugerii informației respective.
4. MPCI includ:
a) mijloacele de criptare;
b) mijloacele de protecție contra impunerii informaţiei false;
c) dispozitivele de creare şi/sau de verificare a semnăturii electronice şi a produselor asociate semnăturii electronice;
d) mijloacele de generare a cheilor criptografice.
5. Activitatea de prestare a serviciilor în domeniul protecției criptografice a informației include:
a) cifrarea informaţiei prin utilizarea MPCI în interesul persoanelor fizice și juridice;
b) protecția informației, în interesul persoanelor fizice şi juridice, prin utilizarea mijloacelor de protejare contra impunerii informației false;
c) punerea la dispoziția persoanelor fizice şi juridice a rețelelor de comunicații protejate prin MPCI, precum şi a mijloacelor de criptare separate;
d) generarea şi distribuirea cheilor criptografice, inclusiv pentru semnătura electronică;
e) montarea, demontarea, implementarea, reglarea, deservirea, reparaţia MPCI;
f) proiectarea sistemelor informaționale şi de telecomunicații, protejate prin MPCI.
6. Prezentul regulament nu se aplică:
a) mijloacelor de protecție criptografică a informației care sînt componente ale sistemelor de operare şi programelor aplicative, ale căror funcţii criptografice nu pot fi modificate;
b) cardurilor bancare cu microcipuri încorporate, ale căror funcții criptografice nu pot fi modificate;
c) mijloacelor de protecție criptografică elaborate şi utilizate pentru bancomate, ale căror funcții criptografice nu pot fi modificate;
d) mijloacelor de protecție criptografică a memoriei fiscale, elaborate şi utilizate pentru aparatele de casă;
e) mijloacelor de protecție criptografică care realizează algoritmi criptografici simetrici şi dispun de chei criptografice cu lungimea de pînă la 56 biți inclusiv;
f) mijloacelor de protecţie criptografică care realizează algoritmi criptografici asimetrici şi dispun de chei criptografice cu lungimea de pînă la 128 biți inclusiv.
7. Verificarea corespunderii solicitantului de licență şi controlul respectării de către titularul de licență a condițiilor de licențiere pentru activitatea de prestare a serviciilor în domeniul protecției criptografice a informației se efectuează de către Agenția Servicii Publice în comun cu Serviciul de Informații şi Securitate.
II. CONDIȚIILE DE LICENȚIERE A ACTIVITĂȚII DE
PRESTARE A SERVICIILOR ÎN DOMENIUL PROTECȚIEI
CRIPTOGRAFICE A INFORMAȚIEI
8. În scopul licențierii şi desfăşurării activității de prestare a serviciilor în domeniul protecției criptografice a informației, solicitantul şi titularul de licență trebuie să respecte următoarele condiții:
a) să dețină statut de persoană juridică sau fizică, înregistrată în calitate de întreprinzător;
b) să desfăşoare activitatea licențiată în conformitate cu legislația în vigoare şi standardele în domeniu;
c) să desfăşoare activitatea licențiată în conformitate cu regulile stabilite de organul de licențiere şi autoritatea publică de specialitate;
d) să prezinte, la solicitare, Serviciului de Informații şi Securitate lista MPCI utilizate în activitatea licențiată, documentația tehnică şi/sau mostrele MPCI;
e) să utilizeze MPCI de import doar dacă acestea au fost introduse şi realizate pe teritoriul Republicii Moldova în modul stabilit de legislaţia în vigoare;
f) să dețină legal, în proprietate sau în posesie, mijloacele tehnice şi/sau de program utilizate în activitatea licențiată;
g) să aplice, în activitatea licențiată, algoritmi criptografici aprobați ca standarde naționale, internaționale sau acceptați de autoritatea publică de specialitate;
h) să dețină legal, în proprietate sau în posesie, spațiile necesare pentru buna desfășurare a activității licențiate în corespundere cu normele de igienă, de securitate a muncii şi de protecție a mediului stabilite de legislația în vigoare;
i) să asigure regimul de confidențialitate în activitatea licențiată, ce prevede nedivulgarea informației privind beneficiarul serviciilor şi conținutul serviciilor prestate fără consimțămîntul acestuia. Informațiile respective sînt prezentate doar organelor de drept şi de control, în conformitate cu legislația în vigoare;
j) să păstreze în safeuri documentația ce vizează MPCI;
k) să elaboreze şi să aprobe, în termen de o lună de la data eliberării licenței, regulamentul intern în care să fie stabilite condițiile de organizare a activității licențiate, modul de evidență, păstrare, transmitere şi distrugere a MPCI şi a documentației tehnice;
l) să organizeze regimul intern astfel încît să excludă posibilitatea accesului neautorizat la MPCI;
m) să asigure evidența strictă a MPCI, documentînd utilizarea, predarea mijloacelor respective beneficiarului, precum şi nimicirea acestora;
n) persoanele care sînt antrenate nemijlocit în activitatea licențiată trebuie să aibă studii superioare în domeniul protecției criptografice a informației fie să aibă studii superioare în alt domeniu şi, concomitent, studii de perfecționare în domeniul protecției criptografice a informației, fie să aibă studii superioare şi vechime în muncă în domeniul protecției criptografice a informației de cel puţin 3 ani. Nivelul cunoştințelor persoanelor respective trebuie să corespundă cerințelor prevăzute la pct. 9 şi 10 și se confirmă printr-un certificat privind absolvirea cursurilor specializate în domeniul protecției criptografice a informației;
o) să stabilească expres, prin act intern, subdiviziunea şi persoanele antrenate nemijlocit în activitatea licențiată;
p) să aprobe structura organizatorică, nomenclatorul de funcții și fișele de post pentru fiecare specialist;
q) să asigure perfecționarea periodică a persoanelor antrenate nemijlocit în activitatea licențiată;
r) să asigure evidența şi păstrarea suporturilor cheilor criptografice, să înregistreze eliberarea, restituirea şi nimicirea cheilor criptografice în registre specializate;
s) să asigure păstrarea separată a suporturilor cheilor criptografice şi a suporturilor de rezervă, dacă procesul tehnic şi tehnologic prevede existența acestora;
t) să deservească echipamentul utilizat în activitatea licențiată în conformitate cu reglementările documentației de exploatare;
u) să pună la dispoziţia beneficiarului documentația tehnică şi informaţia necesară privind utilizarea MPCI;
v) să asigure condițiile necesare pentru efectuarea de către autoritățile competente a controlului privind desfăşurarea genului de activitate licențiat.
9. Persoanele care sînt antrenate nemijlocit în activitatea de prestare a serviciilor în domeniul protecției criptografice a informației trebuie să cunoască:
a) prevederile actelor normative în vigoare cu privire la protecția criptografică a informației;
b) prevederile actelor normative în vigoare cu privire la semnătura electronică;
c) standardele naționale şi internaționale (ISO, NIST) în domeniul protecției criptografice a informației;
d) standardele naționale şi internaționale (ISO, NIST, CWA) în domeniul semnăturii electronice;
e) noțiunile de bază în domeniul protecției criptografice a informației, precum transformarea criptografică a informației, generarea, distribuirea şi protecția cheilor criptografice, contracararea posibilităților de compromitere a cheilor criptografice, metodele de generare aleatorie sau pseudoaleatorie de biți, tehnologiile de protecție contra impunerii informației false;
f) noțiunile de bază în domeniul semnăturii electronice, precum metodele şi domeniile de aplicare a semnăturii electronice, tehnologiile de creare a semnăturii electronice, contracararea falsificării semnăturii electronice, organizarea infrastructurii cheilor publice;
g) interfețele de interacțiune dintre sistemul informațional şi modulul criptografic;
h) limbajele de programare, în scopul realizării algoritmilor criptografici, în cazul prestării serviciilor menționate la pct. 5 lit. f).
10. Persoanele care sînt antrenate nemijlocit în activitatea de prestare a serviciilor în domeniul protecției criptografice a informației trebuie să posede următoarele abilități:
a) să pregătească, să planifice şi să organizeze procesul de prestare a serviciilor în domeniul protecției criptografice a informației şi a semnăturii electronice;
b) să utilizeze metodele criptografice de protecție a informației şi a semnăturii electronice;
c) să efectueze analiza sistemelor informaționale cu module criptografice în scopul evaluării conformității nivelului de protecție a informației;
d) să configureze modulele criptografice pentru asigurarea protecției necesare a sistemului informațional şi pentru asigurarea funcționalităţii acestuia;
e) să studieze MPCI pentru analiza corectitudinii funcționării acestora;
f) să înlăture erorile apărute în procesul de exploatare a modulului criptografic.
11. Proprietarul, administratorul şi personalul care este antrenat nemijlocit în activitatea de prestare a serviciilor în domeniul protecției criptografice a informației nu trebuie să aibă antecedente penale pentru infracțiuni comise în domeniul tehnologiei informației şi comunicațiilor electronice.