Protectia informatiilor casificate in Economie
I. CADRUL GENERAL DE REGLEMENTARE IN DOMENIUL PROTECTIEI INFORMATIILOR CLASIFICATE
I. ASPECTE GENERALE
INFORMATIE - cunostinte care pot fi transmise sub orice forma
INFORMATIE CLASIFICATA NATO toate informatiile clasificate de natura politica, militara si economica, vehiculate in cadrul NATO, elaborate in cadrul structurilor NATO sau primite de la statele membre ori de la alte organizatii internationale (cf. H.G. 353/2002)
CLASIFICAREA INFORMATIILOR - incadrarea informatiilor intr-o clasa si nivel de secretizare
DOCUMENT - suport fizic pe care sunt stocate informatii
DOCUMENT CLASIFICAT NATO document care contine informatii clasificate NATO
CATEGORII DE INFORMATII
- informatii clasificate - acele informatii care necesita protectie impotriva dezvaluirii neautorizate si care poarta identificatori specifici in acest sens
- informatii neclasificate - care nu sunt destinate publicului si care sunt protejate prin masuri interne, specifice fiecarei organizatii
- informatii de interes public - orice informatie care priveste activitatile sau rezulta din activitatile unei autoritati publice sau institutii publice (Legea nr. 544/2001 privind liberul acces la informatiile de interes public)
INFORMATIILE CLASIFICATE
- informatii clasificate nationale
- informatii clasificate NATO
CATEGORII DE INFORMATII CLASIFICATE NATIONALE
INFORMATIILE SECRET DE STAT, cu nivelurile de secretizare:
n SECRET - informatii a caror divulgare este de natura sa produca daune securitatii nationale
n STRICT SECRET - informatii a caror divulgare este de natura sa produca daune grave securitatii nationale
n STRICT SECRET DE IMPORTANTA DEOSEBITA - informatii a caror divulgare este de natura sa produca daune de o gravitate exceptionala securitatii nationale
INFORMATIILE SECRET SE SERVICIU - informatii a caror divulgare este de natura sa determine prejudicii unei persoane juridice de drept public sau privat
INFORMATIILE CLASIFICATE NATO
Nivelurile de secretizare:
n COSMIC TOP SECRET (CTS): informatii a caror divulgare este de natura sa produca NATO prejudicii deosebit de grave;
n NATO SECRET (NS): informatii a caror divulgare este de natura sa produca NATO prejudicii grave;
n NATO CONFIDENTIAL (NC): informatii a caror divulgare este de natura sa produca NATO prejudicii;
n NATO RESTRICTED (NR): informatii a caror divulgare poate afecta interesele si eficacitatea NATO.
PROTECTIA INFORMATIILOR CLASIFICATE
- reprezinta totalitatea masurilor care asigura CONFIDENTIALITATEA, INTEGRITATEA si DISPONIBILITATEA informatiilor clasificate
- Se realizeaza prin actiuni de:
PREVENIRE (impiedicarea accesului neautorizat, a alterarii continutului, a deteriorarii, pierderii sau distrugerii neautorizate)
COMBATERE (identificarea si blocarea actiunilor sau tentativelor vizand accesul neautorizat, alterarea continutului, deteriorarea, pierderea sau distrugerea neautorizata)
CONTROLUL CONSECINTELOR (recuperarea informatiilor clasificate, intrate in posesia unor persoane neautorizate, eventual oprirea diseminarii acestora, a celor supuse alterarii, deteriorarii sau pierderii, precum si inlaturarea vulnerabilitatilor si raspunderea legala)
- Se realizeaza prin instituirea
Sistemului national de protectie a informatiilor clasificate - SNPIC
(Art. 1 din Legea nr. 182/2002)
In functie de natura lor, masurile de protectie se refera la:
o PROTECTIA JURIDICA (ansamblul dispozitiilor legale in vigoare care reglementeaza protectia informatiilor clasificate)
o PROTECTIA PRIN MASURI PROCEDURALE (ansamblul reglementarilor prin care emitentii si detinatorii de informatii clasificate stabilesc masurile interne de lucru si de ordine interioara destinate realizarii protectiei informatiilor)
o PROTECTIA FIZICA (ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control fizic si prin mijloace tehnice a informatiilor clasificate)
o PROTECTIA PERSONALULUI (ansamblul masurilor de verificare a persoanelor care au acces la informatii clasificate)
Din punct de vedere al obiectivelor urmarite, masurile de protectie se aplica in domeniile:
o SECURITATEA PERSONALULUI
o SECURITATEA FIZICA
o SECURITATEA INFORMATIEI
o SECURITATEA INDUSTRIALA
o INFOSEC
II. LEGISLATIA NATIONALA IN DOMENIU
Enumerarea actelor normative in vigoare
Legea nr. 182/2002 privind protectia informatiilor clasificate, modificata de Ordonanta de urgenta a Guvernului nr. 16/2005
Ordonanta de urgenta a Guvernului nr. 153/2002 privind organizarea si functionarea ORNISS, aprobata prin Legea nr. 101/2003
Legea nr. 22/2004 pentru aderarea Romaniei la Tratatul Atlanticului de Nord, semnat la Washington la 4 aprilie 1949
Standardele nationale de protectie a informatiilor clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, modificata si completata de
n Hotararea Guvernului nr. 2202/2004
n Hotararea Guvernului nr. 185/2005
Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania, aprobate prin Hotararea Guvernului nr. 353/2002
Hotararea Guvernului nr. 354/2002 privind infiintarea, organizarea si functionarea Agentiei de Acreditare de Securitate, Agentiei de Securitate pentru Informatica si Comunicatii si Agentiei pentru Distribuirea Materialului Criptografic
Scurta prezentare a reglementarilor relevate
Legea nr. 182/2002 privind protectia informatiilor clasificate
n lege cadru in domeniul protectiei informatiilor clasificate;
n constituie baza reglementarii sistemului national de aparare a secretului de stat si a secretului de serviciu, ca parte componenta a securitatii si sigurantei nationale;
n destinatarii reglementarii: autoritatile si institutiile publice, alte organizatii care, prin natura activitatii lor, elaboreaza, pastreaza ori lucreaza cu informatii clasificate;
OBIECTIVELE REGLEMENTARII
n apararea informatiilor clasificate impotriva actiunilor de spionaj, compromitere sau accesare neautorizata;
n apararea informatiilor clasificate impotriva sabotajelor ori a distrugerilor provocate;
n identificarea imprejurarilor, precum si a persoanelor care, prin actiunile lor pot pune in pericol securitatea informatiilor clasificate;
n sa garanteze ca informatiile clasificate sunt distribuite exclusiv persoanelor indreptatite a le cunoaste;
n sa instituie un cadru procedural de securitate fizica si a personalului necesare protectiei informatiilor clasificate
Ordonanta de urgenta a Guvernului nr.16/2005
n modifica lit. h) a art. 17 din Legea nr. 182/2002
n astfel, constituie informatie secret de stat acea informatie care reprezinta sau care se refera la:
"h) hartile, planurile topografice, termogramele si inregistrarile aeriene efectuate la scari de zbor mai mari de 1:20.000, pe care sunt reprezentate elementele de continut sau obiective clasificate secrete de stat."
Ordonanta de urgenta a Guvernului nr.153/2002 privind organizarea si functionarea ORNISS, aprobata prin Legea nr.101/2003
n reglementeaza infiintarea si atributiile ORNISS, ca autoritate nationala de securitate in domeniul protectiei informatiilor clasificate NATO si nationale;
ORNISS
n Scop asigurarea protectiei informatiilor clasificate in Romania
n Misiune: implementarea unitara a masurilor de protectie a informatiilor clasificate in Romania, precum si a celor echivalente care fac obiectul tratatelor, intelegerilor si acordurilor bilaterale sau multilaterale la care Romania este parte
n reprezinta organismul national de legatura pentru informatiile clasificate cu Oficiul de Securitate al NATO (NOS), cu structurile de securitate similare din statele membre si partenere ale Aliantei Nord-Atlantice, precum si cu cele ale statelor cu care Romania a incheiat tratate, intelegeri sau acorduri care prevad protectia informatiilor clasificate
n exercita atributii de reglementare, autorizare, evidenta si control in conformitate cu prevederile legale in domeniu
n actioneaza in domeniul sigurantei nationale, cooperand cu serviciile de informatii, fara a desfasura activitati specifice acestora
Hotararea Guvernului nr. 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania
v cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:
a) clasificarile informatiilor secrete de stat si normele privind masurile minime de protectie in cadrul fiecarei clase;
b) obligatiile si raspunderile autoritatilor si institutiilor publice, ale agentilor economici si ale altor persoane juridice de drept public sau privat privind protectia informatiilor secrete de stat;
v cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:
c) normele privind accesul la informatiile clasificate, precum si procedura verificarilor de securitate;
d) regulile generale privind evidenta, intocmirea, pastrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea si distrugerea informatiilor secrete de stat;
v cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:
e) regulile de identificare si marcare, inscriptionarile si mentiunile obligatorii pe documentele secrete de stat, in functie de nivelurile de secretizare, cerintele de evidenta a numerelor de exemplare si a destinatarilor, termenele si regimul de pastrare, interdictiile de reproducere si circulatie;
f) conditiile de fotografiere, filmare, cartografiere si executare a unor lucrari de arte plastice in obiective sau locuri care prezinta importanta deosebita pentru protectia informatiilor secrete de stat;
v cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:
g) regulile privitoare la accesul strainilor la informatiile secrete de stat;
h) protectia informatiilor clasificate care fac obiectul contractelor industriale secrete - securitatea industriala;
i) protectia surselor generatoare de informatii - INFOSEC.
Hotararea Guvernului nr. 2202/2004 pentru modificarea si completarea art.152 din H.G. 585/2002
v vizeaza domeniul de competenta a institutiilor cu responsabilitati privind verificarile de securitate pentru acces la informatii clasificate
Hotararea Guvernului nr. 185/2005
v modifica si completeaza art. 186 si art. 190 ale cap. 5 din H.G. nr. 585/2002
(conditiile de aerofotografiere, aerofilmare)
Hotararea Guvernului nr. 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania
v Contextul si fundamentul adoptarii reglementarii:
- in calitate de candidata la aderare si tara partenera la Consiliul de Cooperare Nord-Atlantic (Parteneriatul pentru Pace), Romania a semnat la data de 8 iulie 1994 Acordul de securitate cu Organizatia Tratatului Atlanticului de Nord - NATO, iar la data de 10 septembrie 1994 - Codul de conduita
v Efectele juridice ale adoptarii reglementarii:
- prin semnarea documentelor mentionate mai sus Romania si-a luat angajamente clare de a proteja si apara informatiile si materialele clasificate ale Aliantei Nord-Atlantice si membrilor acesteia, in conformitate cu documentul 'Securitatea in cadrul NATO-C-M (55) 15 (Final)' si cu actele normative nationale.
v Accesul la informatiile clasificate NATO:
- se acorda in baza certificatului de securitate eliberat de ORNISS si a respectarii principiului nevoii de a sti (need-to-know).
v Certificatele de securitate NATO sunt de doua tipuri:
- certificat de securitate tip A, cu o valabilitate de 3 ani, care permite accesul la informatii si documente clasificate NATO;
- certificat de securitate tip B, care autorizeaza participarea persoanei la activitati organizate de Alianta Nord-Atlantica in cadrul carora se vehiculeaza informatii clasificate NATO si pentru care Alianta Nord-Atlantica solicita astfel de documente (acest tip de certificat este valabil doar pe durata desfasurarii activitatii respective si nu se elibereaza in absenta certificatului de securitate tip A)
v SPECIFIC masurilor de protectie a informatiilor clasificate NATO
SISTEMUL NATIONAL DE REGISTRE
Sistemul national de registre (SNR) - reprezinta ansamblul tuturor CSNR.
Componenta a sistemului national de registre (CSNR)
- forma de organizare a SNR din cadrul unei structuri institutionale, responsabila cu gestionarea si consultarea informatiilor clasificate NATO
Fiecare structura institutionala (ministere, organisme centrale, institutii, autoritati, agentii, agenti economici etc.), militara sau civila, care utilizeaza informatii clasificate NATO are obligatia sa isi infiinteze propria componenta a sistemului national de registre - CSNR
Tipuri de CSNR:
q - REGISTRUL CENTRAL - organizat numai in cadrul ORNISS
q - REGISTRELE EXTERNE
q - REGISTRELE INTERNE
q - SUBREGISTRELE
q - PUNCTELE DE LUCRU
Forma de organizare a CNSR depinde de volumul si de nivelul de clasificare a informatiilor vehiculate, in raport cu structura administrativa existenta.
In cadrul SNR sunt aplicate unitar reglementarile privind securitatea fizica, securitatea personalului, securitatea documentelor, securitatea industriala si INFOSEC pentru a se asigura cadrul adecvat gestionarii informatiilor clasificate NATO in conformitate cu standardele NATO de securitate.
Hotararea Guvernului nr. 590/2004 pentru modificarea anexei la Normele privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania, aprobate prin Hotararea Guvernului nr. 353/2002
v Temeiul adoptarii reglementarii:
- prevederile Legii nr.22/2004 pentru aderarea Romaniei la Tratatul Atlanticului de Nord, semnat la Washington la 4 aprilie 1949
- calitate Romaniei de stat membru NATO si, in consecinta, obligatiile asumate in acest sens
- modifica modelul certificatelor de securitate tip A si tip B prevazute in anexa la Normele privind protectia informatiilor clasificate NATO in Romania
- Ordinele cu caracter normativ ale directorului general al ORNISS
Precizari:
q Anexele la aceste ordine se comunica numai persoanelor juridice de drept public sau privat indreptatite (care pun in aplicare respectivele reglementari)
q Reglementeaza urmatoarele domenii:
- INFOSEC
- securitatea fizica
- securitatea industriala
- securitatea personalului
Sunt elaborate in conformitate cu standardele NATO in domeniu.
II. ATRIBUTIILE SI OBLIGATIILE STRUCTURILOR IMPLICATE
IN PROCESUL DE VETTING
ATRIBUTIILE SI OBLIGATIILE SEFULUI (CONDUCATORULUI) INSTITUTIEI
sa asigure organizarea activitatii structurii de securitate;
sa intocmeasca lista informatiilor secrete de stat, a termenelor de mentinere in nivelurile de secretizare si sa le supuna aprobarii Guvernului;
sa intocmeasca lista functiilor din subordine care necesita acces la informatii secrete de stat si NATO clasificate (daca este cazul) si sa o trimita institutiilor abilitate;
sa selectioneze persoanele care incadreaza functiile ce presupun accesul la informatii clasificate;
sa solicite la ORNISS efectuarea verificarilor pentru angajatii proprii si eliberarea certificatelor/autorizatiilor de acces, reluarea verificarilor in cazul identificarii unor incompatibilitati si retragerea documentelor in cazurile prevazute de lege;
sa elibereze certificate/autorizatii de acces la informatii nationale clasificate, pe baza deciziei ORNISS (mai putin in cazurile exceptionale);
sa transmita la ORNISS exemplarul 2 al certificatului/autorizatiei;
sa elaboreze si sa aplice masurile procedurale de protectie a personalului;
sa asigure includerea personalului structurii/functionarului de securitate in sistemul permanent de pregatire si perfectionare;
sa analizeze semestrial sau ori de cate ori este necesar modul in care structura de securitate si personalul autorizat respecta normele privind protectia informatiilor clasificate;
sa sesizeze institutiile abilitate in legatura cu incidentele de securitate si riscurile la adresa informatiilor secrete de stat si NATO clasificate si dupa caz sa sesizeze organele de urmarire penala, in cel mai scurt timp;
sa precizeze obligatiile ce revin partilor la incheierea contractelor individuale de munca, contracte de colaborare sau conventiilor de orice natura;
sa interzica accesul la informatii clasificate persoanelor carora le-a fost retras certificatul/autorizatia de acces;
ATRIBUTIILE SI RESPONSABILITATILE STRUCTURII DE SECURITATE
sa consilieze pe conducatorul institutiei la intocmirea listelor cu informatiile clasificate secrete de stat, cu functiile ce presupun accesul, precum si la selectionarea personalului;
sa elaboreze in cadrul normelor interne si programului de pregatire a scurgerii de informatii clasificate masuri legale pentru protectia personalului;
sa asigure formularele tip si sa acorde asistenta in vederea completarii acestora;
sa intocmeasca si sa supuna spre aprobare solicitarile pentru efectuarea verificarilor;
sa acorde sprijin institutiilor abilitate sa execute verificari;
sa asigure transmiterea la ORNISS a exemplarului doi al certificatului/autorizatiei de securitate;
sa creeze si sa actualizeze permanent un registru de evidenta a certificatelor/autorizatiilor de acces;
sa pastreze si sa organizeze evidenta documentelor;
sa instruiasca personalul avizat, inainte de acordarea documentelor de acces, pe timpul valabilitatii documentelor, precum si la incheierea contractului de munca;
sa organizeze activitati de pregatire specifica a persoanelor care au acces la informatii clasificate;
sa informeze imediat conducerea unitatii despre riscurile si vulnerabilitatile existente;
sa instruiasca cetateni straini, persoanele cu dubla cetatenie si pe cele apatride in legatura cu regulile pe care trebuie sa le respecte pe timpul activitatii in unitatea respectiva;
sa intreprinda demersurile pentru revalidarea documentelor de acces, cu 6 luni inainte de expirarea termenului de valabilitate;
sa propuna si sa transmita spre aprobare retragerea documentelor de acces in cazurile prevazute de lege si sa se asigure ca notificarea acestui fapt a ajuns la ORNISS;
sa verifice si sa se asigure ca informatiile clasificate sunt destinate numai persoanelor care detin documente de acces, conform nivelului de secretizare;
sa desfasoare actiuni de control si sa propuna masuri de remediere a neajunsurilor;
sa tina evidenta cazurilor de incalcare a reglementarilor de securitate, a documentelor de cercetare si a masurilor de solutionare si sa le puna la dispozitia institutiilor abilitate.
ATRIBUTIILE SI RESPONSABILITATILE INSTITUTIILOR ABILITATE SA EXECUTE VERIFICARI
sa efectueze verificari, dupa o procedura unica, cu respectarea legislatiei in vigoare pentru personalul dat in competenta;
sa colaboreze in indeplinirea sarcinilor si obiectivelor propuse;
sa transmita, in termenele legale, rezultatul verificarilor la ORNISS;
sa evalueze continuu persoanele care detin documente de acces la informatii clasificate;
sa desfasoare activitati de pregatire a personalului;
sa efectueze controale si verificari la structurile aflate in competenta si sa informeze ORNISS;
sa prezinte la ORNISS propuneri de solutionare a sesizarilor si observatiilor referitoare la modul de aplicare a masurilor de protectie;
sa asigure asistenta de specialitate;
sa intreprinda masurile legale in cazul unor sesizari privind compromiterea informatiilor.
ATRIBUTIILE SI RESPONSABILITATILE ORNISS
elaboreaza standardele nationale privind masurile de protectie a personalului;
organizeaza evidenta listelor cu functiile ce presupun accesul la informatii nationale si NATO clasificate si a persoanelor verificate si avizate;
organizeaza evidenta notificarilor si solicitarilor primite de la institutii;
transmite institutiilor abilitate sa execute verificari, cererea-tip de incepere a procedurii de verificare;
analizeaza si decide acordarea certificatului/autorizatiei de acces pe baza avizului primit de la ADS;
transmite decizia la institutiile care au solicitat eliberarea documentelor de acces;
elibereaza certificatele de securitate in vederea accesului la informatii NATO clasificate;
organizeaza evidenta certificatelor de securitate si autorizatiilor de acces eliberate de conducatorii institutiilor;
conlucreaza cu institutiile abilitate sa execute verificari;
acorda consultanta sefilor structurilor de securitate;
organizeaza si coordoneaza activitatile de pregatire a structurilor si functionarilor de securitate;
solicita revalidarea sau retragerea certificatului de securitate/autorizatiei de acces in cazurile prevazute de lege;
organizeaza actiunile de control la nivel national, desfasoara controale si verifica modul de pregatire a personalului;
constata contraventiile si aplica sanctiuni;
analizeaza rezultatele, propunerile si masurile de eficientizare a activitatii la finalizarea actiunilor de control;
organizeaza evidenta persoanelor implicate in actiuni care au condus la producerea incidentelor de securitate.
OBLIGATIILE PERSONALULUI AVIZAT
sa-si insuseasca, sa cunoasca si sa respecte prevederile legale ce reglementeaza protectia informatiilor clasificate;
sa-si asume responsabilitatile ce-i revin, inclusiv dupa incetarea raporturilor de munca;
sa cunoasca si sa-si asume consecintele legale in cazul compromiterii informatiilor clasificate;
sa informeze seful structurii de securitate/functionarul de securitate cu privire la modificarile intervenite ulterior avizarii, referitoare la datele solicitate din formulare;
sa informeze seful structurii de securitate/functionarul de securitate asupra vulnerabilitatilor, riscurilor si amenintarilor la adresa informatiilor clasificate.
DREPTURILE PERSONALULUI INAINTE SI DUPA PRIMIREA CERTIFICATULUI/AUTORIZATIEI DE ACCES
sa-si exprime consimtamantul privind efectuarea verificarilor;
sa-si exprime acordul pentru realizarea investigatiei medicale (cand este cazul);
sa fie informat si instruit;
sa conteste neacordarea certificatului/autorizatiei de securitate;
sa aiba acces la informatii clasificate in baza principiului need to know.
III. ACCESUL PERSOANELOR LA INFORMATII U.E. CLASIFICATE
n Cadrul legislativ
n Echivalenta dintre informatiile nationale si U.E. clasificate
n Beneficiarii certificatelor de securitate
n Dovada detinerii certificatului de securitate
n Solicitarea confirmarii detinerii certificatului de securitate
n Accesul la informatii U.E. clasificate pentru personalul care lucreaza in structurile U.E.
Cadrul legislativ
n Ordinul nr. 490/21.12.2005 pentru stabilirea conditiilor de acces la informatii U.E. clasificate (M.O. partea I, nr. 1173 din 23.12.2005);
n H.G. nr. 585/2002;
n Legea nr. 182/2002;
n Circulara nr. 11033/10.06.2005.
Echivalenta dintre informatiile nationale si U.E. clasificate
n Secret de serviciu - Restrient U.E.
n Secret - Confidentiel U.E.
n Strict secret - Secret U.E.
n Strict secret de importanta deosebita - Tres secret U.E. / E.U. Top Secret
Beneficiarii certificatelor de securitate
n Reprezentantii autoritatilor si institutiilor publice din Romania in vederea participarii la:
Reuniunile Consiliului European
Reuniunile consiliilor ministeriale
Reuniunile comitetelor si grupurilor de lucru ale Consiliului Uniunii Europene si ale Comisiei Europene s.a.
Cum se face dovada detinerii certificatului de securitate
Prezentarea :
n copiei dupa certificatul de securitate/autorizatiei de acces la informatii nationale clasificate
n Confirmarea O.R.N.I.S.S.
Cum se solicita confirmarea detinerii certificatului de securitate
n Cerere la O.R.N.I.S.S. cu 14 zile lucratoare inainte de inceperea actiunii
n Pt. secret de serviciu - se va transmite la O.R.N.I.S.S. si copia dupa autorizatia de acces la acest tip de informatii
Accesul la informatii U.E. clasificate pentru personalul care lucreaza in structurile U.E.
n Pe baza certificatului de securitate eliberat de Secretariatul General al Consiliului Uniunii Europene (SGC)
n Acesta se elibereaza pe baza:
Copiei dupa certificatul de securitate/autorizatiei de acces la informatii nationale clasificate
Confirmarea O.R.N.I.S.S.
IV. GESTIONAREA DOCUMENTELOR NATO CLASIFICATE
n Primirea
n Verificarea
n Evidenta
n Multiplicarea / Traducerea
n Realizarea de Extrase
n Distribuirea
n Consultarea
n Transmiterea si Transportul
n Inventarierea
n Pastrarea
n Distrugerea
PRIMIREA SI VERIFICAREA
n In punctul de Colectare / Distribuire
n Intre Curier si Delegat
n Identificarea reciproca
Act de Identitate
Delegatie
n Pe baza de borderou sau registru de transmitere
n Verificarea sigiliilor, plicurilor, ambalajelor, adreselor, borderourilor
n Desigilarea si desfacerea plicurilor/coletelor
n Verificarea concordantei dintre inscrisurile din adrese/ borderouri si documentele propriu-zise
n Verificarea marcajelor obligatorii
EVIDENTA
n In functie de nivelul de clasificare
n Registru de evidenta
n Nr.de inregistrare inscriptionat pe document
n Fisa consultare- doc. NS si CTS
n Nr. de inregistrare:
consecutiv
incepand cu cifra 1 pe parcursul unui an
doc. multiplicate - acelasi nr. de inregistrare cu cel marcat pe documentul original + numarul de copie.
MULTIPLICAREA/TRADUCEREA
n Numai de persoane autorizate
n Registrul de multiplicare/traducere
n Nr. copiei pe documentul rezultat
n In incaperi dispuse in zone de securitate
n Doc NATO SECRET - aprobarea ORNISS
n Doc. NATO CONFIDENTIAL si NATO RESTRICTED
- aprobare Sef Institutie
n Este INTERZISA multiplicarea si traducerea documentelor COSMIC TOP SECRET
REALIZAREA DE EXTRASE
n "Nevoia de a sti"
n Clasificarea documentului rezultat
DISTRIBUIREA
n Numai persoanelor autorizate
n Pe baza de semnatura
CONSULTAREA
n "Nevoia de a sti"
n Semnatura
n Fisa consultare NS/CTS.
TRANSMITEREA SI TRANSPORTUL
n Activitatea de pregatire pentru transmiterea documentelor NATO clasificate
n Inscriptionari, asigurare si sigilare
n Ambalare
n Transportul intre CSNR
predarea - primirea documentelor NATO
structurile specializate si curieri autorizati pentru transport
n Transportul international
- curier diplomatic
INVENTARIEREA
n Verificarea anuala a existentei documentelor pe baza registrelor de evidenta
n Corectitudinea inscrisurilor
n Existenta fizica si nr. de file
n Existenta borderoului sau adresei de transmitere
n Existenta procesului verbal de distrugere
n Existenta altor mentiuni privind scoaterea din gestiune
PASTRAREA
n Activitatea de pastrare a documentelor:
in spatii special amenajate in cadrul CSNR pentru acele documente care se considera ca mai sunt necesare in activitatea viitoare.
in bibliorafturi constituite pe problematici sau niveluri de clasificare
DISTRUGEREA
n Existenta unei inventarieri prealabile
n Proces verbal de distrugere
n Regula celor 2
n Tocarea, incinerarea sau topirea documentelor
V. SISTEMELE DE SECURITATE
DEFINITIE
n Sistemele de securitate - reprezinta totalitatea echipamentelor si a personalului destinat aplicarii masurilor de securitate fizica intr-o incinta.
ROLUL
n sa previna patrunderea neautorizata a persoanelor, prin efractie sau in mod fraudulos, in spatiile protejate;
n sa previna, sa descopere si sa impiedice actiunile ostile ale personalului neloial, inclusiv cele de spionaj, de natura sa afecteze securitatea informatiilor clasificate;
n sa permita accesul la informatii clasificate numai persoanelor care detin autorizare corespunzatoare si in baza aplicarii principiului "nevoii de a cunoaste";
n sa descopere si sa combata, in mod operativ, orice incalcare a masurilor de protectie a informatiilor clasificate.
PRINCIPII GENERALE
n adaptarea masurilor de protectie;
n esalonarea in adancime a masurilor de protectie;
n corelarea masurilor de protectie fizica cu timpul de interventie a fortelor de securitate;
n asigurarea eficacitatii sistemului;
n asigurarea disponibilitatii tehnice a echipamentelor;
n planificarea contingentiala a masurilor de protectie.
DIMENSIONARE
n nivelul de clasificare a informatiilor;
n volumul si suportul fizic de prezentare a informatiilor clasificate;
n modul de pastrare a informatiilor;
n evaluarea amenintarilor la adresa securitatii informatiilor clasificate.
STRUCTURA
n DISPOZITIV EXTERIOR
n DISPOZITIV INTERMEDIAR
n DISPOZITIV INTERIOR
DISPOZITIVUL EXTERIOR
Poate fi reprezentat de una din urmatoarele variante:
garduri care delimiteaza perimetrul;
peretii exteriori ai cladirii.
Pentru imbunatatirea performantei si eficientei se pot utiliza, dupa caz, masuri de securitate suplimentare:
sisteme de detectare a intruziunilor;
televiziune cu circuit inchis;
sisteme de alarma.
DISPOZITIVUL INTERMEDIAR
n Personalul de paza si aparare
- asigura sistemul de paza si aparare pentru obiectivele, zonele, sectoarele si locurile in care sunt gestionate informatii clasificate.
n Controlul accesului
- personalului permanent;
- vizitatorilor;
- personalului de curatenie;
- angajatilor agentilor economici care efectueaza lucrari de constructii, reparatii si intretinere a cladirilor, instalatiilor sau utilitatilor in zonele de securitate.
DISPOZITIVUL INTERIOR
n Dispozitivul interior este reprezentat de incaperea speciala de securitate reglementata prin Ordinul nr. 475 din 17.11.2005 al Directorului general al ORNISS.
CONCLUZII
In urma efectuarii unei analize de risc la nivelul obiectivului, un sistem de protectie fizica trebuie sa fie:
- multiplu, adica sa aiba mai multe dispozitive de protectie succesive, diferite, asociate sau combinate cu unul sau mai multe dispozitive de detectie-alarmare, fiecare dintre aceste dispozitive de detectie-alarmare bazandu-se pe principii diferite;
- omogen, adica sa garanteze aceeasi eficacitate in toate punctele, patrunderea efectuandu-se intotdeauna in zona de minima rezistenta, valoarea unui sistem fiind aceea a punctului sau cel mai slab;
- controlat, adica sa fie testat frecvent pentru a fi mentinut in stare de functionare;
- monitorizat, adica sa furnizeze in orice moment datele necesare pentru stabilirea unui istoric al functionarii diferitelor sisteme de securitate.
VI. INCAPERI SI CONTAINERE SPECIALE DE SECURITATE
I. INCAPERI SPECIALE DE SECURITATE
Cerintele minime de securitate fizica pentru incaperile speciale de securitate destinate protectiei informatiilor NATO clasificate si a celor echivalente, potrivit legii, si au fost aprobate si publicate prin ORDINUL 475/17.11.2005 al Directorului General al ORNISS
DEFINITIE - incaperi amplasate in zona I sau II
de securitate, destinate gestionarii informatiilor
NATO clasificate si a celor echivalente.
CLASIFICARE
1 - camera tezaur;
2 - camera de securitate;
3 - birou de securitate.
II. CERINTE GENERALE
- Peretii interiori, exteriori, tavanele si pardoselile trebuie sa nu prezinte degradari si defecte, pentru depistarea cu usurinta a urmelor provocate de eventualele tentative de patrundere prin efractie.
Camera tezaur si camera de securitate trebuie sa fie prevazute cu sistem de detectie a accesului neautorizat.
III. DEFINITII SI CERINTE SPECIFICE
1 CAMERA TEZAUR - camera special construita, cu o rezistenta mare la efractie, destinata pastrarii informatiilor NATO clasificate si echivalente.
Cerinte:
- peretii, tavanul si podeaua sa fie de o rezistenta minima echivalenta cu un zid de beton armat cu grosimea de 15 cm, iar deschiderea pt. aerisire de max. 500 cmp sa fie protejata.
- usa sa corespunda SR EN 1143-1, clasa de rezistenta IV.
- sistem de stingere automata a incendiilor.
2 CAMERA DE SECURITATE - camera special amenajata si dotata, destinata gestionarii informatiilor NATO clasificate si echivalente.
Cerinte:
- sa fie rezistenta la efractie, cu peretii din beton, caramida.
- usa sa fie construita din lemn de esenta tare, metal, prevazuta cu o incuietoare tip yala.
- in cazul in care se gestioneaza materiale clasificate care nu pot fi pastrate in containere, usa trebuie sa fie din metal, prevazuta cu o incuietoare cu cifru mecanic cu min.500.000 combinatii, sau cu cifru electronic cu performante echivalente.
- sa fie prevazuta cu un sistem de acces controlat.
- ferestrele aflate la o distanta mai mica de 5,5 m de sol, acoperis, terase sau anexe, sa fie protejate impotriva efractiei (cu gratii metalice interioare sau exterioare, folie anti-efractie sau geamuri armate), iar impotriva observarii neautorizate cu materiale sau folii opace, jaluzele, draperii etc.
- deschiderile in pereti si plansee, altele decat cele pentru usi si ferestre, care depasesc 15 cm in dimensiunea cea mai mica (aerisiri, ventilatie, conducte etc.) sa fie protejate cu grilaje;
3 BIROUL DE SECURITATE - camera amenajata si dotata, in care pot fi gestionate informatiile NATO clasificate si echivalente, fara a fi pastrate in afara programului de lucru.
Cerinte:
- sa respecte cerintele pentru camera de securitate referitoare la ferestre, gratii metalice, deschideri in pereti si plansee, rezistenta peretilor.
- peretii interiori pot fi executati si din materiale de constructie usoare (ghips carton, placi de lemn sau metal), iar usa trebuie sa fie prevazuta cu un mecanism de incuiere.
IV. DISPOZITII FINALE
- Daca in urma analizei riscurilor de securitate generate de specificul amplasamentului, structura si eficacitatea sistemului de securitate, amploarea amenintarilor si a vulnerabilitatilor s.a., rezulta ca se impune asigurarea unui grad de securitate sporit, fiecare institutie va stabili masuri de protectie suplimentare.
- Autorizarea incaperilor speciale de securitate se face odata cu autorizarea functionarii unei Componente a Sistemului National de Registre, de catre ORNISS.
CONTAINERE SPECIALE DE SECURITATE
I DEFINITIA SI ROLUL CONTAINERULUI
II CARACTERISTICI CONSTRUCTIVE
III. DISPOZITII FINALE
I. DEFINITIE
Dulap metalic special destinat pastrarii informatiilor NATO clasificate si a celor echivalente.
ROL
Asigura protectia informatiilor clasificate impotriva accesului neautorizat.
II. CARACTERISTICILE CONSTRUCTIVE ALE CONTAINERULUI
- peretii :
- confectionati din tabla din otel, beton armat, material ignifug, pentru a asigura o rezistenta corespunzatoare la efractie, apa si foc.
usa :
- va avea o rezistenta similara cu cea a peretilor;
- va fi prevazuta cu un mecanism de inchidere cu bolturi, un sistem de incuiere, un maner fix si unul mobil;
- balamalele vor permite deschiderea acesteia la 180 0.
- baza containerului si partea superioara vor avea aceleasi dimensiuni.
- greutatea variaza in functie de dimensiunile constructive.
- ancorarea pe pozitie se va face cel putin intr-un punct.
- marcajul trebuie sa contina :
- elemente referitoare la producator;
- an de fabricatie;
- un cod de identificare al produsului;
- aplicarea se va face la interiorul containerului.
CONTAINERE CLASA A
Autorizate la nivel national prin Ordinul nr. 443 din 31.10.2003 al Directorului general al ORNISS pentru pastrarea informatiilor Cosmic Top Secret si echivalente in zona de securitate clasa I sau II.
Prevazute cu sisteme de incuiere grupa A alcatuite din:
- incuietoare cu cifru mecanic cu minim trei dispozitive de combinare a cifrului actionata de
un singur tambur.
- incuietoare cu cel putin sase verturi, cu cheie cu dubla barbie.
- un dispozitiv de autoblocare a mecanismului de inchidere.
CONTAINERE CLASA B
Autorizate la nivel national prin Ordinul nr. 443/31.10.2003 al Directorului general al ORNISS pentru pastrarea informatiilor NATO CONFIDENTIAL, NATO SECRET si echivalente, in zona de securitate clasa I sau II.
- Prevazute cu sisteme de incuiere grupa B alcatuite din:
- incuietoare cu cifru mecanic cu cel putin 500000 combinatii sau cu cifru electronic cu performante echivalente;
- incuietoare cu cel putin cinci verturi, avand cheie cu simpla sau dubla barbie.
III. DISPOZITII FINALE
Institutiile cu atributii legale de coordonare si control al activitatilor referitoare la protectia informatiilor clasificate, sau ORNISS, acrediteaza conform Procedurii de desemnare aprobata prin Ordinul Directorului general al ORNISS nr. 174 din 07.04.2004 o entitate evaluatoare care va efectua evaluarea conformitatii.
Pana in prezent, doar R.A. RASIROM Bucuresti a solicitat si a obtinut certificatul de recunoastere a calitatii de entitate evaluatoare.
Pe baza certificatului de conformitate emis de entitatea evaluatoare, ORNISS autorizeaza containerele in vederea pastrarii informatiilor clasificate.
Utilizarea containerelor autorizate de catre state membre NATO se va face cu aprobarea ORNISS.
VII.
Fotografierea si filmarea
in obiective sau locuri de importanta deosebita pentru
protectia informatiilor secrete de stat
Teme abordate
Explicare notiuni
Obligatii ale conducatorului institutiei/functionarului de securitate
Reglementare si proceduri actuale
Eliberarea si valabilitatea autorizatiei speciale
Conditii de aerofotografiere pe teritoriul Romaniei
Contraventii si sanctiuni
Explicare notiuni
Obiective, zone sau locuri de importanta deosebita pentru protectia informatiilor secrete de stat;
Autorizatia speciala
Obiective, zone sau locuri de importanta deosebita pentru protectia informatiilor secrete de stat
Definitie: Incinta sau perimetru anume desemnat, in care sunt gestionate informatii secrete de stat;
Hotararea Guvernului nr. 01600/2002 ce cuprinde lista obiectivelor, zonelor sau locurilor de importanta deosebita pentru protectia informatiilor clasificate.
Obligatii ale functionarului de securitate
Prezinta conducatorului unitatii propuneri privind stabilirea obiectivelor, sectoarelor si locurilor de importanta deosebita pentru protectia informatiilor clasificate din sfera de responsabilitate si, dupa caz, solicita sprijinul institutiilor abilitate - Art. 31 lit. m din H.G. 585/2002.
Obligatii ale conducatorului institutiei
Stabileste obiectivele, sectoarele si locurile din zona de competenta care prezinta importanta deosebita pentru protectia informatiilor secrete de stat si sa le comunice Serviciului Roman de Informatii pentru a fi supuse spre aprobare Guvernului - Art. 86 lit. f din H.G. 585/2002.
Atributii ale Serviciului Roman de Informatii
Acorda sprijin pentru stabilirea obiectivelor si a locurilor care prezinta importanta deosebita pentru protectia informatiilor clasificate, la cererea conducatorilor autoritatilor si institutiilor publice, a agentilor economici si a persoanelor juridice de drept privat, si supune spre aprobare Guvernului evidenta generalizata a acestora - Art. 34 lit. g din Legea nr. 182/2002
Autorizatia speciala
Document eliberat de catre ORNISS prin care se atesta verificarea si acreditarea unei persoane de a desfasura activitati de fotografiere, filmare, cartografiere si lucrari de arte plastice pe teritoriul Romaniei, in obiective, zone sau locuri care prezinta importanta deosebita pentru protectia informatiilor secrete de stat.
In conformitate cu prevederile art. 186 din H.G. 585/2002 cu modificarile ulterioare (H.G. 185/2005), cererea adresata ORNISS va cuprinde:
Date de identificare a solicitantului
Adresa;
Telefon/fax;
Persoana de contact;
Nr. de inregistrare la Registrul Comertului/Cod Unic de Inregistrare;
Cod fiscal
Obiectul activitatii
Fotografiere/aerofotografiere;
Filmare;
Cartografiere;
Executare a unor lucrari de arte plastice.
Locul activitatii
Trebuie precizat cat mai exact
In cazul aerofotografierii se anexeaza harta - 8 exemplare
Perioada de timp estimata pentru realizarea activitatii
Perioada trebuie sa fie limitata;
Perioada solicitata sa fie cat mai exacta si in conformitate cu activitatile desfasurate.
Conditii de aerofotografiere
Activitatea de aerofotografiere cu camere fotogrammetrice digitale sau analogice a teritoriului Romaniei la o scara de zbor mai mare de 1:20.000, se efectueaza pe baza autorizatiei speciale eliberate de ORNISS si in prezenta reprezentantului Ministerului Apararii Nationale.
Activitatile de developare a materialului fotografic si scanarea negativelor, dupa caz, se pot realiza, exclusiv pe teritoriul national, in prezenta reprezentantului Ministerului Apararii Nationale, de catre persoane juridice care indeplinesc conditiile legale privind protectia informatiilor clasificate;
Materialele rezultate in urma procesului de developare si scanare, precum si cele rezultate in urma activitatilor de aerofotografiere cu camere fotogrammetrice digitale sunt declasificate, cu avizul Autoritatilor Desemnate de Securitate (ADS), de catre Ministerul Apararii Nationale, in termen de 30 de zile lucratoare de la primirea acestora.
In termen de 30 de zile lucratoare produsele finale rezultate in urma declasificarii se vor preda la ORNISS, prin reprezentantul Ministerului Apararii Nationale, pentru a fi puse la dispozitia beneficiarului.
Eliberarea si valabilitatea autorizatiei speciale
Termenul de eliberare a autorizatiei speciale este de 60 de zile lucratoare de la data primirii cererii. Pentru zborurile fotogrammetrice efectuate la scari de zbor mai mari de 1:20.000 termenul este de 30 zile lucratoare;
Autorizatia speciala este valabila doar pentru elementele mentionate in cerere;
Autorizatia speciala se va elibera numai dupa primirea avizelor de la Autoritatile Desemnate de Securitate;
Pentru fiecare modificare a oricarui element din cerere se va relua procedura de avizare;
ORNISS va elibera autorizatia speciala doar pentru perioada solicitata;
Autorizatia speciala este valabila doar daca sunt respectate conditiile cerute de Autoritatile Desemnate de Securitate;
EXCEPTII
Pentru trupele Ministerului Apararii Nationale, Ministerului de Interne si Serviciului Roman de Informatii, aflate la instructie, in aplicatii ori in interiorul obiectivelor prevazute la art. 17 din legea nr. 182/2002, nu este necesara eliberarea autorizatiei speciale (art. 184, H.G. nr. 585/2002).
Obiectivele si mijloacele prevazute la art. 17 din legea nr. 182/2002.
Contraventii si sanctiuni pentru nerespectarea conditiilor de fotografiere, filmare, cartografiere sau executare de lucrari de arte plastice
Contraventiile si sanctiunile sunt reglementate de Capitolul IX din H.G. 585/2002;
Constituie contraventie nerespectarea normelor prevazute in Capitolul V din H.G. 585/2002;
Contraventiile se sanctioneaza cu avertisment sau amenda de la 1.000.000 lei la 50.000.000 lei.
VIII. ZONELE DE SECURITATE, CONTROLUL ACCESULUI SI PROTECTIA COMBINATIILOR INCUIETORILOR SI A CHEILOR
FUNCTIONARUL/SEFUL STRUCTURII DE SECURITATE:
A. Stabileste masurile de securitate
fizica pentru controlul accesului in zonele de securitate;
B. Verifica conditiile de securitate ale
spatiilor, birourilor, incaperilor, containerelor in care sunt
manipulate sau pastrate informatii clasificate;
C. Adopta masurile necesare pentru a asigura un nivel de protectie corespunzator in toate incaperile in care se desfasoara activitati in cadrul carora sunt vehiculate informatii clasificate;
D. Elaboreaza planul de securitate al obiectivului, pregateste si executa programele de inspectie a masurilor de securitate fizica in cadrul CSNR, din competenta;
E. Realizeaza verificari inopinate ale sistemelor de protectie;
F. Stabileste planul de cooperare cu alte formatiuni cu responsabilitati in asigurarea protectiei fizice.
CONTROLUL ACCESULUI IN ZONELE DE SECURITATE
Se vor stabili reguli de acces pentru urmatoarele categorii de personal:
personalul propriu;
vizitatori (modalitatea de inregistrare a acestora
reprezentantii presei;
personalul auxiliar;
personalul contractant.
ZONE DE SECURITATE
Zona de securitate - reprezinta spatiul clar delimitat, protejat, structurat, special destinat gestionarii informatiilor NATO clasificate.
Scopul zonei de securitate este acela de a genera un sistem de control care sa permita accesul la informatii NATO clasificate doar acelor persoane certificate si autorizate special in baza principiului "nevoii de a cunoaste".
ZONA I DE SECURITATE
Presupune ca orice persoana aflata in interiorul acesteia are acces la informatii NATO clasificate. O asemenea zona necesita:
Un perimetru clar delimitat si protejat, in care toate intrarile si iesirile sunt controlate;
Un sistem de control al intrarilor care sa permita accesul in zona numai persoanelor verificate si autorizate;
Indicarea clasei si a nivelului de clasificare a informatiilor clasificate NATO gestionate in mod obisnuit.
ZONA II DE SECURITATE
Presupune gestionarea informatiilor clasificate NATO prin aplicarea unor masuri specifice de protectie a acestora impotriva accesului persoanelor neautorizate. O asemenea zona necesita:
Un perimetru clar delimitat si protejat, in care toate intrarile si iesirile sunt controlate;
Un sistem de control al intrarilor care sa permita accesul neinsotit numai persoanelor care detin certificat de securitate pentru informatiile clasificate gestionate in zona;
Un sistem de insotire in aceasta zona pentru persoanele care necesita acces la informatii, dar nu detin certificat de securitate corespunzator.
ZONA ADMINISTRATIVA
Zona in care se gestioneaza cel mult informatii NATO RESTRICTED. O astfel de zona poate fi stabilita in jurul zonelor de securitate clasa I sau clasa II, avand un perimetru vizibil definit, in interiorul careia sa existe posibilitatea de control a persoanelor si vehiculelor.
PROTECTIA COMBINATIILOR INCUIETORILOR SI CHEILOR
Evidenta fiecarei combinatii se va pastra in plic separat, mat si sigilat
un rand de chei la utilizator (cheile de serviciu);
al doilea rand la seful structurii/functionarul de securitate (cheile de rezerva).
- in afara orelor de program, vor fi pastrate in cutii sigilate;
- predarea - primirea cheilor de la incaperile de securitate si containere se va face, pe baza de semnatura, in condica special destinata.
- se pastreaza la seful structurii/functionarul de securitate;
- se pastreaza in plicuri separate, mate, in container separat.
IX. INCIDENTE DE SECURITATE
Organizarea de securitate
Definitii
Responsabilitati
Solutionarea incidentelor
Protectia informatiilor NATO clasificate depinde, pe de o parte, de aplicarea reglementarilor de securitate specifice pentru a da efect politicii de securitate aprobata, directivelor si orientarilor, si, pe de alta parte, de implementarea eficienta a acestor reguli prin educatie si supraveghere, dublate de disciplina si, in cazuri extreme, de sanctiuni legale.
ORGANIZAREA DE SECURITATE
Conducatorul institutiei care detine informatii clasificate trebuie sa asigure conditiile necesare pentru ca toate persoanele care gestioneaza astfel de informatii sa cunoasca reglementarile in vigoare referitoare la protectia acestora. Cu alte cuvinte, conducatorul institutiei este responsabil de educatia de securitate a personalului.
Pentru implementarea masurilor de securitate si organizarea activitatii specifice de protectie a informatiilor clasificate, in unitatile detinatoare de astfel de informatii se infiinteaza structuri de securitate cu atributii specifice, subordonate direct conducatorului institutiei. Infiintarea structurii de securitate este obligatorie in toate institutiile, societatile, firmele, intreprinderile de stat sau private, care, prin natura activitatii lor sau prin contractele, acordurile, intelegerile ce le incheie, vehiculeaza informatii NATO clasificate. Structura de securitate:
- constituie componenta executiva pentru implementarea reglementarilor privind protectia informatiilor;
- reprezinta punctul de contact dintre institutie si ORNISS;
- asigura relationarea cu institutia abilitata sa coordoneze activitatea si sa controleze masurile privitoare la protectia informatiilor clasificate, institutie care, in majoritatea cazurilor, este SRI.
In unitatile detinatoare de informatii clasificate se organizeaza structuri special destinate gestionarii acestora. Astfel:
- pentru documente nationale, se organizeaza compartimente speciale pentru evidenta, intocmirea, pastrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea si distrugerea acestora in conditii de siguranta, in conformitate cu prevederile HG 585/2002;
- pentru documente NATO sau UE, fiecare structura institutionala (militara sau civila), care in desfasurarea activitatii sale gestioneaza sau urmeaza sa gestioneze astfel de informatii, trebuie sa isi infiinteze propria Componenta a Sistemului National de Registre, prescurtat (CSNR).
Activitatea compartimentelor speciale si a CSNR-urilor este coordonata de structura de securitate.
INCIDENT DE SECURITATE (DEFINITII)
Notiunea de incident de securitate este abordata, si chiar definita, in mod nuantat in legislatia de specialitate a Romaniei, in Politica de securitate a NATO sau in Regulamentul de securitate al Consiliului Uniunii Europene.
In Normele de protectie a informatiilor NATO clasificate (HG 353), incidentul de securitate nu este definit in mod explicit.
In schimb, Standardele nationale definesc incidentul de securitate ca fiind:
orice actiune sau inactiune
contrara reglementarilor de securitate
a carei consecinta a determinat sau este de natura sa determine compromiterea informatiilor clasificate.
In documentul Politica de securitate a NATO, incalcarea reglementarilor de securitate este tratata nuantat, in functie de compromiterea sau necompromiterea informatiilor NATO clasificate.
Astfel, incidentul de securitate (Breach of security) este definit ca fiind:
o fapta sau omisiune, deliberata sau accidentala,
contrara Politicii de securitate a NATO si directivelor sale de implementare,
care provoaca o reala sau posibila compromitere a informatiilor NATO clasificate.
Daca NU are loc o compromitere a informatiilor NATO clasificate, Politica de securitate a NATO considera ca
o fapta sau o omisiune, deliberata sau accidentala,
contrara Politicii de securitate NATO si a directivelor sale de implementare,
este Security Infraction, sintagma pe care am tradus-o prin abatere de la reglementarile de securitate, pentru ca, mot-a-mot, infractiune de securitate suna chiar mai grav decat incident de securitate.
Pentru exemplificare, nu sunt considerate ca fiind compromiteri
lasarea informatiilor NATO clasificate neprotejate in interiorul unui obiectiv industrial sigur in care toate persoanele sunt verificate corespunzator, sau
absenta unei duble impachetari de protectie a informatiilor clasificate.
In Regulamentul de securitate al Consiliului Uniunii Europene, incidentul de securitate este definit ca fiind:
un act sau o omisiune
contrara unei reguli de securitate a Consiliului sau a unuia dintre statele membre UE si
susceptibila de a pune in pericol sau compromite informatii UE clasificate.
n HG 585/2002 - Standarde nationale
Incident de securitate
n actiune sau inactiune
n contrara reglementarilor de securitate
n COMPROMITEREA informatiilor clasificate
n C-M(2002)49 - Politica de securitate a NATO
Breach of security - (incident de securitate)
n fapta sau omisiune
n contrara Politicii de Securitate a NATO
n COMPROMITEREA informatiilor NATO clasificate
Security infraction (abatere de la reglementarile de securitate)
n nu are loc o COMPROMITERE
n fapta sau omisiune
n contrara Politicii de Securitate a NATO
n Regulamentul de securitate al Consiliului UE
Breach of security - (incident de securitate)
n act sau omisiune
n contrara unei reguli de securitate a UE
n COMPROMITEREA informatiilor UE clasificate
COMPROMITEREA INFORMATIILOR (DEFINITII)
Astfel:
Potrivit Standardelor nationale, informatia clasificata este compromisa atunci cand:
si-a pierdut integritatea,
a fost ratacita ori pierduta,
a fost accesata, total sau partial, de persoane neautorizate.
In conformitate cu Politica de securitate a NATO, compromiterea este situatia in care informatii NATO clasificate si-au pierdut:
Confidentialitatea - caracteristica informatiei de a nu fi disponibila sau dezvaluita persoanelor sau entitatilor neautorizate,
Integritatea - proprietatea prin care informatia (inclusiv data dar si textul cifrat) a fost alterata sau distrusa printr-o modalitate neautorizata sau
Disponibilitatea - proprietatea informatiilor si a materialelor de a fi accesibile si folosite la cerere de o persoana sau entitate autorizata.
In acceptiunea CM 49, sunt considerate ca fiind compromise:
informatiile clasificate pierdute in timpul transportului,
informatiile clasificate lasate intr-o zona neprotejata unde persoane fara certificat au acces fara insotitor,
un document inregistrat care nu poate fi gasit,
informatii clasificate care au fost supuse unor modificari neautorizate,
distrugerea intr-o maniera neautorizata.
Informatiile NATO clasificate se considera compromise chiar atunci cand au fost supuse riscului unei cunoasteri neautorizate. Astfel, informatiile NATO clasificate pierdute, chiar si temporar, in afara unei zone de securitate sunt considerate a fi compromise. De asemenea, documentele care nu au putut fi gasite la inventarierea periodica vor fi considerate compromise pana cand investigatia de securitate va dovedi contrariul.
Potrivit Regulamentului de securitate al Consiliului Uniunii Europene, compromiterea unei informatii UE clasificate are loc atunci cand:
aceasta cade, total sau partial, in mana unei persoane neautorizate, adica a unei persoane care fie nu detine certificat de securitate fie nu are need-to-know, sau
cand exista suspiciuni ca o astfel de compromitere a avut deja loc.
Compromiterea unei informatii UE clasificate poate surveni din cauza unei neatentii, neglijente sau indiscretii, ca urmare a activitatii serviciilor speciale interesate sa intre in posesia de informatii UE clasificate sau din partea organizatiilor subversive.
n HG 585/2002 - Standarde nationale
n si-a pierdut intergitatea
n a fost ratacita sau pierduta
n a fost accesata, total sau partial, de persoane neautorizate
n C-M(2002)49 - Politica de securitate a NATO
n confidentialitatea
n integritatea
n disponibilitatea
n Regulamentul de securitate al Consiliului UE
n cade, total sau partial, in mana unei persoane neautorizate
n exista suspiciuni ca o astfel de compromitere a avut loc.
INCIDENTUL DE SECURITATE SURVINE IN URMA UNEI COMPROMITERI
RESPONSABILITATI PREVENIRE INCIDENTE
Responsabilitatea in ceea ce priveste prevenirea si solutionarea incidentelor de securitate revine conducatorului unitatii care gestioneaza informatii clasificate si structurii de securitate, care raspunde solidar cu acesta pentru toate problemele referitoare la securitatea documentelor clasificate.
Pentru prevenirea aparitiei incidentelor de securitate, structura de securitate verifica periodic eficienta masurilor de securitate fizica din cadrul zonelor in care sunt vehiculate informatii clasificate si, cu aprobarea conducerii unitatii, efectueaza controale privind modul de aplicare a normelor de protectie a informatiilor clasificate. Controlul are drept scop:
Identificarea vulnerabilitatilor existente
Constatarea cazurilor de incalcare a reglementarilor de securitate
In urma controalelor efectuate, structura de securitate informeaza conducerea unitatii despre vulnerabilitatile, riscurile si incalcarile reglementarilor de securitate existente in sistemul de protectie a informatiilor clasificate si propune masuri pentru inlaturarea acestora.
Conducatorii unitatilor si persoanele care gestioneaza informatii clasificate au obligatia de a aduce la cunostinta ORNISS si a institutiilor cu atributii de coordonare si control in domeniu orice indicii din care pot rezulta premise de insecuritate pentru astfel de informatii.
Tot pentru prevenirea incidentelor de securitate, ORNISS si Serviciul Roman de Informatii, prin unitatea sa specializata, sunt imputernicite cu atributii de exercitare a controlului asupra modului de aplicare a masurilor de protectie de catre institutiile publice si unitatile detinatoare de informatii clasificate. Activitatea de control vizeaza:
- structura de securitate,
personalul care are acces la informatii clasificate si, dupa caz,
- CSNR sau compartimentul special.
Printre altele, controlul efectuat de ORNISS si/sau SRI are ca scop:
- verificarea modului in care sunt aplicate si respectate reglementarile privind protectia informatiilor clasificate;
- identificarea vulnerabilitatilor existente in sistemul de protectie a informatiilor clasificate, care ar putea duce la compromiterea acestor informatii, in vederea luarii masurilor de prevenire necesare;
- constatarea cazurilor de nerespectare a normelor de protectie a informatiilor clasificate si
- aplicarea sanctiunilor contraventionale sau, dupa caz, sesizarea organelor de urmarire penala, in situatia in care fapta constituie infractiune.
INCIDENT DE SECURITATE (INFORMATII NATIONALE CLASIFICATE)
Incidentele de securitate pot fi constatate cu ocazia inventarierii anuale, in urma unor controale efectuate de catre persoane abilitate sau pot fi semnalate de catre persoane fizice ori juridice. De asemenea, ele pot fi stabilite de catre autoritatile desemnate de securitate in baza activitatilo specifice pe care le desfasoara.
In situatia aparitiei unui astfel de incident, conducatorul institutiei are obligatia de a instiinta, in scris si prin cel mai operativ sistem de comunicare, institutiile prevazute la art. 25 din Legea nr. 182/2002, despre compromiterea informatiilor secret de stat.
Instiintarea trebuie sa contina:
- descrierea informatiilor compromise, respectiv:
- o scurta prezentare a imprejurarilor in care a avut loc compromiterea, inclusiv:
- precizari cu privire la eventuala informare a emitentului.
Instiintarea se face in scopul obtinerii sprijinului necesar pentru recuperarea informatiilor, evaluarea prejudiciilor, diminuarea si inlaturarea consecintelor.
Orice incalcare a reglementarilor de securitate va fi cercetata pentru a se stabili:
In situatia in care informatiile clasificate au fost accesate de persoane neautorizate, acestea vor fi instruite pentru a preveni producerea de eventuale prejudicii.
INCIDENT DE SECURITATE (INFORMATII NATO CLASIFICATE)
Potrivit Politicii de securitate a NATO, "toate cazurile in care exista suspiciuni vizand incidente de securitate vor fi imediat raportate Autoritatii Nationale de Securitate competente. Rapoartele privind aceste cazuri vor fi analizate de catre persoane competente pentru a evalua daunele produse la adresa NATO si pentru a stabili masurile corespunzatoare ce se impun".
Orice compromitere a informatiilor NATO clasificate, indiferent de nivelul de clasificare, se aduce la cunostinta ORNISS.
Scopul principal al comunicarii incidentului de securitate este de a da posibilitatea recuperarii informatiilor, evaluarii prejudiciilor aduse Aliantei Nord-Atlantice si intreprinderii actiunilor necesare pentru minimalizarea consecintelor.
Prima obligatie care ii revine structurii de securitate in momentul in care constata un incident de securitate este aceea de a informa conducerea unitatii. Dupa analizarea si evaluarea situatiei, cu acordul conducatorului unitatii, structura de securitate raporteaza la ORNISS - accentuez la ORNISS - producerea incidentului.
Raportul catre ORNISS cuprinde aceleasi capitole ca si instiintarea trimisa catre SRI in cazul incidentelor vizand compromiterea informatiilor nationale clasificate.
Termenul de raportare a incidentului de securitate depinde de sensibilitatea informatiilor si de imprejurarile in care a avut loc compromiterea. Din acest motiv trebuie avut in vedere faptul ca ORNISS inainteaza imediat la NOS rapoarte de prima sesizare in cazul in care:
In cazul in care se impune informarea NOS cu privire la compromiterea unei informatii NATO clasificate, ORNISS trebuie sa alerteze si emitentul informatiei. Atunci cand nu este posibil acest lucru, ORNISS poate solicita sprijinul NOS pentru identificarea emitentului si informarea acestuia.
Acelasi lucru este valabil si in cazul informatiilor UE clasificate.
Dupa primirea raportului, ORNISS are obligatia de a evalua implicatiile incidentului de securitate, concomitent, in colaborare cu institutiile abilitate de resort, intreprinde masurilor necesare de contracarare/diminuare a efectelor incidentului si declanseaza investigatia de securitate.
In principiu, investigatia de securitate va trebui sa certifice compromiterea informatiilor NATO clasificate, sa identifice persoanele implicate si sa stabileasca masurile de remediere ce se impun.
ORNISS va stabili modul in care va fi investigat incidentul de catre persoane cu experienta in problematica securitatii, in investigatii si, daca este cazul, in contraspionaj. Persoanele implicate in investigarea incidentului de securitate trebuie sa fie independente de cele susceptibile de provocarea acestuia. In acest scop, ORNISS poate apela la experti provenind din institutii abilitate.
ORNISS raporteaza la NOS aspecte ulterioare referitoare la compromitere (rezultatul investigatiilor de securitate efectuate de institutiile abilitate de resort, masurile de recuperare a informatiilor compromise si de reducere a prejudiciului etc.).
X. CONTRACTE NATIONALE CLASIFICATE
PROCEDURA DE ELIBERARE A AUTORIZATIEI SI CERTIFICATULUI DE SECURITATE
INDUSTRIALA
Negocierea contractelor clasificate secret de stat
HG 585/2002
Autorizatia de securitate industriala (ASI) se elibereaza de ORNISS, pentru fiecare contract clasificat
Documente necesare:
cerere pentru eliberarea autorizatiei de securitate industriala - anexa nr. 24 din HG 585/2002;
chestionar de securitate industriala, in plic sigilat - anexa nr. 25 din HG nr. 585/2002;
invitatie de participare la procesul de negociere;
lista persoanelor autorizate, participante la negociere.
Invitatia de participare
Denumirea contractului clasificat
Obiectul contractului clasificat
Nivelul de clasificare al contractului
Obligatii ale obiectivului industrial
Cerinte pentru eliberarea ASI
Sa posede structura/functionar de securitate
Sa posede program de prevenire a scurgerii de informatii clasificate, avizat;
Sa fie stabil din punct de vedere economic:
Nu este in proces de lichidare
Nu este in stare de faliment
Nu este implicat intr-un litigiu care ii afecteaza stabilitatea economica
Isi indeplineste obligatiile financiare catre stat, persoane fizice si juridice
Sa nu fi inregistrat o greseala de management cu implicatii grave asupra starii de securitate a informatiilor clasificate pe care le gestioneaza;
Sa fi respectat obligatiile de securitate din cadrul contractelor clasificate derulate anterior;
Personalul implicat in negocierea contractului sa detina autorizatii de acces la informatii clasificate secret de stat;
Obligatii ale contractorului
in cazul negocierii contractelor clasificate
Pastrarea evidentei tuturor persoanelor participante la intalnirile de negociere
date de identificare
angajamente de confidentialitate
organizatiile pe care le reprezinta
tipul si scopul intalnirilor
informatii la care acestea au avut acces
Stabilirea unei clauze in invitatiile de participare prin care potentialul ofertant e obligat sa returneze documentele clasificate puse la dispozitie.
Termen < 15 zile
Asigurarea faptului ca in procesul de negociere participa doar persoane autorizate.
Obiectivele activitatii de verificare
Prevenirea accesului persoanelor neautorizate la informatiile clasificate;
Garantarea ca informatiile clasificate sunt distribuite pe baza existentei autorizatiei de securitate industriala si a principiului necesitatii de a cunoaste;
Identificarea persoanelor, care prin actiunile lor, pot pune in pericol protectia informatiilor clasificate;
Garantarea faptului ca obiectivele industriale au capacitatea de a proteja informatiile clasificate in procesul de negociere.
Avizul de securitate
Operatorul economic nu prezinta riscuri de securitate;
Sunt aplicate in mod corespunzator masurile de securitate fizica si normele privind accesul persoanelor la informatii clasificate;
Obiectivul industrial este solvabil din punct de vedere financiar
Obiectivul industrial nu a fost si nu este implicat in politici de sprijinire sau aprobare a comiterii de acte de sabotaj sau teroriste
Termen pentru eliberarea ASI
60 de zile lucratoare
Valabilitatea ASI
n Pana la incheierea contractului sau pana la retragerea de la negocieri
Retragerea ASI
La solicitarea obiectivului industrial
La propunerea motivata a ADS competente
La expirarea termenului de valabilitate
DERULAREA CONTRACTELOR CLASIFICATE SECRET DE STAT
Certificat de securitate industriala (CSI)
Documente necesare:
q Cerere pentru eliberarea certificatului de securitate industriala - anexa nr. 30 din HG nr. 585/2002
q Chestionar de securitate industriala, in plic sigilat - anexele nr. 26 si 27 din HG nr. 585/2002
q Anexa de securitate
q Lista persoanelor autorizate participante la derularea contractului
Anexa de securitate
Cuprinde clauzele si procedurile de protectie valabile pentru fiecare contract clasificat.
Se intocmeste catre partea contractanta detinatoare de informatii clasificate.
Clauzele si procedurile din Anexa sunt supuse periodic verificarilor de catre ADS competenta.
Obligatiile contractorului
in cadrul activitatilor contractuale clasificate
Este responsabil pentru clasificarea si definirea tuturor componentelor contractului;
Intocmeste anexa de securitate si pune un exemplar al acesteia la dispozitia contractantului;
Declanseaza procedura de clasificare si protejare pentru contractele care se clasifica pe parcursul derularii;
Solicita contractantului sa impuna eventualilor subcontractanti conditii de securitate similare;
Permite punerea in executare a contractului numai in conditiile in care contractantul detine CSI
Obligatii ale contractantului
Cerinte pentru eliberarea CSI
Sa posede program de prevenire a scurgerii de informatii clasificate, avizat;
Sa fie stabil din punct de vedere economic;
Sa nu fi inregistrat o greseala de management cu implicatii grave asupra starii de securitate a informatiilor clasificate pe care le gestioneaza;
Sa fi respectat obligatiile de securitate din cadrul contractelor clasificate derulate anterior;
Personalul implicat in derularea contractului sa detina autorizatii de acces de nivel egal cu cel al informatiilor vehiculate in cadrul contractului clasificat;
Alte obligatii ale contractantului
in cadrul activitatilor contractuale clasificate
Pune in executie contractul clasificat numai in conditiile in care:
detine CSI,
personalul autorizat a fost instruit si a semnat fisa individuala de pregatire;
Informeaza contractorul cand decide sa subcontracteze realizarea unei parti din contractul clasificat.
Impune subcontractantilor conditii de securitate similare cu cele aplicate contractantului
Se asigura ca acestia detin ASI/CSI
Inapoiaza contractorului toate informatiile clasificate incredintate sau generate pe perioada contractului.
Respecta procedura stabilita pentru protectia informatiilor clasificate legate de contract.
Informeaza ORNISS asupra tuturor modificarilor survenite privind datele de securitate incluse in chestionarul completat.
Avizul de securitate
Operatorul economic nu prezinta riscuri de securitate;
Sunt aplicate in mod corespunzator masurile de securitate fizica, prevazute de reglementarile in vigoare, precum si normele privind accesul persoanelor la informatii clasificate;
Obiectivul industrial este solvabil din punct de vedere economic;
Obiectivul industrial nu a fost si nu este implicat sub nici o forma in activitatea unor organizatii care adopta o politica de sprijinire sau aprobare a comiterii de acte de sabotaj sau teroriste
Termene pentru eliberarea CSI
Nivel secret - 90 zile lucratoare
Nivel strict secret - 120 zile lucratoare
Nivel strict secret de importanta deosebita - 180 zile lucratoare
Valabilitatea CSI
Pe perioada derularii contractului, dar nu mai mult de 3 ani
Retragerea CSI
La solicitarea obiectivului industrial
La propunerea motivata a ADS competente
La expirarea termenului de valabilitate
La incetarea contractului
La schimbarea nivelului de certificare acordat initial
Contraventii
Punerea in executare a unui contract clasificat fara CSI.
Permiterea accesului la informatii clasificate
persoanelor neautorizate
persoanelor autorizate neinstruite sau care nu au semnat fisa individuala de pregatire.
Sanctiuni
Avertisment
Amenda de la 500.000 la 25.000.000 lei
XI. ANEXA DE SECURITATE
Cadrul legal
Art. 201 (HG nr. 585/2002)
anexa la contract
este intocmita de partea detinatoare de informatii clasificate;
clauzele sunt supuse periodic verificarilor de catre Autoritatea Desemnata de Securitate (ADS) competenta.
Art. 216, 221 (HG nr. 585/2002)
cerinta pentru initierea procedurii de avizare a eliberarii certificatului de securitate industriala
Definitie si rol
Definitie: Document realizat de institutia detinatoare de informatii clasificate, ca parte a unui contract sau sub-contract in care sunt transferate astfel de informatii si care identifica clar cerintele de securitate sau acele elemente care necesita protectie de securitate.
Rol: sa identifice clar si fara echivoc cerintele de securitate ale proiectului/programului
Clauze generale
Obligativitatea contractantului/furnizorului de a respecta cerintele consemnate in aceasta
Informatiile si materialele clasificate gestionate in cadrul contractului vor fi protejate cu respectarea prevederilor legale privind protectia personalului, protectia fizica, INFOSEC si securitatea industriala
Derularea contractului este conditionata de obtinerea certificatului de securitate industriala eliberat de ORNISS
Posibilitatea efectuarii de catre contractor a unor vizite de evaluare
Informatiile si materialele clasificate la care are acces contractantul nu vor fi transmise catre un tert, fara aprobarea prealabila a emitentului
Orice persoana care pe parcursul derularii contractului are acces la informatii clasificate trebuie sa detina certificat de securitate sau autorizatie de acces la informatii clasificate, in conformitate cu legislatia in vigoare
Pentru stabilirea nivelului de clasificare a documentelor sau materialelor produse pe durata de executie a contractului, contractantul/furnizorul se va adresa contractorului
Nerespectarea de catre contractant /furnizor a prevederilor anexei de securitate si a reglementarilor de securitate stabilite de legislatia in vigoare poate duce la rezilierea contractului
Se stabilesc datele si materialele (echipamente, informatii, manuale tehnice, specificari etc.) care vor fi gestionate in timpul derularii contractului precum si nivelul clasificarii acestora
Transportul informatiilor si materialelor clasificate va fi efectuat in conformitate cu legislatia in vigoare
In cazul achizitionarii unor produse si servicii de la un sub-contractant, necesare indeplinirii obiectului contractului principal, contractantul/furnizorul are obligatia sa informeze contractorul si ORNISS
Obligatiile contractantului
Desemnarea unei persoane din cadrul structurii de securitate responsabila cu implementarea si supervizarea masurilor de securitate legate de contract
Transmiterea, in timp util, catre ORNISS a datelor de identitate ale persoanelor implicate in derularea contractului
Mentine legatura permanenta cu contractorul, in vederea asigurarii faptului ca toate informatiile si materialele clasificate gestionate in cadrul contractului vor fi protejate corespunzator
Nu permite copierea, multiplicarea, transmiterea sau distrugerea prin orice mijloace a documentelor sau materialelor clasificate ce i-au fost incredintate de catre contractor, cu exceptia cazurilor in care exista aprobarea expresa a acestuia
Pastreaza evidenta angajatilor implicati in derularea contractului si care au fost abilitati sa aiba acces la informatii clasificate
Pune la dispozitia contractorului/ADS, oricand este necesar, date despre persoanele care vor avea acces la informatii si materiale clasificate pe parcursul derularii contractului
Interzice accesul la informatii si materiale clasificate acelor persoane ce nu au fost autorizate in conformitate cu legislatia in vigoare
Limiteaza diseminarea informatiilor clasificate doar catre persoanele responsabile pentru indeplinirea contractului, pe baza principiului "necesitatii de a cunoaste" si in conformitate cu nivelul de acces la informatii clasificate
Respecta orice cerinta de securitate venita din partea contractorului, cu privire la persoanele carora li s-au incredintat informatii si materiale clasificate (angajament de confidentialitate)
Informeaza contractorul cu privire la orice incalcari sau posibile incalcari ale masurilor de securitate, tentative, acte de sabotaj sau activitati subversive
Obtine aprobarea contractorului inaintea inceperii negocierilor in vederea sub-contractarii unei parti a contractului principal, prin care sub-contractantul va avea acces la informatii clasificate
Sub-contractantul, la randul sau, trebuie sa se supuna reglementarilor impuse de legislatia nationala in domeniul protectiei informatiilor clasificate si prevederilor anexei de securitate
Nu va utiliza, fara acordul scris al contractorului, informatiile si materialele clasificate ce i-au fost incredintate sau care au fost generate pe parcursul derularii contractului, decat pentru scopul specific al contractului
Va returna contractorului toate informatiile si materialele clasificate care i-au fost incredintate precum si cele generate in timpul contractului sau sub-contractelor, cu exceptia cazurilor in care acestea au fost distruse cu acordul contractorului sau pastrarea lor a fost autorizata de catre acesta
Respecta intocmai procedurile de diseminare a informatiilor clasificate legate de contract sau sub-contract
Exemplu de redactare
1. Informatii referitoare la: data intocmirii, emitent, furnizor, perioada de derulare a contractului, nivelul cel mai inalt de secretizare a activitatilor si/sau informatiilor;
2. Lista locurilor de executie a activitatilor in care se utilizeaza informatii clasificate: locurile de executie, categoriile de personal, nr. de persoane, activitatile/informatiile necesar a fi protejate, nivelul de secretizare;
3. Caietul de sarcini privind protectia informatiilor clasificate:
obiectul contractului,
definirea activitatilor/informatiilor necesar a fi protejate,
masurile particulare de protectie a informatiilor clasificate: clauzele privind protectia sistemelor informatice/tehnica de prelucrare automata a datelor, masurile de protectie a informatiilor pe timpul transportului, masurile de protectie a informatiilor pe timpul incercarilor/testarilor.
XII. securitatea industriala
Cadrul legal
Legea 101/2003
Hotararea Guvernului nr. 585/2002, capitolul VII
Hotararea Guvernului nr. 353/2002, capitolul H
Normele metodologice privind protectia informatiilor clasificate in cadrul activitatilor contractuale NATO
Definitii
Securitatea industriala
Contracte nationale si NATO clasificate, sub-contracte
Certificat de securitate industriala
Anexa de securitate
Securitate industriala
Sistemul de norme si masuri care reglementeaza protectia informatiilor clasificate gestionate de obiectivele industriale, in cadrul contractelor clasificate
Obiective industriale: companii, societatii comerciale, unitati de cercetare, universitati etc.
Contracte clasificate
Contract national clasificat: contract incheiat intre parti, in cadrul caruia, pentru producerea unui bun sau furnizarea unui serviciu, se vehiculeaza informatii nationale clasificate
Contract NATO clasificat: contract incheiat de o institutie militara sau civila NATO sau de o tara membra NATO in vederea realizarii unui program/proiect initiat, negociat sau administrat de NATO si care necesita acces sau genereaza informatii NATO clasificate
Contracte principale
Sub-contracte
Clauzele si procedurile de securitate in cadrul contractelor clasificate vor fi stipulate in Anexa de securitate
Certificatul de securitate industriala
Se elibereaza obiectivelor industriale care sunt sau care vor fi implicate in derulare unor contracte clasificate
Document eliberat de ORNISS prin care se atesta ca, din punct de vedere al securitatii, un obiectiv industrial indeplineste standardele minime de protectie a informatiilor clasificate de un anumit nivel sau inferior
Cerinte generale impuse companiei(1):
Implementarea unui sistem de securitate in cadrul obiectivului industrial pentru protectia informatiilor clasificate
Implementarea normelor cu privire la protectia fizica si a documentelor, protectia personalului, INFOSEC
Desemnarea unui functionar de securitate, responsabil cu implementarea masurilor de protectie a informatiilor clasificate in obiectivul industrial
Indeplinirea oricaror cerinte de securitate suplimentare venite din partea ORNISS
Cerinte generale impuse companiei(2):
Realizarea si implementarea programului de prevenire a scurgerii de informatii clasificate
Stabilitate din punct de vedere economic
Personalul obiectivului industrial implicat in negocierea sau derularea unui contract clasificat trebuie sa detina autorizatii sau certificate de acces la informatii clasificate
Etapele derularii unui contract clasificat (1)
Anuntarea publica a licitatiei sau a cererii de oferta
Caietul de sarcini prevede obligativitatea obtinerii autorizatiei de securitate industriala pentru companiile participante
Anuntarea datei limita a depunerii ofertelor
Termenul de eliberare a autorizatiei de securitate industriala este de 60 de zile lucratoare
La negociere vor participa companiile
Care detin autorizatie de securitate industriala
Ale caror personal a fost autorizat sa aiba acces la informatii clasificate
Pentru derularea contractului clasificat, compania declarata castigatoare va face demersurile necesare pentru obtinerea certificatului de securitate industriala, eliberat de ORNISS
XIII. Documentatia de securitate
Ce se intelege printr-un SIC sigur ?
Un SIC care asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nerepudierea informatiilor pe care le stocheaza, proceseaza sau transmite.
Cum se poate obtine un SIC sigur ?
Prin implementarea unui ansamblu de masuri de securitate tehnice si procedurale, specifice.
Ce este documentatia de securitate?
O documentatie care contine atat cerintele de securitate cat si masurile de securitate care trebuie implementate in vederea obtinerii unui SIC sigur
Este specifica fiecarui SIC, in functie de scopul si misiunea acestuia
Este caracteristica fiecarei etape a ciclului de viata al SIC
Este determinata de mediul operational al SIC-ului
Este o conditie primordiala in acreditarea unui SIC.
Cine elaboreaza documentatia de securitate ?
Administratorul de securitate al SIC-ului in colaborare cu AOSIC.
Cine aproba documentatia de securitate ?
ORNISS, la propunerea Agentiei de Acreditare de Securitate in urma analizei si evaluarii documentatiei de securitate.
In ce consta documentatia de securitate ?
Raportul Analizei riscului
Documentatia cu Cerintele de Securitate (DCS)
Procedurile Operationale de Securitate (PrOpSec)
Ghidul General de Securitate pentru Utilizatori
Alte documente specifice
Raportul Analizei riscului
contribuie la luarea deciziei privind modul in care cerintele de securitate pot fi indeplinite, la stabilirea proportiei intre masurile tehnice de securitate si cele alternative si ofera o evaluare impartiala a riscului rezidual.
este un raport de management care ajuta conducerii, responsabililor misiunii sa ia decizii privind politica, procedurile, bugetul si schimbarile in sistemul operational si de management.
Definirea Documentatiei cu Cerintele de Securitate
o documentatie completa si explicita a principiilor de securitate care trebuie avute in vedere si a cerintelor detaliate de securitate care trebuie indeplinite
specifica cum poate fi realizata, gestionata si verificata securitatea SIC
se refera atat la cerintele pentru utilizatori cat si la cerintele operationale
Documentatia cu Cerintele de Securitate
1. Cerinte de Securitate Specifice Sistemului (CSSS)
2. Cerinte de Securitate Comunitara(CSC)
3. Cerinte de Securitate pentru Interconectarea Sistemelor (CSIS)
4. Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)
Definirea PrOpSec
PrOpSec reprezinta descrierea precisa a implementarii cerintelor de securitate definite anterior in Documentatia cu Cerintele Securitate (DCS), a procedurilor operationale care vor trebui urmate si responsabilitatile personalului, specifice SIC
Continutul PrOpSec
Administrarea si organizarea securitatii
Securitatea fizica
Securitatea personalului
Securitatea documentelor
INFOSEC
Planificarea masurilor in situatii de urgenta si pentru continuarea activitatii
Managementul configuratiei
Ghidul General de Securitate pentru Utilizatori
Consta in prezentarea sumara a principalelor proceduri de securitate care trebuie cunoscute de utilizatori si care li se adreseaza direct, astfel incat sa poata intelege implicatiile nerespectarii acestora.
Se refera la aspectele relevante ale PrOpSec, in partile care privesc direct utilizatorii astfel incat acestia sa poata intelege implicatiile acestor aspecte, si sa constientizeze ca ei sunt parte integranta si joaca un rol activ in realizarea securitatii SIC.
Ghidul General de Securitate pentru Utilizatori contine indicatii cu privire la :
a) cum se obtine autorizatia de utilizare a resurselor si a functiilor SIC-ului;
b) responsabilitatile privind identificarea si autentificarea
utilizatorului si controlul accesului;
c) manuirea si pastrarea informatiilor clasificate;
d) modul de raportare a diferitelor probleme care pot sa apara referitoare la securitate (de exemplu, incidentele cauzate de virusi), a disfunctionalitatilor si suspiciunilor de incalcare a securitatii;
e) responsabilitatile generale ale utilizatorilor privind securitatea in cadrul SIC.
Alte documente specifice
Rapoartele de evaluare si certificare :
COMPUSEC
COMSEC
CRIPTOGRAFICA
TRANSEC
TEMPEST
XIV. DOCUMENTATIA CU CERINTELE DE SECURITATE
Cerinte de Securitate Specifice Sistemului (CSSS)
2. Cerinte de Securitate Comunitara(CSC)
3. Cerinte de Securitate pentru Interconectarea Sistemelor (CSIS)
4. Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)
1. Cerintele de Securitate Specifice Sistemului
1.1 Generalitati
Un document explicit privind cerintele de securitate specifice unui sistem
Defineste ce inseamna ca un sistem sa fie sigur
Indica modalitatile pentru obtinerea securitatii informatiilor vehiculate prin sistem
Constituie un document fundamental si obligatoriu pentru procesul de acreditare de securitate
CSSS sunt formulate de catre AOSIC inca din stadiul de planificare a sistemului informatic si trebuie dezvoltate si imbunatatite pe parcursul desfasurarii proiectului.
CSSS trebuie sa constituie o parte integranta a documentatiei proiectului care se inainteaza autoritatilor corespunzatoare atat pentru aprobarea bugetului cat si pentru aprobarea de securitate.
Documente de referinta: - Ghidul pentru Elaborarea Documentatiei cu Cerintele de Securitate pentru Sistemele Informatice si de Comunicatii - DS1, publicat in Monitorul Oficial Nr. 865/05.12.2003
Cand un sistem informatic este operational
CSSS constituie baza unui acord intre AOSIC si AAS prin care se considera ca sistemul este mentinut si utilizat intr-o maniera sigura, din punct de vedere al securitatii.
Continutul CSSS poate fi modificat numai de catre AOSIC dupa consultarea cu AAS.
1.2 Structura si continutul CSSS
Capitolul I - Introducere
Trebuie sa ofere o privire de ansamblu a sistemului si sa cuprinda :
a) numele proiectului / SIC;
b) rolul, misiunea proiectului / SIC;
c) locul de dispunere al SIC;
d) utilizatorii SIC;
e) datele relevante privind etapele de realizare a obiectivelor proiectului
f) referinte catre alte documente relevante pentru securitatea SIC.
Capitolul II - Definirea SIC
Trebuie sa descrie necesitatea sistemului
Rolul operational al sistemului privit din punct de vedere al procesarii, stocarii si transmiterii datelor
Informatiile SIC
Utilizatorii SIC
Arhitectura sistemului ( hardware, software, firmware)
Capitolul III - Definirea cerintelor de securitate
Trebuie descrise pe baza analizei de risc
Amenintarile pentru SIC
Importanta informatiilor
Vulnerabilitatile specifice sistemului
Cerintele minime de securitate
Modul de operare de securitate
Capitolul IV - Definirea mediilor de securitate
Trebuie descrise
Mediul de Securitate Global (MSG)
Mediul de Securitate Local (MSL)
Mediul de Securitate Electronic (MSE)
Capitolul V - Definirea masurilor de securitate
Aceasta este cea mai importanta sectiune a CSSS si trebuie sa descrie
a) Accesul /Controlul Accesului
Definitii:
Accesul este modalitatea specifica de interactiune dintre un subiect (utilizator) si un obiect ( date ) care rezulta din fluxul de informatii de la unul la altul
Controlul accesului este exercitarea controlului asupra acestei interactiuni
Politica de Securitate :
accesul la informatiile clasificate, trebuie sa fie limitat la persoanele cu certificate corespunzatoare de securitate si potrivit principiului "nevoii de a cunoaste";
Riscuri:
Accesul fizic
Autorizatie de acces/ clasificare
Nevoia da a cunoaste
Comunicatii
Emisii
Masuri de securitate:
MSG/MSL: MSE:
- securitate fizica - controlul accesului discretionar
- supervizarea - controlul accesului autorizat
- autorizatii de acces - marcarea
TEMPEST - reutilizarea produselor
- criptarea - criptarea
- regula"celor 2 persoane"
b) Autentificarea
Definitie :
Este procesul de confirmare a validitatii unei identitati revendicate.
Politica de securitate:
Toate persoanele care au acces la informatiile clasificate trebuie sa fie identificate sigur si sa le fie stabilita autorizarea; toate procesele automate care opereaza in interesul unei persoane vor fi asociate fara echivoc cu persoana respectiva.
Riscuri:
Personificarea
Masuri de securitate :
MSG/MSL: MSE:
- Paza - Parole de acces
- Patrulare - Carduri de acces (PID)
- Recunoastere vizuala - Date Biometrice
- Ecusoane,Permise - Criptografice
- Carduri de identitate - Cai sigure
c) Evidenta
Definitie:
Pastrarea inregistrarilor tuturor activitatilor si evenimentelor referitoare la securitate.
Politica de Securitate :
Evidenta individuala a informatiilor generate sau accesate trebuie aplicata astfel incat sa fie oprita orice persoana care, avand acces la informatiile clasificate, este posibil sa le puna in pericol.
Riscuri:
Autorizatii de acces/ clasificare
Iesiri neautorizate (furt)
Modificari neautorizate a datelor
Masuri de securitate:
MSG/MSL: MSE:
- inregistrarea vizitatorilor -informatii necesare evidentelor specifice
- proceduri privind -evidenta drepturilor de acces (de exemplu evidenta documentelor creare, citire, imprimare si stergere etc.)
controlul configuratiei -evidenta pe nivele de securitate (de exemplu de la strict secret la un nivel superior )
-evidenta utilizarii canalelor protejate identificate
d) Auditul
Definitie :
Monitorizarea evenimentelor referitoare la securitate pentru a detecta si preveni activitatile din sistem ce pot ameninta securitatea sistemului, descoperind astfel bresele reale sau potentiale in securitatea sistemului.
Politica de Securitate :
Trebuie evidentiate incercarile si incalcarile actuale sau posibile privind securitatea SIC
Riscuri :
Accesul fizic neautorizat
Furtul
Modificari neautorizate a datelor
Incercari nereusite de autentificare
Incercari nereusite de acces la fisiere/ comenzi
Masuri de securitate:
MSG/MSL: MSE:
- Inspectii - Rapoarte periodice
Securitatea breselor fizice - Analiza rezultatelor auditului
- Securitatea breselor sistemului
e) Reutilizarea obiectelor
Definitie:
In multe sisteme informatice, este necesar sa se asigure faptul ca resurse, cum ar fi portiuni din memorii si discuri de stocare, atunci cand sunt alocate unui subiect nu contin informatii pe care subiectul nu este autorizat sa le cunoasca sau nu ii sunt necesare.
Masuri de securitate:
MSG/MSL: MSE:
Toate informatiile continute intr-un produs de stocare trebuie analizate
inaintea alocarii initiale sau realocarii unui subiect din fondul comun de produse de stocare neutilizate.
f) Integritatea
Masuri de securitate :
MSG/MSL: MSE:
Inspectii fizice BCI trebuie sa includa functii care sa asigure ca atunci cand informatiile sunt transmise intre utilizatori, procese si obiecte este posibila "prevenirea pierderilor" sau "alterarea" si de asemenea nu este posibila modificarea sursei si destinatiei in procesul transferului informatiei.
g) Disponibilitatea
Masuri de securitate :
MSG/MSL: MSE:
Trebuie sa asigure ca accesul la resurse este posibil atunci cand este necesar si ca aceste resurse nu sunt mentinute daca nu sunt utile.
h) Comunicatiile de date (COMSEC)
cerinte privind securitatea informatiilor in timpul transmisiei pe canalele de comunicatie (COMSEC)
trebuie sa acopere toate functiile de asigurare a securitatii informatiilor in timpul transmisiei pe canalele de comunicatie respectiv : autentificarea, controlul accesului, confidentialitatea, integritatea si nerepudierea.
constituie masuri distincte fata de securitatea calculatoarelor (COMPUSEC).
i) Riscurile reziduale
Definitie :
Este acel risc care ramane dupa implementarea intr-un SIC a masurilor de securitate, bazat pe intelegerea faptului ca nu pot fi contracarate toate amenintarile si ca nu pot fi eliminate sau reduse toate vulnerabilitatile.
Capitolul VI - Administrarea securitatii:
Acest capitol trebuie sa descrie, cum, din punct de vedere administrativ, sistemul va fi mentinut sigur si sa prezinte urmatoarele:
- Managementul securitatii
- Managementul riscului
- Proceduri operationale de securitate
- Controlul configuratiei
- Intretinerea
- Documentatia
- Instruirea
- Acreditarea/reacreditarea
- Scoaterea din uz si disponibilizarea echipamentelor
2. Cerintele de Securitate Comunitara
2.1 Generalitati
Trebuie realizate cand comunitatea de interese este compusa din mai multe sisteme informatice interconectate.
Stabilesc standardele minime de securitate carora trebuie sa se conformeze SIC din interiorul comunitatii.
Cerintele de Securitate Comunitara trebuie realizate inaintea oricaror Cerinte de Securitate pentru Interconectarea Sistemelor, care constituie anexe la CSC.
2.2 Structura si continutul CSC
Capitolul I - Introducere Definirea scopului CSC, a partilor implicate
si a obiectivelor
Capitolul II - Standarde de Securitate Definirea standardelor de securitate pentru sistemele informatice care se interconecteaza (minim de indeplinit).
Capitolul III - Masuri de securitate Specifica masurile de securitate care trebuie implementate pentru :
Accesul/Controlul accesului
- Autentificare
- Evidenta
- Auditul
- Reutilizarea obiectelor
- Integritate
- Disponibilitate
- Comunicatii de date (COMSEC)
Capitolul IV - Responsabilitatile Lista personalului si responsabilitatile specifice
pentru sistemul informatic fiecaruia
3. Cerinte de Securitate pentru Interconectarea Sistemelor
Sunt realizate pentru a oferi aspecte detaliate ale securitatii in cazul interconectarii a doua sau mai multe SIC.
3.1 Structura si Continutul CSIS
Capitolul I - Introducere
Date de baza privind Motivatia/Avantajele interconectarii si personalul responsabil pentru securitatea acestora
Capitolul II - Natura Interconectarii
Cerintele operationale pentru interconectare
Capitolul III -Cerinte privind securitatea
MSE si MSL sunt descrise prin intermediul CSSS proprii
Capitolul IV - Medii de securitate
Conceptul de MSG inclus in Cerintele de Securitate Comunitara (CSC)
Capitolul V - Diagrama retelei
Trebuie sa arate toate componentele sistemelor informatice interconectate
Capitolul VI - Masuri de securitate
Masuri de securitate care trebuie implementate in SIC-uri
pentru : Controlul Accesului, Evidenta, Audit, Reutilizarea obiectelor, Integritate si Disponibilitate
Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)
Document elaborat in cazul in care sunt necesare mai multe detalii tehnice pentru SIC.
CSIESS trebuie elaborate concomitent cu CSSS, acestea din urma fiind considerate baza elaborarii CSIESS
CSIESS si CSSS trebuie permanent corelate printr-un control strict al managementului configuratiei
XV. Proceduri Operationale de Securitate PrOpSec
Ce sunt PrOpSec ?
PrOpSec reprezinta descrierea implementarii politicilor de securitate care trebuie adoptate, procedurile operationale care trebuie urmate si responsabilitatile intregului personal.
PrOpSec trebuie realizate pentru toate sistemele informatice si retelele care proceseaza, stocheaza sau transmit informatii NATO/nationale clasificate (inclusiv pentru calculatoare neconectate la retea).
Cine trebuie sa elaboreze PrOpSec?
PrOpSec trebuie elaborate de Administratorul de Securitate al SIC impreuna cu AOSIC
Fiecare Administrator de Securitate pentru Zona Terminalelor poate face propuneri care sa fie incluse in PrOpSec.
Cine trebuie sa aprobe PrOpSec ?
AAS (Agentia de Acreditare de Securitate ) trebuie sa aprobe PrOpSec inainte de a autoriza stocarea, procesarea sau transmiterea informatiilor NATO/nationale clasificate.
PrOpSec pentru sisteme informatice cu nivel de secretizare NATO Restricted/NATO Unclassified, vor fi autorizate de catre Autoritatile Locale de Securitate.
Cine trebuie sa cunoasca PrOpSec ?
Utilizatorii autorizati ai sistemului trebuie sa semneze de luare la cunostinta a PrOpSec.
O copie a PrOpSec, semnata de utilizatori, trebuie pastrata de catre Administratorul de Securitate al Sistemului Informatic.
Unde se regasesc indrumarile ?
Document de referinta
-DS2 "Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii", publicat in M.O. 865/05.12.2003
Continutul PrOpSec
Introducere:
In continuare vom particulariza prezentarea PrOpSec pentru procesarea informatiilor clasificate . Aceste PrOpSec sunt realizate de catre Administratorul de Securitate al Sistemului pentru Autoritatea Operationala a Sistemului Informatic (AOSIC) in concordanta cu cerintele continute in documentatia de referinta. Ele stabilesc cerintele minime de securitate care trebuie indeplinite de catre SIC. Nu este permisa nici o abatere sau amendament la aceste PrOpSec care sa conduca la o diminuare a securitatii decat in cazul obtinerii unor acorduri explicite, in urma consultarii cu Agentia de Acreditare de Securitate
Capitolul I - Administrarea si Organizarea Securitatii
Descrierea SIC-ului si a misiunii sale
Autoritatile de Securitate
Responsabilitati privind securitatea
Nivelul de clasificare al informatiilor
Modul de operare de securitate al SIC
Proceduri administrative de actualizare sau modificare in Lista cu utilizatorii autorizati ai SIC si drepturile de acces ale acestora;
Raportarea incidentelor
Capitolul II - Securitatea Fizica
Locatia zonelor sistemului informatic (Clasa-I, Clasa-II, Zona Administrativa)
Protectia cladirii
Protectia intrarii
Protectia camerelor
Protectia mediului inconjurator
Protectia impotriva incendiilor
Filtre
Protectia de la distanta a locatiei
Capitolul III - Securitatea de Personal
Lista personalului cu legitimatie de intrare
Accesul neescortat
Accesul escortat
Accesul vizitatorilor
Pregatirea de securitate, educarea si constientizarea personalului SIC.
Capitolul IV - Securitatea Informatiilor
(documente si medii de stocare)
Autoritatea responsabila
Sistemul de evidenta a documentelor
Verificari periodice
Sistemul de marcare a documentelor
Proceduri de stergere (pentru distrugere sau declasificare)
Metode de distrugere.
Capitolul V - INFOSEC
Securitatea hardware
Controlul managementului configuratiei
Lista tuturor componentelor hardware care necesita masuri speciale de securitate
Controlul accesului la componentele precizate mai sus
Periodicitatea verificarilor privind integritatea
Alte proceduri specifice
Securitatea Software
Controlul managementului configuratiei
Utilizarea software-ului autorizat
Proceduri de actualizare a software-ului
Sistemul de management al parolelor
Implementarea profilelor utilizatorilor
Rapoartele incidentelor de securitate
Asigurarea copiilor de siguranta (back-up
Protectia antivirus a calculatoarelor
Responsabilitatile privind selectarea,instalarea si intretinerea actualizarilor produsului anti-virus ales
Procedurile aplicate inaintea instalarii unui nou software
Procedurile pentru curatarea mediilor infectate
Proceduri pentru raportarea incidentelor legate de virusarea calculatoarelor
Formularele care trebuie utilizate pentru raportarea incidentelor de securitate sunt continute in Anexa 4 la "Directiva privind managementul INFOSEC pentru SIC - INFOSEC 3" publicat in M.O. nr. 874/09.12.2003
Managementul si auditul automat al securitatii
Proceduri pentru rularea instrumentelor automate de management al securitatii
Detalii privind evenimentele de securitate care trebuie inregistrate
Procedurile care trebuie urmate in eventualitatea descoperirii unor anomalii
Securitatea criptografica
Responsabilitatile pentru implementarea si controlul echipamentului cripto si a variabilelor cripto asociate
Securitatea emisiei
Responsabilitatile pentru implementarea si controlul procedurilor privind securitatea emisiei
Proceduri de verificare a indeplinirii cerintelor TEMPEST pentru utilitati
Proceduri pentru controlul locatiilor unde se pot utiliza calculatoarele portabile
Securitatea transmisiei
Responsabilitatile pentru implementarea si controlul procedurilor privind securitatea transmisiei
Procedurile operationale pentru sistemele care asigura securitatea traficului
Capitolul VI - Planificarea masurilor in situatii de urgenta si pentru continuarea activitatii
Situatii de urgenta
- lipsa energiei electrice sau a capacitatilor sistemului informatic
- pierderea programelor sau a datelor
- pierderea personalului
- pierderea utilitatilor
Masuri pentru mentinerea in "stand-by" a
- alimentarii cu energie electrica
- programelor
- personalului
- comunicatiilor
Capitolul VII - Managementul de configuratie
Responsabilitatile personalului pentru controlul actualizarilor configuratiei
Documentatiile/actualizarile configuratiei de baza ale sistemului/retelei
Procedurile necesare in cazul modificarilor hardware-ului, software-ului sau firewall-ului sistemului/retelei.
Anexa - exemplu
Lista cu toti utilizatorii
Responsabilitatile Administratorului de securitate a sistemului, a Administratorului de Securitate pentru Zona Terminalelor/Utilizatorilor
Lista aplicatiilor si produselor software autorizate
Lista echipamentelor hardware
Proceduri de pornire/oprire a sistemului
Orice alt considerent important pentru imbunatatirea securitatii
XVI. SISTEMUL NATIONAL DE REGISTRE
n Informatiile NATO si UE se gestioneaza doar in cadrul Sistemului National de Registre
n ORNISS : -asigura evidenta la nivel national
-coordoneaza activitatea SNR
-autorizeaza functionarea CSNR
COMPONENTELE SNR (CSNR)
(Subordonare)
SHAPE * MERGEFORMAT
REGISTRUL CENTRAL REGISTRUL EXTERN REGISTRU INTERN SUBREGISTRU PUNCT DE LUCRU
XVII. PROCESUL DE ACREDITARE DE SECURITATE
AL UNUI SIC
1. INTRODUCERE
HG nr. 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania
art. 322: "Toate . . .. SIC inainte de a fi utilizate pentru stocarea, procesarea sau transmiterea informatiilor clasificate, trebuie acreditate de catre Agentia de Acreditare de Securitate, pe baza datelor furnizate de catre CSS, procedurilor operationale de securitate si altor documentatii relevante".
art. acreditarea - etapa de acordare a autorizarii si aprobarii unui SIC de a prelucra informatii clasificate, in spatiul/mediul operational propriu".
art. 240, alin (3): SIC vor fi supuse procesului de acreditare, urmat de evaluari periodice, in vederea mentinerii acreditarii."
Acreditarea proces complex si continuu care incepe din faza de proiectare a SIC si dureaza pe intreaga perioada a ciclului de viata al SIC.
Acreditarea de securitate reprezinta autorizarea acordata unui SIC national, civil sau militar, sa vehiculeze informatii nationale clasificate secrete de stat in mediul sau operational.
In derularea procesului de acreditare de securitate trebuie avute in vedere urmatoarele principale aspecte:
dimensiunea si complexitatea SIC;
sensibilitatea, nivelul de clasificare si volumul informatiilor stocate, procesate sau transmise in SIC;
nivelurile certificatelor de securitate detinute de utilizatorii SIC;
tipul si numarul de utilizatori ai SIC;
modul de operare de securitate;
aplicarea principiului need-to-know;
riscurile de securitate asociate informatiilor, resurselor si serviciile SIC;
masurile INFOSEC tehnice si non-tehnice necesare pentru reducerea riscurilor.
2. ROLUL SI RESPONSABILITATILE AAS
Autoritatea Nationala de Acreditare de Securitate a unui SIC este Agentia de Acreditare de Securitate (AAS) din cadrul ORNISS
Indruma si gestioneaza activitatea de acreditarea de securitate a SIC.
Participa la elaborarea strategiei de acreditare de securitate
Evalueaza si inainteaza spre aprobare Documentatia de Securitate.
Elibereaza certificatul de acreditare de securitate.
Monitorizeaza respectarea masurilor de securitate prin efectuarea de inspectii si verificari de securitate.
Participa la investigarea oricaror evenimente majore de securitate INFOSEC.
Coopereaza cu alte agentii si autoritati nationale si internationale.
3. ACTIVITATI DE BAZA PRIVIND ACREDITAREA
ETAPELE PROCESULUI DE ACREDITARE DE SECURITATE
1. Notificare oficiala ORNISS
2. Elaborarea strategiei de acreditare de securitate
3. Managementul riscului de securitate
4. Elaborarea, evaluarea si aprobarea Documentatiei de Securitate
5. Evaluarea si testarea securitatii
6. Se acorda acreditarea?
DA 7. Se emite Certificatul de Acreditare
NU 8. Se acorda 'APO' ?
DA 9. Se emite documentul APO
10. Corectarea deficientelor
Notificarea ORNISS
Stabilirea colectivului de acreditare
Colectivul de Acreditare de Securitate are rolul de a gestiona derularea activitatilor din cadrul procesului de acreditare.
Este constituit inca din etapa de planificare a proiectului si trebuie sa-si mentina existenta pana in momentul acreditarii.
Poate fi reactivat de catre AAS
Prin intermediul colectivului, AAS poate cere, tuturor celor implicati in securitatea SIC, sa participe la procesul de acreditare si sa contribuie la luarea deciziei de acreditare.
Reuniuni periodice ale colectivului.
Structura colectivului:
AAS;
ASIC;
AOSIC;
structura de securitate;
managerul de proiect;
alte autoritati de implicate in securitatea SIC.
Elaborarea strategiei privind procesul de acreditare.
STRATEGIA DE ACREDITARE DE SECURITATE trebuie sa vizeze urmatoarele aspecte :
a) scopul si obiectivul;
b) principii de baza
c) descrierea SIC;
d) responsabilitatile structurilor implicate in procesul de acreditare;
e) rolurile si responsabilitatile Colectivului de Acreditare;
f) cerintele privind managementul riscului
g) cerintele privind procesul de evaluare de securitate
h) graficul de desfasurare in timp a activitatilor
i) procesele care sa asigure acreditarea / reacreditarea continua a SIC.
IMPLEMENTAREA STRATEGIEI DE ACREDITARE
AAS este entitatea care evalueaza si monitorizeaza modul de implementare a masurilor de securitate.
Pentru luarea unei decizii privind acreditarea, AAS poate sa ceara o confirmare oficiala de la AOSIC.
. Managementul riscului de securitate
Etapele procesului de management al riscului de securitate:
Etapa de analiza a riscului de securitate.
Etapa de reducere a riscului de securitate.
Nota:
DS 3 - Metodologie privind managementul riscului de securitate pentru sistemele informatice si de comunicatii care stocheaza, proceseaza sau transmit informatii clasificate, aprobata prin ordinul nr. 389/11.11.2004 al Directorului general al ORNISS si publicat in Monitorul Oficial al Romaniei nr. 1081/ 19.11.2004, Partea I.
Riscul de securitate - probabilitatea ca o amenintare la adresa securitatii SIC sa exploateze o vulnerabilitate a acestuia.
Amenintarea - posibilitatea de compromitere accidentala sau deliberata a securitatii SIC.
Vulnerabilitatea - poate fi definita ca fiind o slabiciune sau o deficienta care ar permite sau ar facilita o manevra de amenintare impotriva unei valori sau a unei tinte specifice.
Efectul exploatarii unei vulnerabilitati a SIC de catre o amenintare este compromiterea obiectivelor securitatii: confidentialitate, integritate, disponibilitate.
PIERDEREA CONFIDENTIALITATII
Accesul neautorizat la informatii clasificate
PIERDEREA INTEGRITATII
Informatiile, resursele sau serviciile SIC au constituie subiectul unei modificari neautorizate si/sau stergerii neautorizate
PIERDEREA DISPONIBILITATII
Informatiile, resursele sau serviciile SIC devin partial sau complet indisponibile pentru utilizatorii sai autorizati
Analiza riscului de securitate
Nota
Analiza riscului de securitate se realizeaza periodic urmare a modificarilor asupra amenintarilor, vulnerabilitatilor, misiunii SIC, facilitatilor si echipamentului.
DS 4 - Ghid INFOSEC privind analiza naturii si proportiilor amenintarilor si vulnerabilitatilor la adresa sistemelor informatice si de comunicatii (SIC) aprobata prin Ordinul nr. 3 din 5.01.2005 al Directorului General al ORNISS, ordin publicat in Monitorul Oficial al Romaniei Partea I nr.74 din 21.01.2005
Analiza riscului este prima etapa din procesul de management al riscului.
Se efectueaza in fiecare etapa a CVS.
Rezultatul analizei riscului contribuie la identificarea masurilor de securitate corespunzatoare pentru reducerea acestuia.
Avantaje
Managerii pot lua decizii documentate privind managementul riscului.
Managerii pot fundamenta bugetul aferent securitatii informatiilor bazat pe o analiza obiectiva a riscului.
Ofera o descriere concreta a sistemului si o evaluare calitativa a riscului de securitate (de exemplu: inalt, mediu, mic).
Etapa care se deruleaza in 9 pasi.
1. Identificarea si evaluarea bunurilor SIC
2. Identificarea amenintarilor
3. Identificarea vulnerabilitatilor
4. Analiza masurilor de securitate existente
5. Determinarea probabilitatii producerii evenimentului nedorit
6. Analiza impactului producerii unui eveniment nedorit
7. Determinarea riscurilor
8. Recomandari privind masurile de securitate
9. Elaborarea raportului privind analiza riscului
3. . Reducerea riscului de securitate
1. Ierarhizarea actiunilor
2. Evaluarea masurilor de securitate recomandate
3. Analiza cost-beneficiu
Selectarea masurilor de securitate
5. Atribuirea responsabilitatilor
6. Elaborarea planului de implementare a masurilor de securitate
7. Implementarea masurilor de securitate selectate si Identificarea riscului rezidual
. Elaborarea evaluarea si aprobarea Documentatiei de Securitate.
1. Raportul privind analiza riscului de securitate;
2. Documentatia cu Cerintele de Securitate (DCS);
3. Documentatia cu Procedurile Operationale de Securitate (PrOpSec);
4. Ghidul general de securitate pentru utilizatori;
5. Planul pentru continuarea activitatii in situatii de urgenta (PCA);
. Alte documente.
3.4.1. Raportul privind analiza riscului de securitate
1. Introducere
2. Modul de abordare a analizei riscului
3. Descrierea sistemului
4. Lista amenintarilor
5. Lista vulnerabilitatilor
6. Rezultatele analizei riscului
7. Concluzii
Nota Model in DS 3, anexa nr. 2
3.4.2. Documentatia cu Cerintele de Securitate (DCS)
Va fi elaborata de AOSIC impreuna cu structura de planificare a SIC si managerul de proiect.
Va fi formulata inca din etapa de planificare a SIC.
Va fi imbunatatita pe masura dezvoltarii proiectului.
a) politica de securitate nationala;
b) directivele INFOSEC emise de ORNISS;
c) procesul de management al riscului;
d) parametrii impusi care se refera la mediul operational cum ar fi : - cel mai scazut nivel al certificatului de securitate al personalului;
- cel mai ridicat nivel de clasificare al informatiilor vehiculate;
- modul de operare de securitate;
- cerintele pentru utilizatori.
DCS reprezinta o documentatie completa si explicita privind principiile securitatii care trebuie avute in vedere si cerintele detaliate de securitate care trebuie indeplinite.
DS 1 - Ghid pentru elaborarea documentatiei cu cerintele de securitate (DCS) pentru sisteme informatice si de comunicatii (SIC), aprobata prin ordinul nr. 488/21.11.2003 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. 865/ 05.12.2003, Partea I.
Tipuri de Documentatie cu Cerinte de Securitate:
a) Documentul cu Cerintele de Securitate Comunitara;
b) Documentul cu Cerintele de Securitate pentru Interconectarea Sistemelor;
c) Documentul cu Cerintele de Securitate Specifice Sistemului;
d) Documentul cu Cerintele de Securitate a Informatiilor Electronice Specifice Sistemului.
3.4.3. Documentul cu Procedurile Operationale de Securitate (PrOpSec)
Documentul PrOpSec reprezinta o descriere a modului de implementare a masurilor de securitate care urmeaza sa fie adoptate pentru un SIC, a procedurilor operationale de urmat si a responsabilitatilor personalului SIC.
DS 2 - Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii aprobat prin ordinul nr. 489/21.11.2003 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. 865/ 05.12.2003, Partea I.
Ghidul general de securitate al utilizatorilor
Documentul este destinat utilizatorilor SIC in vederea luarii la cunostinta si insusirea prevederilor PrOpSec in partile care ii privesc.
Se semneaza un angajament pentru utilizatorii SIC.
Detalii in Ghidul DS 2, Anexa 1.
Planul de masuri IT pentru continuarea activitatii in situatii de urgenta (PCA)
PCA cuprinde masurile si procedurile tehnice si non-tehnice care permit refacerea rapida a informatiilor, resurselor si serviciilor unui SIC.
PCA trebuie actualizat, diseminat catre personal si verificata eficienta sa prin exercitii periodice.
DS 7 - 'Metodologia privind elaborarea planului pentru continuarea activitatii in situatii de urgenta pentru sisteme informatice si de comunicatii (SIC) care vehiculeaza informatii clasificate", aprobat prin ordinul nr. 149/18.04.2005 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. , Partea I.
Evaluarea si testarea securitatii.
AAS trebuie sa efectueze verificarea mediilor de securitate.
Constatarile rezultate din verificare vor sta la baza unui raport care trebuie sa identifice orice deficiente privind implementarea masurilor de securitate aprobate si sa contina masurile corective necesare, inculzand termene precise de indeplinire
. Luarea deciziei privind acreditarea SIC.
AAS poate propune Comitetului Interdepartamental de Acreditare de Securitate al ORNISS luarea uneia din urmatoarele decizii:
a) Acreditarea - emiterea Certificatului de Acreditare de Securitate;
b) Aprobarea pentru exploatarea SIC in afara mediului operational stabilit initial;
c) 'Aprobare Limitata de Operare" (ALO);
d) 'Aprobare Provizorie de Operare' (APO);
e) Neacreditarea.
4. ACTIVITATI POST - ACREDITARE
AAS va monitoriza aspectele referitoare la securitatea SIC aflate in responsabilitatea sa, prin executarea de verificari INFOSEC privind securitatea.
Investigarea oricaror incalcari, sau posibile incalcari, ale prevederilor referitoare la securitate.
Necesitatea reacreditarii SIC in cazul:
a) schimbarii nivelului de clasificare a informatiilor care au ca efect o schimbare a masurilor de securitate;
b) schimbarii in cerintele de securitate rezultata ca urmare a schimbarii politicii de securitate;
c) schimbarii amenintarilor sau a vulnerabilitatilor asupra SIC (sau ale unui SIC cu care este interconectat);
d) modificarii Mediului de Securitate Electronica;
e) incalcarii securitatii, violarea integritatii SIC etc.
f) schimbarii semnificative a structurii fizice a obiectivului sau a Procedurilor Operationale de Securitate (PrOpSec);
g) schimbarii semnificative a configuratiei SIC;
h) includerii in retea a unui SIC suplimentar sau al modificarii / inlocuirii SIC-urilor conectate;
i) rezultatelor unei verificari.
XVIII. Protectia informatiilor UE clasificate
Clase si niveluri de secretizare
Principii de acces
Niveluri de clasificare
Forme de autorizare a accesului
Cerinte minime pentru protectia informatiilor clasificate UE care fac obiectul activitatilor contractuale
Anexa de securitate
Certificat de securitate industriala
Obiectiv industrial
Securitatea fizica a informatiilor UE clasificate
Obiective
Planul de securitate fizica
Masuri de securitate fizica
o Incintele
o Sistemele de detectie / iluminare
o Accesul vizitatorilor
o Forta de securitate
o Masuri suplimentare in zone de securitate
o Planul de securitate fizica
XIX. CERINTE MINIME
PENTRU PROTECTIA INFORMATIILOR UE CLASIFICATE CARE FAC OBIECTUL
ACTIVITATILOR CONTRACTUALE
Cadrul legal
Ordinul nr. 491/21.12.2005 al Directorului General al ORNISS
pentru aprobarea cerintelor minime pentru protectia informatiilor UE clasificate care fac obiectul activitatilor contractule
publicat in Monitorul Oficial al Romaniei, Partea I, nr. 20/10.01.2006
Notiuni generale
Securitate industriala
Obiectiv industrial
Certificat de securitate industriala (CSI-UE)
Contract/subcontract clasificat
Contractant/subcontractant
Anexa de securitate (AS)
Lista clasificarilor de securitate (LCS)
Securitate industriala - ansamblul masurilor si procedurilor de protectie a informatiilor UE clasificate, aplicabile obiectivelor industriale care au acces la acestea in cadrul contractelor;
Obiectiv industrial - persoana juridica care desfasoara activitati de producere/furnizare de bunuri/servicii in domeniul industrial, comercial, stiintific sau de cercetare-dezvoltare;
Certificat de securitate industriala UE - document care atesta ca, din punct de vedere al securitatii, un obiectiv industrial asigura masuri adecvate de protectie a informatiilor UE clasificate de un anumit nivel;
Contract/subcontract clasificat - contract incheiat in conditiile legii, care presupune accesul la informatii UE clasificate de un anumit nivel
Contractant/subcontractant - obiectivul industrial parte a unui contract/subcontract clasificat;
Anexa de securitate - documentul elaborat de partea contractanta care pune la dispozitia celeilalte parti informatii UE clasificate si care cuprinde cerintele de securitate specifice contractului;
Lista clasificarilor de securitate - documentul cuprinzand categoriile de informatii UE clasificate, gestionate in cadrul contractului, precum si nivelurile de clasificare atribuite acestora;
Cerinte de securitate generale privind negocierea si derularea contractelor/subcontractelor clasificate
Detinerea certificatului de securitate industriala UE de nivel CONFIDENTIEL sau superior
Aplicarea principiului "necesitatea de a cunoaste"
Obtinerea permisiunii de subcontractare de la autoritatea contractanta
Contractantii/subcontractantii care au acces la informatii UE clasificate sunt responsabili de protectia acestora
Contractele/subcontractele clasificate vor contine o Anexa de Securitate
Anexa de securitate va contine Lista Clasificarilor de Securitate
Notificarea la ORNISS a intentiei de contractare/subcontractare
Initierea procedurii de eliberare a CSI-UE, prin ORNISS
Avizarea Anexei de Securitate de ORNISS
Procedura de eliberare a CSI-UE
Cerinte de securitate pentru obiectivul industrial:
Sa nu prezinte riscuri de securitate;
Sa fie stabil din punct de vedere economic;
Personalul implicat in negocierea/derularea contractului clasificat sa fie autorizat la nivel corespunzator pentru acces la informatii UE clasificate;
Sa nu fi inregistrat incidente de securitate cu implicatii grave din punct de vedere al securitatii informatiilor UE clasificate;
Sa fi respectat obligatiile asumate in cadrul tuturor contractelor clasificate derulate anterior;
Sa fi implementat masuri de securitate fizica si a informatiilor UE clasificate, dupa caz;
Sa fi implementat masuri de securitate a informatiilor vehiculate in mediul electronic - INFOSEC, dupa caz.
CSI-UE pentru obiectivele industriale cu sediul in Romania se elibereaza de catre ORNISS
Documente necesare:
Cererea de eliberare a CSI-UE (Anexa nr. 1)
Chestionarul de securitate industriala (Anexa nr. 2)
Lista cu personalul/functiile implicat in negocierea / derularea contractului clasificat
Document justificativ pentru cerere
ORNISS solicita ADS competente efectuarea verificarilor de securitate
ADS elibereaza avizul de securitate - termen 45 zile lucratoare
ORNISS efectuaza inspectii de securitate si poate solicita informatii de la persoana juridica aflata in procedura de certificare, dupa caz
ORNISS elibereaza CSI-UE daca sunt indeplinite cerintele de securitate sau comunica refuzul eliberarii - termen 60 zile lucratoare
Valabilitatea CSI-UE este de 3 ani
ORNISS decide mentinerea sau retragerea CSI-UE
Retragerea CSI-UE implica retragerea informatiilor UE clasificate
Obiectivul industrial detinator de CSI-UE nu va face public statul sau de securitate
Obiectivele industriale detinatoare de certificate de securitate industriala nationale sau NATO pot fi certificate pentru acces la informatii UE clasificate in anumite conditii:
Personalul implicat in negocierea si derularea contractului clasificat este autorizat pentru acces la informatii UE clasificate
Au implementat masuri de securitate fizica si a informatiilor UE clasificate si/sau masuri INFOSEC, dupa caz
Vizite
Vizitele efectuate de reprezentanti ai contractantilor/ subcontractantilor la obiective industriale implicate in contracte/subcontracte clasificate vor fi notificate in prealabil la ORNISS
Notificarea va contine:
Datele de identificare ale vizitatorului
Calitatea in care se efectueaza vizita, denumirea institutiei/companiei/organizatiei pe care vizitatorul o reprezinta sau din care face parte;
Scopul vizitei;
Confirmarea ca vizitatorul este autorizat sa aiba acces la informatii UE clasificate de nivel cel putin egal cu cel al informatiilor pe care urmeaza sa le acceseze;
Denumirea si adresa obiectivului industrial care urmeaza a fi vizitat;
Data sosirii si data plecarii.
Transportul international al materialelor UE clasificate
Ordonanta Guvernului nr. 52/2005 privind organizarea si desfasurarea activitatii de curierat pentru materialele NATO clasificate, aprobata si modificata prin Legea nr. 342/2005.
Principii :
Se va asigura securitatea materialelor UE clasificate in toate etapele transportului si in toate conditiile, de la plecare pana la destinatia finala;
Masurile de protectie aplicabile pe parcursul transportului vor fi determinate de cel mai inalt nivel de clasificare al materialelor continute;
Transportatorii vor fi certificati din punct de vedere al securitatii industriale, dupa caz;
Toate etapele transportului vor fi planificate si realizate in cel mai scurt timp posibil;
Rutele de transport vor fi alese astfel incat sa tranziteze numai teritoriile statelor membre UE;
Inaintea efectuarii unui transport de materiale UE clasificate, expeditorul trebuie sa elaboreze Planul de transport, aprobat de autoritatile competente.
XX. CONTRACTE NATO
CLASIFICATE
- elemente de procedura -
Baza legala
n OUG nr. 153/2002 aprobata prin Legea nr. 101/2003
n HG nr. 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania
n Ordin nr. 491/2003 al Directorului General al ORNISS pentru aprobarea Normelor metodologice privind protectia informatiilor clasificate in cadrul activitatilor contractuale NATO
Contract NATO clasificat -definitie
n orice contract incheiat de o institutie militara sau civila NATO sau de un stat membru NATO in vederea realizarii unui program/proiect initiat, negociat sau administrat de NATO si in cadrul caruia este necesar accesul sau se genereaza informatii NATO clasificate
Negocierea contractelor NATO clasificate - contracte principale
n Organism/Birou de Management al Proiectului NATO (OMPN) - organism/birou executiv al unui Organism de Productie si Logistica al NATO;
n responsabil de proiect
n negociaza si atribuie contractul principal
n Organism de Productie si Logistica al NATO (OPLN) - organism auxiliar creat in cadrul NATO in vederea implementarii sarcinilor specifice rezultate din Tratatul Nord Atlantic, careia Consiliul Nord Atlantic ii garanteaza autonomia organizationala, administrativa si financiara.
n Contractantul principal:
n responsabil fata de OMPN pentru activitatile de subcontractare
n detine certificat de securitate industriala NATO (CSIN) corespunzator
n Invitatiile la licitatii - clauze:
n Returnarea documentatiei NATO de catre potentialul ofertantul care nu transmite oferta;
n Returnarea documentatiei de catre ofertantul care nu a castigat licitatia (termen < 15 zile
n Ofertantul care a pierdut licitatia este obligat, in baza angajamentului semnat, sa pastreze confidentialitatea datelor la care a avut acces.
Negocierea contractelor NATO clasificate - subcontracte
n Conditii pentru sub-contractare:
n Obtinerea acordului OMPN inainte de negocierea sub-contractului;
n Obtinerea acordului inainte de a solicita confirmarea detinerii CSIN sau initierea verificarilor pentru sub-contractant;
n Obtinerea acordurilor, initierea eliberarii CSIN se face prin ANS (ORNISS)
n Contractantul principal este obligat sa puna la dispozitia sub-contractantului toate detaliile referitoare la protectia informatiilor NATO clasificate aferente activitatii de sub-contractare.
Negocierea contractelor NATO clasificate - obligatii contractanti
n Personalul participant la negociere
detine certificat de securitate NATO de nivel corespunzator
are acces numai la informatiile clasificate necesare negocierii
n Pastrarea evidentei tuturor participantilor la negocieri minim 2 ani (numele, organizatia, data si scopul intalnirii)
n Pastrarea evidentei sub-contractantilor certificati si impunerea unor conditii de securitate similare
Contracte NATO clasificate -ISP, AS
n Programe/proiecte de importanta deosebita
n Instructiunile de Securitate ale Proiectului (ISP) contin Ghidul Clasificarilor de Securitate (GCS)
n Alte programe/proiecte
n Anexa de Securitate (AS) contine Lista Clasificarilor de Securitate (LCS)
n IS si AS
n Completeaza masurile de securitate
n Compatibilizeaza procedurile de securitate
n Obligatorii pentru participanti
Atributiile ORNISS in domeniul securitatii industriale NATO
n Aproba si elibereaza certificatul de securitate industriala NATO (CSIN);
n Monitorizeaza, impreuna cu autoritatile competente, respectarea cerintelor de securitate ce trebuie indeplinite de un obiectiv industrial;
n Coordoneaza aplicarea masurilor de securitate stabilite in comun cu ANS/ADS din statele membre NATO
n Gestioneaza la nivel national, evidentele privind:
n obiectivele industriale detinatoare de CSIN;
n persoanele fizice care detin certificate de securitate NATO implicate in activitati contractuale NATO;
n persoanele care efectueaza vizite internationale, in legatura cu activitatile contractuale sau alte scopuri oficiale si care presupun accesul la informatii NATO clasificate, in Romania;
n La cererea NATO sau ANS/ADS din statele membre NATO, initiaza procedura de eliberare a CSIN si confirma detinerea CSIN
n Coordoneaza si participa la activitatile de control in cazurile in care s-au semnalat incidente de securitate
n Stabileste masuri si proceduri adecvate de protectie a informatiilor NATO clasificate si verifica aplicarea acestora pentru a preveni producerea incidentelor de securitate
Certificatul de securitate industriala NATO (CSIN)
n Contracte clasificate NATO CONFIDENTIAL si superior
necesita CSIN
n Contracte NATO RESTRICTED
secret de serviciu
nu necesita CSIN
CSNR
Certificatul de securitate industriala NATO (CSIN)
Obiectivele certificarii:
n prevenirea accesului persoanelor neautorizate la informatii NATO clasificate;
n garantarea faptului ca accesul la informatiile NATO clasificate se face cu respectarea reglementarilor de securitate privind acest tip de informatii si in conformitate cu principiul necesitatii de a cunoaste;
n identificarea persoanelor care, prin actiunile lor, pot pune in pericol securitatea informatiilor NATO clasificate si interzicerea accesului acestor persoane la astfel de informatii;
n garantarea faptului ca obiectivele industriale au capacitatea de a proteja informatiile NATO clasificate in procesul de negociere si derulare a contractului.
Documente CSIN
n Cererea de eliberarea CSIN;
n Formularul de securitate industriala corespunzator celui mai inalt nivel de clasificare a informatiilor NATO care fac obiectul negocierii sau derularii contractului clasificat;
n Existenta oportunitatii de participare la negocierea/derularea unui contract NATO clasificat
Cerinte minime pentru eliberarea CSIN
n Sa nu prezinte riscuri de securitate
n Sa posede sistem de protectie a informatiilor NATO clasificate corespunzator;
n Sa fie stabil din punct de vedere economic
Nu este in proces de lichidare
Nu este in stare de faliment
Nu este implicat intr-un litigiu care ii afecteaza stabilitatea economica
Isi indeplineste obligatiile financiare catre stat, persoane fizice si juridice
n Sa nu fi comis greseli de management cu implicatii grave din punct de vedere al securitatii informatiilor NATO clasificate;
n Sa fi respectat obligatiile asumate in toate contractele NATO clasificate, derulate anterior.
Sistem de protectie a informatiilor NATO clasificate, dupa caz:
Securitatea personalului
n Persoanele care ocupa pozitii/functii care le faciliteaza accesul la informatii NATO clasificate in cazul negocierii/derularii de contracte NATO trebuie sa detina certificat de securitate corespunzator
Securitatea fizica si a documentelor
n Plan de securitate avizat
n Autorizatie de infiintare si functionare a CSNR
INFOSEC
n Acreditarea Sistemului Informatic si de Comunicatii
Derularea contractelor NATO clasificate - conditii
n Contractantul principal/sub-contractantul detine certificatul de securitate industriala (CSI);
n Personalul obiectivului industrial implicat in derularea contractului NATO clasificat detine certificat de securitate;
n Personalul a fost instruit asupra reglementarilor NATO de securitate si a semnat fisa individuala de pregatire;
n Derularea contractelor se face numai dupa ce AS/ISP s-au avizat de ORNISS.
Derularea contractelor NATO clasificate - masuri de securitate pentru contractant
n Sa fi desemnat functionar/structura de securitate;
n Sa mentina o relatie continua cu ORNISS;
n Sa asigure sprijinul pentru efectuarea inspectiilor periodice de securitate;
n Sa nu permita copierea nici unei informatii NATO clasificate, decat daca acest lucru este permis prin contract sau cu aprobarea OMPN;
n Sa tina evidenta certificatelor de securitate pentru angajatii autorizati sa negocieze si sa deruleze contracte NATO clasificate;
n Sa interzica accesul persoanelor neautorizate la informatiile NATO clasificate;
n Sa limiteze diseminarea informatiilor NATO clasificate;
n Sa informeze ORNISS asupra oricaror compromiteri sau sustrageri de documente NATO clasificate;
n Sa impuna sub-contractantilor masuri de securitate similare cu cele aplicate contractantului;
n Sa nu utilizeze in alte scopuri decat cele specifice contractului, informatiile NATO clasificate la care are acces;
n Sa se asigure ca distrugerea documentelor este reglementata;
n Sa furnizeze la cererea ORNISS/AC toate informatiile despre persoanele care vor necesita acces la informatii NATO clasificate;
n Sa se asigure ca angajatii implicati in derularea contractelor NATO clasificate au semnat un angajament de confidentialitate.
n Sa restituie OMPN/contractului principal toate informatiile NATO clasificate ce i-au fost incredintate si cele generate pe timpul derularii contractului;
n Sa respecte orice procedura care este sau care poate fi stabilita de catre ORNISS, referitoare la protectia informatiilor NATO clasificate referitoare la contract.
Termene de eliberare a CSIN
n Pentru certificatul de securitate industriala de nivel NATO CONFIDENTIAL - 90 de zile lucratoare
n Pentru certificatul de securitate industriala de nivel NATO SECRET - 120 zile lucratoare
n Pentru certificatul de securitate industriala de nivel COSMIC TOP SECRET- 180 zile lucratoare
Valabilitatea CSIN
n 3 ani
CSIN si CSI
n CSIN
Valabil pentru negocieri si derulari de contracte NATO clasificate
Valabilitate: 3 ani
n Obligatia informarii ORNISS pentru fiecare:intentie de subcontractare, negociere, atribuire
n Avizarea fiecarei AS/ISP
n CSI
Valabil pentru derularea unui contract national clasificat
Negocierea se face in baza ASI
Valabilitate: un contract specific, dar nu mai mult de 3 ani
Retragerea CSIN
n La initiativa ORNISS
n La cererea motivata a AC, OMPN sau ANS/ADS implicate
n La trecerea la un nivel superior nivelului de certificare acordat initial
n La solicitarea obiectivului industrial
n La solicitarea motivata a conducatorului autoritatii publice in subordinea/ coordonarea caruia functioneaza obiectivul industrial
Vizite internationale
n "Cererea de Vizita", completata corespunzator
n ORNISS aproba vizita in urmatoarele conditii:
vizita are un scop oficial in legatura cu activitati NATO;
vizitatorul detine certificat de securitate corespunzator
este necesar ca vizitatorul sa cunoasca informatiile clasificate privind proiectul/programul/activitatea NATO respectiva;
Cererea de vizita :
n institutia, obiectivul solicitant
n institutia, obiectivul care urmeaza a fi vizitat
n data/datele vizitei/vizitelor
n tipul vizitei
n subiectul care va fi discutat/justificarea vizitei
n nivelul de clasificare al informatiilor anticipat a fi accesate
n scopul vizitei
n date despre vizitatori
n confirmarea ANS/ADS privind detinerea certificatelor de securitate.
n Tipuri de vizite:
n unica - pentru un scop precis, cu o durata mai mica de 30 de zile si a caror repetare nu se previzioneaza inainte de un an de la data incheierii vizitei;
n periodica - vizitele repetate pe o perioada determinata, care in mod normal nu depaseste un an si sunt organizate pentru un scop precis;
n de urgenta - vizita unica, al carei caracter de urgenta si importanta fac imposibila aplicarea procedurii normale de solicitare.
n Solicitantul vizitei → cerere de vizita → ANS
solicitant → cerere de vizita → ANS gazda → cerere de vizita → obiectiv/institutie gazda
n Obligatii de verificare ale obiectivului gazda
vizitatorul poseda autorizatie din partea ANS/ADS propriu;
vizitatorul prezinta actele de identificare corespunzatoare;
nivelul de certificare prezentat in "Cererea de Vizita" este corespunzator vizitei si scopului declarat.
n Termene: 10 - 25 zile; Romania: 25 zile
n Cererile de vizite repetate/periodice se vor folosi pentru toate contractele clasificate rezultate din programe/proiecte NATO
Valabilitate 1 an
Retransmitere pentru reavizarea anuala.
XXI. REGLEMENTARI ALE CONSILIULUI UNIUNII EUROPENE
Directiva Consiliului Europei nr. 264/2001
Protectia informatiilor vehiculate in sisteme informatice si de comunicatii
Sectiunea INFOSEC
INFOSEC se refera la aplicarea masurilor de securitate pentru protectia informatiilor procesate, stocate sau transmise prin sistemele informatice si de comunicatii, sau prin alte sisteme electronice, impotriva pierderii confidentialitatii, integritatii sau disponibilitatii, fie accidental sau intentionat a informatiilor sau a pierderii integritatii sau disponibilitatii sistemelor insele. Pentru aceasta trebuie implementate contramasuri adecvate pentru a impiedica accesul utilizatorilor neautorizati la informatiile UE clasificate, pentru a preveni falsificarea, modificarea sau stergerea neautorizata a informatiilor UE.
Directiva Consiliului Europei nr. 264/2001
AUTORITATEA DE ACREDITARE DE SECURITATE
Reprezinta:
fie o Autoritate Nationala de Securitate (ORNISS),
fie Autoritatea desemnata de Secretarul General / Inaltul Reprezentant,
fie o autoritate de securitate a unei agentii descentralizate a UE,
fie reprezentantii delegati / desemnati ai acestor structuri, in functie de SIC care trebuie acreditat.
Directiva Consiliului Europei nr. 264/2001
Autoritatea de acreditare de securitate va raspunde de asigurarea conformitatii SIC cu politica de securitate a Consiliului. Responsabilitatea principala a autoritatii de acreditare de securitate este acreditarea SIC care vehiculeaza informatii UE clasificate in mediul sau operational.
AUTORITATEA INFOSEC (AI)
Autoritatea INFOSEC raspunde de activitatile biroului INFOSEC. In ceea ce priveste SGC si, daca este cazul, agentiile descentralizate ale UE, Autoritatea INFOSEC raspunde de:
asigurarea consilierii tehnice si asistentei pentru autoritatea de acreditare de securitate;
sprijin in dezvoltarea CSSS (Cerintele de Securitate Specifice Sistemului);
- analiza CSSS pentru a se garanta conformarea cu reglementarile de securitate si politicile INFOSEC si documentele de arhitectura,
- asigurarea sprijinului pentru activitatile de pregatire si educatie ale INFOSEC,
asigurarea consilierii in investigarea incidentelor legate de INFOSEC,
stabilirea politicii de coordonare tehnica pentru a se asigura ca se utilizeaza numai software autorizat.
AUTORITATEA OPERATIONALA A SISTEMULUI INFORMATIC SI DE COMUNICATII (AOSIC)
AOSIC va raspunde de toate masurile de securitate intreprinse ca facand parte din intregul SIC. Aceasta responsabilitate cuprinde si pregatirea PrOpSec. AOSIC va specifica standardele de securitate si practicile care trebuie indeplinite de furnizorul SIC.
AOSIC poate delega o parte dintre responsabilitatile sale, acolo unde este cazul, de exemplu catre functionarul de securitate si administratorul de securitate al SIC. Diversele functii INFOSEC pot fi cumulate de o singura persoana.
MASURI TEHNICE DE SECURITATE
Controlul si evidenta.
Decizia 264 2001 prevede ca :
Accesul la informatiile clasificate SECRET UE si de nivel superior trebuie inregistrat automat (fise de urmarire) sau manual intr-un registru. Aceste registre vor fi pastrate in conformitate cu reglementarile de securitate.
Din cele mentionate mai anterior reiese ca normele UE sunt mai permisive decat prevederile HG 585/2002, deoarece prevad obligativitatea inregistrarii accesului doar in ceea ce priveste informatiile de nivel SECRET UE sau superior.
In HG 585/2002 in art. 283 si art. 291. se prevad urmatoarele:
Art. 283
Toate informatiile si materialele care privesc accesul la un SPAD sau RTD - SIC sunt controlate si protejate prin reglementari corespunzatoare nivelului de clasificare cel mai inalt si specificului informatiilor la care respectivul SPAD sau RTD - SIC permite accesul.
Art. 291
(1) Evidenta automata a accesului la informatiile clasificate in format electronic se tine in registrele de acces si trebuie realizata neconditionat prin software.
Mediile de stocare pe calculator care stocheaza informatii TRES SECRET UE/ EU TOP SECRET sau de categorie speciala nu vor fi declasificate si reutilizate.
H.G. 585/2002 - Art. 297 (2) Sunt interzise declasificarea si refolosirea mediilor de stocare care contin informatii strict secrete de importanta deosebita, acestea putand fi numai distruse, in conformitate cu procedurile operationale de securitate.
MASURI CRIPTOGRAFICE
In timpul transmiterii, confidentialitatea informatiilor clasificate SECRET UE si de nivel superior va fi protejata prin metode sau produse criptografice aprobate de Consiliu la recomandarea Comitetului de Securitate al Consiliului.
Pe durata transmiterii, confidentialitatea informatiilor clasificate CONFIDENTIEL UE sau RESTREINT UE va fi protejata prin metode sau produse criptografice aprobate ori de SG/IR la recomandarea Comitetului de Securitate al Consiliului, sau de un stat membru.
In conditii operationale exceptionale, informatiile clasificate RESTREINT UE, CONFIDENTIEL UE si SECRET UE pot fi transmise in text clar cu conditia ca fiecare transmitere sa fie aprobata in mod explicit de fiecare data.
Conditiile exceptionale sunt:
(a) in timpul crizelor iminente sau efective, a conflictelor sau situatiilor de razboi;
(b) atunci cand rapiditatea trimiterii lor este foarte importanta, si mijloacele de criptare nu sunt disponibile si se presupune ca informatiile transmise nu pot fi exploatate la timp in operatii care sa le influenteze in mod defavorabil.
TEMPEST
SIC care gestioneaza informatii clasificate CONFIDENTIEL UE si de nivel superior vor fi protejate astfel incat securitatea acestora sa nu poata fi amenintata de emisii compromitatoare, al caror studiu si control este cunoscut sub numele de "TEMPEST".
Contramasurile TEMPEST pentru instalatiile SGC si agentiile descentralizate ale UE vor fi analizate si aprobate de o autoritate TEMPEST desemnata de autoritatea de Securitate SGC. Pentru instalatiile nationale care gestioneaza informatii UE clasificate, autoritatea care aproba va fi autoritatea de aprobare nationala TEMPEST recunoscuta (ORNISS).
In HG 585/2002 la Art. 303 exista o dispozitie asemanatoare care prevede contramasuri TEMPEST.
"Sistemele SPAD si RTD-SIC care stocheaza, proceseaza sau transmit informatii secrete de stat vor fi protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare -TEMPEST. '
SIC care gestioneaza informatii clasificate CONFIDENTIEL UE si de nivel superior vor fi protejate astfel incat securitatea acestora sa nu poata fi amenintata de emisii compromitatoare, al caror studiu si control este cunoscut sub numele de "TEMPEST".
Contramasurile TEMPEST pentru instalatiile SGC si agentiile descentralizate ale UE vor fi analizate si aprobate de o autoritate TEMPEST desemnata de autoritatea de Securitate SGC. Pentru instalatiile nationale care gestioneaza informatii UE clasificate, autoritatea care aproba va fi autoritatea de aprobare nationala TEMPEST recunoscuta (ORNISS).
In HG 585/2002 la Art. 303 exista o dispozitie asemanatoare care prevede contramasuri TEMPEST.
"Sistemele SPAD si RTD-SIC care stocheaza, proceseaza sau transmit informatii secrete de stat vor fi protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare -TEMPEST. '
PROTECTIA APLICATIILOR SOFTWARE/ MANAGEMENTUL CONFIGURATIEI
Protectia de securitate a aplicatiilor software se va stabili pe baza unei evaluari a nivelului de incredere a aplicatiei insesi mai degraba decat pe baza clasificarii informatiilor pe care urmeaza sa le proceseze.
Versiunile software aflate in utilizare ar trebui verificate la intervale regulate pentru a se asigura integritatea si corecta lor functionare.
Nu se vor utiliza versiuni noi sau modificate ale software-ului pentru gestionarea informatiilor UE clasificate pana cand nu sunt verificate de AOSIC.
VERIFICAREA PREZENTEI UNUI SOFTWARE NOCIV
Verificarea prezentei unui software malitios / programe nocive (virusi, cai troieni, viermi, etc) se va face periodic, in conditiile stabilite de catre autoritatea de acreditare.
Toate mediile de stocare in format electronic ce ajung la SGC, la agentiile descentralizate ale UE sau la Statele membre vor fi verificate pentru a nu exista software malitios sau virusi de calculator, inainte de fi introduse in oricare SIC.
INTRETINEREA
Contractele si procedurile pentru intretinerea programata sau la cerere a SIC pentru care s-a prezentat CSSS vor specifica cerintele si masurile pentru personalul de intretinere si echipamentele acestuia la intrarea intr-o zona IT.
Cerintele si procedurile vor fi specificate clar in CSSS, respectiv in PrOpSec. Procedurile de acces la distanta in vederea realizarii operatiunilor de intretinere si diagnosticare vor fi permise numai in conditii speciale, sub control de securitate strict si numai cu aprobarea autoritatii de acreditare.
ACHIZITIA
Orice produs de securitate folosit impreuna cu SIC care va fi achizitionat trebuie sa fie evaluat si certificat ori in curs de evaluare si certificare de catre un organism corespunzator de Evaluare sau Certificare pe criterii recunoscute international (ca de ex. Criteriile Comune pentru Evaluarea de Securitate a Tehnologiei Informationale, vezi ISO 15 408). In vederea stabilirii metodei de procurare a echipamentelor (de ex. inchiriere sau cumparare), in mod special pentru mediile de stocare pe computer, se va avea in vedere ca astfel de echipamente, dupa ce au fost folosite pentru gestionarea informatiilor UE clasificate, nu pot fi transferate in afara unui mediu de securitate corespunzator fara a fi mai intai declasificate cu aprobarea autoritatii de acreditare, iar o astfel de aprobare s-ar putea sa nu fie intotdeauna posibila.
ACREDITAREA
Toate SIC pentru care se prezinta CSSS, inainte de a gestiona informatii UE clasificate, vor fi acreditate de autoritatea de acreditare pe baza informatiilor oferite de CSSS, PrOpSec si oricare alta documentatie relevanta. Subsistemele si terminalele la distanta / statiile de lucru vor fi acreditate ca parte a sistemelor la care acestea sunt conectate. In cazul in care un SIC deserveste atat Consiliul cat si alte organizatii, SGC si Autoritatile de Securitate relevante vor conveni de comun acord asupra acreditarii.
EVALUAREA SI CERTIFICAREA
Inainte de acreditare caracteristicile de securitate hardware, firmware si software ale unui SIC vor fi evaluate si certificate in vederea stabilirii capacitatii de a proteja informatiile la nivelul de clasificare dorit.
Cerintele de evaluare si certificare vor fi incluse in planificarea SIC si vor fi clar specificate in CSSS.
Procesele de evaluare si certificare vor fi realizate in conformitate cu norme aprobate si de catre personal calificat din punct de vedere tehnic si verificat corespunzator.
Echipele pot proveni de la o autoritate de certificare sau de evaluare a unui stat membru sau de la reprezentantii sai desemnati, de exemplu de la un contractor competent si verificat.
VERIFICAREA DE RUTINA A DISPOZITIVELOR DE SECURITATE PENTRU ACREDITAREA PERMANENTA
AOSIC va stabili proceduri de control de rutina prin care sa garanteaze ca toate masurile de securitate ale SIC sunt mentinute la nivelul celor implementate la acreditare.
In CSSS trebuie sa fie mentionate si clar definite tipurile de modificari care duc la reacreditare sau care necesita o aprobare prealabila din partea autoritatii de acreditare de securitate. Pentru asigurarea bunei functionari a dispozitivelor de securitate ale SIC, AOSIC va proceda la o verificare a masurilor de securitate dupa orice modificare, reparatie sau defectiune care ar putea afecta dispozitivele de securitate ale SIC. Acreditarea permanenta a SIC depinde in mod normal de incheierea cu succes a verificarilor.
Toate SIC in care s-au implementat masuri de securitate vor fi inspectate sau revizuite periodic de catre autoritatea de acreditare de securitate. In cazul SIC care gestioneaza informatii TRES SECRET UE / EU TOP SECRET sau informatii de categorie speciala, inspectia se va efectua cel putin o data pe an.
SECURITATEA CALCULATOARELOR
Calculatoarele cu discuri fixe (sau alte medii de stocare nevolatile), care opereaza fie de sine statator, fie in retea si dispozitivele de calcul portabile (de ex. laptop si palmtop) cu hard disc-uri fixe, sunt considerate medii de stocare la fel ca si dischetele floppy sau alte medii de stocare temporare.
Acestor echipamente li se va acorda nivelul de protectie, in ceea ce priveste accesul, gestionarea, stocarea si transportul conform nivelului cel mai inalt de clasificare al informatiilor stocate sau procesate vreodata (pana cand li se scade nivelul de clasificare sau sunt declasificate in conformitate cu procedurile aprobate).
UTILIZAREA ECHIPAMENTULUI PROPRIU
Este interzisa utilizarea mediilor proprii (personale) de stocare in format electronic , a programelor software , a dispozitivelor hardware (de ex. laptop si palmtop, memory stick) cu capacitate de stocare pentru gestionarea informatiilor UE clasificate.
Echipamentele hardware proprii, software si mediile nu vor fi aduse in zona de Clasa I si II unde sunt gestionate informatiile UE clasificate, fara permisiunea Sefului Biroului de Securitate al SGC sau a ORNISS ori a agentiei descentralizate UE respective.
XXII. Perfectionarea cadrului de reglementari INFOSEC
Legislatie de implementare
SHAPE * MERGEFORMAT
SISTEM INFORMATIC SI DE COMUNICATII (SIC) CERINTE DE UTILIZARE CERINTE DE SECURITATE USURINTA IN OPERARE FUNCTIONARE PERFORMANTA MONITORIZARE FACILA
PLANIFICAREA SI
IMPLEMENTAREA UNUI SIC
- algoritm informativ -
SHAPE * MERGEFORMAT
PLANIFICAREA Nevoia de achizitie a SIC - cerintele operationale ANALIZA RISCULUI (ce trebuie protejat) Identif
vulnerabilitati identif. amenintari (ex: zonare Tempest, control acces). DEFINIREA CERINTELOR DE SECURITATE Fizice, de personal, INFOSEC Fizice, De personal, INFOSEC CREAREA PROCEDURILOR OPERATIONALE DE SECURITATE ACHIZITIONAREA DE ECHIPAMENTE SI
INSTRUMENTE NECESARE SIC IMPLEMENTAREA SIC Tempestizarea zonelor (acolo unde este cazul) Realizarea infrastructurii; Instalarea/amplasarea echip. IT; Implementarea pol. de securitate INFOSEC.
ANALIZA RISCULUI
CUPRINDE ANALIZAREA VULNERABILITATILOR SI IDENTIFICAREA AMENINTARILOR PENTRU URMATOARELE OBIECTIVE:
Transmisiile de date;
Emisiile de radiatii electromagnetice parazite - TEMPEST;
Securitatea calculatoarelor - COMPUSEC;
Securitatea fizica, procedurala, de personal si a documentelor.
TRANSMISIILE DE DATE:
v Mecanismele de transmitere a informatiilor;
v Mecanismele de identificare unica a procesului de introducere/extragere a informatiei in/din cadrul SIC;
v Analizarea scenariilor posibile de compromitere a informatiilor;
v Identificarea modalitatilor de combatere a amenintarilor.
EMISIILE DE RADIATII ELECTROMAGNETICE PARAZITE - TEMPEST
v Masurarea si catalogarea locatiilor in care se intentioneaza instalarea SIC;
v Identificarea punctelor vulnerabile d.p.d.v. al emisiilor;
v Analizarea posibilitatilor de reducere a riscurilor identificate;
v Proiect: SECURITATEA EMISIILOR - EMSEC.
SECURITATEA CALCULATOARELOR - COMPUSEC:
v Securitatea mediului/sistemul de operare;
v Modul de acces la informatie
v Identificarea posibilitatilor de compromitere a informatiilor vehiculate in cadrul SIC;
v determinarea nivelului de incredere minim necesar pentru produsele utilizate in cadrul SIC.
SECURITATEA FIZICA, PROCEDURALA, DE PERSONAL SI A DOCUMENTELOR:
v Sisteme antiefractie;
v Sisteme de control al accesului
v Sisteme de detectie si protectie antiincendiu
v Sisteme de detectie a inundatiilor;
v Surse de putere neintreruptibila.
ACHIZITIONAREA DE ECHIPAMENTE SI INSTRUMENTE NECESARE SIC
Echipamentele necesare SIC:
q Elemente de tehnica de calcul:
Servere;
Calculatoare;
Laptop-uri;
Imprimante;
Cititoare de carduri, mecanisme biometrice de autentificare;
unitati de memorie mobile, etc.
q Elemente de retelistica:
Active de retea - routere, hub-uri, switch-uri;
Pasive de retea - cabluri, conectori, rack-uri
Instrumente (software) necesare SIC:
q Software necesar asigurarii scopului SIC:
Sisteme de operare;
Aplicatii office - desktop;
Aplicatii multimedia;
Utilitare de prelucrare a informatiei (arhivatoare, etc.);
Programe de scriere a informatiei pe medii externe
q Software necesar asigurarii securitatii SIC:
Mecanisme de identificare si autentificare a utilizatorilor SIC;
Detectia intruziunilor, protectie antivirus;
Managementul configuratiei hardware si software;
Auditul evenimentelor de securitate din cadrul SIC.
Selectarea elementelor de tehnica de calcul corespunzatoare
|
CERINTELE OPERATIONALE |
|
CONFIGURATIA HARDWARE SI SOFTWARE A SIC |
|
ALEGEREA ECHIPAMENTELOR si INSTRUMENTELOR CONFORM LISTELOR O.R.N.I.S.S. |
SHAPE * MERGEFORMAT
CERINTELE
OPERATIONALE CARACTERISTICILE SIC referitoare la TRANSFERUL DE INFORMATII ALEGEREA ACTIVELOR (hub-uri, switch-uri, routere) SI PASIVELOR DE
RETEA(cabluri, conectori rack-uri ) CONFORM LISTELOR O.R.N.I.S.S.
SHAPE * MERGEFORMAT
CONSULTANTA O.R.N.I.S.S.
ANALIZA RISCULUI:
v se realizeaza de entitati acreditate de catre O.R.N.I.S.S.
v O.R.N.I.S.S. => liste cu entitatile acreditate pe domenii de activitate;
ACHIZITIONAREA DE ECHIPAMENTE SI INSTRUMENTE pt. SIC:
v se identifica cerintele minime de securitate ce trebuie asigurat de ansamblul echipamentelor hardware - instrumente software necesare;
v Se aleg echipamentele/instrumente pe baza listelor de produse certificate: securitatea emisiilor, produse criptografice, produse de securitate IT;
CERTIFICAREA DE PRODUSE HARDWARE SI SOFTWARE:
v orice institutie ce detine sau doreste sa implementeze un SIC clasificat poate inainta o cerere de demarare a procedurilor de certificare pentru un produs sau lista de produse catre o entitate acreditata - prin O.R.N.I.S.S
v produsul/produsele vor fi certificate numai pe domeniul de activitate al entitatii respective.
INFORMATIC SI DE COMUNICATII
- SIC -
Securitatea informatiilor este responsabilitatea ta!
INFOSEC -
ANSAMBLU ECHILIBRAT DE MASURI DE SECURITATE
Retineti!
Securitatea SIC sprijina misiunea organizatiei
Securitatea SIC face parte integranta din activitatea de management a organizatiei
Securitatea SIC trebuie sa fie eficienta din punct de vedere al costurilor
Responsabilitatile in domeniul securitatii SIC trebuie sa fie clar stabilite si transmise personalului
Proprietarii SIC au responsabilitati de securitate si in afara organizatiei lor
Securitatea SIC necesita o abordare comprehensiva si integrata
Securitatea SIC trebuie sa fie reevaluata periodic
Securitatea SIC este determinata de factorii sociali
-AUTORITATEA OPERATIONALA A SIC-
AOSIC este persoana sau compartimentul avand responsabilitatea, delegata de catre ASIC, asupra SIC pentru implementarea metodelor si mijloacelor necesare protectiei informatiilor, precum si pentru exploatarea operationala a SIC in conditii de securitate. Responsabilitatea AOSIC cuprinde intregul ciclu de viata al SIC, incepand cu proiectarea, continuand cu elaborarea specificatiilor, testarea instalarii, acreditarea, testarea periodica in vederea reacreditarii, exploatarea operationala, modificarea si sfarsind cu scoaterea din uz. In anumite situatii speciale rolul AOSIC poate fi preluat de catre diverse componente ale organizatiei, in decursul ciclului de viata. Este important ca rolul AOSIC sa fie de la inceput identificat si exercitat fara intrerupere in decursul ciclului de viata.
|
Initializare |
|
Implementare |
|
Operare/ Intretinere |
|
Dezafectare |
|
Evaluarea sensibilitatii |
|
Determinarea cerintelor de securitate (inclusiv analiza de risc) |
|
Determinarea cerintelor de securitate (inclusiv analiza de risc) |
|
Instalarea/ Pornirea controalelor de securitate |
|
Instruire de securitate (inclusiv Certificare) |
Acreditare |
|
Obtinerea/Cumpararea sistemului si activitati de securitate aferente |
|
Operarea si administrarea de securitate |
|
Siguranta operarii (Monitorizare, Audit) |
|
Administrarea schimbarilor |
|
Recreditarea periodica |
 |
- Planul de securitate a sistemelor IT -
MANAGEMENTUL PAROLELOR
SIC trebuie proiectate astfel incat sa permita atribuirea sarcinilor si raspunderilor personalului de o asa maniera incat sa nu existe o persoana care sa aiba cunostinta de sau acces la toate cheile de securitate (parole, mijloace de identificare personala etc.) si la toate programele.
Parolele nu constituie unicul mecanism de autentificare, astfel incat pentru SIC sensibile si vulnerabile trebuie cautate metode de autentificare sofisticate si/sau multiple, de exemplu, prin utilizarea semnaturii, a dispozitivelor de amprenta vocala si identificare personala, in combinatie cu parolele.
(a) unui viitor utilizator al SIC trebuie sa i se atribuie mai intai o parola;
(b) parola unui utilizator trebuie schimbata periodic;
(c) SIC trebuie sa tina o baza de date cu parole, preferabil cu parolele criptate. Baza de date cu parole, fie ea in forma criptata sau nu, trebuie sa fie protejata corespunzator;
(d) utilizatorii vor evita sa realizeze copii ale parolelor, exceptie facand circumstantele definite in continuare;
(e) accesul la un SIC trebuie permis numai dupa introducerea unui identificator (ID) si a unei parole;
(f) ca o regula generala, nu sunt permise parole de grup.
Reguli generale privind ID-ul si parolele utilizatorilor
este de preferat evitarea cunoasterii parolei chiar si de catre administrator
Minimum caractere, dar 10 este de preferat
Alfabetice, numerice si caractere speciale
Expresii sau combinatii consonante (dar nu cuvinte cu inteles real, comun)
Maximum 3 caractere identice consecutive, in orice pozitie, fata de parola anterioara
utilizarea unui generator de parole fonetice
Memorati parola, nu o scrieti pe nimic
Schimbati-o cel putin o data la 6 luni
Responsabilitatile specifice ale administratorului de securitate al SIC
Parolele initiale ale sistemului Administratorul de securitate al SIC trebuie sa schimbe parolele pentru toti identificatorii standard (de exemplu SYSTEM, TEST, MANAGER), inainte ca utilizatorilor sa li sa permita accesul la SIC
Alocarea parolei initiale de utilizator Administratorul de securitate al SIC genereaza si protejeaza parolele prin:
prezenta utilizatorului in momentul generarii parolei. Administratorul de securitate al SIC trebuie sa initieze procedura de generare a parolei si utilizatorul trebuie sa o protejeze si apoi sa o inlocuiasca sau sa o stearga de pe ecran;
tiparirea parolei generate pe un formular special multi-pagina sigilat.
Autorizarea schimbarii parolei - administratorul de securitate al SIC trebuie sa aiba permisiunea de schimbare a parolei unui utilizator prin generarea unei parole noi in anumite situatii si conform unor proceduri bine stabilite in procedurile operationale de securitate;
Unicitatea identificatorilor de utilizator (ID) - Managementul identificatorilor de utilizator trebuie sa fie sub controlul administratorului de securitate al SIC
Revalidarea ID-ului de utilizator - Administratorul de securitate al SIC va fi instiintat prompt in cazul in care un ID si parola trebuie eliminate din SIC. Ca regula, toate ID-urile trebuie sa fie revalidate periodic (recomandat la 1 an), iar informatiile despre posesor reactualizate, daca este cazul.
Constientizarea responsabilitatilor de securitate - Utilizatorii trebuie sa inteleaga responsabilitatea lor de a pastra confidentialitatea parolelor si de a raporta incidentele de securitate sau alte evenimente anormale referitoare la sistem sau la utilizatorii acestuia;
Schimbarea parolelor - periodic, nu mai rar de o data la 6 luni
- utilizatorii trebuie sa aiba posibilitatea sa schime parolele intr-o maniera sigura, care implica respectarea unei proceduri
- trebuie sa existe relatii de incredere intre cele doua SIC-uri;
- in momentul conectarii, utilizatorii trebuie sa isi declare obligatoriu identitatea, prin utilizarea parolei si a ID-ului asociat.
Memorarea parolelor
Este esential ca utilizatorii sa memoreze parolele lor fara sa le scrie pe suport fizic. Totusi, parolele pot fi plasate in forma scrisa, in interiorul unui plic sigilat, cu ID-ul si data scrise pe plic, inregistrat urmand procedurile de inregistrare legale.
Parolele memorate trebuie protejate impotriva modificarilor neautorizate sau divulgarii, prin mecanismul de control al accesului asigurat de SIC, prin criptarea parolelor, prin cartele inteligente, sau prin masuri combinate.
Introducerea parolelor
- nu trebuie sa afiseze parola tastata;
- sistemul trebuie sa inregistreze data si ora ultimei initializari reusite a unei sesiuni de lucru.
Incercari de initializare a unei sesiuni de lucru la SIC
- numarul de incercari consecutive de initializare a unei sesiuni de lucru la SIC trebuie sa fie limitat;
- se recomanda ca administratorul de securitate al SIC sa fie anuntat imediat despre incercari nereusite de accesare a sistemului.
Evidenta
SIC - capacitatea de a crea o lista de audit a modificarilor si utilizarilor suferite de parola
Evidenta trebuie sa includa:
initializarea reusita a unei sesiuni de lucru;
incercarile nereusite de initializare a unei sesiuni de lucru;
evenimente deosebite (ex.: lucrul in afara programului);
utilizarea procedurii de schimbare a parolei;
blocarea ID-ului utilizatorului;
evenimentele normale si anormale de incheiere a unei sesiuni de lucru.
Pentru fiecare eveniment, auditul trebuie sa cuprinda:
data si ora evenimentului;
tipul evenimentului;
ID-ul utilizatorului in cazul initializarii nereusite a unei sesiuni de lucru;
ID-ul utilizatorului real pentru alt tip de eveniment si originea evenimentului.
Nu va asumati riscuri! Administrati-va dischetele.
Personalul va marca si eticheta toate mediile de stocare in conformitate cu nivelul de clasificare cel mai inalt al sistemului in care acestea au fost utilizate
Decizia de declasificare a mediilor de stocare se ia numai dupa compararea riscurilor inerente cu cu avantajele financiare sau operationale pe care le aduce declasificarea Spre exemplu, de cele mai multe ori distrugerea mediilor este mai avantajoasa decat declasificarea si reutilizarea, avand in vedere costurile scazute ale mediilor de stocare
PROCEDURI DE STERGERE PENTRU REUTILIZAREA MEDIILOR DE STOCARE AMOVIBILE ALE CALCULATOARELOR
Reutilizarea in interiorul aceleiasi instalatii
- Pentru modurile de operare de securitate "dedicat" sau "de sistem nivel inalt" - nu sunt necesare proceduri speciale
- Pentru modul de operare de securitate "compartimentat" sau "multinivel" , trebuie aplicate procedura "Refolosirea intr-o alta instalatie de securitate"
Inainte ca orice mediu de stocare amovibil de calculator sa poata sa fie reutilizat intr-o alta instalatie de securitate, informatia clasificata inregistrata trebuie sa fie stearsa.
(a) benzi magnetice, casete cu banda magnetica, cartele, etc. -stergerea totala sau prin suprascrierea completa, o singura data cu informatii neclasificate;
(b) pachete de discuri, hard discuri amovibile, dischete floppy, discuri optice, etc. - se verifica mai intai daca functioneaza corect, apoi trebuie ca toate suprafetele de stocare sa fie suprascrise de trei ori, o data cu "1" logic, o data cu ,,0" logic si o data cu un singur caracter numeric, alfabetic sau caracter special, verificand fiecare suprascriere prin sondarea aleatorie a unor piste/sectoare inaintea efectuarii urmatoarei suprascrieri.
DECLASIFICAREA MEDIILOR DE STOCARE ALE CALCULATOARELOR
Trebuie mai intai stabilit daca toate informatiile pentru care au fost folosite mediile de stocare respective pot fi declasificate.
(a) cartele magnetice, benzi magnetice, cartuse / casete de benzi -declasificate prin folosirea unui echipament aprobat de demagnetizare. Nivelul semnalului rezidual rezultat trebuie sa fie cu minim 90 dB inferior nivelului de saturatie a semnalului;
(b) pachete de discuri, hard discuri amovibile, dischete floppy, discuri optice, etc. - se procedeaza asemanator cu procedurile specificate la sectiunea "Reutilizarea intr-o alta instalatie de securitate".
(c) tambure, discuri si pachete de discuri nefunctionale - cu un magnet permanent, avand un camp cu intensitatea de cel putin 120 000 A/m la nivelul suprafetei de inregistrare, astfel incat intreaga suprafata sa fie stearsa de minimum trei ori, prin trecerea neuniforma a magnetului pentru ca toate pistele sa fie baleiate de centrul magnetului.
(d) componente electronice de memorare - mediile de memorare electronice, ca de exemplu RAM, ROM, PROM, EPROM, care stocheaza informatia in format electronic si nu magnetic, trebuie declasificate urmarind procedurile aprobate de ORNISS.
Utilizarea calculatoarelor care prelucreaza informatii clasificate genereaza o mare cantitate de hartie sau material similar care va trebui distrusa in conditii de securitate. In vederea colectarii acestui material pentru a fi distrus in conditii de securitate vor trebui luate masuri adecvate la fiecare instalatie.
Informatia inregistrata trebuie sa fie stearsa sau suprascrisa inaintea distrugerii oricarui tip de material clasificat inregistrat magnetic.
(a) benzi magnetice - trebuie rupte mecanic in bucati, cu echipamentul propriu, distruse chimic sau prin incinerare
(b) dischete floppy - dischetele floppy se scot din caseta lor, se taie sau se rup intr-un numar mare de bucati si apoi se incinereaza
(c) pachete de discuri amovibile - pentru pachetele de discuri amovibile, se vor lua masuri de spargere sau de incinerare, suprafata magnetica a discurilor se va indeparta prin folosirea de hartie abraziva sau orice alt material sau tehnica abraziva
(d) discuri fixe, tambure, miezuri de ferita - trebuie avute in vedere masuri speciale de spargere sau de incinerare a lor.
SCOATEREA ECHIPAMENTULUI CE APARTINE SIC IN AFARA ZONEI DE SECURITATE
Toate componentele echipamentului, in special cele care stocheaza informatii clasificate vor fi declasificate corespunzator inainte de a fi scoase din zona
SI A ALTUI SOFTWARE NOCIV
Trebuie sa folositi software de protectie antivirus care indeplineste cerintele standard pentru servere si computere individuale.
Acest software sa fie in permanenta activ si actualizat cu datele despre virusii cunoscuti
Pasii necesari pentru reducerea riscului.
|
Exchange Server - Programul anti-virus scaneaza email-urile transmise - Blocheaza email-ul tinand cont de numele fisierului sau de extensia sa (.vbs, .exe, etc.) - pentru a proteja impotriva unor noi virusi Verificari / actualizari zilnice ale semnaturilor de virusi |
|
Server anti-virus - Actualizeaza de la distanta softaware-ul AV de pe statiile clientilor - Baga in carantina fisiere infectate Programeaza si scaneaza statiile de lucru ale clientilor Exemple servere anti-virus: Norton Symantec Systems Center McAfee ePolicy Orchestrator |
|
Statii de lucru clienti -Anti-virus-ul scaneaza primirea de email descarcarile (share, web) - Scanari periodice ale sistemului Actualizari saptamanale |
|
LAN |
Functii
Compara semnaturile virusilor si Cailor Troieni cunoscuti.
Sterge baga in carantina sau sterge fisierele infectate.
Exemple software:
Motor AV; definitii AV; Norton, McAfee (e.t.c.).
Ziua/ora infectarii
Localizarea
Punctul de contact
Nume/telefon al Administratorului de securitate
Tipul de sistem
Reconstituirea datelor
Analizarea incidentului
Implicatiile
Evaluarea pagubelor
Contramasurile luate
Recomandari
Utilizatorii trebuie sa semneze pentru cunoasterea Politicii privind mesajele electronice
Nu va credeti in siguranta.
Folositi numai e-mail pentru afaceri guvernamentale.
Stocati e-mail-urile cu precautie si stergeti orice mesaj care nu va mai foloseste.
Raportati IMEDIAT orice e-mail suspect la Ofiterul cu securitatea.
Deschideti si stocati cu precautie fisierele atasate.
ASPECTE PRIVIND SECURITATEA INTRETINERII COMPONENTELOR HARDWARE / SOFTWARE PENTRU MICROCALCULATOARE
Trebuie efectuata in mod normal in cadrul obiectivului de un personal cu certificat de securitate corespunzator. In cazul in care nu este posibil ca un microcalculator sa fie declasificat intretinerea se va face in afara zonei de securitate in baza unui contract clasificat. Dupa modificarea hardware a oricarui calculator sau dispozitiv protejat TEMPEST, trebuie realizata certificarea TEMPEST.
Trebuie sa fie realizata de personal verificat corespunzator.Este recomandat ca intretinerea aplicatiilor software sa fie in responsabilitatea personalului propriu
- configurate pentru a fi utilizate in medii de birou "tipice";
- pot fi afectate sau chiar distruse complet de factori precum suprasarcini electrice, foc, electricitate statica, lichide varsate si fum de tigara etc.
- administratorul COMSEC al SIC responsabil cu:
- filtrarea surselor de alimentare;
- utilizarea de surse de tensiune neintreruptibile.
Impamantarea de siguranta (planul de pamant)
Trebuie stabilita o impamantare comuna sigura sau un plan de impamantare, in vederea prevenirii posibilei compromiteri a datelor prin formarea de bucle de pamant.
Cu toate ca in general nu este necesara instalarea de purificatoare speciale de aer pentru sistem, reducerea sau eliminarea contaminarilor cu fum si praf sunt benefice mediilor lui de stocare.
Daca in atmosfera, intr-o anumita zona se detecteaza prezenta unui nivel ridicat al electricitatii statice, trebuie luata in considerare utilizarea de spray-uri, de covorase sau pad-uri antistatice.
Nu va pune-ti datele in primejdie. Tine-ti locul de lucru curat.
Procesarea informatiilor clasificate pe aceste echipamente trebuie sa aiba loc numai in zone care sunt desemnate pentru o clasificare corespunzatoare.
Nici un dispozitiv portabil de calcul de orice tip si descriere, care este proprietate particulara, nu poate fi folosit pentru stocare, procesare sau transmitere de informatie clasificata SECRET si cu nivel de confidentialitate mai inalt.
Dispozitivele de calcul portabile aflate in proprietatea contractantilor pot fi utilizate daca aceasta si personalul specializat avand acces la dispozitive au autorizatie / certificat de securitate corespunzator de la ORNISS.
ASPECTE PRIVIND SECURITATEA EMISIILOR ELECTROMAGNETICE COMPROMITATOARE
- Reprezinta masuri de testare si de realizare a securitatii, impotriva scurgerii de informatii prin intermediul emisiilor electromagnetice parazite.
- SIC care stocheaza, proceseaza sau transmit informatii clasificate SECRET si cu un nivel superior trebuie protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare.
TITLUL DOCUMENTULUI ELABORAT |
COD NATIONAL |
NR. ORDIN |
|
NR. M.OF. |
||
|
Directiva privind structurile cu responsabilitati in domeniul INFOSEC |
INFOSEC 1 |
O. 482/21.11.2003 M.O. 874/09.12.2003 |
|
Directiva principala privind domeniul INFOSEC |
INFOSEC 2 |
O. 483/21.11.2003 M.O. 874/09.12.2003 |
|
Directiva privind managementul INFOSEC pentru sisteme informatice si de comunicatii |
INFOSEC 3 |
O. 484/21.11.2003 M.O. 874/09.12.2003 |
|
Directiva INFOSEC Tehnica si de Implementare pentru Interconectarea Sistemelor Informatice si de Comunicatii |
INFOSEC 7 |
O. 485/21.11.2003 M.O. 874/09.12.2003 |
|
Ghid pentru elaborarea documentatiei cu cerintele de securitate (DCS) pentru sisteme informatice si de comunicatii |
DS 1 |
O. 488/21.11.2003 M.O 865/ 05.12.2003 |
|
Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii |
DS 2 |
O. 489/21.11.2003 M.O 865/ 05.12.2003 |
|
Instalarea Echipamentelor Electrice Destinate Procesarii Informatiei Clasificate |
DS 6 |
O. 490/21.11.2003 MO 885/12.12.2003 |
|
Instructiuni pentru controlul si protectia materialului COMSEC NATO in statele nemembre NATO si organizatiile internationale |
IC 1 |
O. 486/21.11.2003 M.O 865/ 05.12.2003 |
|
Directiva INFOSEC tehnica si de implementare a securitatii criptografice si a mecanismelor criptografice NATO |
IC 3 |
O. 487/21.11.2003 M.O 865/ 05.12.2003 |
|
Metodologia privind managementul riscului de securitate pentru sistemele informatice si de comunicatii care stocheaza, proceseaza sau transmit informatii clasificate |
DS 3 |
O. 389/11.11.2004 M.O. 1081/19.11.2004 |
|
Directiva INFOSEC tehnica si de implementare privind cerintele instrumentelor de securitate, selectarea, aprobarea si implementarea acestora |
INFOSEC 9 |
O. 390/11.11.2004 M.O. 1081/19.11.2004 |
|
Directiva INFOSEC tehnica si de implementare privind securitatea calculatoarelor si a retelelor locale |
INFOSEC 4 |
O. 391/11.11.2004 M.O. 1081/19.11.2004 |
|
Ghid pentru acreditarea de securitate a sistemelor informatice si de comunicatii nationale care vehiculeaza informatii NATO |
DS 8 |
O. 386/11.11.2004 M.O. 1081/19.11.2004 |
|
Ghid INFOSEC tehnic de implementare pentru protejarea sistemelor informatice si de comunicatii impotriva programelor informatice nocive |
DS 9 |
O. 387/11.11.2004 M.O 1081/19.11.2004 |
|
Directiva INFOSEC tehnice si de implementare privind securitatea transmisiilor |
INFOSEC 10 |
O. 388/11.11.2004 M.O 1081/19.11.2004 |
|
Ghid INFOSEC privind analiza naturii si proportiilor amenintarilor si vulnerabilitatilor la adresa sistemelor informatice si de comunicatii (SIC) |
DS 4 |
O. 03/05.01.2005 MO 74/21.01.2005 |
|
Ghid general de securitate a sistemelor informatice si de comunicatii |
DS 5 |
O. 04/05.01.2005 M.O 74/21.01.2005 |
|
Ordinul nr. 149 din 18.04.2005 pentru aprobarea Metodologiei privind elaborarea planului pentru continuarea activitatii in situatii de urgenta pentru sisteme informatice si de comunicatii care vehiculeaza informatii clasificate |
DS 7 |
O. M.O |
XXIV. Serviciul de Curierat al
Oficiului Registrului National al Informatiilor Secret de Stat
NECESITATE
Necesitatea desfasurarii activitatii de curierat pentru materiale NATO clasificate a aparut in urma infiintarii Contului Cripto National in aprilie 2004 si este prevazuta in urmatoarele documente NATO si nationale:
v C-M(2002)49 - Politica de securitate in cadrul NATO
Directiva ACO 15-25 - Sistemul de Curierat al Comandamentului Aliat pentru Operatii
v AMSG 293F - Instructiuni pentru managementul materialului criptografic NATO
v Documentul 2001/264/EC - Regulamentul de Securitate al Consiliului Uniunii Europene
v Ordonanta Guvernului nr. 52/2005 privind organizarea si desfasurarea activitatii de curierat pentru materialele NATO clasificate
CERINTE NATO INDEPLINITE
LEGISLATIE
Au fost publicate in MO nr. 95/1 feb. 2006 Instructiunile privind transportul materialelor NATO clasificate AC-1.
Se afla in lucru Instructiunile privind transportul personal al materialelor NATO clasificate AC-2.
Vor fi elaborate proceduri operationale specifice.
ORGANIZAREA TRANSPORTULUI MATERIALULUI NATO CLASIFICAT
SHAPE * MERGEFORMAT
NATO HQ Delegatia Romaniei la
NATO SHAPE COURIER SERVICE NDA ALE TARILOR NATO SERVICIUL DE CURIERAT AL ORNISS CONTUL CRIPTO AL
ADMC REGISTRUL CENTRAL
AL ORNISS ALTE PERSOANE
DE DREPT
PUBLIC SAU
PRIVAT IN
AFARA GRANITELOR cu
sprijin din partea : - MAE - Serviciul de Curierat Diplomatic - MApN IN
INTERIORUL TARII cu sprijin din partea SRI -
Posta Speciala
TRANSPORTUL INTERNATIONAL
Se face cu mijloace auto sau aeriene in colaborare - ORNISS - MAE - MApN
Curierii si materialele NATO clasificate beneficiaza de privilegii si imunitati identice cu cele acordate curierilor si "valizei diplomatice" in conformitate cu Acordul privind statutul Organizatiei Tratatului Atlanticului de Nord, al reprezentantilor nationali si al personalului international, adoptat la Ottawa la 20 septembrie 1951 si ratificat de Romania in decembrie 2004
TRANSPORTUL INTERN
Pe teritoriul national toate materialele NATO clasificate vor fi transportate in conformitate cu prevederile Hotararii Guvernului nr.1349/2002 privind colectarea, transportul, distribuirea si protectia, pe teritoriul Romaniei, a corespondentei clasificate.
|
Politica de confidentialitate |
 .com |
Copyright ©
2024 - Toate drepturile rezervate. Toate documentele au caracter informativ cu scop educational. |
Personaje din literatura |
| Baltagul – caracterizarea personajelor |
| Caracterizare Alexandru Lapusneanul |
| Caracterizarea lui Gavilescu |
| Caracterizarea personajelor negative din basmul |
Tehnica si mecanica |
| Cuplaje - definitii. notatii. exemple. repere istorice. |
| Actionare macara |
| Reprezentarea si cotarea filetelor |
Geografie |
| Turismul pe terra |
| Vulcanii Și mediul |
| Padurile pe terra si industrializarea lemnului |
| Termeni si conditii |
| Contact |
| Creeaza si tu |
