Capitolul 8 MANAGEMENTUL INFORMAIILOR CLASIFICATE N ROMNIA Motto: O cetate este aprat de cetenii ei, nu de zidurile sale (Tucit ide)

8.1 Domeniile de securitate a informaiilor clasificate. 8.1.1 Securitatea personalului Securitatea personalului reprezint ansamblul msurilor de securitate legate de accesul persoanelor la informaii clasificate. Obiectivele msurilor de securitate privind accesul persoanelor la informaii clasificate urmresc: s previn accesul persoanelor neautorizate la informaii clasificate; s permit identificarea persoanelor care, prin aciunile lor, pot afecta securitatea informaiilor clasificate; s asigure accesul persoanelor la informaii clasificate numai pe baza unui document special de acces (denumit generic certificat de securitate) i a respectrii principiului nevoia de a cunoate. Principiul nevoia de a cunoate se refer la necesitatea imperioas ca o persoan s aib acces la informaii clasificate, exclusiv n scopul realizrii atribuiilor sale de serviciu, numai la nivelul, numai n momentul i numai pe durata n care accesul este absolut necesar. Observaii Reglementrile naionale utilizeaz mai multe denumiri pentru documentele de acces al persoanelor la informaiile clasificate (Legea nr.182/2002 folosete ca termen generic autorizaie de acces): certificat de securitate ce se acord persoanelor cu atribuii nemijlocite n domeniul proteciei informaiilor (Art. 3, Hotrrea de Guvern nr. 585/2002); autorizaie de acces la informaii (naionale) clasificate ce se acord celorlalte categorii de persoane, altele dect cele menionate la paragraful anterior (Art. 3, Hotrrea de Guvern nr. 585/2002);

 certificat de securitate de tip A ce se acord persoanelor pentru acces la informaii NATO clasificate (Art. 18, Hotrrea de Guvern nr. 353/2002); certificat de securitate de tip B care autorizeaz participarea unei persoane la activitile NATO ce presupun accesul la informaii NATO clasificate (n esen, un asemenea certificat este o adeverin prin care organizatorul unor aciuni NATO, de tipul celor menionate, se asigur de faptul c o anumit persoan este ndrituit s participe la acea activitate, posed un certificat de securitate de tip A corespunztor i a fost instruit privind msurile de securitate a informaiilor NATO clasificate la care va avea acces) (Art. 18, Hotrrea de Guvern nr. 353/2002); Situaia prezentat este de natur s induc o serie de confuzii i chiar nemulumiri (n rndul unor conductori de instituii care ar primi doar o autorizaie de acces, pe cnd unii dintre subalternii lor un certificat de securitate, perceput ca avnd o calitate superioar autorizaiei), att timp ct verificrile pentru toate tipurile de autorizare a accesului sunt identice. Avnd n vedere faptul c Romnia este membr NATO i UE, apreciem c s-ar putea proceda la o actualizare a legislaiei, n sensul introducerii unui singur certificat de securitate naional, pe baza cruia s se elibereze i certificatele de securitate NATO i certificate de securitate pentru Uniunea European1; n acelai context ar trebui corelate i perioadele de valabilitate ale certificatului pentru informaii clasificate naionale i UE, respectiv NATO (n prezent de patru, respectiv trei ani). Principiul nevoia de a cunoate (need-to-know) Principiul are drept scop controlul accesului la informaiile clasificate n cazul persoanelor ce dein un certificat de securitate corespunztor. Analiza implicaiilor introducerii acestui principiu se poate face adoptnd ca ipotez de lucru faptul c toate celelalte condiii necesare obinerii accesului la informaiile clasificate sunt considerate aprioric ndeplinite. Experiena n domeniul securitii confidenialitii informaiilor a consacrat principiul desemnat prin sintagma nevoia de a cunoate, ca fiind unul dintre principiile fundamentale de securitate aplicat, de altfel, n toate rile membre NATO, precum i n cele ale Uniunii Europene i nu numai. Valabilitatea principiului nevoia de a cunoate a fost pe deplin confirmat de cazuistica specific domeniului de securitate; astfel, din analiza unor cazuri de spionaj, devenite de notorietate ca urmare a deconspirrii unor informaii sensibile, a rezultat c prejudiciile ar fi fost
1

n acest moment, pe baza certificatului de acces la informaii naionale, ORNISS elibereaz, o confirmare de acces la informaii UE.

incomparabil reduse, dac principiul menionat mai sus ar fi fost respectat cu strictee, ceea ce nu ar mai fi permis unor persoane ru intenionate s acceseze informaii pentru care nu erau autorizate. n esen, principiul relev faptul c deinerea unui certificat de securitate nu acord unei persoane accesul efectiv la informaii clasificate, ci reprezint doar o condiie preliminar, de eligibilitate; accesul propriu-zis, punctual, la un anumit document sau material clasificat, devine posibil numai n msura n care titularul unui certificat de securitate are neaprat nevoie de acest acces, exclusiv pentru rezolvarea unei sarcini de serviciu, ce intr n atribuiile funciei pe care o exercit. Prin urmare, nici o persoan nu este ndreptit ca, doar n virtutea rangului, a funciei ocupate sau chiar a deinerii unui certificat de securitate, s aib acces la o anumit informaie clasificat, dac acest lucru nu-i este absolut necesar pentru ndeplinirea sarcinilor de serviciu. Principiul nevoia de a cunoate acioneaz atunci cnd, n rezolvarea unei probleme de serviciu, o persoan, n calitate de deintor legal sau de reprezentant legal al unui deintor originar al unei informaii clasificate, denumit n continuare emitent, trebuie s decid asupra diseminrii acesteia ctre o alt persoan, denumit n continuare primitor, ce posed un certificat de securitate corespunztor. n concluzie, o persoan care posed un certificat de securitate poate primi accesul punctual la o anumit informaie clasificat, doar atunci cnd sunt ndeplinite cumulativ urmtoarele condiii: 1. Certificatul de securitate este valabil i corespunde nivelului de clasificare al informaiei; 2. Accesul la acea informaie reprezint o necesitate imperioas, recunoscut ca atare de ctre deintorul legal al acesteia; 3. Informaia va folosi exclusiv la realizarea atribuiilor de serviciu ale persoanei, iar accesul se va acorda numai n momentul i se presupune a fi valabil numai pe durata n care acesta este absolut necesar. Prevederile legii romne De la nceput trebuie precizat faptul c Legea nr.182/2002 nu face referiri exprese cu privire la condiionarea accesului persoanelor la informaiile clasificate de respectarea unui principiu cum ar fi necesitatea de a cunoate, ci doar menioneaz, la art. 5 lit. (c), unul din scopurile urmrite prin aceast reglementare, i anume de a garanta c informaiile clasificate sunt distribuite exclusiv persoanelor ndreptite, potrivit legii, s le cunoasc. Sintagma potrivit legii a avut menirea de a deschide calea unor reglementri ulterioare privind modalitatea de identificare a persoanelor ndreptite. Att timp ct absena unei situaii care s

ndrepteasc pe cineva s obin acces la toate informaiile clasificate ine de domeniul evidenei, fr ndoial, persoanele ndreptite nu pot fi altele dect persoanele care beneficiaz de o aprobare special, obinut pentru fiecare informaie n parte, ceea ce nscrie de fapt principiul nevoia de a cunoate. Aceast concluzie este susinut i prin interpretarea prevederilor art. 6, alin (1) coroborat cu art. 42 lit (e), din care rezult obligativitatea aplicrii unor standarde naionale de securitate; aceste standarde, concretizate n dou hotrri de guvern, preiau principiul NATO need-to-know, fie sub forma sintagmei necesitatea de a cunoate (art.3 din Hotrrea de Guvern nr. 585/2002), fie n formularea nevoia de a ti (art. 20 din Hotrrea de Guvern nr. 353/2002). n consecin, principiul nevoia de a cunoate trebuie acceptat i corect aplicat de ctre toi cei ce gestioneaz informaii clasificate. Aplicarea principiului nevoia de a cunoate Problematica aplicrii practice a principiului nevoia de a cunoate nu este dezvoltat de legislaia n vigoare. n acest context, fiecare entitate organizaional care gestioneaz informaii clasificate poate s-i stabileasc n cadrul normelor interne de aplicare a reglementrilor privind protecia informaiilor clasificate, elaborate n baza art. 93 din Hotrrea de Guvern nr.585/2002 i art. 301 lit.(b) din Hotrrea de Guvern nr.353/2002, modalitile concrete de utilizare a principiului nevoia de a cunoate, inndu-se seama att de particularitile de organizare, ct i de specificul activitii desfurate. Cu toate acestea se pot formula cteva consideraii de ordin general, rezultate din experiena altor state, care ar putea contribui la clarificarea unor aspecte ce in de problematica pus n discuie. Factorul cheie n asigurarea eficacitii aplicrii principiului nevoia de a cunoate rmne, indubitabil, profesionalismul fiecrui angajat care gestioneaz informaii clasificate, att timp ct, ntr-un fel sau altul, acesta va judeca i va decide asupra oportunitii unui transfer de informaii clasificate; profesionalismul se refer aici nu numai la cunotinele i deprinderile practice n lucrul cu asemenea informaii, ci i la rigoarea, calitile morale i atitudinea preventiv, manifestate cu consecven i fr nici un rabat, n toate mprejurrile. Aplicarea practic a principiului se confrunt cu dificulti derivate i din faptul c interfereaz cu nclinaia natural a individului educat i instruit de a fi politicos, prietenos, de a-i ajuta pe ceilali, de a cere i de a acorda asisten i ncredere; cu toate acestea nu trebuie omis faptul c toi cei ce au afectat securitatea informaiilor clasificate s-au bucurat de

ncredere. O atitudine preventiv este de preferat n acest caz, i nici un individ educat, normal din punct de vedere psihic i animat de bune intenii, nu o poate refuza. Selecia adecvat a personalului, verificrile exigente de securitate, alturi de educaia continu de securitate, evaluarea corect a activitii fiecruia prin prisma securitii informaiilor clasificate, pot crea condiiile favorabile aplicrii corecte a principiului nevoia de a cunoate. Aadar, aplicarea eficace a acestui principiu depinde n cea mai mare msur de fiecare persoan care gestioneaz informaii clasificate; n raport cu o asemenea persoan, n activitatea curent a acesteia, pot fi formulate o serie de ateptri legitime, cum ar fi: 1. S nu solicite informaii clasificate care nu i sunt neaprat necesare ndeplinirii sarcinilor de serviciu, aa cum rezult acestea din fia postului; 2. S fie gata s ofere toate justificrile necesare, atunci cnd solicit anumite informaii clasificate, pentru a demonstra deintorilor legali ai informaiilor, faptul c sunt ntrunite condiiile care o ndreptesc s obin accesul la acestea; 3. S evite situaiile n care constat c ar putea avea acces la informaii clasificate care nu i sunt neaprat necesare ndeplinirii sarcinilor de serviciu; 4. S nu permit accesul la informaii clasificate dintre cele pe care le deine n mod legal nici unei persoane, pn cnd nu se convinge c sunt ndeplinite toate condiiile care o ndreptesc la acest lucru; 5. S evite discuiile (n holuri, lift, n spaiile special destinate fumatului, inclusiv n birou sau la telefon etc.) cu persoane sau n prezena acestora (vizitatori, colegi de serviciu, colaboratori interni sau externi la o lucrare comun etc.), chiar dac acestea dein certificate de securitate corespunztoare, precum i contactul ntmpltor al persoanelor menionate cu documente sau materiale clasificate, dac informaiile la care ar avea n felul acesta acces nu le sunt neaprat necesare ndeplinirii sarcinilor de serviciu; 6. S nu ntreprind nici un fel de aciuni care ar avea ca efect final inducerea n eroare (prin explicaii incomplete, prin denaturarea semnificaiilor sau a adevrului etc.) sau descurajarea (prin presiuni, prin ridiculizare, prin evitare etc.) acelora ce i solicit justificri sau chiar i refuz accesul la informaiile clasificate; 7. S dezvolte o atitudine activ, prompt i responsabil, de

clarificare a situaiilor de acces nejustificat la informaii clasificate, ori de cte ori ia cunotin de acestea, procednd, dup caz, n funcie de competenele pe care le deine i consecinele negative probabile, de la atenionarea celor implicai, pentru contientizarea i rezolvarea situaiei, pn la anunarea factorilor competeni pe linia proteciei informaiilor clasificate; 8. S nu pun la dispoziia persoanelor neautorizate informaii clasificate utiliznd reelele de calculatoare. Procedurile privind securitatea personalului urmresc asigurarea securitii informaiilor clasificate prin acordarea accesului la acestea numai persoanelor care se dovedesc loiale, oneste i demne de ncredere, caliti confirmate prin eliberarea unui certificat de securitate, obinut n urma unor verificri specifice de securitate, efectuate de instituiile abilitate prin lege. Obiectul verificrilor este cel stabilit de Art.7, alin (1) din Legea nr. 182/2002: persoanele care vor avea acces la informaii clasificate secrete de stat vor fi verificate, n prealabil, cu privire la onestitatea i profesionalismul lor. Analiza coninutului acestei prevederi indic faptul c legea, atta timp ct nu face nici o distincie ntre persoane, cere, n mod imperativ, verificarea, fr excepie, a tuturor cetenilor pentru care se solicit accesul la informaii clasificate, atitudine ntrit de angajamentele Romniei asumate n domeniul securitii informaiilor NATO clasificate: ..Guvernul Romniei i asum angajamentul ca toate persoanele cu cetenie romn, care n ndeplinirea sarcinilor lor oficiale necesit sau pot avea acces la informaii ori materiale n cadrul programelor Consiliului de Cooperare Nord-Atlantic sau Parteneriatului pentru Pace, s fie verificate corespunztor nainte de a li se acorda acces la astfel de informaii i materiale [art. 2, alin. (1) din Acordul de Securitate]. Un caz aparte, consecin a opiunii de mai sus, este reprezentat de situaia membrilor Parlamentului, Guvernului i, bineneles, a deintorilor principalelor funcii publice n stat (preedintele Romniei, preedinii Senatului i Camerei Deputailor, prim-ministrul Guvernului Romniei); acestor demnitari le sunt aplicabile prevederile art. 7, alin (2) din Legea nr. 182/2002: pentru candidaii la funcii publice ce implic lucrul cu asemenea informaii [clasificate], precum i competena de a autoriza accesul la astfel de informaii, verificarea este anterioar numirii n aceste funcii i se solicit obligatoriu de autoritatea de investire. Modificarea adus recent n acest sens n baza creia n mod automat se acord acces la informaii naionale clasificate pentru membrii Parlamentului, pe baza votului exprimat la alegeri, creeaz vulnerabiliti n securitatea informaiilor clasificate. Este adevrat c s-au produs mutaii

calitative privind majoritatea oamenilor politici. Nu avem, cel puin deocamdat, posibilitatea s-i alegem nominal pe cei mai buni i api s lucreze cu astfel de informaii. De subliniat c Legea nr. 268 din 01.10.2007 privind modificarea art. 7 alin. 4 din Legea nr. 182/2002 sau Legea Canacheu, cum a fost reinut dup numele deputatului iniiator, nu se refer la accesul la informaii clasificate NATO i UE, ci numai la cele naionale. Aadar, pentru a participa la gestionarea informaiilor clasificate, altele dect cele naionale, trebuie s se inscrie n exigenele prevzute de acordurile ncheiate cu statele pri ori cu structurile de securitate colectiv. Legislaia prevede c verificrile de securitate se fac cu aprobarea ORNISS i cu acordul persoanei pentru care se solicit accesul la informaii clasificate. n urma verificrilor, instituia abilitat elibereaz un aviz de securitate. ORNISS, pe baza analizei concluziilor prezentate n avizul de securitate, decide cu privire la eliberarea certificatului de securitate / autorizaiei de acces la informaii clasificate. O procedur de reverificare se impune ori de cte ori este necesar s se garanteze meninerea condiiilor n baza crora s-a eliberat certificatul de securitate/autorizaia de acces la informaii clasificate. Reverificarea este obligatorie de fiecare dat cnd apar indicii c meninerea certificatului nu mai este compatibil cu interesele de securitate. Neacordarea certificatului de securitate/ autorizaiei de acces la informaii clasificate sau retragerea motivat a acestora determin interdicia de acces la informaii clasificate. Vulnerabiliti de securitate i incompatibiliti Prima persoan care face selecia celor pentru care urmeaz s se solicite verificri de securitate este chiar conductorul instituiei, n sensul c nu va propune persoane cunoscute ca avnd trsturi de caracter din care pot rezulta riscuri i vulnerabiliti de securitate. Situaiile de incompatibilitate i elementele de incompatibilitate pentru accesul la informaii clasificate sunt prevzute n legislaia actual. NOT: chestionarele sunt i un test de sinceritate pentru cel care le completeaz. Actualizarea operativ a documentelor de acces la informaii clasificate. Directiva AC5/2004 privind securitatea personalului prevede c atunci cnd angajatul se schimb din funcie, managerul este responsabil dac nivelul de acces al certificatului de securitate (CS) rmne necesar pentru acea funcie:

- la schimbarea din funcie a unei persoane, cu menionarea nivelului de secretizare sau cu trecerea pe un nivel inferior, eful structurii de securitate va emite un nou CP, corespunztor funciei actuale a persoanei, cu pstrarea termenului de expirare a valabilitii de pn la 4 ani de la decizia ORNISS; - dac schimbarea funciei presupune acces la un nivel superior de secretizare, este cazul de revalidare, persoana urmnd s completeze toate chestionarele aferente nivelului respectiv. Comunicarea cu operativitate la ORNISS: a. comunicare de sistare a verificrilor - pentru persoanele care nu mai au statutul de angajat sau nu mai sunt pe funcii care necesit acces; b. comunicare c nu se elibereaz CS - pentru persoanele care au fost deja avizate de ORNISS, dar care au fost ntre timp numite pe funcii care nu mai necesit acces la informaii clasificate. n acest caz, ORNISS va rspunde cu o comunicare de anulare a avizului dat. NOT: comunicri de genul celor menionate, ca i naintarea la ORNISS a CS eliberate se vor face imediat. n ce privete eliberarea documentelor de acces dup 2 luni, ORNISS poate anula decizia. Revalidarea accesului la informaii clasificate: - art 167 - o solicit unitatea n care persoana i desfoar activitatea sau ORNISS: - cnd este necesar accesul la informaii de nivel superior; - la expirarea perioadei de valabilitate a CS; - cnd apar modificri n datele de identificare sau n datele declarate anterior (n cazul cstoriilor); - la apariia unor riscuri de securitate. Autorizarea conductorului unitii, autorizarea membrilor AGA / consiliilor de administraie, autorizarea detaailor: a. cum procedeaz unitatea de unde pleac persoana; b. cum procedeaz unitatea unde este detaat persoana; Accesul cetenilor strini, cetenilor romni cu dubl cetenie - art. 178 respectarea principiului nevoii de a cunoate; respectarea conveniilor, protocoalelor, contractelor i altor nelegeri ncheiate n condiiile legii. Accesul temporar: n cazuri excepionale, determinate de situaii de criz, calamiti naturale sau evenimente imprevizibile, cu respectarea unor cerine: o asigurarea unui sistem corespunztor de eviden;

o semnarea angajamentului de confidenialitate; o comunicarea la ORNISS, n cel mai scurt timp, pentru efectuarea verificrilor de securitate; o n cazul informaiilor SSID, accesul temporar va fi acordat, pe ct posibil, persoanelor care dein deja certificat de securitate pentru nivel SS sau S. Instruirea deintorilor de certificate de securitate: la acordarea documentelor de acces, apoi periodic, are ca obiect coninutul reglementrilor privind securitatea informaiilor clasificate; Se finalizeaz prin consemnarea, sub semntur, n fia de pregtire individual. 8.1.2 Securitatea fizic Securitatea fizic reprezint ansamblul msurilor de protecie aplicate n spaiile n care sunt gestionate informaii clasificate ce trebuie protejate mpotriva accesului neautorizat, deteriorrii, distrugerii, pierderii sau compromiterii. Msurile de securitate fizic, aplicate n cadrul programelor de securitate fizic, urmresc: - s previn ptrunderea neautorizat a persoanelor n spaiile protejate; - s previn, s descopere i s mpiedice aciunile ostile, de natur s afecteze securitatea informaiilor clasificate; - s asigure condiii ca persoanele autorizate s intre n contact numai cu acele informaii la care au dreptul pe baza certificatului de securitate i a principiului nevoia de a cunoate; - s descopere i s combat n mod operativ orice nclcare a msurilor de securitate a informaiilor clasificate. Programele viznd securitatea fizic cuprind msurile active i pasive de securitate a informaiilor clasificate, dimensionate astfel nct s asigure combaterea ameninrilor i meninerea sub control a vulnerabilitilor, pe baza aplicrii managementului riscurilor de securitate, n strns corelaie cu celelalte msuri de securitate, i care, n general, se refer la: - stabilirea i delimitarea zonelor speciale de securitate; - reglementarea i controlul accesului n zonele de securitate; - paza i supravegherea zonelor de securitate. Stabilirea programelor de msuri privind securitatea fizic este o ntreprindere complex, de a crei realizare depinde eficacitatea i a celorlalte msuri de securitate a informaiilor clasificate. Principiile generale care stau la baza stabilirii unor astfel de programe sunt:

a) adaptarea msurilor de securitate la specificul locaiei ce trebuie protejat: recurgerea la reete n acest domeniu, prin aplicarea de msuri copiate dup o alt locaie, fr o analiz critic i competent, este contraproductiv, fie conduce la cheltuieli nejustificate de existena real a unor riscuri, fie msurile sunt deficitare n raport cu riscurile existente; b) ealonarea n adncime a msurilor de securitate: prin structurarea msurilor de securitate pe mai multe dispozitive succesive, dispuse n jurul unei anumite locaii unde sunt efectiv gestionate informaiile clasificate; c) corelarea msurilor de securitate fizic cu timpul de intervenie a forelor de securitate: prin stabilirea msurilor de securitate ntr-o asemenea manier nct penetrarea sistemului de securitate s nu fie posibil sau, la limit, s necesite suficient de mult timp nct s permit intervenia forelor de securitate i anihilarea agresiunii, nainte ca securitatea informaiilor clasificate s fie afectat; d) asigurarea eficacitii sistemului de securitate fizic: prin antrenarea i testarea continu, att a personalului destinat pentru securitate informaiilor clasificate, ct i a sistemului de securitate n ansamblu; e) asigurarea disponibilitii tehnice a echipamentelor: prin pstrarea performanelor tehnice i evitarea cderilor echipamentelor incluse n sistemul de securitate a informaiilor clasificate, pe calea realizrii corespunztoare a lucrrilor de ntreinere, reparaie i nlocuire a acestor sisteme, periodic i ori de cte ori este necesar; f) planificarea contingenial a msurilor de securitate: prin realizarea din timp i exersarea unor planuri de rspuns pentru situaiile previzibile de apariie a unor incidente de securitate sau atunci cnd este necesar scoaterea din funciune, pentru o perioad limitat, a unor elemente ale sistemului de securitate. Amploarea msurilor de securitate fizic a informaiilor clasificate se stabilete n funcie de : a) nivelul de clasificare i categoria informaiilor protejate; b) volumul informaiilor i natura suportului de stocare a acestora; c) modul de pstrare a informaiilor; d) frecvena accesului la informaii clasificate, determinat de numrul certificatelor de securitate, precum i de nevoia de acces la astfel de informaii; e) ameninrile estimate la adresa securitii informaiilor clasificate, gestionate ntr-o locaie dat, generate de activitile serviciilor de

informaii adverse, de activitile de natur terorist, subversiv sau de activitile altor grupuri criminale. Ealonarea n adncime a msurilor de securitate a informaiilor clasificate presupune, cel puin: - identificarea locaiilor ce trebuie protejate; - un dispozitiv exterior de securitate care s delimiteze zona protejat i s descurajeze accesul neautorizat: - un dispozitiv intermediar de securitate care s descopere tentativele sau accesul neautorizat n zona protejat i s alerteze fora de securitate; - un dispozitiv interior de securitate care s ntrzie eventualii intrui n aciunile lor, suficient timp pentru a fi reinui de forele de securitate. Din considerente de securitate, informaiile clasificate trebuie s fie gestionate i pstrate numai n interiorul unei zone de securitate. n conformitate cu practica membrilor NATO, se definesc dou tipuri de zone de securitate: - zona de securitate clasa I (zona de securitate n care intrarea unei persoane, deintoare a unui certificat de securitate corespunztor, indiferent sub care motiv s-ar realiza, i permite acesteia accesul direct, nemijlocit, la informaiile clasificate gestionate aici, ca urmare a modului specific de pstrare a acestora - persoana poate avea acces i la alte informaii clasificate dect la acelea la care ar avea dreptul prin aplicarea strict a principiului nevoia de a cunoate). - zona de securitate clasa II (zona de securitate n care intrarea unei persoane, deintoare a unui certificat de securitate corespunztor, permite acesteia accesul numai la informaiile clasificate pentru care este autorizat, prin aplicarea strict a principiului nevoia de a cunoate, ca urmare a modului specific de pstrare a acestora). Gestionarea informaiilor clasificate exclusiv n zonele de securitate ridic unele probleme de adaptare, n special la nivelele nalte de conducere a organizaiilor, deoarece implic deplasarea acestor responsabili, pentru a consulta documentele clasificate, n zonele de securitate, atta timp ct, de regul, birourile lor nu se constituie ntr-o astfel de zon (cazul cel mai frecvent). Gradul n care sistemele de securitate vor rezista la presiunile unor persoane cu autoritate nalt de a se crea excepii n aplicarea msurilor de protecie va reprezenta principalul test de viabilitate al acestora. n vederea aplicrii unitare i uniforme a msurilor de securitate fizic, autoritatea naional de securitate stabilete reglementrile legale necesare care stipuleaz cerinele minime i standardele n care trebuie s se

ncadreze sistemele i mecanismele de securitate, responsabilitile privind verificarea i acreditarea mecanismelor i a sistemelor de securitate, precum i cele privind implementarea i controlul msurilor de securitate. 8.1.3 Securitatea documentelor Securitatea documentelor reprezint aplicarea msurilor i procedurilor de securitate pentru prevenirea sau detectarea aciunilor ce pot conduce la pierderea sau compromiterea informaiilor clasificate, precum i pentru recuperarea informaiilor care au fcut obiectul unor asemenea aciuni. Domeniul securitatea documentelor stabilete msurile ce trebuie aplicate de ctre toi cei ce utilizeaz informaii clasificate, pe ntreaga durat a ciclului de via al acestora, corespunztor cu nivelul lor de clasificare, cu privire la aspectele presupuse de gestionarea informaiilor clasificate. Pentru a elimina interpretrile particulare, a cultiva ncrederea n legislaia noastr, creat pe baza experienei NATO i UE, precizm c am folosit noiuni i prevederi ale Normelor cadru privind securitatea informaiilor NATO i UE clasificate. Subscriem celor care spun c normele, regulile trebuie preluate aa cum au fost concepute de autori, traduse i aplicate, s zicem, cu unele mici adaptri neeseniale. Cine vrea s aplice la specificul romnesc o experien care nu se regsete n istoria noastr, consum timp, energie i bani. 1. Definiii a) Informaii orice document, date, obiecte sau activiti, indiferent de suport, form, mod de exprimare sau de punere n circulaie; b) Informaie NATO/UE clasificat orice informaie, a crei dezvluire neautorizat poate aduce prejudicii de diverse grade intereselor NATO/UE ori unuia sau mai multor state membre, indiferent dac aceste informaii sunt emise n cadrul NATO/UE sau provin de la statele membre, state tere sau organizaii internaionale; c) Document NATO/UE clasificat orice suport fizic pe care au fost scrise, imprimate sau nregistrate informaii NATO/UE clasificate, cum ar fi: scrisoare, not, proces-verbal, raport, memorandum, mesaj, schi, fotografie, diapozitiv, film, hart, tabel, plan, agend, ablon, hrtie de indigo, ribon de main de scris sau de imprimant, band, caset, dischet, CD, CD ROM; d) Material NATO/UE clasificat orice document NATO/UE clasificat, precum i orice component de echipament sau arm, fabricat sau aflat n curs de fabricaie;

e) f)

Informaie NATO/UE sensibil - orice informaie NATO/UE clasificat de nivel NATO CONFIDENTIAL/CONFIDENTIEL UE i superior; Document NATO/UE clasificat sensibil - orice document NATO/UE clasificat care conine informaii NATO/UE sensibile; Pentru mai uoar nelegere i reinere, v propunem o prezentare schematic a componentelor sensibile, clasificate i nepublicabile ale informaiilor NATO i UE: NATO cosmic top secret/trs secret Informaii sensibile UE NATO secret/secret UE NATO confidential/confidentiel UE NATO restricted/restreint UE NATO unclassified/limit UE
Informaii clasificate Informaii nepublicabile

g)

Gestionarea informaiilor NATO/UE clasificate - totalitatea activitilor de nregistrare, distribuire, transmitere, multiplicare, traducere, realizare de extrase, distrugere, stocare, pstrare i inventariere a informaiilor clasificate; h) Sistemul Naional de Registre (SNR) - cadrul organizat n care sunt gestionate la nivel naional informaii NATO/UE clasificate i n care se asigur controlul fluxului informaiilor NATO/UE sensibile; i) Component a Sistemului Naional de Registre (CSNR) - structur responsabil cu gestionarea informaiilor NATO/UE clasificate i cu controlul fluxului informaiilor NATO/UE sensibile la nivel instituional sau departamental; j) Structur instituional orice persoan juridic de drept public sau privat i se refer la ministere, organisme centrale, instituii, autoriti, agenii ageni economici, etc., n care sunt sau vor fi utilizate informaii clasificate NATO/UE; k) Structur departamental orice compartiment din cadrul unei structuri instituionale n care sunt sau vor fi utilizate informaii clasificate NATO/UE, i se refer la departamente, direcii generale, direcii, etc. l) Controlul fluxului informaiilor NATO/UE sensibile - activitatea de notificare a datelor de identificare a informaiilor NATO/UE sensibile ntre CSNR i de verificare a modului de desfurare a acestei activiti, astfel

nct s se cunoasc n orice moment locul n care se afl o astfel de informaie; m) Integritatea informaiei NATO/UE clasificate calitatea unei informaii NATO/UE clasificate de a nu fi fost alterat, modificat sau distrus printr-o modalitate neautorizat; n) Confidenialitatea informaiei NATO/UE clasificate - caracteristica informaiei NATO/UE clasificate de a nu fi dezvluit persoanelor sau entitilor neautorizate; o) Disponibilitatea informaiei NATO/UE clasificate - proprietatea informaiei NATO/UE clasificate de a fi accesibil i folosit, cnd este necesar, de orice persoan sau entitate autorizat. 2. Securitatea documentelor Securitatea informaiilor NATO i UE clasificate reprezint ansamblul procedurilor i msurilor de securitate a informaiilor clasificate, menite s previn i s contracareze situaiile care pot genera compromiterea informaiilor clasificate, n scopul asigurrii integritii, confidenialitii i disponibilitii acestora. Securitatea informaiilor NATO i UE clasificate cuprinde msuri pentru: a) clasificarea informaiilor; b) marcarea documentelor; c) editarea documentelor; d) gestionarea informaiilor; e) controlul fluxului informaiilor clasificate de nivel NATO CONFIDENTIAL/CONFIDENTIEL UE i superior (sensibile); f) funcionarea Sistemului Naional de Registre (SNR); g) soluionarea incidentelor de securitate i a abaterilor de la reglementrile de securitate. Msurile de securitate a informaiilor NATO i UE clasificate se completeaz cu msuri de securitate a personalului, securitate fizic i INFOSEC. Nivelurile de clasificare se atribuie informaiilor NATO/UE n funcie de prejudiciile ce pot fi aduse prin divulgare neautorizat i indic msurile de securitate care trebuie aplicate pentru securitatea acestora. Nivelurile de clasificare utilizate pentru informaiile NATO/UE clasificate sunt urmtoarele: a) NATO COSMIC TOP SECRET / TRS SECRET UE: nivel de clasificare care se aplic numai informaiilor i materialelor a cror divulgare neautorizat ar putea determina prejudicii extrem de

grave la adresa intereselor eseniale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; b) NATO SECRET/SECRET UE: nivel de clasificare care se aplic numai informaiilor i materialelor a cror divulgare neautorizat ar putea genera prejudicii grave la adresa intereselor eseniale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; c) NATO CONFIDENTIAL/CONFIDENTIEL UE: nivel de clasificare care se aplic informaiilor i materialelor a cror divulgare neautorizat ar putea provoca prejudicii intereselor eseniale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; d) NATO RESTRICTED/RESTREINT UE: nivel de clasificare care se aplic informaiilor i materialelor a cror divulgare neautorizat poate fi n defavoarea intereselor NATO/UE sau ale unuia ori mai multor state membre NATO/UE. 3. Informaiile NATO UNCLASSIFIED i LIMITE UE reprezint informaii care, dei nu intr n categoria informaiilor clasificate, nu sunt destinate publicului i trebuie protejate mpotriva dezvluirii neautorizate prin msuri de securitate stabilite la nivel instituional. Informaiile UE LIMITE devin publice din dispoziia emitentului i se regsesc, de regul, n registrul public al UE. n cazul informaiilor NATO UNCLASSIFIED, diseminarea acestora poate fi delegat de ctre Consiliul Nord-Atlantic sau Comitetul Militar ctre statele membre care dein astfel de informaii. Managementul i securitatea informaiilor NATO UNCLASSIFIED/UE LIMITE se va face n conformitate cu proceduri speciale elaborate de ORNISS 4. Clasificarea informaiilor n conformitate cu prevederile acordurilor de securitate ncheiate de Romnia cu NATO i respectiv cu UE, echivalena marcajelor i nivelurilor de clasificare este urmtoarea: NATO ROMNIA UE NATO SECRET DE RESTREINT UE RESTRICTED SERVICIU NATO SECRET CONFIDENTIEL CONFIDENTIAL UE NATO SECRET STRICT SECRET SECRET UE

STRICT SECRET DE NATO COSMIC IMPORTAN TRS SECRET UE TOP SECRET DEOSEBIT Responsabilitatea ncadrrii informaiei ntr-un nivel de clasificare revine emitentului. Nivelul de clasificare se atribuie doar atunci cnd este necesar i se menine doar pe perioada ct informaia trebuie protejat. Documentul care conine informaii naionale clasificate emise de instituiile din Romnia i destinat NATO/UE este document naional i se editeaz, se clasific, se marcheaz i se gestioneaz n conformitate cu legislaia naional care reglementeaz protecia acestor categorii de informaii; un asemenea document se inscripioneaz cu meniunea ROMANIA, urmat de nivelul de clasificare naional i, ntre paranteze, de nivelul de clasificare NATO/UE echivalent. Exemplu: ROMANIA SECRET DE SERVICIU (NATO RESTRICTED/RESTREINT UE) Instituiile din Romnia pot edita documente NATO/UE clasificate destinate NATO/UE, indiferent dac acestea conin i informaii naionale clasificate, atunci cnd sunt impuse reguli n acest sens de ctre structurile NATO/UE. Nivelul de clasificare al unui document va fi cel puin acelai cu al seciunii cu cel mai ridicat nivel de clasificare. Paginile, paragrafele, anexele i alte tipuri de ataamente ale documentelor NATO/UE clasificate pot primi niveluri diferite de clasificare pentru a facilita diseminarea ulterioar a seciunilor corespunztoare. Documentul rezultat din cumularea neprelucrat a informaiilor extrase din mai multe documente NATO/UE clasificate sau cel rezultat n urma unei activiti de analiz-sintez a acestora poate necesita o clasificare superioar fa de oricare dintre documentele/seciunile care au stat la baza redactrii sale. Documentul care nglobeaz informaii clasificate att naionale, ct i NATO/UE se editeaz ca un document naional i trebuie s conin marcajele de securitate ale documentului NATO/UE de referin. Adresa de nsoire a documentelor NATO/UE clasificate se marcheaz cu nivelul de clasificare al informaiilor pe care aceasta le conine, nivel stabilit de ctre emitent. n situaia n care o adres primete nivelul de clasificare al documentelor NATO/UE clasificate pe care le nsoete, emitentul acesteia

trebuie s specifice nivelul de clasificare pe care-l va avea dup ce aceasta este separat de documentele anexate. n scopul evitrii sub-clasificrii sau supra-clasificrii informaiilor i materialelor NATO/UE se impune acordarea unei atenii sporite n procesul ncadrrii acestora ntr-un nivel de clasificare. Cazurile de posibil supra ori sub-clasificare se aduc la cunotina emitentului de ctre beneficiarul informaiei NATO/UE clasificate. Nivelul de clasificare al unei informaii NATO/UE clasificate poate fi sczut numai de emitent sau cu acceptul acestuia. Scderea nivelului de clasificare al unei informaii NATO/UE clasificate se aduce imediat la cunotina tuturor deintorilor acesteia, de ctre emitent, direct sau prin intermediul expeditorilor subsecveni, dup caz. Prin declasificare se nelege anularea nivelului de clasificare al unei informaii NATO/UE clasificate i scoaterea ei de sub incidena tuturor reglementarilor privind securitatea informaiilor NATO/UE clasificate. Emitentul unei informaii NATO/UE clasificate trebuie s indice, pe ct posibil, un termen dup expirarea cruia informaia poate fi declasificat sau i se poate scdea nivelul de clasificare. n cazul n care nu exist nici o indicaie n acest sens, informaiile NATO/UE clasificate trebuie reanalizate de ctre emitent la fiecare 5 ani, pentru a stabili dac mai este necesar meninerea nivelului de clasificare atribuit iniial. Toate documentele care conin informaii NATO/UE clasificate sunt marcate cu nivelul de clasificare atribuit de emitent, precum i cu alte marcaje suplimentare. Marcajele nivelurilor de clasificare se vor aplica astfel: - pe documentele NATO RESTRICTED/RESTREINT UE, prin mijloace mecanice sau electronice; - pe documentele NATO CONFIDENTIAL/CONFIDENTIEL UE, prin mijloace mecanice, olograf sau prin folosirea de preimprimate tipizate; - pe documentele NATO SECRET/SECRET UE i COSMIC TOP SECRET/TRS SECRET UE, prin mijloace mecanice sau olograf. Marcajul NATO sau UE aplicat pe document/material semnific faptul c informaiile coninute sunt proprietatea NATO sau UE i trebuie protejate corespunztor. Documentelor care conin informaii NATO/UE clasificate li se pot aplica marcaje suplimentare de ctre emitent care pot indica domeniul la care se refer acestea sau modul de diseminare al lor pe baza principiului

nevoia de a cunoate n scopul limitrii numrului persoanelor care l pot accesa. Documentele transmise la NATO/UE vor fi inscripionate i cu meniunea RELEASEBLE TO NATO/EU. n procesul de editare a documentelor NATO/UE clasificate se impun urmtoarele: a) aplicarea nivelului de clasificare n partea de sus i de jos, central, a fiecrei pagini; b) numerotarea fiecrei pagini cu numrul curent / numrul total de pagini; c) aplicarea numrului de nregistrare; pentru documentele NATO SECRET/SECRET UE i cu nivel de clasificare superior, numrul de nregistrare se aplic pe fiecare pagin; d) nscrierea numrului de exemplar/copie pe prima pagin a documentului; e) menionarea anexelor pe prima pagin a documentelor NATO/UE sensibile. Gestionarea informaiilor NATO/UE sensibile i controlul fluxului acestora se realizeaz exclusiv n cadrul SNR. Gestionarea informaiilor NATO/UE sensibile se realizeaz de ctre persoane anume abilitate de ctre conductorul instituiei i care dein certificat de securitate corespunztoare nivelului de clasificare al informaiilor manipulate. Aceste persoane asigur i activitile specifice referitoare la controlul fluxului informaiilor NATO/UE sensibile. Informaiile NATO/UE sensibile se gestioneaz separat de alte informaii clasificate iar informaiile NATO sensibile se gestioneaz separat de informaiile UE sensibile. n cadrul AAS unde funcioneaz compartimente speciale (CS) responsabile cu gestionarea informaiilor naionale clasificate, se pot stabili, dintre acestea, unele compartimente care s aib i responsabiliti privind gestionarea informaiilor NATO RESTRICTED/RESTREINT UE. Msurile luate de instituiile care gestioneaz informaii NATO RESTRICTED/RESTREINT UE vor asigura, cu precdere prevenirea accesului neautorizat la aceste informaii. n cazul structurilor instituionale sau departamentale care nu au calitatea de Autoritate Abilitat de Securitate, gestionarea informaiilor NATO RESTRICTED/RESTREINT UE se va realiza n cadrul CSNR nfiinate n conformitate cu procedura special elaborat de ctre ORNISS.

Activitatea de gestionare a documentelor NATO/UE sensibile cuprinde: nregistrarea, distribuirea, transmiterea, multiplicarea, traducerea, realizarea de extrase, distrugerea, stocarea, pstrarea i inventarierea. nregistrarea este activitatea de nscriere a elementelor de identificare a informaiilor NATO/UE clasificate n registre de eviden i inscripionarea pe documentele NATO/UE clasificate a numrului de nregistrare atribuit la nivelul CSNR. Registrele de eviden se organizeaz pe suport de hrtie i/sau n format electronic, pentru fiecare nivel de clasificare a informaiilor NATO/UE, astfel nct, mpreun cu celelalte formulare necesare n activitatea de gestionare, s asigure controlul circulaiei la nivel instituional sau departamental a documentelor NATO/UE sensibile i o eviden a documentelor NATO RESTRICTED / RESTREINT UE n perioada n care acestea se afl n gestiunea componentelor SNR. Distribuirea const n activitatea de repartizare a informaiilor NATO/UE clasificate, n conformitate cu principiul nevoia de a cunoate, pentru a fi consultate sau prelucrate de ctre persoanele autorizate aflate n evidena unei CSNR. Destinatarii iniiali ai unei informaii NATO/UE clasificate trebuie indicai de ctre emitent. Distribuirea informaiilor NATO COSMIC TOP SECRET/TRS SECRET UE se realizeaz de ctre ofierul de control NATO COSMIC/TRS SECRET UE ori un adjunct al acestuia2. n situaia n care destinatarul unui document NATO COSMIC TOP SECRET/TRS SECRET UE nu este specificat, numai ofierul de control NATO COSMIC/TRS SECRET UE poate deschide plicul i poate confirma primirea documentului. Informaiile NATO/UE clasificate se distribuie numai pe baz de semntur. n cazul n care pentru informaiile clasificate de nivel NATO SECRET/SECRET UE sau inferior emitentul a impus restricii privind diseminarea, acestea pot fi redistribuite doar cu acordul emitentului. Transmiterea ntre dou CSNR a documentelor NATO/UE clasificate se realizeaz n conformitate cu prevederile legale care reglementeaz aceast activitate i presupune: a) mpachetarea pentru transmitere a documentelor NATO/UE clasificate; b) transportul documentelor NATO/UE clasificate la CSNR destinatar prin curieri autorizai potrivit legii;
2

Funcii specifice structurilor euroatlantice

c) predarea-primirea documentelor NATO/UE clasificate n condiii de siguran n spaii special destinate acestui scop; d) verificarea corespondenei n prezena curierului prin controlul strii sigiliilor, al integritii ambalajelor, al corectitudinii adreselor/borderourilor care nsoesc documentele propriu-zise, al concordanei dintre datele nscrise pe adres/borderou i cele de pe plic, i verificarea dup desigilarea i desfacerea plicurilor/coletelor a nscrisurilor de pe documentele propriu-zise. Documentele NATO SECRET/SECRET UE i de nivel superior circul ntre dou CSNR nsoite de borderoul de confirmare a primirii. Multiplicarea sau traducerea documentelor COSMIC TOP SECRET/TRS SECRET UE se realizeaz cu aprobarea emitentului. Msurile de securitate stabilite pentru documentul original se aplic n mod corespunztor copiilor, traducerilor i extraselor. Distrugerea documentelor NATO/UE clasificate se face prin tocare, incinerare sau topire, astfel nct informaia s nu poat fi reconstituit. Documentele perimate sau n exces se distrug cu avizul conductorului instituiei aplicndu-se proceduri corespunztoare nivelurilor de clasificare. Pentru distrugerea documentelor NATO/UE clasificate nu este necesar o dispoziie expres din partea emitentului. n cadrul fiecrei instituii se elaboreaz pentru situaii de urgen planuri de distrugere i/sau evacuare a documentelor NATO/UE clasificate, n funcie de condiiile specifice. n scopul reducerii spaiilor necesare pentru pstrarea informaiilor NATO/UE clasificate pe o perioad mai ndelungat, acestea se pot stoca pe diferite medii (microfilm, suport electromagnetic etc.) respectndu-se urmtoarele reguli generale: a) procesul de stocare se realizeaz de ctre persoane autorizate care dein certificare de securitate corespunztoare nivelului de clasificare al informaiilor stocate; b) mediul de stocare va primi nivelul de clasificare al documentelor originale; c) microfilmarea, nregistrarea i scanarea documentelor COSMIC TOP SECRET/TRS SECRET UE trebuie adus la cunotina emitentului; d) un mediu de stocare va putea conine informaii din documente sensibile originale doar dac documentele n cauz au acelai nivel de clasificare; e) orice mediu de stocare care conine informaii SECRET NATO/UE sau COSMIC TOP SECRET/TRS SECRET UE trebuie specificat n toate rapoartele de inventariere;

f) documentele originale se distrug imediat dup operaiunea de stocare. Documentele NATO/UE sensibile, pe suport de hrtie sau alte medii de stocare, se pstreaz n ncperi speciale de securitate, conform prevederilor normative specifice i, dac dimensiunile permit, se introduc bibliorafturi, dosare, casete etc. Inventarierea reprezint activitatea de verificare a existenei documentelor NATO/UE sensibile. Inventarierea se efectueaz pentru toate documentele NATO/UE sensibile intrate n gestiune, pe baza registrelor i formularelor de eviden. Cu ocazia inventarierii se pot stabili documentele NATO/UE sensibile care pot fi distruse, declasificate sau crora li se poate scdea nivelul de clasificare. Inventarierea se efectaz ori de cte ori este necesar, ns cel puin o dat pe an. Un document NATO/UE sensibil se consider inventariat n una dintre urmtoarele situaii: a) exist fizic; b) exist dovada transmiterii acestuia ctre alt CSNR; c) exist specificat ntr-un proces-verbal de distrugere; d) exist o dispoziie de declasificare (ori de scdere a nivelului de clasificare). Gestionarea informaiilor NATO/UE clasificate i controlul fluxului acestora se detaliaz printr-o procedur elaborat de ORNISS La nivelul fiecrei CSNR se desemneaz un ef al componentei, care va coordona activitatea i va rspunde de ndeplinirea atribuiilor ce revin acesteia conform reglementrilor n vigoare. Modul de gestionare a informaiilor NATO/UE clasificate la nivelul unei CSNR se supune, pe parcursul unui an calendaristic, unor inspecii de securitate astfel: a) cel puin o inspecie extern efectuat de ctre: - ORNISS; - Structura de securitate a Autoritii Abilitate de Securitate (AAS) competent; - Personalul CSNR ierarhic superioar n colaborare cu Structura de securitate a acesteia; - Structurile de specialitate ale NATO/UE. b) inspecii interne efectuate periodic de ctre structura de securitate / funcionarul de securitate.

La nivelul fiecrei CSNR se ine evidena inspeciilor de securitate cu consemnarea rezultatelor acestora i a modului de rezolvare a eventualelor deficiene. CSNR COSMIC TOP SECRET/TRS SECRET UE Gestionarea i controlul informaiilor COSMIC TOP SECRET/TRS SECRET UE se realizeaz prin componentele SNR COSMIC TOP SECRET/TRS SECRET UE. O component a SNR COSMIC TOP SECRET/TRS SECRET UE poate gestiona i informaii NATO/UE clasificate de nivel inferior, dar nregistrate i pstrate separat. n cadrul ORNISS funcioneaz Registrul Central pentru NATO COSMIC TOP SECRET/TRS SECRET UE, care activeaz ca principal autoritate de primire, distribuire i transmitere a documentelor de acest nivel schimbate ntre NATO/UE i Romnia. Componentele SNR NATO COSMIC TOP SECRET/TRS SECRET UE se pot nfiina la nivelul autoritilor publice centrale i funcioneaz ca organisme responsabile pentru pstrarea registrelor i formularelor prin care se asigur controlul fluxului i al circulaiei interne pentru fiecare document NATO COSMIC TOP SECRET/TRS SECRET UE aflat n evidena lor. Indiferent de forma de organizare a unei CSNR NATO COSMIC TOP SECRET/TRS SECRET UE, eful instituiei va numi un ofier de control COSMIC TOP SECRET(OCCTS) sau ofier de control TRS SECRET (OCTS), dup caz, care este i eful acestei componente. n cazul n care n cadrul unei astfel de componente se gestioneaz att informaii NATO ct i UE, OCCTS cumuleaz i calitatea de OCTS. n cadrul acestor componente, se poate numi i un adjunct al OCCTS (AOCCTS) sau OCTS (AOCTS), care poate avea aceleai sarcini cu acesta i preia responsabilitile i sarcinile OCCTS sau OCTS pe perioada n care acesta nu-i poate exercita atribuiile. Numirea se face de ctre eful instituiei. OCCTS/OCTS rspunde de ndeplinirea urmtoarelor sarcini pe linia proteciei informaiilor NATO COSMIC TOP SECRET/TRS SECRET UE: a) securitatea fizic a tuturor informaiilor clasificate NATO COSMIC TOP SECRET/TRS SECRET UE pstrate n CSNR; b) pstrarea unei evidene la zi a documentelor NATO COSMIC TOP SECRET/TRS SECRET UE primite de ctre CSNR; c) pstrarea evidenei la zi a tuturor CSNR cu care este autorizat s schimbe informaii clasificate NATO COSMIC TOP SECRET/TRS

SECRET UE, inclusiv numele OCCTS/OCTS, AOCCTS/AOCTS i specimenele de semntura ale acestora; d) pstrarea de evidene nominale, la zi, privind persoanele din cadrul structurilor deservite de ctre acesta, autorizate s aib acces la informaiile clasificate NATO COSMIC TOP SECRET/TRS SECRET UE; e) distribuirea i transmiterea de documente clasificate NATO COSMIC TOP SECRET/TRS SECRET UE numai beneficiarilor autorizai s aib acces la informaii clasificate de acest nivel; f) ntocmirea, verificarea existenei i pstrarea documentelor justificative (registre de eviden, condici, borderouri, fie de consultare, procese-verbale de distrugere etc.) pentru toate documentele clasificate NATO COSMIC TOP SECRET/TRS SECRET UE distribuite ori transmise; g) restituirea la Registrul Central NATO COSMIC TOP SECRET/TRS SECRET UE a informaiilor NATO COSMIC TOP SECRET/TRS SECRET UE atunci cnd ele nu mai sunt necesare pentru arhivare sau pentru distrugerea acestora; h) ndeplinete orice alte sarcini care decurg din atribuiile componentelor Sistemului Naional de Registre. 8.1.4 Securitatea industrial Abordnd, acum, procedurile specifice securitii industriale, ne aflm n faa unui domeniu care trece, prin importana economic pe care o prezint, dincolo de sfera preocuprilor stricte de securitate. Asigurarea unei caliti superioare a managementului informaiilor clasificate din domeniul industrial nu este doar un accesoriu obligatoriu, ci constituie una din cile de acces n clubul select al naiunilor industrializate. Securitatea industrial se refer la ansamblul msurilor de protecie a informaiilor clasificate vehiculate n domeniul industrial, n legtur cu licitarea, negocierea i derularea unor contracte clasificate. Reprezint un contract clasificat, orice contract, ncheiat n condiii legale, n cadrul cruia se cuprind i se vehiculeaz informaii clasificate. Participarea la negocieri n vederea ncheierii unui contract clasificat este permis n baza unei autorizaii de securitate industrial, eliberat n urma unor verificri specifice, care confirm aplicarea msurilor minime de securitate prevzute n standarde. Derularea unui contract clasificat de ctre un obiectiv industrial se realizeaz n baza unui certificat de securitate industrial, eliberat n urma unor verificri specifice, care confirm aplicarea msurilor minime de

securitate prevzute n standarde. Verificrile de securitate urmresc ca: - angajaii, managerii sau proprietarii s dein certificat de securitate corespunztor nivelului de clasificare al informaiilor la care vor avea acces; - spaiile n care se vor gestiona informaii clasificate s fie protejate corespunztor standardelor specifice; - obiectivul industrial s fie stabil din punct de vedere economic, s nu fie implicat n litigii care i pot afecta stabilitatea economic, s-i plteasc obligaiile financiare i s nu prezinte riscuri de securitate. Ne propunem s abordm problematica securitii industriale, respectiv a securitii informaiilor clasificate ncredinate sau generate n cadrul contractelor. Sunt sintetizate principiile care guverneaz securitatea industrial, component a sistemului de securitate al informaiilor clasificate, rezultate din reglementrile naionale, NATO i, ca exemplu, ale statului canadian (Anexa nr.3). Securitatea informaiilor clasificate care fac obiectul activitilor contractuale, respectiv securitatea industrial, este reglementat prin urmtoarele acte normative: - Ordonana de urgen a Guvernului nr. 153/2002 privind organizarea i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat, aprobat prin Legea nr. 101/2003; - Legea nr. 182/2002 privind protecia informaiilor clasificate; - Hotrrea Guvernului nr. 585/2002 pentru aprobarea Standardelor naionale de protecie a informaiilor clasificate n Romnia; - Hotrrea Guvernului nr. 353/2002 privind protecia informaiilor clasificate ale Organizaiei Tratatului Atlanticului de Nord n Romnia; - Normele metodologice privind protecia informaiilor clasificate n cadrul activitilor contractuale NATO, aprobate prin ordinul nr. 491/2003 al directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat3; - Cerinele minime privind protecia informaiilor UE clasificate care fac obiectul activitilor contractuale, aprobate prin Ordinul nr. 491/2005 al directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat4. n domeniul proteciei informaiilor clasificate care fac obiectul activitilor contractuale, ORNISS are urmtoarele atribuii generale:
3 4

Monitorul Oficial al Romniei partea I-a nr. 885 din 12.12.2003 Monitorul Oficial al Romniei partea I-a nr. 20 din 10.01.2006

a) stabilete strategia de implementare unitar la nivel naional a msurilor de securitate a informaiilor clasificate care fac obiectul activitilor contractuale; b) elibereaz autorizaii de securitate industrial (ASI) i certificate de securitate industrial (CSI), la cererea persoanelor juridice ndreptite care sunt sau urmeaz s fie implicate n contracte naionale clasificate; c) recunoate certificatul de securitate industrial deinut de societile comerciale din state cu care Romnia a ncheiat acorduri privind securitatea reciproc a informaiilor clasificate i ine evidena acestora. d) gestioneaz, la nivel naional, evidenele privind: persoanele juridice deintoare de autorizaii de securitate industrial; persoanele juridice deintoare de certificate de securitate industrial; persoanele fizice care dein certificate de securitate sau autorizaii de acces eliberate n scopul negocierii sau executrii unui contract clasificat. e) organizeaz, mpreun cu Autoritile Abilitate de Securitate competente, activiti de consiliere i pregtire a funcionarilor/membrilor structurii de securitate, desemnai de persoanele juridice implicate n activiti contractuale naionale clasificate. f) stabilete, pe baza politicilor generale i standardelor minime de securitate ale NATO/UE, politica i strategia de implementare unitar la nivel naional a msurilor de securitate a informaiilor NATO/UE clasificate gestionate n cadrul activitilor contractuale; g) elaboreaz reglementri naionale privind securitatea informaiilor NATO/UE clasificate n cadrul activitilor contractuale, coordoneaz i verific aplicarea acestora la nivel naional; h) elibereaz certificate de securitate industrial (CSI) NATO/UE obiectivelor industriale cu sediul n Romnia, implicate n activiti contractuale care presupun accesul la informaii NATO/UE clasificate; i) confirm autoritilor contractante ndreptite din Romnia deinerea de ctre obiectivele industriale a CSI NATO/UE. j) colaboreaz cu structurile de securitate ale NATO/UE i ale statelor membre NATO/UE i comunic, la cererea acestora, obiectivele industriale care dein CSI NATO/UE sau iniiaz procedura de eliberare a acestor documente. k) solicit autoritilor de securitate din statele membre NATO/UE informaii privind eliberarea CSI NATO/UE pentru persoanele juridice strine implicate n contracte clasificate care presupun accesul la astfel de informaii, derulate n Romnia; l) gestioneaz, la nivel naional, evidenele privind: obiectivele industriale deintoare de CSI NATO/UE, persoanele fizice autorizate pentru

acces la informaii NATO/UE clasificate n scopul participrii la activiti contractuale i confirmrile privind deinerea de CSI NATO/UE transmise i primite; m) monitorizeaz, cu sprijinul autoritilor competente, respectarea cerinelor de securitate de ctre un obiectiv industrial pentru negocierea i derularea contractelor clasificate; n) avizeaz anexele de securitate la contractele/subcontractele NATO/UE clasificate; o) gestioneaz cererile de vizite care implic acces la informaii NATO/UE clasificate aferente activitilor contractuale i le aprob, dup ndeplinirea condiiilor legale, pe cele desfurate la companiile romneti; p) coordoneaz i particip la activitile de control privind securitatea informaiilor NATO/UE clasificate gestionate n cadrul activitilor contractuale; r) coordoneaz activitile de transport internaional al materialelor NATO/UE clasificate, n cadrul contractelor clasificate, potrivit normelor n vigoare; s) asigur, la cerere, consultan de specialitate obiectivelor industriale n vederea implementrii cadrului legal n domeniul securitii informaiilor NATO/UE clasificate; t) desfoar activiti de pregtire a personalului cu atribuii pe linia securitii informaiilor NATO/UE clasificate, n cadrul activitilor contractuale derulate n Romnia care presupun accesul la astfel de informaii. Cerine de securitate pentru negocierea i derularea de contracte naionale clasificate secret de stat. Un aspect de reinut este faptul c ORNISS elibereaz autorizaii i certificate de securitate industrial numai pentru negocierea i derularea contractelor naionale clasificate secret de stat i, evident, pentru cele NATO/UE echivalente, cnd este cazul. Pentru a avea o imagine ct mai clar asupra domeniului securitii industriale i implicit asupra procedurii de eliberare a autorizaiei i certificatului de securitate industrial pentru negocierea i derularea contractelor naionale clasificate secret de stat se definesc, n continuare, principalii termeni utilizai5:
Termen Securitatea industrial Definiie ansamblul msurilor i procedurilor de securitate a informaiilor clasificate, aplicabile obiectivelor industriale care desfoar sau urmeaz s desfoare activiti contractuale cu acces la astfel de informaii, n scopul prevenirii pierderii, compromiterii sau divulgrii, precum i identificrii i recuperrii celor compromise

Dr. Monica Nidelea, Disertaie la cursul Managementul informaiilor cu tema: Managementul informaiilor n cadrul contractelor industriale, 2007

Obiectivul industrial Contractul naional clasificat Contract NATO clasificat Anexa securitate Autorizaia securitate industrial de de

sau pierdute i reducerii consecinelor. persoana juridic ce desfoar activiti de producere/furnizare de bunuri, prestare de servicii sau execuie de lucrri n domeniul industrial, comercial, tiinific sau de cercetare-dezvoltare. un contract ncheiat ntre pri, n cadrul cruia, pentru producerea unui bun sau furnizarea unui serviciu, se vehiculeaz informaii naionale clasificate. un contract ncheiat de o instituie militar sau civil NATO sau de o ar membr NATO n vederea realizrii unui program/proiect iniiat, negociat sau administrat de NATO i n cadrul cruia este necesar accesul la informaii NATO clasificate sau se genereaz astfel de informaii. un document care reprezint parte integrant a unui contract clasificat i care cuprinde clauzele i procedurile de securitate specifice derulrii acestuia. un document emis de ORNISS prin care se atest c, din punct de vedere al securitii, un obiectiv industrial ndeplinete standardele minime de protecie a informaiilor clasificate de un anumit nivel (secret, strict secret, strict secret de importan deosebit) pentru a participa la procedura de atribuire a unui contract clasificat. Se elibereaz obiectivelor industriale care urmeaz s fie implicate n procedura de atribuire a unui contract clasificat. un document eliberat de ORNISS prin care se atest c, din punct de vedere al securitii, un obiectiv industrial ndeplinete standardele minime de protecie a informaiilor clasificate de un anumit nivel (secret, strict secret, strict secret de importan deosebit) pentru a participa la derularea unui contract clasificat. Se elibereaz obiectivelor industriale care sunt sau care urmeaz s fie implicate n derularea unui contract clasificat. instituie abilitat prin lege s stabileasc, pentru domeniul su de activitate i responsabilitate, structuri i msuri proprii privind i controlul activitilor referitoare la protecia informaiilor secrete de stat.

Certificatul securitate industrial

de

Autoritate abilitat de securitate (AAS)

Tabel cu principalii termeni utilizai n domeniul securitii industriale

Protecia informaiilor clasificate secret de serviciu este reglementat prin Hotrrea Guvernului nr.781/2002, gestionarea informaiilor secret de serviciu realizndu-se, n general, dup principii asemntoare celor aplicabile gestionrii informaiilor secret de stat, ns pentru negocierea i derularea contractelor cu acest nivel de clasificare nu se prevede necesitatea eliberrii unui certificat de securitate industrial n baza verificrilor de securitate. Termenul de contract clasificat de un anumit nivel nu presupune automat ca documentul contract s fie clasificat (marcat i nregistrat) la nivelul respectiv. Nivelul de clasificare al unui contract, termen prin care trebuie s se neleag o activitate contractual i nu doar un document, este determinat de nivelul maxim de clasificare a informaiilor care urmeaz s fie accesate sau generate n cadrul contractului. Cele dou pri aflate n relaie direct, ntr-un contract clasificat 6 sunt : autoritatea contractant parte ntr-un contract de finanare care, fie n baza legii, fie n baza unui alt contract de finanare legal
6

Conform Normelor metodologice din HG nr.1265 / 2004, HG nr. 368 / 2005 i HG nr. 1077 / 2005.

ncheiat, la care a avut calitatea de contractor, finaneaz realizarea unui obiectiv, stabilind n mod univoc condiiile n care cealalt parte va realiza contractul ce se ncheie n acest scop; contractor parte dintr-un contract de finanare care, acceptnd finanarea i condiiile asociate acesteia, stabilite de autoritatea contractant, se oblig s asigure realizarea contractului n domeniul securitii industriale, respectiv al activitilor contractuale care presupun acces la informaii clasificate, contractorii, respectiv autoritile contractante deintoare de informaii clasificate, trebuie s acorde atenie n procesul de planificare a contractelor clasificate, urmtoarelor aspecte generale : Stabilirea cu responsabilitate a contractelor clasificate prin analizarea i determinarea nivelului maxim de clasificare a informaiilor care pot fi accesate i/sau generate n cadrul negocierii/derulrii contractului. Potrivit legii, atribuirea clasei i nivelului de secretizare informaiilor generate se realizeaz prin consultarea ghidului de clasificare, a listei cu informaii secrete de stat elaborate n conformitate cu prevederile legale i aprobate prin hotrre a Guvernului. Fiecare autoritate public ce lucreaz cu informaii secrete de stat are obligaia s ntocmeasc un ghid n scopul clasificrii corecte i uniforme a informaiilor. eful ierarhic al emitentului trebuie s verifice dac informaiile generate n cadrul contractului au fost clasificate corect i s ia msuri n consecin cnd se constat c au fost atribuite niveluri de secretizare necorespunztoare. Informarea potenialilor contractani, prin invitaia de participare la procedura de atribuire a contractului sau printr-un document echivalent, cu privire la nivelul de clasificare al contractului i la obligativitatea obinerii autorizaiei de securitate industrial pentru participarea la negociere/licitaie. Condiionarea punerii la dispoziie a documentaiei clasificate pentru elaborarea ofertei sau permiterii accesului la informaii clasificate, de prezentarea autorizaiei de securitate industrial. Organizarea procedurii de achiziie innd cont de termenul maxim de eliberare a autorizaiei de securitate industrial (60 de zile lucrtoare). Informarea potenialilor contractani asupra obligativitii obinerii certificatului securitate industrial pentru participarea la derularea contractului. Prin urmare, contractorul trebuie s aib n atenie urmtoarele aspecte:

o La procedura de atribuire a unui contract clasificat n care se vehiculeaz informaii clasificate de un anumit nivel, se va permite participarea numai a companiilor care dein autorizaie de securitate industrial i al cror personal a fost autorizat s aib acces la informaii clasificate, de nivelul solicitat; o Pentru derularea contractului clasificat, compania declarat ctigtoare trebuie s fac demersurile necesare i s obin certificatul de securitate industrial, eliberat de ORNISS. Procedura de eliberare/retragere a autorizaiei de securitate industrial i de respingere a cererii de eliberare a acestui document Participarea la procedura de atribuire a unui contract clasificat, indiferent de forma acesteia (negociere, cerere de ofert, licitaie), este reglementat prin Hotrrea Guvernului nr. 585/2002 pentru aprobarea Standardelor naionale de protecie a informaiilor clasificate n Romnia. Un aspect important de reinut se refer la faptul c autorizaia de securitate industrial (ASI) se elibereaz de ORNISS, pentru negocierea fiecrui contract clasificat secret de stat n parte. Altfel spus, ORNISS nu elibereaz autorizaii de securitate industrial care s fie valabile pentru negocieri de contracte clasificate diferite. Obligaiile contractorului, respectiv ale prii contractante deintoare de informaii clasificate, n procesul de atribuire a contractelor clasificate secret de stat se refer la urmtoarele aspecte : Pstrarea evidenei tuturor persoanelor participante la ntlnirile de negociere (pre-contractuale), care s cuprind: o datele de identificare ale acestora; o angajamentele de confidenialitate; o organizaiile pe care le reprezint, tipul i scopul ntlnirilor; o informaiile la care acetia au avut acces. Stabilirea unei clauze n invitaiile de participare la licitaii sau cereri de oferte, n cazul contractelor clasificate, prin care potenialul ofertant este obligat s returneze documentele clasificate puse la dispoziie, n situaiile n care acesta nu depune oferta pn la data stabilit sau nu ctig licitaia. Termenul de returnare nu trebuie fie mai mare de 15 zile de la comunicarea rezultatului. Asigurarea faptului c n procesul de negociere particip doar persoane autorizate provenind de la obiective industriale autorizate.

Documentaia necesar pentru iniierea procedurii de autorizare se depune la sediul ORNISS de ctre obiectivul industrial solicitant i const din urmtoarele: cerere pentru eliberarea autorizaiei de securitate industrial anexa nr. 24 din H.G. nr.585/2002; chestionar de securitate industrial, n plic sigilat anexa nr. 25 din H.G. nr. 585/2002; invitaie de participare la procedura de atribuire a unui contract clasificat sau un document echivalent; lista persoanelor implicate n procesul de negociere. n situaia n care aceste persoane nu dein autorizaii de acces la informaii clasificate/certificate de securitate se impune i demararea, n paralel, a procedurilor pentru autorizarea lor. Chestionarul de securitate industrial, dup completare, se nregistreaz i se marcheaz corespunztor nivelului de secretizare secret de serviciu i se introduce ntr-un plic separat, care se anexeaz la cerere. Invitaia de participare, ntocmit de ctre partea contractant deintoare de informaii clasificate, trebuie s specifice: denumirea sau obiectul contractului clasificat; nivelul de clasificare al contractului (nivel maxim de clasificare a informaiilor vehiculate pn la semnarea contractului i a celor gestionate pe perioada derulrii contractului; data/perioada cnd are loc ridicarea materialelor clasificate/depunerea ofertelor/negocierea, identificnd momentul n care firma are acces la informaii clasificate, astfel nct s se prevad un timp suficient pentru ca aceasta s i obin autorizaia de securitate industrial; locul/locurile (sedii sau puncte de lucru) unde se gestioneaz informaiile clasificate; clauz de returnare a documentelor clasificate pentru firmele care au intrat n posesie de materiale clasificate i care pierd competiia sau se retrag de la negocieri. Pentru eliberarea autorizaiei de securitate industrial, obiectivul industrial trebuie s ndeplineasc urmtoarele cerine minime: s posede structur/funcionar de securitate responsabil cu securitatea informaiilor clasificate care fac obiectul activitilor contractuale; s posede program de prevenire a scurgerii de informaii clasificate, avizat de autoritatea abilitat de securitate; s fie stabil din punct de vedere economic:

- s nu fie n proces de lichidare; - s nu fie n stare de faliment sau n procedura reorganizrii judiciare sau a falimentului; - s nu fie implicat ntr-un litigiu care s i afecteaze stabilitatea economic; - s i ndeplineasc obligaiile financiare ctre stat, persoane fizice i juridice; s nu fi nregistrat nici o greeal de management cu implicaii grave asupra strii de securitate a informaiilor clasificate pe care le gestioneaz; s fi respectat obligaiile de securitate din cadrul contractelor clasificate derulate anterior; personalul implicat n negocierea contractului s dein autorizaii de acces la informaii clasificate secret de stat, de nivel corespunztor. Nerespectarea acestor cerine precum i furnizarea intenionat a unor informaii inexacte n completarea chestionarului de securitate constituie elemente de incompatibilitate n procesul de eliberare a autorizaiei de securitate industrial. n cazul n care obiectivul industrial nu deine un program de prevenire a scurgerii de informaii clasificate avizat de autoritatea abilitat de securitate, n paralel cu solicitrile de eliberare a autorizaiei de securitate industrial i de efectuare a verificrilor de securitate pentru personalul implicat n negociere, va trebui s ntocmeasc i s implementeze un astfel de program n conformitate cu anexa nr.10 la Hotrrea Guvernului nr. 585/2002. Programul de prevenire a scurgerilor de informaii clasificate va fi structurat pe mai multe capitole i va cuprinde aspecte referitoare la: elemente de identitate, statut juridic, obiect de activitate specifice obiectivului industrial; obiectivele urmrite prin msurile prezentate n program; principiile care stau la baza prevenirii scurgerilor de informaii clasificate; elemente generale privind informaiile clasificate deinute sau care urmeaz s fie deinute de obiectivul industrial; locurile unde se concentreaz de regul ori temporar informaiile clasificate sau se desfoar activiti care implic accesul la astfel de informaii; lista funciilor care necesit acces la informaii clasificate;

 prezentarea funcionarului de securitate i a persoanelor abilitate s ndeplineasc atribuii pe linia securitii informaiilor clasificate; prezentarea persoanelor care au sau urmeaz s aib acces la informaii clasificate, pe niveluri de secretizare; msuri de securitate fizic a cldirilor/spaiilor/locurilor unde se pstreaz sau se concentreaz informaii clasificate sau se desfoar activiti cu astfel de informaii; msuri procedurale de securitate a informaiilor clasificate; msuri de protecie mpotriva observrii i ascultrii; prezentarea sistemului informatic i de comunicaii destinat prelucrrii sau stocrii de informaii clasificate, dac este cazul; controale, activiti de analiz i evaluare a modului n care se respect prevederile legale referitoare la securitatea informaiilor clasificate; soluionarea cazurilor de nclcare a reglementrilor privind securitatea informaiilor clasificate; msuri de instruire i educaie de securitate a persoanelor care au acces la informaii clasificate. Dup depunerea la ORNISS a documentaiei complete specificat anterior, n termen de 7 zile lucrtoare, ORNISS solicit autoritii abilitate de securitate (AAS) competente efectuarea verificrilor de securitate i eliberarea avizului de securitate. n situaia n care obiectivul industrial nu depune documentaia complet menionat anterior, cererea de eliberare a autorizaiei de securitate industrial se respinge. Activitatea de verificare desfurat n vederea eliberrii Autorizaiei de Securitate Industrial (ASI) trebuie s asigure ndeplinirea urmtoarelor obiective principale : prevenirea accesului persoanelor neautorizate la informaiile clasificate; garantarea faptului c informaiile clasificate sunt distribuite pe baza existenei autorizaiei de securitate industrial i a principiului necesitii de a cunoate; identificarea persoanelor, care prin aciunile lor, pot pune n pericol securitatea informaiilor clasificate; garantarea faptului c obiectivele industriale au capacitatea de a proteja informaiile clasificate n procesul de negociere.

Avizul de securitate, eliberat de autoritatea abilitat de securitate, este un element care st la baza eliberrii ASI i garanteaz c: agentul economic nu prezint riscuri de securitate: o nu este implicat n derularea unor activiti ce contravin intereselor de siguran naional sau angajamentelor pe care Romnia i le-a asumat n cadrul acordurilor bilaterale sau multilaterale; o nu dezvolt relaii cu persoane fizice sau juridice strine ce ar putea aduce prejudicii intereselor statului romn; o nu are legturi cu asociaiile, persoanele fizice sau juridice care pot prezenta factori de risc pentru interesele de stat ale Romniei; o nu a fost i nu este implicat sub nici o form n activitatea unor organizaii, asociaii, micri, grupri de persoane strine sau autohtone care au adoptat sau adopt o politic de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste. sunt aplicate n mod corespunztor msurile de securitate fizic i a informaiilor, prevzute de reglementrile n vigoare, precum i normele privind accesul persoanelor la informaii clasificate; obiectivul industrial este solvabil din punct de vedere economic; Avizul de securitate menionat anterior are la baz verificrile de securitate de nivel I: a) verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial (anexa nr.25 la Hotrrea Guvernului nr.585/2002); aceste date se refer la firm n general: coordonate, stare, statut juridic, form de proprietate, capital, conducere, structur de securitate, profil i activitate desfurat, scurt raport pentru ultimii 3 ani de exerciiu financiar, bonitate i garanii bancare, informaii de securitate, date referitoare la sistemul de securitate al informaiilor secrete de stat (msuri de securitate fizic, msuri procedurale, INFOSEC), securitatea personalului, date cu privire la procesele penale sau contravenii ca urmare a nclcrii legilor; b) verificarea modului de aplicare a prevederilor programului de prevenire a scurgerii de informaii clasificate; c) evaluarea statutului de securitate a fiecrei persoane cu putere de decizie - asociai/acionari, administratori, persoanele din comitetul director i structura de securitate - ori executiv implicat n negocierea contractului clasificat;

d) verificarea datelor minime referitoare la bonitatea i stabilitatea economic a obiectivului industrial - domeniu i obiect de activitate, statut juridic, acionari, garanii bancare. Dup primirea avizului de securitate de la AAS care a efectuat verificrile de securitate, ORNISS va decide cu privire la eliberarea sau neeliberarea autorizaiei de securitate industrial. Dac se constat c sunt ndeplinite cerinele de securitate necesare asigurrii securitii informaiilor clasificate vehiculate n cadrul negocierii / derulrii contractului, ORNISS elibereaz i transmite obiectivului industrial autorizaia de securitate industrial. n situaia n care se constat c obiectivul industrial nu ndeplinete cerinele de securitate ORNISS nu elibereaz autorizaia de securitate industrial i informeaz n acest sens obiectivul industrial solicitant i autoritatea abilitat de securitate care a efectuat verificrile. Termenul pentru eliberarea ASI este de 60 de zile lucrtoare de la data depunerii documentaiei complete la sediul ORNISS, dintre care 14 zile sunt alocate ORNISS, 7 zile pentru solicitarea efecturii a verificrilor de securitate de ctre AAS competent i 7 zile dup primirea avizului de securitate pentru eliberarea autorizaiei sau comunicarea ctre obiectivul industrial a refuzului eliberrii acesteia. Autorizaia de securitate industrial are valabilitate pn la ncheierea contractului sau pn la retragerea solicitantului de la negocieri. Acest document poate fi retras numai de ctre ORNISS, n urmtoarele cazuri: la solicitarea obiectivului industrial; la propunerea motivat a AAS competente; la expirarea termenului de valabilitate. n cazul n care ORNISS decide retragerea autorizaiei de securitate industrial va informa autoritatea contractant, obiectivul industrial i AAS competent. Procedura de eliberare/retragere a certificatului de securitate industrial i de respingere a cererii de eliberare a acestui document n urma adjudecrii contractului clasificat, contractantul care are obligaia obinerii certificatului de securitate industrial de nivel corespunztor nivelului maxim al informaiilor gestionate n cadrul contractului pentru a putea pune n executate contractul clasificat. n acest sens obiectivul industrial contractant va depune la sediul ORNISS urmtoarele documente:

 Cerere pentru eliberarea certificatului de securitate industrial anexa nr.30 din HG nr.585/2002; Chestionar de securitate industrial, n plic sigilat anexele nr.26 pentru contracte clasificate secret de stat de nivel secret i, respectiv, anexa nr.27 pentru cele clasificate strict secret i strict secret de importan deosebit din H.G. nr.585/2002; Anexa de securitate, n copie; Lista persoanelor autorizate participante la derularea contractului. i n acest caz, n situaia n care exist persoane care urmeaz s participe la derularea contractului i nu dein autorizaie de acces este necesar demararea, n paralel, i a verificrilor pentru personal. Anexa de securitate este parte integrant a fiecrui contract clasificat i trebuie s cuprind clauzele i procedurile de securitate specifice fiecrui contract clasificat n parte. Aceasta se ntocmete ctre autoritatea contractant deintoare de informaii clasificate i se semneaz de ambele pri implicate n contract. Clauzele i procedurile din anex sunt supuse periodic verificrilor de ctre AAS competent. Legislaia n domeniu nu prevede un anumit format pentru anexa de securitate. Anexa trebuie ntocmit de autoritatea contractant deintoare de informaii clasificate astfel nct prevederile acesteia s asigure o securitate corespunztoare informaiilor gestionate n cadrul contractului. Principalele cerine de securitate care ar trebui cuprinse n anexa de securitate sunt prezentate n continuare: - nivelul maxim de clasificare al informaiilor gestionate n cadrul contractului este: secret, strict secret, strict secret de importan deosebit (se va preciza nivelul). contractul va fi pus n executare numai n condiiile n care furnizorul a obinut certificatul de securitate industrial eliberat de ORNISS, de nivel corespunztor informaiilor gestionate n cadrul contractului; orice persoan care pe parcursul derulrii contractului are acces la informaii clasificate sau este responsabil de contract trebuie s dein certificat de securitate sau autorizaie de acces la informaii clasificate de nivel corespunztor, n conformitate cu legislaia n vigoare; contractantul i orice alt sub-contractant trebuie s se supun obligaiei de a respecta reglementrile legislaiei

naionale n domeniul securitii informaiilor clasificate, precizndu-se despre ce acte normative este vorba; obinerea de ctre contractor a aprobrii scrise a autoritii contractante naintea nceperii negocierilor n vederea sub-contractrii unei pri a contractului principal n care subcontractantul va avea acces la informaii clasificate. Subcontractantul trebuie s se supun reglementrilor impuse de legislaia naional n domeniul securitii informaiilor clasificate i prevederilor anexei de securitate la contract; returnarea n urma finalizrii contractului a informaiilor i materialelor clasificate puse la dispoziie, precum i a celor generate n timpul contractului sau sub-contractelor, precizndu-se perioada; se menioneaz cazurile i condiiile n care acestea pot fi distruse de ctre contractant sau termenul pn la care este autorizat pstrarea lor; informarea beneficiarului, a autoritii abilitate de securitate i ORNISS asupra oricror nclcri sau posibile nclcri ale msurilor de securitate, tentative, acte de sabotaj sau activiti subversive, orice schimbri ale acionariatului sau managementului furnizorului, alte schimbri care afecteaz statutul de securitate al contractantului; respectarea oricrei cerine de securitate venit din partea ORNISS, AAS competent sau autoritii contractante, cu privire la persoanele care au primit acces la informaii i materiale clasificate i au semnat un angajament de confidenialitate; lista clasificrilor de securitate, n care s se specifice activiti/ informaii/materiale clasificate care vor fi puse la dispoziia contractantului i cele generate pe parcursul derulrii contractului, precum i nivele de clasificare aferente; un ghid de clasificare al informaiilor, dac este cazul; cerine de securitate specifice contractului privind manipularea, multiplicarea, stocarea etc. a informaiilor clasificate; - lista locurilor de execuie a activitilor n care se utilizeaz date i informaii clasificate (ex. locurile unde se desfoar activitile de proiectare, producie, testare n funcie de specificul contractului, precizndu-se categoriile de personal care particip, activitile i informaiile necesare a fi protejate i nivelul de secretizare); - precizri privind transportul materialelor clasificate;

- definiiile termenilor utilizai n mod frecvent n cadrul contractului clasificat; - detalii despre persoanele de contact (managerii de proiect, funcionarii de securitate) responsabile de contract ale ambelor pri implicate; - cerine de securitate privind utilizarea i acreditarea unui sistem informatic i de comunicaii pentru procesarea sau stocarea de informaii clasificate n cadrul contractului, dac este cazul. Anexa de securitate trebuie adaptat specificului fiecrui contract clasificat n parte iar deintorul informaiei va impune acele cerine de securitate, n spiritul legii, astfel nct s se asigure c utilizatorul informaiei i asigur securitatea corespunztoare. Contractorul, respectiv autoritatea contractant deintoare de informaii clasificate are o serie de obligaii legate de activitile contractuale clasificate, care sintetizate se refer la urmtoarele aspecte: este responsabil pentru clasificarea i definirea tuturor componentelor contractului; contractul se clasific pe niveluri n funcie de coninutul informaiilor, clasificndu-se numai acele pri ale contractului care trebuie protejate; ntocmete anexa de securitate i pune un exemplar al acesteia la dispoziia contractantului; declaneaz procedurile de clasificare i protejare n conformitate cu reglementrile n vigoare, n situaia n care apare necesitatea protejrii informaiilor dintr-un contract care anterior nu a fost clasificat; solicit contractantului s impun eventualilor subcontractani condiii de securitate similare cu cele aplicate acestuia; permite punerea n executare a contractului numai n condiiile n care contractantul deine certificat de securitate industrial iar personalul implicat care urmeaz s aib acces la informaii clasificate deine autorizaie de acces. Cerinele generale pe care un obiectiv industrial trebuie s le ndeplineasc pentru eliberarea certificatului de securitate industrial sunt n principiu aceleai cu cele prezentate n cadrul procedurii de eliberare a autorizaiei de securitate industrial: s posede structur/funcionar de securitate responsabil cu protecia informaiilor clasificate care fac obiectul activitilor contractuale; s posede program de prevenire a scurgerii de informaii clasificate, avizat de autoritatea competent;

 s fie stabil din punct de vedere economic; s nu fi nregistrat nici o greeal de management cu implicaii grave asupra strii de securitate a informaiilor clasificate pe care le gestioneaz; s fi respectat obligaiile de securitate din cadrul contractelor clasificate derulate anterior; personalul implicat n derularea contractului s dein autorizaii de acces de nivel egal cu cel al informaiilor vehiculate n cadrul contractului clasificat. n sintez, principalele obligaii care revin contractantului n cadrul activitilor contractuale clasificate se refer la urmtoarele aspecte: pune n execuie contractul clasificat numai n condiiile n care: deine CSI; personalul autorizat participant la derularea contractului a fost instruit asupra reglementrilor de securitate industrial de ctre structura de securitate i a semnat fia individual de pregtire. informeaz contractorul cnd decide s subcontracteze realizarea unei pri din contractul clasificat. impune subcontractanilor condiii de securitate similare cu cele aplicate contractantului (se asigur c acetia dein autorizaie de securitate industrial n cazul negocierilor i certificat de securitate industrial pentru derularea subcontractelor clasificate, dup caz). napoiaz contractorului toate informaiile clasificate ncredinate sau generate pe perioada derulrii contractului, cu excepia cazului n care astfel de informaii au fost distruse autorizat sau pstrarea lor a fost autorizat de ctre contractor pe o perioad de timp strict determinat. respect procedura stabilit pentru protecia informaiilor clasificate legate de contract, stabilit prin anexa de securitate i reglementrile n materie. menine o legtur permanent cu ORNISS i autoritatea contractant pe linia securitii informaiilor clasificate, prin intermediul funcionarului de securitate; informeaz ORNISS asupra tuturor modificrilor survenite privind datele de securitate incluse n chestionarul completat, pe ntreaga durat de valabilitate a certificatului de securitate industrial. Orice modificare a datelor cuprinse n chestionarul de securitate industrial transmis la ORNISS mpreun cu cererea de eliberarea de eliberare a certificatului de securitate industrial: schimbarea sediului social,

formei juridice, conducerii i structurii de securitate, msurilor de securitate etc. Modificrile la chestionarul de securitate se transmit de ctre ORNISS autoritii abilitate de securitate competente, sub form de modificare la chestionarul de securitate industrial iniial, ntr-un plic separat, sigilat, care va continua verificrile de securitate sau, n cazul n care societii comerciale i s-a eliberat certificat de securitate industrial, va verifica dac acestea sunt de natur s produc efecte avizului de securitate i va informa ORNISS n consecin. Avizul de securitate eliberat de Autoritatea Abilitat de Securitate, n urma verificrilor de securitate, a cror amploare depinde de nivelul de clasificare al contractului, trebuie s asigure aceleai garanii principale cu cele enumerate n cazul procedurii de eliberare a autorizaiei de securitate industrial: agentul economic nu prezint riscuri de securitate; sunt aplicate n mod corespunztor msurile de securitate fizic i a informaiilor, prevzute de reglementrile n vigoare, precum i normele privind accesul persoanelor la informaii clasificate; obiectivul este solvabil din punct de vedere economic. Verificrile de securitate care stau la baza eliberrii avizului de securitate se realizeaz pe nivele n funcie de nivelul de secretizare al informaiilor gestionate n cadrul contractului, urmrindu-se urmtoarele aspecte: a) verificarea corectitudinii datelor consemnate n chestionarul de securitate industrial (anexa pentru nivelul secret, anexa pentru nivelele strict secret i strict secret de importan deosebit); b) evaluarea statutului de securitate al fiecrei persoane cu putere de decizie - asociai/acionari, administratori, persoanele din comitetul director i structura de securitate - ori executiv responsabil i implicat n derularea contractului clasificat; c) verificarea modului de implementare i de aplicare a normelor i msurilor de securitate fizic, de securitate a personalului i a documentelor, prevzute pentru nivelul corespunztor; d) verificarea datelor referitoare la bonitatea i stabilitatea economic a obiectivului industrial - domeniu i obiect de activitate, statut juridic, acionari, garanii bancare; pentru nivele strict secret i strict secret de importan deosebit verificrile se extind i asupra aspectelor referitoare la sucursale, filiale, firme la care este asociat, date financiare;

e) pentru nivele strict secret i strict secret de importan deosebit se verific existena autorizrii sistemului informatic i de comunicaii propriu, pentru nivelul respectiv, dac este cazul; f) n vederea clarificrii datelor rezultate din chestionar se poart discuii cu proprietarii, membrii consiliului director, funcionarii de securitate, angajaii, dup caz. Potrivit competenelor, autoritile abilitate de securitate vor verifica dac obiectivul industrial ndeplinete o serie de cerine i anume: a) a numit o structur sau un funcionar de securitate responsabil cu securitatea informaiilor clasificate care fac obiectul activitilor contractuale; b) asigur sprijinul necesar pentru efectuarea inspeciilor de securitate periodice; c) aplic msuri prin care se previne diseminarea, fr autorizaie scris din partea emitentului, a nici unei informaii clasificate care i-a fost ncredinat n cadrul derulrii unui contract clasificat; d) a stabilit msuri prin care aprob accesul la informaiile clasificate vehiculate n cadrul contractului numai persoanelor care dein certificat de securitate sau autorizaie de acces, n conformitate cu principiul necesitii de a cunoate; e) dispune de posibilitile necesare pentru a informa asupra oricrei compromiteri, divulgri, distrugeri, sustrageri, sabotaje sau activiti subversive ori altor riscuri la adresa securitii informaiilor clasificate vehiculate sau a persoanelor angajate n negocierea contractului respectiv i orice schimbri privind proprietatea, controlul sau managementul obiectivului industrial cu implicaii asupra statutului de securitate al acestuia; f) interzice utilizarea n alte scopuri dect cele specifice contractului a informaiilor clasificate la care are acces, fr permisiunea scris a emitentului; h) returneaz toate informaiile clasificate care i-au fost ncredinate, precum i cele generate pe timpul derulrii contractului, cu excepia cazului n care asemenea informaii au fost distruse autorizat sau pstrarea lor a fost autorizat de ctre autoritatea contractant pentru o perioad de timp strict determinat; i) respect procedura stabilit pentru securitatea informaiilor clasificate legate de contractul clasificat. Dup primirea avizului de securitate de la Autoritatea Abilitat de Securitate care a efectuat verificrile de securitate, ORNISS va decide cu

privire la eliberarea certificatului de securitate industrial sau la respingerea cererii obiectivului industrial. Dac se constat c sunt ndeplinite cerinele de securitate necesare asigurrii securitii informaiilor clasificate vehiculate n cadrul derulrii contractului, ORNISS elibereaz i transmite obiectivului solicitant certificatul de securitate industrial. n situaia n care se constat c obiectivul industrial nu ndeplinete cerinele de securitate ORNISS nu elibereaz certificatul de securitate industrial i informeaz n acest sens obiectivul industrial i autoritatea abilitat de securitate care a efectuat verificrile. Termenele pentru eliberarea certificatul de securitate industrial (CSI) cresc corespunztor nivelului de clasificare al contractelor astfel: CSI de nivel secret 90 zile lucrtoare; CSI de nivel strict secret 120 zile lucrtoare; CSI de nivel strict secret de importan deosebit 180 zile lucrtoare. Ca i n cazul procedurii de eliberare a autorizaiei de securitate industrial, 14 zile sunt alocate ORNISS pentru solicitarea avizelor de securitate i eliberarea certificatului sau comunicarea refuzului ctre obiectivul industrial solicitant. Termenul de valabilitate pentru CSI este determinat de perioada derulrii contractului, dar nu mai mult de 3 ani de la data eliberrii, dup care autoritatea contractant este obligat s solicite revalidarea acestuia. Certificatul de securitate industrial se retrage de ctre ORNISS n urmtoarele cazuri: la solicitarea obiectivului industrial; la propunerea motivat a AAS competente; la expirarea termenului de valabilitate; la ncetarea contractului; la schimbarea nivelului de certificare acordat iniial. Sanciuni n condiiile n care n conformitate cu Codul penal nu sunt considerate infraciuni, urmtoarele fapte reprezint contravenii la normele privind securitatea informaiilor clasificate n cadrul activitilor contractuale: - deinerea fr drept, sustragerea, divulgarea, alterarea sau distrugerea neautorizat a informaiilor secrete de stat, constituie contravenii la standardele privind securitatea informaiilor clasificate n cadrul activitilor contractuale;

- punerea n executare a unui contract clasificat fr certificat de securitate industrial eliberat de ORNISS; - participarea n procesul de derulare a contractului a persoanelor care nu dein certificate de securitate pentru acces la informaii clasificate sau a persoanelor autorizate care nu au fost instruite asupra reglementrilor de securitate de ctre structura/funcionarul de securitate sau care nu au semnat fia individual de pregtire. Securitatea industrial n cadrul NATO Securitatea informaiilor NATO clasificate este reglementat la nivelul structurilor NATO prin Politica de securitate NATO C-M (2002)49 i directivele de aplicare a acesteia AC/35. Aceste documente stabilesc principiile de baz i standardele minime de securitate care trebuie aplicate de statele membre NATO i structurile civile i militare NATO n scopul prevenirii pierderii confidenialitii, integritii i disponibilitii informaiei. n conformitate cu aceste standarde, securitatea industrial este definit ca fiind aplicarea msurilor i procedurilor de securitate n scopul prevenirii pierderii, compromiterii informaiilor clasificate care au fost ncredinate i identificrii i recuperrii celor compromise sau pierdute. Reglementrile NATO dedicate domeniului securitii industriale sunt: C-M (2002)49 enclosure G (Politica de securitate NATO - securitatea industrial), AC/35- D/2003-REV2 (Directiva privind securitatea industrial) i AC/35-D/1036 (Linii directoare privind securitatea industrial), ns, pentru a avea o imagine corect i complet asupra problematicii trebuie avute n vedere i standardele NATO referitoare la securitatea personalului, securitatea fizic, securitatea informaiilor i INFOSEC. Responsabiliti generale ale statelor membre NATO Fiecare stat membru NATO are obligaia de a desemna o autoritate naional de securitate (ANS) i poate desemna, dac este necesar, i una sau mai multe autoritile abilitate de securitate (AAS). n accepiunea NATO noiunea de AAS este diferit de cea definit n legislaia naional. Standardele NATO definesc AAS ca fiind o autoritate subordonat ANS, responsabil de transmiterea politicii naionale de securitate ctre industrie i de acordarea de sprijin i consultan pentru implementarea acesteia. nainte de a transmite ctre industrie informaii NATO clasificate, fiecare stat membru NATO, prin intermediul propriului ANS/AAS , trebuie:

- s se asigure c potenialul contractant, contractant/subcontractant i locaia/locaiile acestuia au capacitatea de a proteja informaii NATO clasificate de nivel NATO CONFIDENTIAL (NC) i superior; - s elibereze certificat NATO de securitate industrial obiectivului industrial de nivel corespunztor; - s elibereze certificat NATO de securitate pentru persoanele care ocup funcii ce necesit acces la informaii NATO clasificate de nivel NC i superior; - s se asigure c accesul la informaii NATO clasificate este limitat numai la acele persoane care ndeplinesc principiul need-to-know pentru scopul derulrii programului/proiectului; - s implementeze, cnd i unde este necesar, procedurile NATO n scopul pstrrii reciproce a secretului inveniilor; - s elibereze, la cererea unui ANS/AAS dintr-un stat membru NATO sau a unei structuri militare sau civile NATO, certificate de securitate persoanelor din sfera de competen, n scopul participrii la contracte NATO clasificate; - s coordoneze activitile de transport i vizite internaionale n conformitate cu cerinele NATO cuprinse n politica de securitate i directiva privind securitatea industrial; - s coordoneaze investigarea cazurilor n care se cunoate sau exist suspiciuni privind pierderea informaiilor NATO clasificate puse la dispoziie sau generate n cadrul unui contract sau divulgarea acestora ctre persoane neautorizate. Fiecare stat membru NATO trebuie s respecte cerinele privind investigarea prevzute n politica de securitate NATO i n directivele de aplicare i s informeze alte state membre NATO afectate, prin intermediul NOS, cu privire la detaliile producerii unui astfel de eveniment; - s se asigure c orice locaie n care urmeaz s se utilizeze informaii NATO clasificate este numit cel puin o persoan cu responsabiliti nemijlocite n domeniul proteciei informaiilor NATO clasificate (funcionar de securitate). Aceast persoan va fi responsabil pentru limitarea accesului la informaii NATO clasificate la acele persoane care au fost certificate i au necesitatea de a cunoate; Responsabiliti generale ale Oficiul de Securitate NATO La nivelul NATO, politica de securitate NATO n domeniul securitii industriale i directivele de aplicare sunt elaborate de Comitetul de Securitate NATO (NSC), iar Oficiul de Securitate NATO (NOS) asigur ageniilor de management a proiectelor NATO asisten i consiliere n toate

aspectele privind securitatea industrial i supervizeaz implementarea politicilor i directivelor de securitate NATO n cadrul proiectelor. Totodat NOS furnizeaz, la cerere, asisten ANS/AAS din statele membre NATO, precum i obiectivelor industriale implicate n proiecte clasificate i desfoar inspecii periodice n scopul evalurii msurilor de securitate aplicate de ANS/AAS i de obiectivele industriale angajate n contractele NATO clasificate administrate de o agenie NATO competent. Cerine minime de securitate pentru contracte NATO clasificate - certificatul NATO de securitate industrial Standardele NATO n domeniul securitii informaiilor NATO clasificate prevd obligativitatea potenialilor contractani / subcontractani, implicai n activiti contractuale clasificate, de a deine certificat de securitate industrial de nivel corespunztor nivelului maxim de clasificare al informaiilor gestionate n cadrul negocierii/derulrii contractului. Pentru participarea la negocierea i derularea contractelor care implic acces la informaii NATO RESTRICTED nu este necesar certificatul de securitate industrial. n cazul contractelor principale care se atribuie de agenia de management a proiectului NATO, aceast structur verific deinerea de ctre potenialul contractant a certificatului de securitate industrial de nivel corespunztor nivelului maxim de clasificare al informaiilor gestionate n cadrul contractului, prin contactarea ANS/AAS din statul respectiv. ANS/AAS din statele implicate vor colabora, informndu-se reciproc asupra oricror elemente care pot aprea i afecta statutul de securitate al contractanilor/subcontractanilor implicai n contracte NATO clasificate. Fiecare contract clasificat trebuie s conin o anex de securitate care va include o list a clasificrilor de securitate sau, n cazul contractelor de amploare, instruciuni de securitate ale proiectului care vor conine un ghid al clasificrilor de securitate. Anexa de securitate sau instruciunile de securitate ale proiectului se transmit ANS/AAS i contractantului principal de ctre agenia de management a proiectului, iar n cazul subcontractrii se transmit anexe de securitate contractantului principal, subcontractanilor i ANS/AAS din statele de care aparin. Responsabilitatea atribuirii nivelului de clasificare elementelor programului/proiectului referitoare la un produs n care toate elementele sunt clar definite i clasificarea lor prederminat revine ageniei de management a proiectului care lucreaz n colaborare cu ANS/AAS din statele NATO participante. Clasificarea informaiilor asociate cu posibile subcontracte se

va face n baza anexei de securitate sau instruciunilor de securitate ale proiectului. ANS/AAS din fiecare stat membru NATO este responsabil s se asigure c orice obiectiv industrial care urmeaz s aib acces la informaii clasificate de nivel NATO CONFIDENTIAL sau superior ndeplinete condiiile necesare pentru eliberarea certificatului de securitate industrial. Angajaii obiectivului industrial care urmeaz s aib acces la informaii clasificate trebuie s fie certificai i instruii nainte de eliberarea certificatului de securitate industrial. Verificrile de securitate efectuate n scopul eliberrii CSI trebuie s vizeze: - integritatea i probitatea companiei care urmeaz s aib acces la informaii clasificate de nivel NATO CONFIDENTIAL i superior; - statutul de securitate al proprietarilor, directorilor, personalului executiv i angajailor obiectivului industrial i al altor persoane care n virtutea poziiilor pot avea acces la informaii NATO clasificate sau coordoneaz un contract NATO clasificat, n scopul asigurrii c acetia dein certificate de securitate corespunztoare; - aranjamentele de securitate pentru securitatea informaiilor NATO clasificate n locaia obiectivului industrial, n sensul asigurrii concordanei cu politica de securitate NATO i directivele de implementare a acesteia. n procesul de eliberare a certificatului se securitate industrial, ANS/AAS va evalua msura n care circumstanele prezentate reprezint o ameninare la adresa informaiilor NATO clasificate la care urmeaz s aib acces obiectivul industrial, iar dac este cazul va ntreprinde msurile necesare pentru minimalizarea riscului nainte de a elibera sau menine certificatul de securitate industrial. n cazul n care un ANS/AAS decide modificarea sau retragerea certificatului de securitate industrial, acesta are obligaia de a informa ANS/AAS i agenia de management a proiectului care au fost notificate iniial cu privire la eliberarea certificatului de securitate industrial pentru o anumit companie. n mod asemntor trebuie s se procedeze n cazul n care se respinge cererea de eliberare a certificatului de securitate pentru personalul implicat n activiti contractuale clasificate sau se retrage un certificat deja deinut. Ca i n cazul reglementrilor naionale, reglementrile NATO n domeniul securitii industriale prevd posibilitatea eliberrii pentru personal a certificatelor de securitate provizorii. n cazuri excepionale, n care obiectivele militare majore sunt serios afectate sau cnd exist alte raiuni

ntemeiate i nu este posibil s se obin certificarea n timp util, se pot face aranjamente provizorii sau se poate permite accesul la informaii NATO clasificate o singur dat numai n cazurile n care persoanele vizate sunt ceteni ai statelor membre NATO iar informaiile implicate nu au nivel de clasificare mai mare dect NATO SECRET i nu sunt informaii speciale. Perioada de valabilitate a certificatelor provizorii trebuie stabilit i notificat de ANS/AAS din statul care elibereaz documentul i nu trebuie s fie mai mare dect timpul necesar prevzut la nivel naional pentru eliberarea certificatului de securitate. Vizite internaionale clasificate n cazul contractelor NATO clasificate, att reglementrile NATO n domeniu, ct i ordinul directorului general al ORNISS n domeniul securitii industriale prevd proceduri pentru vizitele internaionale legate de un program/ proiect/contract. Vizitele internaionale care implic acces la informaii NATO clasificate au la baz cererea de vizit care trebuie s cuprind date privind: - instituia, obiectivul solicitant; - instituia, obiectivul care urmeaz a fi vizitat; - data/datele vizitei/vizitelor; - tipul vizitei; - subiectul care va fi discutat/justificarea vizitei; - nivelul de clasificare al informaiilor anticipat a fi accesate; - scopul vizitei; - date despre vizitatori; - confirmarea ANS/AAS privind deinerea certificatelor de securitate. Acestea se aprob de ANS/AAS din statul membru unde urmeaz s aib loc vizita, n urmtoarele condiii: - vizita are un scop oficial n legtur cu activiti NATO; - vizitatorul deine certificat de securitate corespunztor i este necesar s cunoasc informaiile clasificate privind proiectul, programul sau activitatea NATO respectiv. Vizitele care implic accesul la informaii clasificate NATO RESTRICTED i NATO UNCLASSIFIED pot fi planificate direct ntre structura de securitate a vizitatorului i cea a obiectivului vizitat. Procedura se aplic urmtoarelor tipuri de vizite: unice vizite cu un scop precis, cu o durat mai mic de 30 de zile i a cror repetare nu se previzioneaz nainte de un an de la data ncheierii vizitei;

 periodice vizite repetate pe o perioad determinat, care n mod normal nu depesc un an i sunt organizate pentru un scop precis; de urgen vizit unic, al crei caracter de urgen i importan fac imposibil aplicarea procedurii normale de solicitare. Vizitele unice i periodice se iniiaz prin cererea de vizit, trimis de ctre solicitantul vizitei instituiei sau obiectivului gazd, prin intermediul ANS-urilor din rile implicate. Sunt permise modificri la cererea de vizit, ns acestea sunt limitate la: - vizite unice data vizitei; adugiri sau eliminri de persoane; - vizite repetate adugiri sau eliminri de persoane. Modificrile/tergerile vor fi transmise prin mijloacele cele mai rapide i la ndemna ANS/AAS al statului gazd. Amendamentele care prevd date calendaristice anterioare fa de cele prevzute n original nu vor fi acceptate. Cererile pentru vizitele de urgen nu pot fi modificate. nainte de a permite vizitatorului accesul la informaii NATO, obiectivul industrial ce urmeaz a fi vizitat va verifica dac: a) vizitatorul posed autorizaie din partea ANS/AAS propriu; b) vizitatorul prezint actele de identificare corespunztoare; c) nivelul de autorizare prezentat n cererea de vizit s fie corespunztor vizitei i scopului declarat. De asemenea, obiectivele vizitate trebuie s pstreze evidena tuturor vizitatorilor i s se asigure c acetia au acces numai la informaiile NATO clasificate legate de obiectul vizitei. Cererile de vizite se proceseaz n termene cuprinse ntre 10 i 25 de zile, n funcie de termenul stabilit de fiecare stat membru NATO. Cererile de vizite repetate/periodice se vor folosi pentru toate contractele clasificate rezultate din programe/proiecte NATO. Acestea sunt valabile pe o perioad de un an de la data prevzut n cererea de vizit i, dup caz, vor fi reavizate anual. Dac, cu cel puin trei zile lucrtoare nainte de data vizitei unice, ANS/AAS solicitant nu primete obieciuni din partea ANS/AAS a statului gazd, vizita poate avea loc. Vizitele de urgen sau neplanificate se desfoar numai n situaii excepionale cnd nu se pot respecta procedurile standard pentru vizite unice sau repetate. Acestea trebuie s ndeplineasc una din urmtoarele condiii: a) s fie legate de o cerere oficial a NATO privind o ofert sau o cerere de ofert; b) s reprezinte un rspuns la o invitaie special a guvernului statului gazd sau a ageniei de management a proiectului/programului;

c) s fie afectat negativ realizarea unui proiect/program NATO sau s existe riscul pierderii oportunitii de afaceri n cazul n care vizita nu ar avea loc. Cererile pentru vizite de urgen trebuie analizate cu atenie, argumentate i analizate de ctre structura de securitate sau de funcionarul de securitate al solicitantului. Ultimele actualizri aduse reglementrilor NATO referitoare la vizitele internaionale clasificate prevd i o procedur special. Datorit faptului c timpul de procesare al cererilor de vizit care implic acces la informaii NATO clasificate variaz de la un stat la altul, s-a apreciat c acest aspect poate avea implicaii serioase asupra unor programe/proiecte NATO. Din acest considerent s-a convenit ca atunci cnd procedurile standard de vizite (unice, repetate, de urgen) nu pot fi aplicate, se poate agrea, dac legislaiile naionale ale statelor implicate permit, o procedur special care s asigure o protecie similar cu cea asigurat prin procedurile standard. Fcnd o paralel ntre certificatele de securitate industrial NATO i naionale, putem afirma c reglementrile NATO n domeniu se regsesc i n reglementrile naionale privind securitatea informaiilor NATO clasificate menionate. Anumite diferene pot fi constatate ns ntre manierele de abordare pentru certificatul de securitate industrial NATO i certificatul de securitate industrial naional. n cazul contractelor NATO clasificate accesul persoanelor juridice la informaii NATO clasificate de un anumit nivel, att n cazul procedurii de atribuire a contractului, ct i pe perioada derulrii acestuia, se face n baza certificatului de securitate industrial de nivel corespunztor, spre deosebire de cazul contractelor naionale clasificate n care este necesar autorizaia de securitate industrial pentru negociere i certificatul de securitate industrial pentru derularea contractului clasificat. Certificatul de securitate industrial NATO de un anumit nivel este valabil pe o perioad de trei ani de la data eliberrii pentru orice negociere i/sau derulare de contract clasificat care implic accesul la informaii NATO clasificate de nivelul respectiv. Certificatul de securitate industrial naional este valabil pe perioada derulrii unui anumit contract clasificat, dar nu mai mult de trei ani de la data eliberrii. n cazul contractelor naionale clasificate un document obligatoriu pentru iniierea procedurii de eliberare a certificatului de securitate industrial este anexa de securitate, spre deosebire de situaia contractelor NATO clasificate unde anexa de securitate trebuie transmis la ORNISS, n

scopul verificrii respectrii prevederilor acesteia, nainte de punerea n executare a contractului. De asemenea certificatul de securitate industrial naional nu face o distincie clar ntre cazurile n care obiectivul industrial deine i nu deine capabiliti fizice de stocare a informaiilor clasificate aa cum se face n cazul acordrii certificatului de securitate industrial NATO. n concluzie, conceptul de securitate naional i internaional a evoluat i poart amprenta fenomenelor globale i transnaionale cu impact deosebit n planul diversitii i complexitii noilor forme de manifestare a riscurilor i ameninrilor clasice i internaionale. Conceptul de securitate se identific, deopotriv, cu securitatea a tot ce afecteaz bazele statului de drept, dar i pe cele ale organizaiilor internaionale. Trecerea la o economie bazat pe informaie impune acordarea unei atenii sporite securitii informaiilor clasificate ncredinate industriei. Creterea preocuprilor pentru asigurarea securitii informaiilor clasificate se reflect n dinamica actualizrilor duse reglementrilor NATO n domeniu, aspect care implic armonizarea n consecin a legislaiilor statelor membre. Se poate afirma c principiile fundamentale de securitate care guverneaz domeniul securitii industriale se regsesc n reglementrile naionale, NATO i ale UE, ns se observ diferene de abordare n procedurile de aplicare ale acestor principii. n Anexa nr.3 sunt prezentate, ca exemplu, unele consideraii privind securitatea industrial n Canada. Se poate constata c experiena canadian mai ndelungat n domeniul securitii informaiilor clasificate se reflect n norme i instruciuni de securitate mai detaliate i n punctarea cu rigurozitate a unor elemente de procedur pentru certificarea de securitate industrial. 8.1.5 Securitatea informaiilor clasificate, vehiculate n format electronic (INFOSEC) Securitatea informaiilor clasificate n Romnia nu este o activitate nou, ns a fost concentrat pe asigurarea securitii informaiilor vehiculate pe suport de hrtie sau a celei nglobate n diverse materiale. n trecut, securitatea formei intangibile a informaiei, informaia vehiculat n format electronic, a constituit obiect de preocupare numai pentru un numr mic de personal, n special al celui din serviciile speciale, fr a exista o cultur de securitate la nivelul utilizatorilor obinuii.

n anul 2002, legislaia n domeniul securitii informaiilor clasificate a fost modificat i adaptat nivelului tehnologic al mileniului trei, termenul INFOSEC fiind utilizat pentru prima dat ntr-un act normativ. Astfel, articolul 237 din cuprinsul Hotrrii Guvernului nr.585/2002, pentru aprobarea standardelor naionale de protecie a informaiilor clasificate, definete INFOSEC ca fiind ansamblul msurilor i structurilor de protecie a informaiilor clasificate prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaii i al altor sisteme electronice, mpotriva ameninrilor i a oricror aciuni care pot aduce atingere confidenialitii, integritii, disponibilitii, autenticitii i nerepudierii informaiilor clasificate, precum i afectarea funcionrii sistemelor informatice, indiferent dac acestea apar accidental sau intenionat. n conformitate cu politica de securitate a NATO, CM(2002)49, reflectat n legislaia naional referitoare la securitatea informaiilor NATO clasificate, INFOSEC reprezint aplicarea msurilor de securitate n vederea protejrii informaiilor procesate, stocate sau transmise prin intermediul sistemelor informatice, de comunicaii i al altor sisteme electronice mpotriva pierderii confidenialitii, integritii sau disponibilitii, n mod accidental sau deliberat, precum i mpotriva pierderii integritii i disponibilitii sistemelor n sine. De asemenea, trebuie luat n considerare i faptul c, n vederea atingerii obiectivelor securitii, trebuie implementat un ansamblu echilibrat de msuri de securitate (fizic, de personal, a informaiilor i INFOSEC), care creeaz un mediu operaional sigur n care poate opera un sistem informatic de comunicaii sau alt tip de sistem electronic. Glosarul Naional de Securitate al Sistemelor Informaionale, publicat de Naional Security Telecommunications and Information Systems Security Committee (Comitetul Naional de Securitate al Sistemelor Informatice i de Telecomunicaii) din cadrul guvernului federal al SUA, definete securitatea sistemelor informatice (INFOSEC): Securitatea sistemelor informatice mpotriva accesului neautorizat la informaie sau a modificrii neautorizate a informaiei, n cadrul stocrii, procesrii sau transmiterii i mpotriva refuzului deservirii utilizatorilor autorizai sau asigurarea deservirii utilizatorilor autorizai, incluznd acele msuri necesare pentru a detecta, documenta sau contracara aceste ameninri. Aceast abordare este corect pn la un anumit punct, dar se limiteaz la sisteme informatice i de comunicaii fr a lua n considerare i aspectele legate de organizarea procesului, structuri implicate sau reglementrile tehnice sau operaionale.

De asemenea, termenul INFOSEC mai poate fi definit ca reprezentnd ansamblul normelor, structurilor i msurilor de securitate destinate securitii informaiilor clasificate procesate, stocate sau transmise n cadrul sistemelor informatice i de comunicaii sau al altor sisteme electronice, precum i detectrii, documentrii i contracarrii riscurilor la adresa acestor informaii. Prin aceast definiie se pot evidenia urmtoarele aspecte: vizeaz securitatea informaiei n ansamblu; abordeaz unitar toate aspectele de securitate ale informaiei clasificate: nu se limiteaz la securitatea informaiilor clasificate; nu se concentreaz numai pe suportul informaiei, se pune accent i asupra procesului de asigurare a securitii sub toate aspectele; vizeaz i alte tipuri de sisteme, msuri i structuri cu responsabiliti n derularea procesului de management al riscului; trateaz i msurile i/sau aciunile pro-active, cu implicarea tuturor structurilor ce contribuie la securitatea informaiilor vehiculate n format electronic. Cadrul legal care guverneaz securitatea informaiilor clasificate n format electronic n Romnia. n prezent, cadrul legal care guverneaz domeniul INFOSEC se compune, n afara legislaiei domeniului informaiilor clasificate, din directive, metodologii i instruciuni tehnice INFOSEC aprobate prin ordin al directorului general al Oficiului Registrului Naional al Informaiilor Secrete de Stat., publicate n Monitorul Oficial al Romniei, ncepnd cu anul 2002 pn n prezent7. Legea 182/2002 privind protecia informaiilor clasificate definete ca principal obiectiv al securitii informaiilor clasificate (alturi de securitatea acestora mpotriva aciunilor de spionaj, compromitere sau acces neautorizat, alterrii sau modificrii coninutului acestora, precum i mpotriva sabotajelor ori distrugerilor neautorizate), realizarea securitii sistemelor informatice i de transmitere a informaiilor clasificate. De asemenea, actul normativ evideniaz faptul c msurile ce decurg din aplicarea legii sunt destinate: a) s previn accesul neautorizat la informaiile clasificate;
7

n Monitorul Oficial al Romniei, partea I-a. se public numai ordinele de aprobare a directivelor, metodologiilor sau instruciunilor tehnice. Coninutul acestor ordinele de aprobare publicate n Monitorul Oficial al Romniei, se transmit numai persoanelor de drept public sau privat, ndreptite.

b) s identifice mprejurrile, precum i persoanele care, prin aciunile lor, pot pune n pericol securitatea informaiilor clasificate; c) s garanteze c informaiile clasificate sunt distribuite exclusiv persoanelor ndreptite, potrivit legii, s le cunoasc; d) s asigure securitatea fizic a informaiilor, precum i a personalului necesar securitii informaiilor clasificate. Ordonana de Urgen a Guvernului nr. 153/2002 privind organizarea i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat stabilete atribuiile acestuia n domeniul INFOSEC, respectiv art. 4, lit. j asigur, prin intermediul ageniilor specializate, implementarea Standardelor naionale de protecie a informaiilor clasificate n Romnia i a Normelor privind protecia informaiilor clasificate NATO i UE, referitoare la informaiile stocate n cadrul sistemelor informatice i de comunicaii. n conformitate cu prevederile Legii nr.182/2002 privind protecia informaiilor clasificate, informaiile sunt orice documente, date, obiecte sau activiti, indiferent de suport, form, mod de exprimare sau de punere n circulaie iar informaiile clasificate reprezint informaiile, datele, documentele de interes pentru securitatea naional, care, datorit nivelurilor de importan i consecinelor care s-ar produce ca urmare a dezvluirii sau diseminrii neautorizate, trebuie s fie protejate. Hotrrea Guvernului nr.585/2002 pentru aprobarea standardelor naionale de protecie a informaiilor clasificate n Romnia definete informaiile n format electronic ca reprezentnd: texte, date, imagini, sunete, nregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub form de cureni, tensiuni sau cmp electromagnetic, n eter sau n reele de comunicaii. De asemenea, n cadrul seciunii dispoziii generale din cadrul Capitolului VIII Protecia surselor generatoare de informaii INFOSEC sunt definite obiectivele securitii informaiilor clasificate, respectiv: confidenialitate: asigurarea accesului la informaii clasificate numai pe baza certificatului de securitate al persoanei, n acord cu nivelul de secretizare a informaiei accesate i a permisiunii rezultate din aplicarea principiului nevoii de a cunoate; integritate: interdicia modificrii - prin tergere sau adugare - ori a distrugerii n mod neautorizat a informaiilor clasificate disponibilitate: asigurarea condiiilor necesare regsirii i folosirii cu uurin, ori de cte ori este nevoie, cu respectarea strict a condiiilor de confidenialitate i integritate a informaiilor clasificate

Cadrul organizatoric, la nivel naional, realizat n vederea asigurrii securitii informaiilor clasificate n format electronic. ORNISS(Autoritatea Naional de Securitate) asigur coordonarea sistemului naional de securitate a informaiilor clasificate n format electronic, astfel: asigur, prin intermediul ageniilor specializate, implementarea Standardelor naionale de securitate a informaiilor clasificate n Romnia i a Normelor privind securitatea informaiilor clasificate ale Organizaiei Tratatului Atlanticului de Nord n Romnia, referitoare la securitatea informaiilor stocate n cadrul sistemelor de prelucrare i transmitere automat a datelor; acrediteaz i reacrediteaz sistemele de securitate a informaiilor clasificate. Autoritile Abilitate de Securitate (AAS ) stabilesc, pentru domeniul lor de activitate i responsabilitate, structuri i msuri proprii privind coordonarea i controlul activitilor referitoare la protecia informaiilor clasificate. Structuri interne INFOSEC responsabile de gestionarea tuturor activitilor aferente procesului de acreditare de securitate a sistemelor informatice i de comunicaii din cadrul AAS, pentru necesitile proprii; Componente de securitate pentru tehnologia informaiei i comunicaiilor (CSTIC) / Autoriti operaionale ale sistemelor informatice i de comunicaii (AOSIC) ( definite n HG nr.585/2002, respectiv HG nr.353/2002) Entiti evaluatoare: evaluatori ai sistemelor de protecie a informaiilor clasificate, laboratoare de evaluare. n domeniul INFOSEC, prin intermediul ageniilor specializate, Oficiul Registrului Naional al Informaiilor Secrete de Stat ndeplinete atribuii de reglementare, control, autorizare i eviden privind sistemele de securitate a informaiilor clasificate care sunt stocate, procesate sau transmise n format electronic. Sintagma informaii clasificate care sunt stocate, procesate sau transmise n format electronic se refer la informaiile clasificate naionale, NATO, UE i ale statelor cu care Romnia a ncheiat tratate, nelegeri sau acorduri privind securitatea informaiilor clasificate. Totodat, ORNISS coordoneaz i rspunde de elaborarea politicii de securitate a informaiilor n format electronic, n conformitate cu prevederile naionale, armonizate cu

standardele NATO, UE i n acord cu tratatele ori nelegerile bilaterale i multilaterale privind securitatea informaiilor, la care Romnia este parte. n compunerea ORNISS, cele trei agenii specializate sunt prezentate dup cum urmeaz: Agenia de Acreditare de Securitate AAS - este agenia responsabil de acreditarea de securitate a sistemelor informatice i de comunicaii; Agenia de Securitate pentru Informatic i Comunicaii ASIC este agenia responsabil de conceperea i implementarea mijloacelor i metodelor de protecie a informaiilor clasificate vehiculate n cadrul sistemelor informatice i de comunicaii; Agenia pentru Distribuirea Materialului Criptografic ADMC este agenia responsabil de managementul materialelor i echipamentelor criptografice. Responsabilitile ORNISS, n domeniul INFOSEC, pot fi sintetizate dup cum urmeaz: elaborarea de reglementri privind: o acreditarea sistemelor de securitate a informaiilor n format electronic; o acreditarea structurilor care susin procesul de acreditare de securitate a acestor sisteme; o acreditarea productorilor de produse de securitate din domeniul tehnologiei informaiei i comunicaiilor; o cerinele tehnice minime de securitate n domeniul tehnologiei informaiei i comunicaiilor. acordarea acreditrii pentru: o sisteme de protecie a informaiilor clasificate vehiculate n format electronic; o productori de produse de securitate din domeniul tehnologiei informaiei i comunicaiilor; o structuri care sprijin procesul de acreditare de securitate a SIC. acordarea certificrii pentru: o produse de securitate din domeniul tehnologiei informaiei i comunicaiilor; o nivelul de ncredere n securitatea sistemelor informatice i de comunicaii. analizarea bazelor de date, cuprinznd: o incidentele de securitate n domeniul INFOSEC;

o ameninrile i vulnerabilitile cunoscute la adresa sistemelor informatice i de comunicaii, precum i la adresa produselor hardware i software, n vederea estimrii riscurilor de securitate. Msuri de securitate INFOSEC reprezint un ansamblu echilibrat de msuri de securitate. Rezolvarea acestui puzzle, prezentat n figura urmtoare, conduce la asigurarea obiectivelor securitii informaiilor clasificate.

Principalele componente ale INFOSEC sunt: COMPUSEC (securitatea calculatoarelor); COMSEC (securitatea comunicaiilor); o CRYPTO (securitatea criptografic); o TRANSEC (securitatea transmisiilor); o TEMPEST (securitatea fizic a materialului criptografic). COMPUSEC Securitatea calculatoarelor (COMPUSEC) reprezint aplicarea la nivelul fiecrui calculator a facilitilor de securitate hardware, software i firmware, pentru a preveni divulgarea, manevrarea, modificarea sau tergerea neautorizat a informaiilor clasificate ori invalidarea neautorizat a unor funcii; COMSEC Securitatea comunicaiilor (COMSEC): reprezint ansamblul de msuri aplicate n vederea prevenirii accesului persoanelor neautorizate la

informaii transmise prin intermediul sistemelor de comunicaii i a asigurrii autenticitii acestor informaii. Securitatea comunicaiilor include securitatea criptografic, securitatea transmisiilor, securitatea emisiilor, precum i securitatea fizic a materialului criptografic. Securitatea criptografic (CRIPTO) Criptarea (cifrarea) este un mecanism puternic de asigurare a confidenialitii. Ea asigur confidenialitatea datelor atunci cnd mecanismele de mpiedicare a accesului la date au euat. Este un lucru nelept s folosim i criptarea, deoarece sistemele informatice sunt foarte complexe (att din punct de vedere al hardului, ct i din punct de vedere al softului), aa c pot aprea bree n sistemele de restricionare a accesului (dup cum se cunoate probabilitatea ca o ameninare s exploateze o vulnerabilitate a sistemului nu poate fi niciodat egal cu zero). Daca mecanismul de criptare a datelor este puternic i aplicat n mod corespunztor, atacatorul va avea n fa nite date pe care nu va putea s le foloseasc. n cadrul criptografiei, criptarea se definete ca fiind procesul de aducere a informaiei din forma ei iniial, inteligibil, ntr-o form neinteligibil, astfel nct s fie imposibil de citit de deintori neautorizai, posesori ai unor cunotine secrete sau privilegii speciale. Textul iniial, care se dorete a fi protejat, se numete text n clar, iar rezultatul criptrii se numete text cifrat sau criptogram. Decriptarea (descifrarea) este procesul invers, de recuperare a textului n clar din textul cifrat. Exist dou mari categorii de cifruri: cu cheie simetric, respectiv cu cheie asimetric8. Criptografia cu cheie simetric Cifrurile cu cheie simetric folosesc aceeai cheie pentru criptare i decriptare (sau cheia pentru decriptare este relativ uor de calculat din cheia pentru criptare). Mai este numit i criptografie cu cheie privat. Dezavantajul major al acestei metode const n asigurarea confidenialitii cheii pe timpul transmiterii ctre beneficiatul autorizat. Cifrurile cu cheie simetric pot fi clasificate n cifruri bloc i cifruri secveniale. Cifrurile secveniale cripteaz informaia bit cu bit, spre deosebire de cifrurile bloc, care cripteaz succesiv din mesaj blocuri de bii de o anumit lungime. ntre cele dou categorii exist o dualitate, n sensul c pot fi fcute s opereze ntr-o manier asemntoare categoriei opuse.
8

Conform disertaiei ntocmite la ncheierea cursului postuniversitar Managementul informaiei de dl. ing. Marian Nidelea, director n cadrul ORNISS, Universitatea Valahia Trgovite, 2007

Exist de asemenea unele sisteme criptografice primitive care pot fi abilitate ca fiind criptografie cu cheie simetric. Un exemplu l constituie funciile hash criptografice, care produc un rezumat (hash) al mesajului. n timp ce sunt foarte uor de calculat, ele sunt foarte greu de inversat (one-way). Astfel, cineva trimite un mesaj i i calculeaz hash-ul, apoi trimite mesajul mpreun cu hash-ul ctre receptor. Receptorul primete mesajul i calculeaz la rndul lui hash-ul. Dac cele dou valori difer, nseamn c mesajul a fost modificat. Este practic imposibil ca un intrus care intercepteaz mesajul s-l modifice astfel nct aplicarea funciei de hash s dea aceeai valoare cu valoarea iniial. Criptografia cu cheie asimetric Criptarea cu cheie simetric are un deficit care provoac probleme serioase pentru c dou persoane care doresc s schimbe ntre ei mesaje confideniale trebuie s partajeze o cheie secret. Cheia trebuie transmis ntr-un mod sigur i nu prin mijloacele prin care ar comunica n mod normal. Acest lucru de obicei nu este convenabil i criptografia asimetric (cu cheie public) asigur o alternativ. n criptografia cu cheie public se folosesc dou chei, o cheie public i o cheie privat. Cheia public este folosit pentru criptare, iar cea privat pentru decriptare printr-un algoritm puternic. Aceasta nseamn c o persoan poate trimite fr nici o problem cheia public printr-un canal de comunicaii nesigur i totui s fie sigur c doar ea va putea decripta mesajele. Algoritmii cu cheie public se bazeaz de obicei pe formule matematice dificil de rezolvat. Mai este folosit i criptografia bazat pe curbe eliptice, care poate fi mai eficient. Securitatea transmisiilor - TRANSEC reprezint componenta securitii comunicaiilor care abordeaz securitatea transmisiilor de informaii mpotriva interceptrii i exploatrii, prin aplicarea de msuri de securitate, altele dect cele criptografice. Obiectivele TRANSEC sunt urmtoarele: o minimizarea probabilitii de interceptare; o minimizarea probabilitii de detecie; o asigurarea proteciei mpotriva semnalelor de bruiaj. TEMPEST reprezint un nume de cod atribuit de Guvernul SUA pentru desemnarea unui set de standarde referitoare la msuri de limitare a radiaiilor electrice sau electromagnetice emise de echipamentele electronice. n timp, mai n glum mai n serios, a fost definit n multiple moduri, fiecare definiie coninnd un smbure de adevr: - Terribly Expensive Method of Protecting Equipment or Systems and Testing;

- Terrible Electro-Magnetic Pulses Emitting Secret Things - Transient ElectroMagnetic PulsE Surveillance Technology - Telecommunications Electronics Material Protected from Emanating Spurious Transmissions Pe scurt, TEMPEST reprezint radiaia neintenionat a semnalelor electromagnetice, ce pot conine informaii compromitoare (sensibile), din cadrul echipamentelor electronice. n continuare, prezentm dou exemple de propagare a emisiilor compromitoare prin conducia pe linie de alimentare i radiaiile electromagnetice, aa cum se poate vedea din cele dou imagini.

Pentru soluionare, acioneaz EMSEC (ELECTROMAGNETIC SECURITY) care se ocup de studierea i implementarea tehnologiilor, n vederea prevenirii exploatrii fenomenului electromagnetic. Acest sistem intervine pentru atenuarea vulnerabilitilor sistemelor de calcul i a

echipamentelor electronice sau pentru reducerea efectelor atacurilor intenionate. Mecanismele INFOSEC utilizate n vederea realizrii securitii sistemelor informatice i de comunicaii, vizeaz: o evaluarea, prin examinarea detaliat, din punct de vedere al securitii, a produselor sau structurilor INFOSEC; o certificarea, emiterea unui document oficial, bazat pe o analiz independent a unei evaluri i a rezultatelor acestei evaluri, conform cruia produsul sau structura evaluat() satisface un set de criterii predefinit; o acreditarea, autorizarea acordat unui SIC de a prelucra informaii clasificate, n spaiul/mediul operaional propriu. De asemenea, acreditarea poate reprezenta autorizarea unei entiti pentru a desfura anumite activiti n sprijinul procesului de evaluare, certificare sau acreditare de securitate a SIC, dup caz, i activiti de producie i evaluare de securitate pentru produse de securitate IT. n vederea realizrii unui sistem informatic i de comunicaii i asigurarea securitii corespunztoare nivelului informaiilor clasificate vehiculate n cadrul acestuia, nc din etapa de proiectare se vor lua n considerare riscurile la adresa sistemului. Riscul de securitate reprezint probabilitatea ca o ameninare la adresa unui sistem (la modul general) s exploateze o vulnerabilitate a sistemului de securitate al acestuia. Managementul riscului de securitate pentru sistemele care vehiculeaz informaii clasificate este un proces continuu i complex care se desfoar pe toat durata ciclului de via al unui sistem (CVS), ncepnd cu faza de proiectare i pn la dezafectarea acestuia. Managementul riscului cuprinde dou etape: etapa de analiz a riscului de securitate: prin care se determin n ce msur o ameninare posibil se extinde asupra sistemului informatic i de comunicaii, precum i care este riscul asociat acestei ameninri; etapa de reducere a riscului de securitate: const n ierarhizarea, evaluarea i implementarea msurilor de securitate, recomandate n cadrul etapei de analiz a riscului, pentru reducerea riscurilor. Msurile de securitate necesare reducerii riscurilor se implementeaz ntr-un complex echilibrat, proporional cu mrimea riscului la adresa sistemului dup o analiz profund a raportului cost/beneficiu. Mai pe scurt,

riscurile nu pot fi eliminate n totalitate dar se vor lua acele msuri de securitate care pot fi susinute din punct de vedere financiar i care micoreaz riscul la un nivel rezidual, care poate fi acceptat de autoritatea de acreditare. Am precizat faptul c managementul riscului reprezint un proces continuu i complex care se realizeaz pe toat durat ciclului de via al unui sistem. n esen, ciclul de via al oricrui sistem informatic cuprinde urmtoarele etape: o iniializare; o dezvoltare/achiziie; o implementare; o operare/ntreinere; o dezafectare. n cadrul fiecrei etape sunt mai multe activiti necesar a fi efectuate: n cadrul etapei de iniializare se evalueaz sensibilitatea informaiilor care urmeaz a fi vehiculate n sistem de ctre un colectiv format din reprezentanii managementului i experi care cunosc la nivel de detaliu fluxul informaiilor n cadrul autoritii persoanei juridice de drept public sau privat (autoritate a administraiei publice centrale sau locale, instituii ale statului, companii private, etc). Etapa de dezvoltare/achiziie va include stabilirea cerinelor de securitate pe care sistemul informatic i de comunicaii trebuie s le ndeplineasc. Cerinele de securitate sunt stabilite i n funcie de nivelul de sensibilitate al informaiilor vehiculate i de rezultatele analizei riscului. n funcie de cerinele de securitate necesare a fi ndeplinite se stabilesc specificaiile configuraiei hardware i software a sistemului informatic i de comunicaii. Ulterior achiziiei sistemului pot fi necesare confirmri (certificri) ale existenei i funcionalitii cerinelor de securitate determinate anterior. Etapa de implementare include instalarea / pornirea controalelor de securitate necesare in vederea satisfacerii cerinelor de securitate stabilite anterior. n cadrul ciclului de via al unui sistem informatic i de comunicaii instruirea de securitate a personalului este un pas necesar dar deseori neglijat. Pentru personalul cu atribuii n domeniul securitii sistemului este recomandat ca instituia sau compania privat s planifice fonduri necesare participrii la cursuri de specialitate cu teme specifice securitii IT, n mod regulat, activiti finalizate cu certificri profesionale. Acreditarea de securitate a unui sistem informatic i de comunicaii (SIC), aa cum s-a menionat anterior, reprezint autorizarea acordat acestuia de a

prelucra informaii clasificate, n spaiul/mediul operaional propriu. Este obligatoriu ca toate SIC s fie acreditate nainte de a stoca, procesa sau transmite informaii clasificate. Procesul de acreditare de securitate are la baz: o managementul riscului; o elaborarea, analiza, evaluarea i avizarea documentaiei de securitate; o verificarea mediilor de securitate, precum si a modului de implementare i respectare a msurilor de securitate n concordan cu cerinele de securitate, att prin activiti de evaluare si testare a securitii, ct i prin activiti de certificare de securitate. Etapa de operare / ntreinere din cadrul ciclului de via al unui sistem informatic cuprinde urmtoarele: o operarea i administrarea de securitate reprezint funcionarea n condiii de securitate a SIC acreditat. De respectarea i meninerea msurilor de securitate aprobate sunt responsabili att utilizatorii sistemului ct i personalul cu atribuii n domeniul securitii; o sigurana operrii (monitorizare, audit) presupune respectarea procedurilor manuale sau automate implementate n vederea furnizrii detaliilor despre anumite evenimente relevante privind utilizarea n condiii de securitate a SIC i a procedurilor de reacie la evenimente specifice. o administrarea schimbrilor n vederea asigurrii faptului c orice modificri aduse sistemului nu influeneaz facilitile de securitate ale acestuia. o reacreditarea periodic este un proces prin care se asigur faptul c msurile de securitate aprobate sunt implementate i respectate Pe scurt, procesul de securitate IT al unui SIC se desfoar n mod continuu, ncepnd cu: o etapa de planificare - n cadrul creia se stabilete politica de securitate IT a sistemului i construirea unui concept de securitate IT; o etapa de implementare a msurilor de securitate necesare, instruirea i contientizarea utilizatorilor sistemului; o etapa de ntreinere n care un rol important l joac auditul de securitate al sistemului. n societatea modern, att n domeniul public ct i n cel privat, din ce n ce mai multe activiti sunt realizate prin intermediul facilitilor oferite de dezvoltarea tehnologiei IT. Aceast dezvoltare a condus la o expansiune a reelelor informatice, creterea volumului i importanei datelor

stocate i la proliferarea mijloacelor informatice. De aceea, multe organizaii din domeniul public i privat sunt n totalitate dependente de buna funcionare a sistemelor informatice proprii sau a celor cu care sunt interconectate. O organizaie i poate atinge obiectivele doar dac reuete s i utilizeze resursele informatice ntr-un mod adecvat i sigur. n concluzie, este necesar acordarea unei atenii deosebite securitii informatice, n prezent i n perspectiv, deoarece cheltuielile pentru msurile de securitate IT sunt ca i vitaminele pentru organismul uman: nu vei ti niciodat de ce sufer dect dup ce renuni la utilizarea lor. Un prim pas n dimensionarea msurilor de securitate este, aa cum am precizat anterior, managementul riscului. Etapa de analiz a riscului din cadrul acestui proces cuprinde i determinarea vulnerabilitilor specifice sistemului informatic analizat. Practica a evideniat c vulnerabilitile au la baz unele elemente specifice sistemelor informatice i de comunicaii, cum ar fi: existena unor componente numeroase i fragile; capacitatea mijloacelor de stocare a informaiilor; dificultatea de a controla i dirija accesibilitatea la informaiile coninute de sistem; sistemele informatice permit relaionarea i analizarea datelor care, luate n mod individual, sunt inofensive; complexitatea sistemelor i a programelor folosite fac fiecare component esenial pentru buna funcionare a sistemului; informaia este disponibil la distan, poate fi copiat rapid, modificat sau distrus; sistemele emit radiaii (unele compromitoare - efectul TEMPEST) care pot fi captate i valorificate informativ; funcionarea sistemelor este total dependent de furnizarea energiei electrice; funcionarea unei reele complexe presupune circulaia unui numr important de persoane. Msurile de securitate necesar a fi implementate pentru asigurarea proteciei informaiilor, att clasificate ct i neclasificate, n funcie de gradul lor de sensibilitate, sunt de regul, mprite n mai multe domenii ale securitii: securitatea fizic, securitatea personalului, securitatea informaiilor i INFOSEC cu componentele prezentate anterior: COMPUSEC (securitatea hardware i software, protecie antivirus, managementul i auditul automat al securitii, etc.), CRIPTO (securitatea

criptografic), TEMPEST continuarea activitii.

(securitatea

emisiilor),

msurile

pentru

Securitatea fizic. Este obligatoriu ca locaiile (zonele) n care sunt gestionate informaii sensibile s fie protejate prin msuri de securitate fizic. Msurile de securitate fizic sunt necesare pentru prevenirea accesului neautorizat la suportul informaiilor, efectuarea de operaiuni neautorizate, blocarea resurselor i serviciilor SIC, precum i pentru a proteja echipamentul valoros i sensibil al SIC. Cu aplicabilitate la securitatea informaiilor n format electronic se definete ZONA SIC ca fiind o zon n care se gsesc i opereaz calculatoare, uniti periferice locale i de stocare, mijloace de control i echipament specific de reea i de comunicaii. Aceast zon trebuie delimitat i protejat n conformitate cu procedurile de asigurare a securitii fizice. Zona SIC - nu include zona staiilor de lucru aflate la distan, chiar dac aceste echipamente sunt conectate la echipamentul central de calcul din zona SIC. Pentru staiile de lucru aflate la distan se stabilesc proceduri specifice de asigurare a securitii fizice. Mediile de securitate care trebuie avute n vedere la proiectarea unui sistem de securitate a informaiilor n care sunt vehiculate i informaii clasificate n format electronic sunt: mediul de securitate global; mediul de securitate local; mediul de securitate electronic. Mediul de Securitate Global (MSG) reprezint mediul de securitate general n care se afl SIC. El cuprinde tot ceea ce poate avea impact asupra securitii SIC i este n afara controlului fizic direct al Autoritii Operaionale a SIC (AOSIC), i prin urmare, este considerat ca fiind de competena funcionarului de securitate al obiectivului. Ca cerin minim, MSG trebuie considerat ca acoperind mediul fizic general al SIC (de exemplu, o cldire sau o locaie sigur). Mediul de Securitate Local (MSL) reprezint mediul de securitate din domeniul de responsabilitate al AOSIC. n anumite cazuri, MSL poate fi limitat de un perimetru fizic sigur care nconjoar ntregul SIC. n alte cazuri, pur i simplu printr-o linie conceptual de demarcaie a responsabilitilor privind msurile de securitate ntre AOSIC i funcionarul de securitate al obiectivului. Specificaia privind MSL trebuie s ia n considerare orice zon intern unde se aplic standarde diferite de securitate (de exemplu, zone Clasa I, zone Clasa II i zone administrative).

Mediul de Securitate Electronic (MSE) definete sistemul informatic i de comunicaii n sine n termeni de securitate, identificnd limitele semnificative de securitate ale SIC ntr-un context electronic sau de procesare. MSE cuprinde diverse controale electronice din cadrul SIC, printre acestea putnd a fi enumerate elementele de identificare i autentificare (conturi, parole, etc.), permisiunile de acces la informaii, precum i limitele MSE. Dintre limitele Mediului de securitate electronic, fr a fi o prezentare exhaustiv, pot fi enumerate urmtoarele: interfee om-main interfaa pentru mediul neelectronic; interfee interne interfee n interiorul i ntre pri ale SIC care reprezint clase de securitate diferite, de exemplu, zonele de securitate din interiorul SIC; interfeele pentru SIC care funcioneaz conform unor diferite cerine de securitate; interfee externe pentru reelele externe de comunicaii. O exemplificare grafic sugestiv a zonelor de securitate este prezentat n figura urmtoare. Sunt reprezentate zonele de securitate cu drepturi de acces difereniate n funcie de necesitatea de a cunoate i certificatele de securitate deinute. Pe baza acestora se realizeaz o strategie de control al accesului ntre diferitele zone de securitate ale organizaiei. De asemenea trebuie stabilite proceduri de acces n zonele de securitate n timpul i n afara orelor de program.
MSG MSL MSE

Securitatea personalului. Pentru utilizatorii sistemelor informatice i de comunicaii care vehiculeaz informaii clasificate se impune obligativitatea deinerii unui certificat de securitate. Accesul la informaii clasificate se face pe baza principiului nevoii de a cunoate (need-to-know)

i n funcie de nivelul de clasificare al informaiilor, corelat cu nivelul certificatului de securitate. De asemenea, este obligatoriu ca personalul implicat n activiti de instalare, ntreinere, administrare a SIC s fie autorizat din punct de vedere al securitii. Contractele de ntreinere a SIC care vehiculeaz informaii clasificate trebuie s specifice i cerinele privind accesul contractantului n zona de operare a SIC (cazurile n care este permis accesul, supravegherea de ctre personal autorizat, intervale orare n care sunt permise interveniile, etc.). SIC care vehiculeaz informaii clasificate sunt acreditate s opereze pe anumite perioade i n diverse moduri de operare. Modul de operare al unui sistem informatic se determin n funcie de dou criterii: nivelul certificatelor de securitate ale personalului i necesitatea de a cunoate. Modurile de operare ale unui sistem informatic i de comunicaii sunt: DEDICAT; NIVEL NALT; MULTINIVEL. n modul de operare "DEDICAT" toate persoanele cu drept de acces la SIC au certificat de securitate pentru cel mai nalt nivel de clasificare a informaiilor stocate, procesate sau transmise n cadrul SIC. Necesitatea de cunoatere pentru aceste persoane se refer la toate informaiile stocate, procesate sau transmise n cadrul SIC. 1. n acest mod de operare principiul nevoii de a cunoate (need-to-know) nu impune o cerin expres de separare a informaiilor, ca mijloc de securitate a SIC. 2. Celelalte domenii ale securitii (de exemplu: securitatea fizic, securitatea personalului) vor satisface cerinele impuse de cel mai nalt nivel de clasificare i de toate categoriile de informaii cu destinaie special stocate, procesate sau transmise n cadrul SIC. n modul de operare "NIVEL NALT" toate persoanele cu drept de acces la SIC au certificat de securitate pentru cel mai nalt nivel de clasificare a informaiilor stocate, procesate sau transmise n cadrul SIC, dar accesul la informaii se face difereniat, conform principiului nevoii de a cunoate. 1. Faptul c n acest mod accesul la informaii se face difereniat, conform principiului nevoii de a cunoate, nseamn c trebuie s existe n compensaie faciliti de securitate care s asigure un mod de acces selectiv la informaiile din cadrul SIC.

2. Celelalte domenii ale securitii (de exemplu: securitatea fizic, securitatea personalului) vor satisface cerinele de securitate pentru cel mai nalt nivel de clasificare i pentru toate categoriile de informaii cu destinaie special stocate, procesate, transmise n cadrul SIC. n modul de operare "MULTINIVEL" nu toate persoanele cu drept de acces la SIC au certificat de securitate pentru acces la informaii de cel mai nalt nivel de clasificare, care sunt stocate, procesate sau transmise prin SIC. De asemenea, nu toate persoanele cu acces la SIC au acces la toate informaiile stocate, procesate, transmise n cadrul su, accesul la informaii fcndu-se difereniat, conform principiului nevoii de a cunoate, innd cont c modul de operare protejat permite stocarea, procesarea sau transmiterea informaiilor cu diferite niveluri de clasificare i de diverse destinaii i c nu toate persoanele sunt autorizate pentru cel mai nalt nivel de clasificare. Combinat cu faptul c accesul la informaii se face difereniat, conform principiului nevoii de a cunoate, nseamn c trebuie s existe n compensaie faciliti de securitate care s asigure un mod selectiv de acces la informaiile din cadrul SIC. Securitatea informaiilor. n funcie de nivelul maxim de clasificare al informaiilor vehiculate n SIC, nivelul certificatelor de securitate deinute de personal i diferenierea n funcie de necesitatea de a cunoate, administratorul de securitate va stabili: o modul de operare de securitate; o politica de parole, respectiv numrul de caractere, complexitatea acesteia; o politica de acordare a drepturilor de acces ale utilizatorilor. Administratorul de securitate al SIC poate repartiza utilizatorii n mai multe grupuri stabilind totodat i fiierele sau/i aplicaiile care sunt comune i pot fi accesate numai de ctre utilizatorii grupului respectiv, precum i fiierele i aplicaiile care pot fi accesate individual i cu anumite drepturi de ctre fiecare utilizator. Utilizatorii pot fi membri ai mai multor grupuri, dac este necesar. Drepturile de acces referitoare la fiiere i aplicaii sunt: dreptul de vizualizare, dreptul de scriere i dreptul de lansare n execuie. O alt component a securitii informaiilor se refer la securitatea mediilor de stocare (hard-disk, CD, DVD, floppy-disk, memorii flash). Aici trebuie precizat c toate mediile de stocare a informaiilor clasificate trebuie s fie marcate corespunztor nivelului de clasificare al informaiilor pe care le conin.

Marcarea reprezint un mijloc de identificare (numr de nregistrare i marcajul nivelului de clasificare) pentru fiecare mediu de stocare i informaie, n mod separat. Marcarea informaiilor clasificate are drept scop atenionarea persoanelor care le gestioneaz sau le acceseaz c sunt n posesia unor informaii n legtur cu care trebuie aplicate msuri specifice de acces i protecie, n conformitate cu legea. n acest sens trebuie s existe o eviden clar a tuturor mediilor de stocare, din care s rezulte toate operaiunile care au fost efectuate cu acestea pn la declasificarea / distrugerea lor. Evidena automat sau manual a accesului la informaiile clasificate se ine n registrele de acces. Perioada de pstrare a registrelor de acces la informaii clasificate este de 10 ani pentru nivelul de clasificare strict secret de importan deosebit (SSID) / NATO COSMIC TOP SECRET(CTS)/TRS SECRET UE i minim 3 ani pentru nivelul de clasificare strict secret / NATO SECRET/SECRET UE. Pentru mediile de stocare de nivel SSID / NATO CTS sau din Categoria Special se aplic urmtoarele reguli: evidena i mediile de stocare - n cadrul Sistemului Naional de Registre; mediile de stocare - inventariate anual; periodic verificate punctual existena fizic i coninutul. Pentru mediile de stocare de nivel strict secret / NATO SECRET, SECRET / NATO CONFIDENTIAL / CONFIDENTIEL UE i NATO RESTRICTED / RESTREINT UE: o evidena i mediile de stocare - n cadrul Sistemului Naional de Registre; o periodic verificate punctual existena fizic i coninutul. tergerea, declasificarea i reutilizarea mediilor de stocare se realizeaz astfel: informaiile clasificate nregistrate pe medii de stocare refolosibile se terg numai conform procedurilor stabilite n PrOpSec, aprobate de autoritatea de acreditare; mediul de stocare poate fi declasificat, numai dup tergerea complet, cu tehnici de suprascriere certificate n funcie de nivelul de clasificare al informaiei; dac mediul de stocare nu mai poate fi ters i declasificat, trebuie distrus printr-o procedur aprobat. COMPUSEC (securitatea calculatoarelor), ca parte a domeniului securitii INFOSEC, reprezint aplicarea la nivelul fiecrui calculator a

facilitilor de securitate hardware, software i firmware, pentru a preveni divulgarea, manevrarea, modificarea sau tergerea neautorizat a informaiilor clasificate ori invalidarea neautorizat a unor funcii. n vederea asigurrii msurilor de securitate hardware, componente ale COMPUSEC sunt stabilite proceduri i instruciuni referitoare la: o pornirea/oprirea echipamentelor; o conectarea / deconectarea echipamentelor n reea; o sigilarea echipamentelor (verificri regulate ale sigiliilor de pe echipamente); o securizarea configuraiei echipamentelor n regim de ntreinere / reparaii. o ntreinere periodic; o reconectarea terminalelor / staiilor de lucru aflate la distan deconectate din motive de siguran. Procedurile n vederea asigurrii msurilor de securitate trebuie s includ: nivelul de autorizare necesar pentru modificarea configuraiei echipamentului, introducerea de hardware i software nou sau schimbarea oricrei componente hardware, inclusiv placa de baz care poate stoca, procesa sau transmite informaii clasificate; orice restricii impuse referitoare la realizarea sau nu a ntreinerilor periodice; detalii referitoare la procedurile de diagnosticare; specificaii referitoare la programele de ntreinere periodic, inclusiv instruciuni pentru identificarea rapoartelor de diagnosticare care pot conine informaii clasificate; detalii de securitate referitoare la identificarea, pstrarea i controlul pieselor de schimb i accesoriilor Msurile de securitate software sunt stabilite prin proceduri i instruciuni referitoare la: o stabilirea conturilor de utilizator - proceduri de stabilire a conturilor utilizatorilor, a grupurilor de utilizatori i de alocare a identificatorilor utilizatorilor, proceduri de tergere a conturilor utilizatorilor n cazul plecrii personalului de la post sau atunci cnd a fost detectat o compromitere a contului respectiv; o metode i mecanisme de autentificare - include proceduri referitoare la protecia informaiilor de autentificare (de exemplu, parole sau metode biometrice), procedurile de control i schimbare, autoritatea

emitent, inerea nregistrrilor de control i de ctre cine, frecvena schimbrii i procedurile utilizate pentru mecanismul de autentificare; o controlul accesului include proceduri de implementare a controlului accesului liber i/sau obligatoriu la informaii/servicii/dispozitive, proceduri pentru stabilirea drepturilor utilizatorilor i permisiuni pentru utilizarea serviciilor i resurselor SIC, detalii despre autoritile responsabile i tinerea evidenelor privind controlul; o utilizarea software-ului de arhivare/back-up include proceduri referitoare la modalitile de efectuare a back-up-ului, de ctre cine, cnd, pe ce medii de stocare. o controlul copiilor - controlul asupra facilitilor de copiere sau de modificare ale sistemului de operare, cu detalii despre autoritatea i documentaia necesar; o utilizarea software-ului de audit i a procedurilor de validare - ce, de ctre cine, cu ce frecven i ce nregistrri se pstreaz Protecia anti-virus include: proceduri de verificare a sistemelor de operare instalate, a pachetelor software i a programelor utilitare, privind prezena viruilor sau a altui software maliios, incluznd proceduri pentru tergerea acestora n cazul detectrii lor; proceduri pentru verificarea coninutului mediilor de stocare (informaii i software) primite din surse externe, incluznd proceduri pentru dezinfectarea lor; proceduri pentru raportarea incidentelor cauzate de virui. Msurile de protecie mpotriva radiaiilor electromagnetice compromitoare se iau n funcie de nivelul acestora i de nivelul de clasificare al informaiilor vehiculate n sistem. n vederea stabilirii nivelului optim de protecie este necesar efectuarea de msurtori ale nivelului radiaiilor electromagnetice, de ctre organisme autorizate. Pentru exemplificare, n figurile urmtoare sunt prezentate dou cazuri de poziionare a echipamentelor: 1. Dac staia de lucru se afl n interiorul cldirii, iar curtea din jurul cldirii (spaiul controlabil) asigur o distan minim de protecie pn la zona public. Nivelul radiaiilor electromagnetice este diminuat i nu sunt necesare msuri suplimentare de securitate TEMPEST. n vederea diminurii conduciei pe liniile de alimentare se aplic un filtru de frecven. Dac n interiorul MSE exist emitoare radio (telefoane mobile, staii de emisie recepie, etc.) este necesar luarea unor msuri de protecie

TEMPEST a echipamentelor sau a locaiei n care se afl acestea, n funcie de considerentele financiare.

Zon inspectabil (spatiu controlat)

Zon public

Emitor radio
Filtru Cablu electric

2. Dac nu exist spaiu inspectabil sau acesta este foarte redus i n funcie de rezultatele msurtorilor efectuate de organismele specializate se vor implementa msuri de protecie TEMPEST pentru echipamente sau pentru locaie.

Filtru

Reea

Securitatea transmisiilor. Atunci cnd un emitor dorete s transmit o informaie cu un anumit nivel de sensibilitate prin medii de comunicaii publice, apare pericolul interceptrii. n transmiterea informaiilor clasificate prin intermediul mediilor de comunicaii este obligatorie utilizarea

criptoarelor. Prin utilizarea acestora, prin mediul public de comunicaii circul informaie criptat, neinteligibil pentru un eventual interpus. TRANSEC este acea component a INFOSEC ce rezult din msurile proiectate pentru securitatea transmisiilor mpotriva interceptrii i exploatrii prin diferite mijloace, altele dect criptanaliza. Unele metode utilizate frecvent pentru protecia transmisiilor mpotriva interceptrii sunt: o saltul de frecven - ntr-un sistem cu salt de frecven, emitorul i receptorul opereaz simultan pe o anumit frecven pentru o perioad foarte scurt (de obicei mai puin de o secund) nainte de a face saltul la o alt frecven. o inundarea fluxului - ocuparea n permanen a circuitului de comunicaii i stabilirea unei ferestre de timp n care sunt transmise informaii cu un anumit nivel de sensibilitate. o spectrul dispers - o tehnic de comunicaii n care informaia modulat este transmis pe o band de frecven considerabil mai mare dect lrgimea de band ce conine informaia iniial. Sistemele informatice i de comunicaii (SIC) sunt, n prezent, elemente vitale pentru ndeplinirea responsabilitilor i atribuiilor instituiilor ce drept public i privat. Din aceast cauz este obligatoriu ca serviciile i resursele unui SIC s fie efectiv operaionale, fr ntreruperi de lung durat. Elaborarea Planului pentru continuarea activitii n situaii de urgen (PCA) este obligatorie pentru toate SIC care vehiculeaz informaii clasificate. Planul pentru Continuarea Activitii trebuie s cuprind: detalii despre metodele de realizare / pstrarea / utilizare a copiilor de back-up; frecvena realizrii salvrilor de siguran; proceduri de distrugere / recuperare a informaiilor n caz de urgen; proceduri de exersare a msurilor de urgen; Cazuri n care este necesar implementarea msurilor cuprinse n PCA: defeciuni hardware; atac cu software nociv; cderea legturilor de comunicaii; variaii ale tensiunii de alimentare sau cderea acesteia; aspecte privind mediul ambiant;

 aciuni subversive, sabotaj, terorism, ameninri cu bomb. n concluzie, securitatea sistemelor informatice i de comunicaii i a altor sisteme electronice, reprezint o activitate complex care necesit cunotine din mai multe discipline, se desfoar pe toat durata ciclului de via al sistemului, iar personalul implicat n acest proces se regsete att la nivelul conducerii organizaiei ct i nivelul utilizatorilor cu drepturi restrnse. 9 Evenimentele din 11 Septembrie 2001 au artat c pregtirea reaciei n cazul apariiei unui incident poate face diferena ntre ntreruperea activitii urmat de restabilire i catastrof. n timp ce unele companii cum ar fi Morgan Stanley, American Express au reuit s i reia activitatea normal n decurs de cteva zile de la eveniment, alte companii au suferit pierderi iremediabile ale resurselor organizaionale, multe dintre acestea intrnd n faliment. Se apreciaz c 150 dintre cele 350 de companii afectate direct de eveniment nu au reuit s i continue activitatea. n baza atribuiilor de reglementare exercitate de ORNISS, n aprilie 2005, a fost emis, prin ordin al Directorului General al ORNISS Metodologia privind elaborarea planului pentru continuarea activitii n situaii de urgen pentru sisteme informatice i de comunicaii care vehiculeaz informaii clasificate-DS 7. Toate persoanele juridice publice i private care dein sisteme informatice i de comunicaii care vehiculeaz informaii clasificate au obligaia de a implementa un Plan pentru Continuarea Activitii, elaborarea, conformitatea i periodicitatea testrii lui fiind verificate n cursul procesului de acreditare de securitate a sistemului informatic i de comunicaii. Elaborarea acestui plan este o etap ulterioar desfurrii procesului de analiz a riscului i se bazeaz pe analiza impactului asupra misiunii, identificarea msurilor preventive de securitate, elaborarea strategiei de restabilire. Strategia de restabilire a resurselor i serviciilor sistemului informatic i de comunicaii cuprinde o combinaie de metode i msuri de securitate care s acopere, pe ct posibil, o gam ct mai larg de situaii de urgen. ntre msurile specifice se poate aminti politica de backup a datelor critice i stabilirea locaiei de rezerv. Experiena a demonstrat c pstrarea copiilor ntr-o locaie din afara Mediului Local de Securitate al sistemului informatic i de comunicaii, dar care s corespund cerinelor de securitate impuse de
9

PLANUL PENTRU CONTINUAREA ACTIVITII n situaii de urgen pentru sisteme informatice i de comunicaii care vehiculeaz informaii clasificate DS 7 (Monitorul Oficial al Romniei, partea I-a, nr. 383 din 06.05.2005)

nivelul de clasificare a informaiilor salvate pe aceste copii de siguran, reprezint cea mai bun practic recomandat. Planul pentru continuarea activitii trebuie s cuprind i activiti de ntiinare a echipelor de intervenie, cu precizarea lanului ierarhic, a responsabililor i nlocuitorilor acestora. 8.2 Managementul incidentelor de securitate 8.2.1. Incidentul de securitate-delimitri conceptuale Noiunea de incident de securitate este abordat i chiar definit, n mod nuanat n legislaia de specialitate a Romniei, n Politica de securitate a NATO [Documentul C-M 49(2002)] i n Regulamentul de securitate al Consiliului Uniunii Europene. n Normele de securitate a informaiilor NATO clasificate (HG 353/2002), incidentul de securitate nu este definit n mod explicit. n schimb, Standardele naionale definesc incidentul de securitate ca fiind orice aciune sau inaciune contrar reglementrilor de securitate a crei consecin a determinat sau este de natur s determine compromiterea informaiilor clasificate. n documentul Politica de securitate a NATO, nclcarea reglementrilor de securitate este tratat nuanat, n funcie de compromiterea sau necompromiterea informaiilor NATO clasificate. Astfel, incidentul de securitate (Breach of security) este definit ca fiind: o fapt sau omisiune, deliberat sau accidental, contrar Politicii de securitate a NATO i directivelor sale de implementare, care provoac o real sau posibil compromitere a informaiilor NATO clasificate. Dac nu are loc o compromitere a informaiilor NATO clasificate, Politica de securitate a NATO consider c: o fapt sau o omisiune, deliberat sau accidental, contrar Politicii de securitate NATO i a directivelor sale de implementare, este Security Infraction, sintagm pe care am tradus-o prin abatere de la reglementrile de securitate, pentru c, mot-amot, infraciune de securitate sun mai grav dect incident de securitate. Pentru exemplificare, nu sunt considerate ca fiind compromiteri: o lsarea informaiilor NATO clasificate neprotejate n interiorul unui obiectiv industrial sigur n care toate persoanele sunt verificate corespunztor; o absena unei duble mpachetri de protecie a informaiilor clasificate.

n Regulamentul de securitate al Consiliului Uniunii Europene, incidentul de securitate este definit ca fiind: un act sau o omisiune contrar unei reguli de securitate a Consiliului sau a unuia dintre statele membre UE i susceptibil de a pune n pericol sau compromite informaii UE clasificate. Potrivit art. 57 din Normele cadru privind securitatea informaiilor UE clasificate, incidentul de securitate reprezint orice aciune sau inaciune, contrar reglementrilor de securitate, ale crei consecine au determinat sau sunt de natur s determine compromiterea informaiilor clasificate. Informaia UE clasificat se consider compromis atunci cnd i pierde integritatea, confidenialitatea sau disponibilitatea. Abaterea de la reglementrile de securitate reprezint o nclcare a reglementrilor de securitate care nu conduce la o compromitere a informaiei clasificate. Implicaiile unei abateri de la reglementrile de securitate sunt analizate, investigate i soluionate de ctre structura/funcionarul de securitate din cadrul instituiei n care aceasta a avut loc.

Dup cum reiese din figura de mai sus, n toate definiiile incidentul de securitate este legat de compromiterea informaiilor clasificate, noiune care, la rndul ei, este definit nuanat. 8.2.2 Compromiterea informaiilor clasificate Potrivit Standardelor naionale, informaia clasificat este compromis atunci cnd: i-a pierdut integritatea;

a fost rtcit ori pierdut; a fost accesat, total sau parial, de persoane neautorizate. n conformitate cu Politica de securitate a NATO i a UE, compromiterea este situaia n care informaii NATO/UE clasificate i-au pierdut: confidenialitatea, caracteristica informaiei de a nu fi disponibil sau dezvluit persoanelor sau entitilor neautorizate; integritatea, proprietatea prin care informaia (inclusiv data, dar i textul cifrat) nu a fost alterat sau distrus printr-o modalitate neautorizat; disponibilitatea, proprietatea informaiilor i a materialelor de a fi accesibile i folosite la cerere de o persoan sau entitate autorizat . n accepiunea documentului C-M 49, sunt considerate ca fiind compromise: o informaiile clasificate pierdute n timpul transportului; o informaiile clasificate lsate ntr-o zon neprotejat unde persoane fr certificat au acces fr nsoitor; o documentele nregistrate care nu pot fi gsite; o informaiile clasificate care au fost supuse unor modificri neautorizate; o distrugerea ntr-o manier neautorizat a documentelor ce conin informaii clasificate. Informaiile NATO clasificate se consider compromise chiar atunci cnd au fost supuse riscului unei cunoateri neautorizate. Astfel, informaiile NATO clasificate pierdute, chiar i temporar, n afara unei zone de securitate sunt considerate a fi compromise. De asemenea, documentele care nu au putut fi gsite la inventarierea periodic vor fi considerate compromise pn cnd investigaia de securitate va dovedi contrariul. Potrivit Regulamentului de securitate al Consiliului Uniunii Europene, compromiterea unei informaii UE clasificate are loc atunci cnd aceasta cade, total sau parial, n mna unei persoane neautorizate, adic a unei persoane care fie nu deine certificat de securitate fie nu are need-to-know, sau cnd exist suspiciuni c o astfel de compromitere a avut deja loc. Compromiterea unei informaii UE clasificate poate surveni din cauza unei neatenii, neglijene sau indiscreii, ca urmare a activitii serviciilor speciale interesate s intre n posesia de informaii UE clasificate sau din partea organizaiilor subversive. n concluzie, incidentul de securitate survine n urma unei compromiteri.

8.2.3 Raportarea incidentelor de securitate Incidentul de securitate reprezint orice aciune sau inaciune, contrar reglementrilor de securitate, ale crei consecine au determinat sau sunt de natur s determine compromiterea informaiilor sensibile. Informaia NATO/UE sensibil clasificat se consider compromis atunci cnd i pierde integritatea, confidenialitatea sau disponibilitatea. Cercetarea incidentelor de securitate pentru informaiile NATO / UE se realizeaz sub coordonarea ORNISS. Abaterea de la reglementrile de securitate reprezint o nclcare a acestor reglementri, care nu conduce la o compromitere a informaiei clasificate. Implicaiile unei abateri de la reglementrile de securitate sunt analizate, investigate i soluionate de ctre structura/funcionarul de securitate din cadrul instituiei n care aceasta a avut loc. Orice incident de securitate care implic informaii NATO/UE clasificate, indiferent de nivelul de clasificare al acestora, se raporteaz la ORNISS de ctre structura/funcionarul de securitate din instituia n care s-a produs compromiterea informaiilor. Raportarea incidentului de securitate trebuie s cuprind: descrierea informaiilor NATO/UE clasificate compromise, inclusiv nivelul de clasificare i alte marcaje suplimentare, numrul de nregistrare atribuit de emitent, numrul de nregistrare atribuit de CSNR, numrul de exemplar/copie, data emiterii, emitentul, subiectul la care se refer, persoana sau compartimentul care le-a gestionat, scopul pentru care a fost primit documentul; o scurt prezentare a mprejurrilor n care a avut loc compromiterea, inclusiv data constatrii, perioada n care informaiile au fost expuse compromiterii, persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dac sunt cunoscute; precizri cu privire la eventuala informare a emitentului. Fiecare incident de securitate raportat la ORNISS este cercetat de o comisie format din persoane cu experien n investigaii i, dac este cazul, n contraspionaj; ntre membrii comisiei i persoanele susceptibile de provocarea incidentului de securitate nu trebuie s existe relaii care s afecteze derularea cercetrii. Comisia de cercetare a incidentului de securitate se stabilete de instituiile abilitate prin lege, la solicitarea ORNISS. Cercetarea incidentelor de securitate se realizeaz sub coordonarea ORNISS n calitate de principal punct de legtur cu Oficiul de securitate al NATO (NOS).

Comisia de cercetare a incidentului de securitate trebuie s ntreprind urmtoarele: s stabileasc dac informaiile NATO/UE clasificate au fost compromise; s stabileasc circumstanele exacte n care s-a petrecut incidentul; s identifice toate persoanele neautorizate care au avut sau ar fi putut avea acces la informaiile NATO/UE compromise; s verifice dac persoanele respective prezint suficient ncredere i loialitate astfel nct rezultatul compromiterii s nu creeze prejudicii; s evalueze gravitatea prejudiciului produs n urma compromiterii informaiilor NATO/UE clasificate; s dispun msuri pentru diminuarea ct mai mult posibil a consecinelor compromiterii; s dispun msuri de prevenire a repetrii incidentului. Comisia va transmite la ORNISS raportul cu rezultatele cercetrii n termen de 80 de zile de la declanarea investigaiilor. n cazul compromiterii unei informaii sensibile, ORNISS ntiineaz Oficiul de Securitate al Secretariatului General al Consiliului UE (GSCSO) sau Direcia de Securitate a Comisiei Europene (ECSD), dup caz, n situaia compromiterii unei informaii UE sensibile, iar n cazul unei informaii NATO sensibile, Oficiul de Securitate al NATO (NOS) . ntiinarea GSCSO/ECSD/NOS cu privire la compromiterea informaiilor NATO RESTRICTED/RESTREINT UE se impune doar atunci cnd incidentul prezint aspecte ieite din comun i/sau cnd se apreciaz c n urma acestuia a rezultat un prejudiciu real pentru Uniunea European ori pentru unul sau mai multe dintre statele membre ale acesteia (aciuni de spionaj, dezvluiri n mass-media etc.). Dac este posibil, ORNISS informeaz simultan i emitentul informaiei. ntiinarea va conine urmtoarele elemente: descrierea informaiilor compromise, indicndu-se nivelul de clasificare i alte marcaje suplimentare, numrul de nregistrare atribuit de emitent, numrul de exemplar/copie, data emiterii, emitentul, subiectul la care se refer i scopul pentru care a fost primit documentul; o descriere succint a circumstanelor n care s-a produs compromiterea, care va cuprinde: data constatrii, perioada n care informaia a fost supus compromiterii i, dac sunt cunoscute,

numrul i/sau categoria persoanelor neautorizate care au sau ar fi putut avea acces la informaiile NATO/UE compromise; concluziile rezultate din evaluarea gravitii prejudiciului creat de compromiterea informaiilor NATO/UE respective; precizri n legtur cu informarea emitentului. n decurs de 90 de zile de la data ntiinrii, ORNISS va prezenta la GSCSO/ECSD/NOS, dup caz, un raport final cu concluziile rezultate n urma cercetrii efectuate i msurile ntreprinse pentru ca incidentul s nu se repete. n situaia n care primete de la GSCSO/ECSD/NOS o ntiinare privind compromiterea unei informaii naionale clasificate, ORNISS va ntreprinde urmtoarele msuri: informarea imediat a Consiliului Suprem de Aprare al rii n cazul compromiterii unei informaii de nivel STRICT SECRET DE IMPORTAN DEOSEBIT sau STRICT SECRET; ntiinarea emitentului informaiei naionale clasificate despre compromiterea acesteia; ntiinarea instituiilor abilitate prin lege despre producerea incidentului astfel nct acestea s poat aciona n conformitate cu prevederile reglementrilor naionale referitoare la incidentele de securitate. 8.2.4 Responsabiliti privind soluionarea incidentelor de securitate Responsabilitatea principal n ceea ce privete prevenirea i soluionarea incidentelor de securitate revine conductorului unitii care gestioneaz informaii clasificate i structurii de securitate, care rspunde solidar cu acesta pentru toate problemele referitoare la securitatea documentelor clasificate. Pentru prevenirea apariiei incidentelor de securitate, structura de securitate verific periodic eficiena msurilor de securitate fizic din cadrul zonelor n care sunt vehiculate informaii clasificate i, cu aprobarea conducerii unitii, efectueaz controale privind modul de aplicare a normelor de protecie a informaiilor clasificate. Controlul are drept scop: - identificarea vulnerabilitilor existente; - constatarea cazurilor de nclcare a reglementrilor de securitate. n urma controalelor efectuate, structura de securitate informeaz conducerea unitii despre vulnerabilitile, riscurile i nclcrile reglementrilor de securitate existente n sistemul de protecie a informaiilor clasificate i propune msuri pentru nlturarea acestora.

Conductorii unitilor i persoanele care gestioneaz informaii NATO/UE clasificate au obligaia de a aduce la cunotina ORNISS i a instituiilor cu atribuii de coordonare i control n domeniu orice indicii din care pot rezulta premise de insecuritate pentru astfel de informaii. Tot pentru prevenirea incidentelor de securitate, ORNISS i Serviciul Romn de Informaii, prin unitatea sa specializat, sunt mputernicite cu atribuii de exercitare a controlului asupra modului de aplicare a msurilor de protecie de ctre instituiile publice i unitile deintoare de informaii clasificate. Activitatea de control vizeaz: structura de securitate, personalul care are acces la informaii clasificate i, dup caz, Componenta Sistemului Naional de Registre sau compartimentul special. Printre altele, controlul efectuat de ORNISS i/sau SRI are ca scop: verificarea modului n care sunt aplicate i respectate reglementrile privind protecia informaiilor clasificate; identificarea vulnerabilitilor existente n sistemul de protecie a informaiilor clasificate, care ar putea duce la compromiterea acestor informaii, n vederea lurii msurilor de prevenire necesare; constatarea cazurilor de nerespectare a normelor de protecie a informaiilor clasificate; aplicarea sanciunilor contravenionale sau, dup caz, sesizarea organelor de urmrire penal, n situaia n care fapta constituie infraciune. 8.2.5 Soluionarea incidentelor de securitate n care sunt implicate informaii naionale clasificate Incidentele de securitate pot fi constatate cu ocazia inventarierii anuale, n urma unor controale efectuate de ctre persoane abilitate sau pot fi semnalate de ctre persoane fizice ori juridice. De asemenea, ele pot fi stabilite de ctre autoritile abilitate de securitate n baza activitilor specifice pe care le desfoar. n situaia apariiei unui astfel de incident, conductorul instituiei are obligaia de a ntiina, n scris i prin cel mai operativ sistem de comunicare, instituiile prevzute la art. 25 din Legea nr.182/200210, despre compromiterea informaiilor secret de stat.
10

ART. 25 (1) Coordonarea general a activitii i controlul msurilor privitoare la protecia informaiilor secrete de stat se realizeaz de ctre unitatea specializat din cadrul Serviciului Romn de Informaii. (2) Ministerul Aprrii, Ministerul Internelor i Reformei Administrative, Serviciul Romn de Informaii, Serviciul de Informaii Externe, Serviciul de Protecie i Paz i Serviciul de Telecomunicatii Speciale stabilesc, pentru domeniile lor de activitate i responsabilitate, structuri i msuri proprii privind coordonarea i controlul activitilor referitoare la protecia informaiilor secrete de stat, potrivit legii.

ntiinarea trebuie s conin unele elemente obligatorii. a. Descrierea informaiilor compromise, respectiv: - nivelul de clasificare; - marcarea documentului; - numrul de nregistrare i de exemplare; - data emiterii; - emitentul; - subiectul la care se refer; - persoana sau compartimentul care le-a gestionat; - scopul pentru care a fost primit documentul. b. Scurta prezentare a mprejurrilor n care a avut loc compromiterea, cuprinznd: - data constatrii; - perioada n care informaiile au fost expuse compromiterii; persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, daca sunt cunoscute. c. Precizri cu privire la eventuala informare a emitentului. ntiinarea se face n scopul obinerii sprijinului necesar pentru recuperarea informaiilor, evaluarea prejudiciilor, diminuarea i nlturarea consecinelor. Orice nclcare a reglementrilor de securitate va fi cercetat pentru a se stabili: a) dac informaiile respective au fost compromise; b) dac persoanele neautorizate care au avut sau ar fi putut avea acces la informaii secrete de stat prezint suficient ncredere i loialitate, astfel nct rezultatul compromiterii s nu creeze prejudicii; c) msurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.

(3) Coordonarea activitii i controlul msurilor privitoare la protecia informaiilor secrete de stat pentru Oficiul Central de Stat pentru Probleme Speciale i Administraia Naional a Rezervelor de Stat se realizeaz de structura specializat a Ministerului Internelor i Reformei Administrative. (4) Parlamentul, Administratia Prezidenial, Guvernul i Consiliul Suprem de Aprare a rii stabilesc msuri proprii privind protecia informaiilor secrete de stat, potrivit legii. Serviciul Romn de Informaii asigur acestor instituii asisten de specialitate. (5) Protecia informaiilor nedestinate publicitii, transmise Romniei de alte state sau de organizaii internaionale, precum i accesul la informaiile acestora se realizeaz n condiiile stabilite prin tratatele internaionale sau nelegerile la care Romnia este parte.

n situaia n care informaiile clasificate au fost accesate de persoane neautorizate, acestea vor fi instruite pentru a preveni producerea de eventuale prejudicii. 8.2.6 Soluionarea incidentelor de securitate n care sunt implicate informaii NATO/UE clasificate Potrivit Politicii de securitate a NATO, toate cazurile n care exist suspiciuni viznd incidente de securitate vor fi imediat raportate Autoritii Naionale de Securitate. Rapoartele privind aceste cazuri vor fi analizate de ctre persoane competente pentru a evalua daunele produse la adresa NATO i pentru a stabili msurile corespunztoare ce se impun. Deci, orice compromitere a informaiilor NATO/UE clasificate, indiferent de nivelul de clasificare, se aduce la cunotina ORNISS. Scopul principal al comunicrii incidentului de securitate este de a da posibilitatea recuperrii informaiilor, evalurii prejudiciilor aduse Alianei Nord-Atlantice, respectiv Uniunii Europene i ntreprinderii aciunilor necesare pentru minimalizarea consecinelor. Prima obligaie care i revine structurii de securitate n momentul n care constat un incident de securitate este aceea de a informa conducerea unitii. Dup analizarea i evaluarea situaiei, cu acordul conductorului unitii, structura de securitate raporteaz la ORNISS producerea incidentului. Raportarea incidentului de securitate trebuie s cuprind: a) descrierea informaiilor clasificate compromise, inclusiv nivelul de clasificare i alte marcaje suplimentare, numrul de nregistrare atribuit de emitent, numrul de nregistrare atribuit de CSNR, numrul de exemplar/copie, data emiterii, emitentul, subiectul la care se refer, persoana sau compartimentul care le-a gestionat, scopul pentru care a fost primit documentul; b) scurt prezentare a mprejurrilor n care a avut loc compromiterea, inclusiv data constatrii, perioada n care informaiile au fost expuse compromiterii, persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dac sunt cunoscute; c) precizri cu privire la eventuala informare a emitentului. Termenul de raportare a incidentului de securitate depinde de sensibilitatea informaiilor i de mprejurrile n care a avut loc compromiterea. Din acest motiv trebuie avut n vedere faptul c ORNISS nainteaz imediat la Oficiul de securitate al NATO (NOS) rapoarte de prim sesizare n cazul cnd: - este implicat o informaie de nivel CTS sau NS;

- exist indicii sau suspiciuni de spionaj; - s-au produs dezvluiri neautorizate n mass-media. n cazul n care se impune informarea NOS cu privire la compromiterea unei informaii NATO clasificate, ORNISS trebuie s alerteze i emitentul informaiei. Atunci cnd nu este posibil acest lucru, ORNISS poate solicita sprijinul NOS pentru identificarea emitentului i informarea acestuia. Acelai lucru este valabil i n cazul informaiilor UE clasificate. Dup primirea raportului, ORNISS are obligaia: - de a evalua implicaiile incidentului de securitate; - concomitent, n colaborare cu instituiile abilitate de resort, ntreprinde msurilor necesare de contracarare/diminuare a efectelor incidentului; - declaneaz investigaia de securitate. n principiu, investigaia de securitate va trebui s certifice compromiterea informaiilor NATO clasificate, s identifice persoanele implicate i s stabileasc msurile de remediere ce se impun. ORNISS va stabili modul n care va fi investigat incidentul de ctre persoane cu experien n problematica securitii, n investigaii i, dac este cazul, n contraspionaj. Persoanele implicate n investigarea incidentului de securitate trebuie s fie independente de cele susceptibile de provocarea acestuia. n acest scop, ORNISS poate apela la experi provenind din instituii abilitate. ORNISS raporteaz la NOS, respectiv la Biroul de securitate al Consiliului Uniunii Europene, aspecte ulterioare referitoare la compromitere (rezultatul investigaiilor de securitate efectuate de instituiile abilitate de resort, msurile de recuperare a informaiilor compromise i de reducere a prejudiciului. 8.3 Educaia de securitate Pregtirea de securitate este forma de baz a educaiei de securitate, obligatorie pentru toate persoanele care lucreaz, prin natura funciei, cu informaii clasificate sau le gestioneaz. Paralel cu pregtirea/instruirea de securitate, sunt necesare activiti pe linia contientizrii necesitii i importanei securitii informaiilor clasificate de ctre persoanele care, ntr-un fel sau altul, vin n contact cu astfel de informaii, indiferent de nivelul de clasificare al informaiilor/documentelor respective.

Contientizarea, n general, este sentimentul responsabilitii morale fa de ceva dinainte stabilit. inta care se va urmri prin contientizarea de securitate este securitatea informaiilor clasificate accesate. Aceasta se poate realiza de ctre posesorii de certificate de securitate, prin cunoaterea i respectarea ntocmai a normelor n domeniu i pe deplin convini fiind de importana aciunilor sau inaciunilor proprii, de consecinele economice, sociale sau de alt natur ale faptelor lor. Un program de contientizare de securitate are urmtoarele scopuri: s asigure faptul c persoanele, n momentul prelurii postului, contientizeaz importana securitii n instituie, precum i valoarea informaiilor pe care le vor gestiona; s asigure c persoanele, pe perioada ocuprii postului respectiv, continu s contientizeze i s respecte cerinele de securitate ale instituiei; s asigure c, la plecarea lor din posturile respective, persoanele contientizeaz n continuare responsabilitile referitoare la securitate. s fie instruite toate persoanele asupra procedurilor i obligaiilor lor de securitate, precum i cu privire la: o riscurile de securitate ce ar putea reiei din discuiile indiscrete cu persoane care nu au principiul nevoii de a cunoate; o relaia acestora (a persoanelor angajate) cu presa; o ameninarea prezentat de persoane indiscrete/curioase (spioni sau trdtori) n ce privete informaiile i activitile desfurate n rile NATO, UE i rile membre, societile comerciale deintoare de astfel de informaii; s transmit tuturor persoanelor care nu mai ndeplinesc atribuii ce presupun accesul la informaii clasificate, fie c au fost mutate pe funcii care nu necesit acces, fie au plecat din instituie, n orice mod, responsabilitile pentru securitatea continu a informaiilor clasificate; s sensibilizeze personalul asupra obligaiei de a raporta fr ntrziere autoritilor de securitate orice abordare care d natere la suspiciuni privind activitatea de spionaj sau orice fel de mprejurri neobinuite legate de serviciile de securitate, incidente de securitate; instruirea se face difereniat, pe niveluri de secretizare; dup fiecare instruire, persoana va semna de luare la cunotin.

Obiectivele educaiei i contientizrii de securitate - trebuie clar definite atunci cnd se desfoar un program de educaie i contientizare de securitate. n primul rnd, se va asigura de faptul c personalul este contient de riscuri de orice natur, chiar ameninri teroriste, de spionaj, subversive sau de spionaj din partea serviciilor secrete sau a firmelor concurente, apoi se va realiza: instruirea personalului asupra nevoii de securitate urmrind nelegerea i nsuirea corect a legislaiei naionale i NATO/UE, a normelor interne i standardelor privind securitatea informaiilor clasificate; asigurarea implementrii eficiente a msurilor de securitate a informaiilor clasificate; prevenirea, contracararea i eliminarea riscurilor i ameninrilor la adresa securitii informaiilor clasificate; contientizarea personalului cu privire la responsabilitile ce i revin, la ameninrile poteniale la adresa securitii informaii clasificate; prevenirea producerii oricror incidente de securitate care s-ar datora unor cauze umane; La reciclrile de securitate se aduc lmuriri asupra importanei securitii referitoare la cerinele zilnice ale mediului de la birou. Membrilor personalului li se amintete despre practicile corecte de securitate chiar n afara orelor de serviciu. Cnd se realizeaz instruirea: o la ncadrarea pe funcie care necesit acces; o la retragerea certificatului de securitate; o la plecarea din instituie; o n cazul cltoriilor private executate de o persoan care are acces la informaii clasificate; o ori de cte ori este cazul. Cnd se produc INCIDENTE DE SECURITATE, acestea pot indica necesitatea unei aciuni de corectare sau completare a instruciunilor de securitate existente, o educaie de securitate suplimentar nu numai msuri disciplinare. Trebuie profitat de fiecare ocazie pentru a folosi incidentele de securitate ca mijloc de a oferi o educaie de securitate persoanelor care au acces, i nu numai.

Persoanele nou angajate, n vederea integrrii ntr-o funcie care necesit acces, vor beneficia de instruire privind cteva aspecte generale de securitate: securitatea fizic informaii despre sistemul de control acces, structura de securitate, depozitarea informaiilor clasificate, utilizarea echipamentului de multiplicare; securitate informaiilor nivelurile de clasificare, controlul i gestionarea informaiilor; incidente de securitate s includ informaii despre ce este de fcut dac a fost identificat sau se presupune c exist condiii favorizante pentru apariia unui incident de securitate; INFOSEC s cuprind informaii despre sistemele de comunicare i informaii ale instituiei, gestionarea mediilor electronice de stocare, parolare, gestionarea incidentelor n cazul virusrii calculatoarelor. Persoana nou angajat trebuie s primeasc o copie sau s aib acces la instruciunile de securitate intern/normele metodologice n vigoare, iar dup citirea acestora s semneze o fi de luare la cunotin. Planul de pregtire, documentul pe baza cruia se realizeaz mbuntirea competenei personalului, va cuprinde: Un capitol de pregtire general include obiectivele, sarcinile i responsabilitile care revin fiecrei structuri, n vederea aplicrii msurilor de protecie a informaii clasificate. La acest nivel sunt prezentate principiile generale de protecie a informaiilor clasificate, modaliti de implementare a normelor, formele i metodele de armonizare a acestora cu cerinele n domeniu; Un capitol de pregtire specific realizat n baza principiului necesitii de a cunoate (need to know), a domeniului de activitate specific, n funcie de nivelul certificatului de securitate deinut i de atribuiile personalului; Un capitol de pregtire individual se realizeaz n mod obligatoriu de ntregul personal care gestioneaz informaiile clasificate, conform atribuiilor specifice. Educaia i contientizarea de securitate permanent se realizeaz prin reinstruiri periodice despre problemele de securitate care prezint

interes, cum sunt cele referitoare la incidentele i nclcrile de securitate care au avut loc n cadrul instituiei. Pe lng reinstruirile periodice, structura/funcionarul de securitate trebuie s se asigure c persoanele care au nclcat instruciunile de securitate sunt reinstruite cu privire la securitatea informaiilor n cadrul instituiei. Dac o persoan ncalc n mod repetat aceste reguli, atunci structura de securitate poate extinde procesul i poate implica, de asemenea, conducerea instituiei pentru a consilia persoana asupra obligaiilor de securitate, sau pot fi luate msuri disciplinare pn la deferirea n justiie, n funcie de gravitatea abaterii. Metode ale educaiei i contientizrii de securitate Organizarea de cursuri de management al informaiilorn dou module: o Informaii despre ameninrile teroriste, de spionaj, din partea serviciilor de informaii, subversive sau de sabotaj. Aceste informaii ar trebui furnizate de profesioniti cu experien n domeniu i care pot completa informaiile cu exemple i studii de caz o Informaii despre msuri de securitate. Aceste instruiri se fac de ctre funcionarii de securitate i/sau persoanele cu responsabiliti specifice de securitate (ex. din INFOSEC). Informaiile oferite ar trebui s se refere la instruciunile specifice de securitate pe care ar trebui s le aplice membrii personalului i s ncurajeze ntrebrile i discuiile pentru a clarifica orice nenelegere care poate exista n legtur cu instruciunile de securitate, privind ndeplinirea cerinelor administrative i operaionale, precum i pentru a evidenia pedepsele n cazul infraciunilor de securitate. instruiri individuale n urmtoarele situaii: atunci cnd unei persoane i se ncredineaz pentru prima dat sarcini ce implic accesul la informaii clasificate sau sarcini n cadrul crora sunt n vigoare msuri speciale de securitate; cnd o persoan rspunde sau a fost implicat ntr-un incident de securitate real sau posibil; cnd exist indicii c atitudinea unei persoane fa de problemele de securitate nu corespunde cerinelor organizaiei sau nu ndeplinete standardele NATO; cnd persoana se pregtete pentru o anumit activitate care necesit o instruire special (ex. o cltorie n ri cu riscuri de securitate sau n calitate de curier ce transport informaii/materiale clasificate). mijloace folosite:

o o o o

o audio-video electronice sau clasice pentru demonstrarea unui anumit punct dintr-un curs sau o discuie (CD, DVD, filme) o filme, postere, avertizri de securitate, promovarea unor materiale ce atrag atenia asupra riscului pierderii i compromiterii informaiilor clasificate. o brouri o note de avertizare care pot fi puse la locuri cu bun vizibilitate, ex.: - pe telefon (nesigurana convorbirilor telefonice); pe uile/pereii birourilor pentru a reaminti salariailor c toate documentele clasificate sunt asigurate; pe containerele de securitate c acesta este ncuiat, codat; pe computere. Funcionarii responsabili de educaia de securitate n general, funcionarul de securitate este cel responsabil cu educaia de securitate. Participarea la activitile de instruire a conducerii profesionale a instituiei sporete importana securitii informaiilor clasificate i subliniaz n plus responsabilitatea cu care trebuie tratat problema. Funcionarul de securitate este cel care ntocmete planul de pregtire, pstreaz certificatele de securitate, pstreaz fiele de pregtire personal, realizeaz pregtirea persoanelor care au acces la informaii clasificate. Sunt ns cazuri cnd nu poate acoperi chiar toate domeniile de securitate i de aceea, el trebuie s poat numi oricnd pe cineva din cadrul instituiei care s poat veni cu rspunsuri specifice. Cel puin din acest motiv, este important ca funcionarul de securitate s menin o bun relaie de lucru cu specialitii din domeniu din cadrul instituiei. Funcionarul de securitate trebuie s motiveze membrii personalului n ce privete securitatea. Personalul trebuie s fie convins i s neleag c prevederile de securitate sunt sensibile i importante pentru ei i pentru instituie. Pregtirea efilor structurilor/funcionarilor de securitate - se face prin cursuri organizate de ctre Oficiul Registrului Naional al Informaiilor Secrete de Stat i prin studiu individual. n concluzie,

Managementul informaiilor este o problem de importan capital pentru performan. Cnd este vorba de informaii clasificate, interesul i atenia sunt ntr-o cretere exponenial. Concepia despre managementul informaiilor s-a mbuntit mult n ultimul timp, ncercndu-se implementarea, sub diverse forme, a principiilor unei adevrate educaii de securitate. Nu putem s nu legm saltul concepional nregistrat de intrarea Romniei n NATO i de admiterea n Uniunea European, de crearea unor instituii menite s pun n oper, s aplice la specificul romnesc, concepte ajunse la nivel de reguli n structuri i ri cu tradiii democratice i cu performane notabile n domenii care folosesc cu pricepere informaia. S-a creat Oficiul Registrului Naional al Informaiilor Secrete de Stat, ca autoritate naional de securitate, s-au delimitat atribuii specifice n interiorul autoritilor abilitate de securitate i, ceea ce ni se pare cel mai important, s-au creat n ministere, instituii, firme care se respect, structuri speciale de management al informaiilor clasificate. nregistrm chiar o schimbare de atitudine, n sensul creterii rspunderii factorilor de conducere fa de obinerea, pstrarea, diseminarea controlat, transportul i utilizarea informaiilor clasificate. Nici nu se putea altfel, deoarece nici NATO, nici UE, nici rile cu care am ncheiat acorduri, nu admit jumti de msur cnd este vorba de securitatea informaiilor clasificate. Au rezultat, i noi le-am subliniat pe msur, unele paliere n care este loc de mai bine. Noi, autorii acestei cri, ne declarm mulumii dac, dincolo de mesajul cunoaterii i aprofundrii domeniului, vom reui s promovm n noile acte normative ce vor fi elaborate n viitorul apropiat, 3-4 idei for i propuneri dezbtute aici, n paginile puse de acum la dispoziia dumneavoastr. Avem n vedere alinierea total la documentaia european n domeniu, renunnd la invenii de sintagme: autorizaii de acces, autoriti desemnate, certificate ORNISS etc., cu accent pe simplificarea proceselor i pe vocabular direct, eficient. Suntem interesai de soluii pentru adncirea managementului incidentelor de securitate, de schimbarea atitudinal privind securitatea informaiilor n format electronic, de mbuntirea traseului documentelor i stabilirea drumului critic al acestora. Dezvoltarea societii actuale ctre societatea informaional i, n viitor, ctre societatea bazat pe cunotine, impune un adevrat rzboi pentru informaii, pentru putere, pentru a fi cel mai bun. Complexitatea, importana i consecinele utilizrii informaiilor n procesul decizional fac necesar corespondena acestora cu toate cerinele managementului modern, deoarece, numai n acest mod, informaiile i

pstreaz calitatea de operaionalitate strategic. Dac n-ar fi aa, s-ar accentua incertitudinea n luarea deciziilor i ar putea conduce la fundamentarea eronat a acestora, cu consecine greu de prevzut. n aceste condiii generarea, controlul, diseminarea i utilizarea informaiilor, precum i, n mod deosebit, securitatea acestora nu mai reprezint doar un vector de cunoatere i anticipare, ci o arm considerat deosebit de eficace, ceea ce face ca informaia i sistemele informaionale s devin o miz politic, militar i economic, att n prezent ct, mai ales, n viitor, prin deschiderea i dezvoltarea celei mai cumplite btlii, btlia pentru informaii, comunicare, blocare sau ducere n eroare. Se deschide astfel un adevrat rzboi de intelligence11 n afara cruia nu poate rmne i nu poate aciona nici o organizaie. Ca n toate celelalte domenii, informaia a devenit i n mediul afacerilor un factor dominant, dar i un important element de concuren valoric o adevrat baz de afacere. n competiia economic se afirm tot mai mult i mai clar c cine nu deine informaii nu rezist pe pia i nici nu poate concura cu ceilali competitori, fiind sortit eecului din start. Acest lucru se concretizeaz n capabilitatea organizaiei ca, suficient de repede, s obin, prelucreze i valorifice informaiile necesare, att prin decizii fundamentale, ct i ca obiect de tranzacie comercial. n aprecierea valorii unei informaii trebuie inut seama de mai muli factori, a cror congruen poate urca sau cobor semnificativ valoarea unei informaii: relevana decizional i concurenial a informaiei; costul obinerii i procesrii; nivelul de confidenialitate i de disimulare; potenialitatea de utilizare i de reutilizare; raportul dintre necesitatea disimulrii informaiei i obligativitatea proteciei acesteia. Fiind n acelai timp i obiectiv i arm, informaia reprezint o int continu pentru organizaiile economice n vederea desfurrii activitii n mediul de afaceri, dar i un factor de mare eficacitate n folosul celor care o dein. Cei ce dein informaii dein i puterea i, evident, capabilitatea de a influena, n avantaj propriu, cursul evenimentelor. n acelai timp ns,
11

Orict am vrut s ne delimitm de aciunile specifice serviciilor de informaii, n-am putut. Aa de mult seamn rzboiul pentru informaii dus de firme, de exemplu, pentru ntietate n afaceri, cu cele de intelligence, c ne duce gndul la profesionitii n culegerea i utilizarea informaiilor. Uneori persoanele care conduc diverse organizaii, firme, provin din zona serviciilor i se dovedesc de succes, tocmai pentru c tiu s aprecieze valoarea informaiei i s o foloseasc.

posesorul informaiilor poate bloca sau interzice accesul competitorilor la acestea i i poate duce n eroare n procesul elaborrii deciziilor. El poate altera, n esena sa, procesul de colectare, procesare, stocare sau diseminare a informaiilor. Prin toate aceste mijloace, deintorul informaiei i asigur supremaia, adic sporul de operaionalitate n aciune. El va realiza astfel o surprindere cu att mai eficient, cu ct contientizarea atacului de ctre obiectiv este mai redus. n consecin, pentru a deveni deintor de informaii i a prentmpina atacurile informaionale, efectul direct al armei informaionale, sunt necesare elemente fundamentale de organizare, aciune i comportament, astfel: organizarea presupune msuri pentru culegerea, procesarea, stocarea i diseminarea informaiilor necesare activitii, pe de o parte, i de securitate a informaiilor i de contracarare a atacurilor informaionale, pe de alt parte; aciunea vizeaz monitorizarea unor indicatori, ameninri sau aciuni, precum i contracararea atacurilor susinute asupra propriilor informaii i a propriei imagini; comportamentul organizaiilor trebuie s fie preponderent proactiv i att ct este necesar i reactiv; comportamentul proactiv se refer, la rndul su, att la aciunea defensiv, ct i la cea ofensiv / de atac, n limita permis de etica i legalitatea afacerilor. n domeniul informaiilor, confruntarea se desfoar cu aceeai intensitate ca i starea de rzboi, de aceea sintagma de rzboi al informaiilor n domeniul economic nu mai surprinde pe nimeni. Competiia pleac de la informaii, se desfoar n jurul informaiilor, dar presupune o procesare de cunotine, cunoatere, decizie, conducere, aciune i rezultat. Noile cuceriri tiinifice i tehnice au produs o mutaie n gndire prin revenirea, pare paradoxal, la conceptul filosofic al lui Aristotel, exprimat cu mai mult de 300 de ani nainte de Hristos, n cursurile sale de logic, filozofie, tiinele naturii, meteorologie, astronomie, despre materie i micare. Ceea ce cunoatem n univers este materie i form, iar materia este constituit din lumatie (materie suport, pus n micare de informaie) i informaterie, ultima fiind, dup afirmaia filozofului grec, o materie informaional n care informaia se manifest n primul rnd fenomenologic... Dac informaia este att de important, aa cum ni se dezvluie n a doua jumtate a sec. XX, este de ateptat ca aceast noiune s influeneze nu numai viziunea noastr tiinific, dar i cea filosofic asupra

lumii12. Cu tot efortul materialist al demonstraiei, a nu se uita c volumul a aprut n 1989, Mihai Drgnescu a emis noua concepie n care o entitate, numit informaterie, structureaz prin intermediul informaiei lumatia i d natere materiei. Nu este exclus ca schimbrile ideologice i politice al cror rezultat a fost implozia socialismului s fi fost influenate de aceste noi teorii filozofice. n zilele noastre informaia a devenit deja cea mai apreciat comoar a omenirii. Obinerea, deinerea i utilizarea de informaii au necesitat totodat i limitarea (restrngerea) libertilor i drepturilor cetenilor prin anumite tipuri de msuri, un exemplu constituindu-l msurile speciale privind accesul la informaiile clasificate. Informaia se constituie sub form de date i cunotine necesare decidentului pentru a aciona n mod util i n cunotin de cauz, care s i permit acestuia (fie c este vorba despre un manager, comandant militar, factor politic de decizie) s ia o hotrre. Astfel, putem vorbi de informaii politice, economice, tiinifice, militare sau geografice, strategice sau operative, interne sau externe, nesecrete sau secrete etc. Schimbrile evidente intervenite n ultimele decenii pe plan mondial, att n domeniul politic, social, dar i tehnologic, prin explozia informaional cu efecte asupra ntregii societi umane, cnd circulaia datelor i informaiilor se realizeaz aproape instantaneu, accelereaz procesul de globalizare pe care omenirea l traverseaz. Informaia a devenit resursa esenial a tuturor schimbrilor economice, sociale sau politice ale unei lumi moderne i totodat mijlocul principal de producie, i anume resursa-cheie a economiei informaionale digitale, dar i produsul principal al societii actuale, ntruct societatea informaional se bazeaz n principal pe cunoatere, pe generarea i confruntarea de idei. Cunoaterea unei situaii rezult din concluziile care se pot trage dintr-o informaie ce se refer la situaia respectiv. Exist de multe ori tendina de a pune semnul egalitii ntre transmiterea informaiilor i transmiterea cunotinelor. O informaie se poate transmite ca fiind o succesiune de date, sau, pur i simplu, ca un mesaj, tire, enun limitat la a defini un eveniment, obiect etc. Transmitorul i receptorul unei informaii nu trebuie neaprat s fie compatibili din punct de vedere al nivelului de educaie i instruire, pe cnd transmiterea de cunotine presupune n primul rnd compatibilitate ntre comunicatori,
12

Mihai Corneliu Drgnescu, informatician important al Romniei, creatorul colii romneti de dispozitive electronice, cu preocupri filozofice, Inelul lumii materiale, Editura tiinific i Enciclopedic, 1989.

nseamn personalitate i experien adugate, nseamn chiar intervenia cognitivului asupra evenimentelor. nlturarea insecuritii economice i sociale, efect nedorit al globalizrii, este o necesitate cu acoperire ampl n ofensiva actual conjugat a comunitii internaionale i a statelor. Buna guvernare va avea un rol esenial n combaterea insecuritii economice i sociale, demers ce presupune o mai mare responsabilitate i solidaritate social la toate nivelurile, norme de drept, instituii eficiente, transparen n gestionarea afacerilor publice, respectarea drepturilor omului i participarea tuturor cetenilor la luarea deciziilor care le afecteaz viaa. Totul depinde de oameni, de modul i de scopul n care gestioneaz informaiile. Rmne ns de vzut dac informaiile privind diverse poteniale dezechilibre, din varii domenii, aflate la dispoziia decidenilor, vor oferi mai mult protecie n viitor, suficient libertate cetenilor i o mai solid securitate zonal i global. Din punct de vedere al socialului, ntr-o lume dinamic i complex, n continu transformare social i politic, reperul definitoriu al politicii l reprezint puterea. Alwin Toffler, unul dintre cei mai renumii politologi pe plan mondial, afirma n a doua jumtate a secolului al XX-lea c, ntre instrumentele puterii, cele mai importante sunt: fora, banii sau puterea financiar i informaia. Majoritatea celorlalte resurse ale puterii deriv din acestea. Informaia este elementul esenial i cel mai versatil instrument, avnd n vedere c poate duce la evitarea unor situaii care necesit utilizarea forei sau a banilor, putnd fi folosit n a-i convinge pe ceilali s acioneze conform motivaiilor celui care deine informaia, indiferent de interesul contient al celorlali. Informaia nseamn - dup prerea lui Corneliu Pivariu13 - putere de cea mai nalt calitate . Cele trei puteri, recunoscute constituional ale unei democraii, puterea legislativ, puterea executiv i puterea judectoreasc, dar mai ales cea de a patra putere, presa, au ca obiect principal al activitii informaia, i mai ales informaia ca element de putere. n acelai timp, statul, ca entitate distinct, privete i consider informaia ca dimensiune central n organizarea arhitecturii sistemului naional de aprare, ceea ce nu este altceva dect recunoaterea informaiei ca factor esenial n realizarea puterii politice.

13

Corneliu Pivariu, Lumea secretelor, Ed. Pastel Braov, 2005.

BIBLIOGRAFIE SELECTIV
Constituia Romniei, MO nr. 767 din 2003; Strategia pentru securitatea naional a Romniei, Preedintele Romniei, 2007;

Doctrina naional a informaiilor de securitate, CSAT, 2004.

Manual NATO, Office of information and Press, 2006; Strategia European de Securitate, elaborat de Comisia European, 12.12.2003; Reglementrile de securitate ale Consiliului Uniunii Europene; Rec (2002)2 a Comitetului Minitrilor ctre statele membre privind accesul la documentele publice - adoptat de comitet la 21.02.2002; NATO Document C-M(2002)49, Security within the North Atlantic Treaty Organisation, 2002; AC/35 D/2002 referitor la securitatea informaiilor NATO clasificate, 2002; AC/35- D/2003-REV2 - Directiva privind securitatea industrial, 2003; Canadian and International Industrial Security Directorate, Industrial Security Manual, versiune revizuit 2006; Republic; Convenie privind interzicerea dezvoltrii, producerii i folosirii armelor chimice i distrugerea acestora. Monitorul Oficial al Romniei, Partea I, nr. 356 i 356 bis din 22 decembrie 1994; Atelier Liberul Acces la Informaiile de Interes Public, Asociaia Pentru Aprarea Drepturilor Omului n Romnia, Comitetul Helsinki, Bucureti, 23.01.2006; Worldwatch Institute, State of the World: Redefining Global Security, 2005;

Act No. 148/11.06.1998 on protection of classified information in Czech

Glosarul NATO; Dicionarul explicativ al limbii romne, Ed. 2002;

Legislaie:

Legea nr. 182/2002: Lege privind protecia informaiilor clasificate, Monitorul Oficial al Romniei nr. 248 din 12.04.2002; Legea nr. 544/2001 privind liberul acces la informaiile de interes public, Monitorul Oficial al Romniei nr. 663 din 23.10.2001; Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor; Legea nr. 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; Legea nr. 52/2003 privind transparena decizional; Legea nr. 14/1992 privind Serviciul Romn de Informaii, SRI; Legea nr.7/1997 privind Serviciul de Informaii Externe, SIE.

- Ordonana de urgen a Guvernului nr.153/2002 privind organizarea i funcionarea Oficiului Registrului Naional al Informaiilor Secrete de Stat (ORNISS), aprobat prin Legea nr. 101/2003, modificat i completat pentru problemele specifice Uniunii Europene prin Legea 343/2005, publicat n MO 1086 din 02.12.2005; - Hotrrea de Guvern nr.585/2002 pentru aprobarea standardelor naionale de protecie a informaiilor clasificate n Romnia; - Hotrrea de Guvern nr. 353/2002 pentru aprobarea Normelor privind protecia informaiilor clasificate ale Organizaiei Tratatului Atlanticului de Nord n Romnia, Monitorul Oficial al Romniei nr. 315 din 13.05.2002; - Hotrrea de Guvern nr. 354/2002 privind nfiinarea, organizarea i funcionarea Ageniei de Acreditare de Securitate, Ageniei de Securitate pentru Informatic i Comunicaii i Ageniei pentru Distribuirea Materialului Criptografic; - Hotrrea de Guvern nr. 781/2002 privind protecia informaiilor secrete de serviciu; - Ordinul nr. 490/2005 al directorului general al ORNISS pentru stabilirea condiiilor de acces la informaii UE clasificate, publicat n MO 1173 din 23.12.2005; - Ordinul nr. 491/2005 al directorului general al ORNISS privind cerinele minime pentru protecia informaiilor UE clasificate care fac obiectul activitilor contractuale, publicat n MO 20 din 10.01.2006; - Ordinul nr. 13/2006 al directorului general al ORNISS referitor la aprobarea normelor cadru privind securitatea fizic a informaiilor UE clasificate, publicat n MO 138 din 14.02.2006, Partea I; - Ordinul nr.160/2006 al directorului general al ORNISS referitor la aprobarea normelor cadru privind securitatea informaiilor UE clasificate, publicat n MO 175 din 23.02.2006, Partea I; - Marius Petrescu, prof. univ. dr., interviu Securitatea informaiilor clasificate Gndirea Militar Romneasc nr. 3/2003; - Marius Petrescu, prof. univ. dr., Constantin Romanoschi, prof. univ. dr., "Contribuia Oficiului Registrului Naional al Informaiilor Secrete de Stat la consolidarea rolului Romniei ca furnizor de securitate", A XI-a sesiune de comunicri tiinifice, ANI, vol I, 08 04 2005; - Neculae Nbrjoiu, gl. bg.(r), dr., Anca Gabriela Petrescu, "Comunicarea i protecia informaiilor clasificate", A XI-a sesiune de comunicri tiinifice, ANI, vol II, 08 04 2005;

- Prof. univ. dr. Constantin Romanoschi, Cristina Oprea, Unele consideraii privind dreptul de proprietate asupra informaiilor clasificate, Academia Naional de Informaii, A XII-a Sesiune de Comunicri tiinifice, Editura A.N.I., Bucureti, 2006; - Marius Petrescu, tefan Mihai Dogaru, Vladimir Boboc, Horia Dogaru, Anca Gabriela Petrescu, Armele chimice i statutul acestora n dreptul internaional, Editura Centrului Editorial al Armatei, Bucureti, 2005; - Marius Petrescu, tefan Mihai Dogaru, Neculae Nbrjoiu, Vladimir Boboc, Horia Dogaru, Anca Gabriela Petrescu - Convenia privind interzicerea armelor chimice i managementul informaiilor n sistemul acesteia, Editura Academiei Naionale de Informaii, Bucureti, 2007; - Mihai Drgnescu, Informaia materiei, Editura Academiei Romne, 1990; - Corneliu Pivariu, Lumea secretelor, Ed. Pastel Braov, 2005; - Stan Petrescu, Arta i puterea informaiilor, Ed. Militar, 2003; - Marian Rizea, Informaiile, libertatea i securitatea cetenilor, Editura ANI, 2005; - Marius Petrescu, Neculae Nbrjoiu, Managementul informaiei, vol.I, Informaii i securitate, Editura Bibliotheca, Trgovite, 2006; - Marius Petrescu, Neculae Nbrjoiu, Mioara Braboveanu, Managementul informaiei, vol.II, Informaii clasificate, Editura Bibliotheca, Trgovite, 2008; - Cornelia Prioteasa, Operaiunile informaionale ca agresiune mediatic, Master, Politici sociale europene, 2006; - Nasty Vldoiu, Protecia informaiilor, Editura Tritonic, Bucureti, 2005; - Simon Duke, U.E. i managementul crizelor. Evoluii i perspective, Editura Economic, Bucureti, 2002; - erban Filip Cioculescu, Strategia European de Securitate: ctre un plus de coeren n politica extern i de securitate comun a Uniunii Europene, n Revista Romn de Studii Internaionale nr.1/2004; - Dumitru Matei, Strategia de securitate european-rspunsul la noile riscuri i provocri din mediul internaional, Gndirea Militar Romneasc, nr. 2/2005; - erban Filip Cioculescu, Politica Uniunii Europene de Combatere a terorismului dup 11 septembrie 2001, n a XI-a Sesiune de comunicri tiinifice a Academiei Naionale de Informaii, 2005; - General dr. Mircea Murean, general de brigad (r) dr. Gheorghe Vduva, Rzboiul viitorului, viitorul rzboiului, Editura Universitii Naionale de Aprare, Bucureti, 2004; - Petre Anghel, Institutii europene si tehnici de negociere n procesul integrrii, Editura Universitii din Bucuresti, 2003; -Marius PETRESCU, prof. univ. dr., Neculae NBRJOIU, conf. univ. dr., Optimizarea managementului informaiilor clasificate A XII-a sesiune de comunicri tiinifice, ANI, vol. IV, 2006; - Neculae Nbrjoiu, Managementul crizelor i conflictelor, Editura University, Trgovite, 2006; - Neculae Nbrjoiu, gl. bg.(r), conf. univ. dr., Mioara Braboveanu, col. drd., Managementul informaiilor clasificate - factor esenial al securitii i aprrii, Sesiunea de comunicri tiinifice, Universitatea Naional de Aprare, Centrul de Studii Strategice de Aprare i Securitate, Bucureti, aprilie 2006; - E. Bdlan, T. Frunzeti Fore i tendine n mediul de securitate european, Editura Academiei Forelor Terestre Nicolae Blcescu, Sibiu 2003; - Alexandru Boldur, Cu privire la istoria Transnistriei, Editura Semne, Bucureti, 1996; - Ion Ataman, Separatitii colonizeaz intens Transnistria, n publicaia saptamnal Capitala (Republica Moldova), nr. 53 din 3-9 iulie 2004; - Simona Haiduc, Spltorie i fabric de pine pe Insula erpilor! Cotidianul ,,Curentul (Bucureti), nr.3, din 6 ianuarie 2005; - Z. Bauman Globalizarea i efectele ei sociale, Editura Antet Bucureti, 2003;

- Franois-Bemard Huyghe, Quatrierne guerre mondiale ou guerre de quatrieme generation, Paris, 2004; - Daniel Bell, sociolog american, The coming of post-industrial society (1973) i Societatea postindustrial n perspectiv istoric (1989); - B. Guillochon Globalizarea o singur planet, proiecte divergente Ed. Enciclopedia RAO, Bucureti, 2003; - M.C. Dupuis-Danon Finance criminelle Ed. Presses Universitaires de France, 2004; - Walter Laqueur, A World of Secrets, The Uses and Limits of Intelligence, New York, 1985; - Mark M. Lowenthal, Intelligence from Secrets to Policy, Washington D.C., Ed. 2000; - Abram N. Shulsky i Gary J. Schmith, The World of Intelligence, Washington D.C.; - Bjorn Moller, Privatisation of Conflict, Security and War, n Danish Institute for International Studies Working Paper, 2005; - Franois Gere, La double mort de Clausewitz repenser la guerre en Europe au XX/e siecle, n Strategique nr. 78-79, 2003; - Drgnescu, M., Informaia materiei, Editura Academiei Romne, 1990; - I.Gdiu, D. Sava, Decizia militar, Editura militar, 1998; -"O incursiune n securitatea informaiilor cu Philip Zimmerman" - www.securizare.ro.