Creeaza.com - informatii profesionale despre


Simplitatea lucrurilor complicate - Referate profesionale unice



Acasa » afaceri » economie
Protectia informatiilor casificate in Economie

Protectia informatiilor casificate in Economie



Protectia informatiilor casificate in Economie

ACTE NORMATIVE PRIVIND PROTECTIA INFORMATIILOR CLASIFICATE SI NATIONALE, NATO SI UE


  1. Legea nr. 182/2002 privind protectia informatiilor clasificate.
  1. Legea nr. 342/2005 privind activitati de curierat nationale NATO clasificate.
  1. H.G. nr. 585/2002 privind aprobarea Standardelor nationale privind protectia informatiilor clasificate.
  1. H.G. nr. 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania.
  1. H.G. nr. 781/2002 privind protectia informatiilor secret de serviciu.
  1. H.G. nr. S 671/2003 privind aprobarea categoriilor informatiilor secrete de stat in industrie.
  1. H.G. nr. 01600/2002 privind obiectivele, sectoarele si locurile care prezinta importanta deosebita pentru protectia informatiilor secrete de stat.
  1. H.G. nr. 1349/2002 privind colectarea, transportul, distribuirea si protectia corespondentei clasificate.
  1. Ordinele O.R.N.I.S.S. nr. 490/2005 si 491/2005 privind accesul la informatii clasificate Uniunii Europene.
  1. Ordinul O.R.N.I.S.S. nr.4/2005 privind vulnerabilitatile sistemelor informatice.
  1. Ordinul O.R.N.I.S.S. nr. 149/2005 privind continuarea activitatilor in situatii de urgenta.
  1. Ordinul O.R.N.I.S.S. nr. 160/ 02.2006 referitor la Normele cadru privind securitatea informatiilor UE clasificate.
  1. Ordinul O.R.N.I.S.S. nr. 13/2006 privind masuri de protectie fizica in cadrul protectiei informatiilor UE clasificate.

I. CADRUL GENERAL DE REGLEMENTARE IN DOMENIUL PROTECTIEI INFORMATIILOR CLASIFICATE

I. ASPECTE GENERALE

INFORMATIE - cunostinte care pot fi transmise sub orice forma

INFORMATIE CLASIFICATA NATO toate informatiile clasificate de natura politica, militara si economica, vehiculate in cadrul NATO, elaborate in cadrul structurilor NATO sau primite de la statele membre ori de la alte organizatii internationale (cf. H.G. 353/2002)

CLASIFICAREA INFORMATIILOR - incadrarea informatiilor intr-o clasa si nivel de secretizare

DOCUMENT - suport fizic pe care sunt stocate informatii

DOCUMENT CLASIFICAT NATO document care contine informatii clasificate NATO

CATEGORII DE INFORMATII

- informatii clasificate – acele informatii care necesita protectie impotriva dezvaluirii neautorizate si care poarta identificatori specifici in acest sens

- informatii neclasificate - care nu sunt destinate publicului si care sunt protejate prin masuri interne, specifice fiecarei organizatii

- informatii de interes public - orice informatie care priveste activitatile sau rezulta din activitatile unei autoritati publice sau institutii publice (Legea nr. 544/2001 privind liberul acces la informatiile de interes public)

INFORMATIILE CLASIFICATE

- informatii clasificate nationale

- informatii clasificate NATO

CATEGORII DE INFORMATII CLASIFICATE NATIONALE

INFORMATIILE SECRET DE STAT, cu nivelurile de secretizare:

n     SECRET – informatii a caror divulgare este de natura sa produca daune securitatii nationale

n     STRICT SECRET – informatii a caror divulgare este de natura sa produca daune grave securitatii nationale

n     STRICT SECRET DE IMPORTANTA DEOSEBITA – informatii a caror divulgare este de natura sa produca daune de o gravitate exceptionala securitatii nationale

INFORMATIILE SECRET SE SERVICIU – informatii a caror divulgare este de natura sa determine prejudicii unei persoane juridice de drept public sau privat

INFORMATIILE CLASIFICATE NATO

Nivelurile de secretizare:

n     COSMIC TOP SECRET (CTS): informatii a caror divulgare este de natura sa produca NATO prejudicii deosebit de grave;

n     NATO SECRET (NS): informatii a caror divulgare este de natura sa produca NATO prejudicii grave;

n     NATO CONFIDENTIAL (NC): informatii a caror divulgare este de natura sa produca NATO prejudicii;

n     NATO RESTRICTED (NR): informatii a caror divulgare poate afecta interesele si eficacitatea NATO.

PROTECTIA INFORMATIILOR CLASIFICATE

- reprezinta totalitatea masurilor care asigura CONFIDENTIALITATEA, INTEGRITATEA si DISPONIBILITATEA informatiilor clasificate

- Se realizeaza prin actiuni de:

PREVENIRE (impiedicarea accesului neautorizat, a alterarii continutului, a deteriorarii, pierderii sau distrugerii neautorizate)

COMBATERE (identificarea si blocarea actiunilor sau tentativelor vizand accesul neautorizat, alterarea continutului, deteriorarea, pierderea sau distrugerea neautorizata)

CONTROLUL CONSECINTELOR (recuperarea informatiilor clasificate, intrate in posesia unor persoane neautorizate, eventual oprirea diseminarii acestora, a celor supuse alterarii, deteriorarii sau pierderii, precum si inlaturarea vulnerabilitatilor si raspunderea legala)

- Se realizeaza prin instituirea

Sistemului national de protectie a informatiilor clasificate – SNPIC

(Art. 1 din Legea nr. 182/2002)

In functie de natura lor, masurile de protectie se refera la:

o      PROTECTIA JURIDICA (ansamblul dispozitiilor legale in vigoare care reglementeaza protectia informatiilor clasificate)

o      PROTECTIA PRIN MASURI PROCEDURALE (ansamblul reglementarilor prin care emitentii si detinatorii de informatii clasificate stabilesc masurile interne de lucru si de ordine interioara destinate realizarii protectiei informatiilor)

o      PROTECTIA FIZICA (ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control fizic si prin mijloace tehnice a informatiilor clasificate)

o      PROTECTIA PERSONALULUI (ansamblul masurilor de verificare a persoanelor care au acces la informatii clasificate)

Din punct de vedere al obiectivelor urmarite, masurile de protectie se aplica in domeniile:

o      SECURITATEA PERSONALULUI

o      SECURITATEA FIZICA

o      SECURITATEA INFORMATIEI

o      SECURITATEA INDUSTRIALA

o      INFOSEC

II. LEGISLATIA NATIONALA IN DOMENIU

Enumerarea actelor normative in vigoare

Legea nr. 182/2002 privind protectia informatiilor clasificate, modificata de Ordonanta de urgenta a Guvernului nr. 16/2005

Ordonanta de urgenta a Guvernului nr. 153/2002 privind organizarea si functionarea ORNISS, aprobata prin Legea nr. 101/2003

Legea nr. 22/2004 pentru aderarea Romaniei la Tratatul Atlanticului de Nord, semnat la Washington la 4 aprilie 1949

Standardele nationale de protectie a informatiilor clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, modificata si completata de

n     Hotararea Guvernului nr. 2202/2004

n     Hotararea Guvernului nr. 185/2005

Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania, aprobate prin Hotararea Guvernului nr. 353/2002

Hotararea Guvernului nr. 354/2002 privind infiintarea, organizarea si functionarea Agentiei de Acreditare de Securitate, Agentiei de Securitate pentru Informatica si Comunicatii si Agentiei pentru Distribuirea Materialului Criptografic

Scurta prezentare a reglementarilor relevate

Legea nr. 182/2002 privind protectia informatiilor clasificate

n     lege cadru in domeniul protectiei informatiilor clasificate;

n     constituie baza reglementarii sistemului national de aparare a secretului de stat si a secretului de serviciu, ca parte componenta a securitatii si sigurantei nationale;

n     destinatarii reglementarii: autoritatile si institutiile publice, alte organizatii care, prin natura activitatii lor, elaboreaza, pastreaza ori lucreaza cu informatii clasificate;

OBIECTIVELE REGLEMENTARII

n     apararea informatiilor clasificate impotriva actiunilor de spionaj, compromitere sau accesare neautorizata;

n     apararea informatiilor clasificate impotriva sabotajelor ori a distrugerilor provocate;

n     identificarea imprejurarilor, precum si a persoanelor care, prin actiunile lor pot pune in pericol securitatea informatiilor clasificate;

n     sa garanteze ca informatiile clasificate sunt distribuite exclusiv persoanelor indreptatite a le cunoaste;

n     sa instituie un cadru procedural de securitate fizica si a personalului necesare protectiei informatiilor clasificate

Ordonanta de urgenta a Guvernului nr.16/2005

n     modifica lit. h) a art. 17 din Legea nr. 182/2002

n     astfel, constituie informatie secret de stat acea informatie care reprezinta sau care se refera la:

“h) hartile, planurile topografice, termogramele si inregistrarile aeriene efectuate la scari de zbor mai mari de 1:20.000, pe care sunt reprezentate elementele de continut sau obiective clasificate secrete de stat.”

Ordonanta de urgenta a Guvernului nr.153/2002 privind organizarea si functionarea ORNISS, aprobata prin Legea nr.101/2003

n     reglementeaza infiintarea si atributiile ORNISS, ca autoritate nationala de securitate in domeniul protectiei informatiilor clasificate NATO si nationale;

ORNISS

n     Scop asigurarea protectiei informatiilor clasificate in Romania

n     Misiune: implementarea unitara a masurilor de protectie a informatiilor clasificate in Romania, precum si a celor echivalente care fac obiectul tratatelor, intelegerilor si acordurilor bilaterale sau multilaterale la care Romania este parte

n     reprezinta organismul national de legatura pentru informatiile clasificate cu Oficiul de Securitate al NATO (NOS), cu structurile de securitate similare din statele membre si partenere ale Aliantei Nord-Atlantice, precum si cu cele ale statelor cu care Romania a incheiat tratate, intelegeri sau acorduri care prevad protectia informatiilor clasificate

n     exercita atributii de reglementare, autorizare, evidenta si control in conformitate cu prevederile legale in domeniu

n     actioneaza in domeniul sigurantei nationale, cooperand cu serviciile de informatii, fara a desfasura activitati specifice acestora

Hotararea Guvernului nr. 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania

v    cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:

a) clasificarile informatiilor secrete de stat si normele privind masurile minime de protectie in cadrul fiecarei clase;

b) obligatiile si raspunderile autoritatilor si institutiilor publice, ale agentilor economici si ale altor persoane juridice de drept public sau privat privind protectia informatiilor secrete de stat;

v    cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:

c) normele privind accesul la informatiile clasificate, precum si procedura verificarilor de securitate;

d) regulile generale privind evidenta, intocmirea, pastrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea si distrugerea informatiilor secrete de stat;

v    cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:

e) regulile de identificare si marcare, inscriptionarile si mentiunile obligatorii pe documentele secrete de stat, in functie de nivelurile de secretizare, cerintele de evidenta a numerelor de exemplare si a destinatarilor, termenele si regimul de pastrare, interdictiile de reproducere si circulatie;

f) conditiile de fotografiere, filmare, cartografiere si executare a unor lucrari de arte plastice in obiective sau locuri care prezinta importanta deosebita pentru protectia informatiilor secrete de stat;

v    cuprinde normele de aplicare a Legii nr. 182/2002 privind protectia informatiilor clasificate referitoare la:

g) regulile privitoare la accesul strainilor la informatiile secrete de stat;

h) protectia informatiilor clasificate care fac obiectul contractelor industriale secrete - securitatea industriala;

i) protectia surselor generatoare de informatii - INFOSEC.

Hotararea Guvernului nr. 2202/2004 pentru modificarea si completarea art.152 din H.G. 585/2002

v    vizeaza domeniul de competenta a institutiilor cu responsabilitati privind verificarile de securitate pentru acces la informatii clasificate

Hotararea Guvernului nr. 185/2005

v    modifica si completeaza art. 186 si art. 190 ale cap. 5 din H.G. nr. 585/2002

(conditiile de aerofotografiere, aerofilmare)

Hotararea Guvernului nr. 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania

v    Contextul si fundamentul adoptarii reglementarii:

- in calitate de candidata la aderare si tara partenera la Consiliul de Cooperare Nord-Atlantic (Parteneriatul pentru Pace), Romania a semnat la data de 8 iulie 1994 Acordul de securitate cu Organizatia Tratatului Atlanticului de Nord - NATO, iar la data de 10 septembrie 1994 - Codul de conduita

v    Efectele juridice ale adoptarii reglementarii:

- prin semnarea documentelor mentionate mai sus Romania si-a luat angajamente clare de a proteja si apara informatiile si materialele clasificate ale Aliantei Nord-Atlantice si membrilor acesteia, in conformitate cu documentul 'Securitatea in cadrul NATO-C-M (55) 15 (Final)' si cu actele normative nationale.

v    Accesul la informatiile clasificate NATO:

- se acorda in baza certificatului de securitate eliberat de ORNISS si a respectarii principiului nevoii de a sti (need-to-know).

v    Certificatele de securitate NATO sunt de doua tipuri:

- certificat de securitate tip A, cu o valabilitate de 3 ani, care permite accesul la informatii si documente clasificate NATO;

- certificat de securitate tip B, care autorizeaza participarea persoanei la activitati organizate de Alianta Nord-Atlantica in cadrul carora se vehiculeaza informatii clasificate NATO si pentru care Alianta Nord-Atlantica solicita astfel de documente (acest tip de certificat este valabil doar pe durata desfasurarii activitatii respective si nu se elibereaza in absenta certificatului de securitate tip A)

v    SPECIFIC masurilor de protectie a informatiilor clasificate NATO

SISTEMUL NATIONAL DE REGISTRE

Sistemul national de registre (SNR) - reprezinta ansamblul tuturor CSNR.

Componenta a sistemului national de registre (CSNR)

- forma de organizare a SNR din cadrul unei structuri institutionale, responsabila cu gestionarea si consultarea informatiilor clasificate NATO

Fiecare structura institutionala (ministere, organisme centrale, institutii, autoritati, agentii, agenti economici etc.), militara sau civila, care utilizeaza informatii clasificate NATO are obligatia sa isi infiinteze propria componenta a sistemului national de registre – CSNR

Tipuri de CSNR:

q    - REGISTRUL CENTRAL – organizat numai in cadrul ORNISS

q    - REGISTRELE EXTERNE

q    - REGISTRELE INTERNE

q    - SUBREGISTRELE

q    - PUNCTELE DE LUCRU

Forma de organizare a CNSR depinde de volumul si de nivelul de clasificare a informatiilor vehiculate, in raport cu structura administrativa existenta.

In cadrul SNR sunt aplicate unitar reglementarile privind securitatea fizica, securitatea personalului, securitatea documentelor, securitatea industriala si INFOSEC pentru a se asigura cadrul adecvat gestionarii informatiilor clasificate NATO in conformitate cu standardele NATO de securitate.

Hotararea Guvernului nr. 590/2004 pentru modificarea anexei la Normele privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania, aprobate prin Hotararea Guvernului nr. 353/2002

v    Temeiul adoptarii reglementarii:

- prevederile Legii nr.22/2004 pentru aderarea Romaniei la Tratatul Atlanticului de Nord, semnat la Washington la 4 aprilie 1949

- calitate Romaniei de stat membru NATO si, in consecinta, obligatiile asumate in acest sens

- modifica modelul certificatelor de securitate tip A si tip B prevazute in anexa la Normele privind protectia informatiilor clasificate NATO in Romania

- Ordinele cu caracter normativ ale directorului general al ORNISS

Precizari:

q    Anexele la aceste ordine se comunica numai persoanelor juridice de drept public sau privat indreptatite (care pun in aplicare respectivele reglementari)

q    Reglementeaza urmatoarele domenii:

- INFOSEC

- securitatea fizica

- securitatea industriala

- securitatea personalului

Sunt elaborate in conformitate cu standardele NATO in domeniu.

II. ATRIBUTIILE SI OBLIGATIILE STRUCTURILOR IMPLICATE

IN PROCESUL DE VETTING

ATRIBUTIILE SI OBLIGATIILE SEFULUI (CONDUCATORULUI) INSTITUTIEI

sa asigure organizarea activitatii structurii de securitate;

sa intocmeasca lista informatiilor secrete de stat, a termenelor de mentinere in nivelurile de secretizare si sa le supuna aprobarii Guvernului;

sa intocmeasca lista functiilor din subordine care necesita acces la informatii secrete de stat si NATO clasificate (daca este cazul) si sa o trimita institutiilor abilitate;

sa selectioneze persoanele care incadreaza functiile ce presupun accesul la informatii clasificate;

sa solicite la ORNISS efectuarea verificarilor pentru angajatii proprii si eliberarea certificatelor/autorizatiilor de acces, reluarea verificarilor in cazul identificarii unor incompatibilitati si retragerea documentelor in cazurile prevazute de lege;

sa elibereze certificate/autorizatii de acces la informatii nationale clasificate, pe baza deciziei ORNISS (mai putin in cazurile exceptionale);

sa transmita la ORNISS exemplarul 2 al certificatului/autorizatiei;

sa elaboreze si sa aplice masurile procedurale de protectie a personalului;

sa asigure includerea personalului structurii/functionarului de securitate in sistemul permanent de pregatire si perfectionare;

sa analizeze semestrial sau ori de cate ori este necesar modul in care structura de securitate si personalul autorizat respecta normele privind protectia informatiilor clasificate;

sa sesizeze institutiile abilitate in legatura cu incidentele de securitate si riscurile la adresa informatiilor secrete de stat si NATO clasificate si dupa caz sa sesizeze organele de urmarire penala, in cel mai scurt timp;

sa precizeze obligatiile ce revin partilor la incheierea contractelor individuale de munca, contracte de colaborare sau conventiilor de orice natura;

sa interzica accesul la informatii clasificate persoanelor carora le-a fost retras certificatul/autorizatia de acces;

ATRIBUTIILE SI RESPONSABILITATILE STRUCTURII DE SECURITATE

sa consilieze pe conducatorul institutiei la intocmirea listelor cu informatiile clasificate secrete de stat, cu functiile ce presupun accesul, precum si la selectionarea personalului;

sa elaboreze in cadrul normelor interne si programului de pregatire a scurgerii de informatii clasificate masuri legale pentru protectia personalului;

sa asigure formularele tip si sa acorde asistenta in vederea completarii acestora;

sa intocmeasca si sa supuna spre aprobare solicitarile pentru efectuarea verificarilor;

sa acorde sprijin institutiilor abilitate sa execute verificari;

sa asigure transmiterea la ORNISS a exemplarului doi al certificatului/autorizatiei de securitate;

sa creeze si sa actualizeze permanent un registru de evidenta a certificatelor/autorizatiilor de acces;

sa pastreze si sa organizeze evidenta documentelor;

sa instruiasca personalul avizat, inainte de acordarea documentelor de acces, pe timpul valabilitatii documentelor, precum si la incheierea contractului de munca;

sa organizeze activitati de pregatire specifica a persoanelor care au acces la informatii clasificate;

sa informeze imediat conducerea unitatii despre riscurile si vulnerabilitatile existente;

sa instruiasca cetateni straini, persoanele cu dubla cetatenie si pe cele apatride in legatura cu regulile pe care trebuie sa le respecte pe timpul activitatii in unitatea respectiva;

sa intreprinda demersurile pentru revalidarea documentelor de acces, cu 6 luni inainte de expirarea termenului de valabilitate;

sa propuna si sa transmita spre aprobare retragerea documentelor de acces in cazurile prevazute de lege si sa se asigure ca notificarea acestui fapt a ajuns la ORNISS;

sa verifice si sa se asigure ca informatiile clasificate sunt destinate numai persoanelor care detin documente de acces, conform nivelului de secretizare;

sa desfasoare actiuni de control si sa propuna masuri de remediere a neajunsurilor;

sa tina evidenta cazurilor de incalcare a reglementarilor de securitate, a documentelor de cercetare si a masurilor de solutionare si sa le puna la dispozitia institutiilor abilitate.

ATRIBUTIILE SI RESPONSABILITATILE INSTITUTIILOR ABILITATE SA EXECUTE VERIFICARI

sa efectueze verificari, dupa o procedura unica, cu respectarea legislatiei in vigoare pentru personalul dat in competenta;

sa colaboreze in indeplinirea sarcinilor si obiectivelor propuse;

sa transmita, in termenele legale, rezultatul verificarilor la ORNISS;

sa evalueze continuu persoanele care detin documente de acces la informatii clasificate;

sa desfasoare activitati de pregatire a personalului;

sa efectueze controale si verificari la structurile aflate in competenta si sa informeze ORNISS;

sa prezinte la ORNISS propuneri de solutionare a sesizarilor si observatiilor referitoare la modul de aplicare a masurilor de protectie;

sa asigure asistenta de specialitate;

sa intreprinda masurile legale in cazul unor sesizari privind compromiterea informatiilor.

ATRIBUTIILE SI RESPONSABILITATILE ORNISS

elaboreaza standardele nationale privind masurile de protectie a personalului;

organizeaza evidenta listelor cu functiile ce presupun accesul la informatii nationale si NATO clasificate si a persoanelor verificate si avizate;

organizeaza evidenta notificarilor si solicitarilor primite de la institutii;

transmite institutiilor abilitate sa execute verificari, cererea-tip de incepere a procedurii de verificare;

analizeaza si decide acordarea certificatului/autorizatiei de acces pe baza avizului primit de la ADS;

transmite decizia la institutiile care au solicitat eliberarea documentelor de acces;

elibereaza certificatele de securitate in vederea accesului la informatii NATO clasificate;

organizeaza evidenta certificatelor de securitate si autorizatiilor de acces eliberate de conducatorii institutiilor;

conlucreaza cu institutiile abilitate sa execute verificari;

acorda consultanta sefilor structurilor de securitate;

organizeaza si coordoneaza activitatile de pregatire a structurilor si functionarilor de securitate;

solicita revalidarea sau retragerea certificatului de securitate/autorizatiei de acces in cazurile prevazute de lege;

organizeaza actiunile de control la nivel national, desfasoara controale si verifica modul de pregatire a personalului;

constata contraventiile si aplica sanctiuni;

analizeaza rezultatele, propunerile si masurile de eficientizare a activitatii la finalizarea actiunilor de control;

organizeaza evidenta persoanelor implicate in actiuni care au condus la producerea incidentelor de securitate.

OBLIGATIILE PERSONALULUI AVIZAT

sa-si insuseasca, sa cunoasca si sa respecte prevederile legale ce reglementeaza protectia informatiilor clasificate;

sa-si asume responsabilitatile ce-i revin, inclusiv dupa incetarea raporturilor de munca;

sa cunoasca si sa-si asume consecintele legale in cazul compromiterii informatiilor clasificate;

sa informeze seful structurii de securitate/functionarul de securitate cu privire la modificarile intervenite ulterior avizarii, referitoare la datele solicitate din formulare;

sa informeze seful structurii de securitate/functionarul de securitate asupra vulnerabilitatilor, riscurilor si amenintarilor la adresa informatiilor clasificate.

DREPTURILE PERSONALULUI INAINTE SI DUPA PRIMIREA CERTIFICATULUI/AUTORIZATIEI DE ACCES

sa-si exprime consimtamantul privind efectuarea verificarilor;

sa-si exprime acordul pentru realizarea investigatiei medicale (cand este cazul);

sa fie informat si instruit;

sa conteste neacordarea certificatului/autorizatiei de securitate;

sa aiba acces la informatii clasificate in baza principiului need to know.

III. ACCESUL PERSOANELOR LA INFORMATII U.E. CLASIFICATE

n     Cadrul legislativ

n     Echivalenta dintre informatiile nationale si U.E. clasificate

n     Beneficiarii certificatelor de securitate

n     Dovada detinerii certificatului de securitate

n     Solicitarea confirmarii detinerii certificatului de securitate

n     Accesul la informatii U.E. clasificate pentru personalul care lucreaza in structurile U.E.

Cadrul legislativ

n     Ordinul nr. 490/21.12.2005 pentru stabilirea conditiilor de acces la informatii U.E. clasificate (M.O. partea I, nr. 1173 din 23.12.2005);

n     H.G. nr. 585/2002;

n     Legea nr. 182/2002;

n     Circulara nr. 11033/10.06.2005.

Echivalenta dintre informatiile nationale si U.E. clasificate

n     Secret de serviciu – Restrient U.E.

n     Secret – Confidentiel U.E.

n     Strict secret – Secret U.E.

n     Strict secret de importanta deosebita – Tres secret U.E. / E.U. Top Secret

Beneficiarii certificatelor de securitate

n     Reprezentantii autoritatilor si institutiilor publice din Romania in vederea participarii la:

Reuniunile Consiliului European

Reuniunile consiliilor ministeriale

Reuniunile comitetelor si grupurilor de lucru ale Consiliului Uniunii Europene si ale Comisiei Europene s.a.

Cum se face dovada detinerii certificatului de securitate

Prezentarea :

n     copiei dupa certificatul de securitate/autorizatiei de acces la informatii nationale clasificate

n     Confirmarea O.R.N.I.S.S.

Cum se solicita confirmarea detinerii certificatului de securitate

n     Cerere la O.R.N.I.S.S. cu 14 zile lucratoare inainte de inceperea actiunii

n     Pt. secret de serviciu se va transmite la O.R.N.I.S.S. si copia dupa autorizatia de acces la acest tip de informatii

Accesul la informatii U.E. clasificate pentru personalul care lucreaza in structurile U.E.

n     Pe baza certificatului de securitate eliberat de Secretariatul General al Consiliului Uniunii Europene (SGC)

n     Acesta se elibereaza pe baza:

Copiei dupa certificatul de securitate/autorizatiei de acces la informatii nationale clasificate

Confirmarea O.R.N.I.S.S.

IV. GESTIONAREA DOCUMENTELOR NATO CLASIFICATE

n     Primirea

n     Verificarea

n     Evidenta

n     Multiplicarea / Traducerea

n     Realizarea de Extrase

n     Distribuirea

n     Consultarea

n     Transmiterea si Transportul

n     Inventarierea

n     Pastrarea

n     Distrugerea

PRIMIREA SI VERIFICAREA

n     In punctul de Colectare / Distribuire

n     Intre Curier si Delegat

n     Identificarea reciproca

Act de Identitate

Delegatie

n     Pe baza de borderou sau registru de transmitere

n     Verificarea sigiliilor, plicurilor, ambalajelor, adreselor, borderourilor

n     Desigilarea si desfacerea plicurilor/coletelor

n     Verificarea concordantei dintre inscrisurile din adrese/ borderouri si documentele propriu-zise

n     Verificarea marcajelor obligatorii

EVIDENTA

n     In functie de nivelul de clasificare

n     Registru de evidenta

n     Nr.de inregistrare inscriptionat pe document

n     Fisa consultare- doc. NS si CTS

n     Nr. de inregistrare:

consecutiv

incepand cu cifra 1 pe parcursul unui an

doc. multiplicate - acelasi nr. de inregistrare cu cel marcat pe documentul original + numarul de copie.

MULTIPLICAREA/TRADUCEREA

n     Numai de persoane autorizate

n     Registrul de multiplicare/traducere

n     Nr. copiei pe documentul rezultat

n     In incaperi dispuse in zone de securitate

n     Doc NATO SECRET – aprobarea ORNISS

n     Doc. NATO CONFIDENTIAL si NATO RESTRICTED

aprobare Sef Institutie

n     Este INTERZISA multiplicarea si traducerea documentelor COSMIC TOP SECRET

REALIZAREA DE EXTRASE

n     “Nevoia de a sti”

n     Clasificarea documentului rezultat

DISTRIBUIREA

n     Numai persoanelor autorizate

n     Pe baza de semnatura

CONSULTAREA

n     “Nevoia de a sti”

n     Semnatura

n     Fisa consultare NS/CTS.

TRANSMITEREA SI TRANSPORTUL

n     Activitatea de pregatire pentru transmiterea documentelor NATO clasificate

n     Inscriptionari, asigurare si sigilare

n     Ambalare

n     Transportul intre CSNR

predarea – primirea documentelor NATO

structurile specializate si curieri autorizati pentru transport

n     Transportul international

- curier diplomatic

INVENTARIEREA

n     Verificarea anuala a existentei documentelor pe baza registrelor de evidenta

n     Corectitudinea inscrisurilor

n     Existenta fizica si nr. de file

n     Existenta borderoului sau adresei de transmitere

n     Existenta procesului verbal de distrugere

n     Existenta altor mentiuni privind scoaterea din gestiune

PASTRAREA

n     Activitatea de pastrare a documentelor:

in spatii special amenajate in cadrul CSNR pentru acele documente care se considera ca mai sunt necesare in activitatea viitoare.

in bibliorafturi constituite pe problematici sau niveluri de clasificare

DISTRUGEREA

n     Existenta unei inventarieri prealabile

n     Proces verbal de distrugere

n     Regula celor 2

n     Tocarea, incinerarea sau topirea documentelor

V. SISTEMELE DE SECURITATE

DEFINITIE

n     Sistemele de securitate – reprezinta totalitatea echipamentelor si a personalului destinat aplicarii masurilor de securitate fizica intr-o incinta.

ROLUL

n     sa previna patrunderea neautorizata a persoanelor, prin efractie sau in mod fraudulos, in spatiile protejate;

n     sa previna, sa descopere si sa impiedice actiunile ostile ale personalului neloial, inclusiv cele de spionaj, de natura sa afecteze securitatea informatiilor clasificate;

n     sa permita accesul la informatii clasificate numai persoanelor care detin autorizare corespunzatoare si in baza aplicarii principiului “nevoii de a cunoaste”;

n     sa descopere si sa combata, in mod operativ, orice incalcare a masurilor de protectie a informatiilor clasificate.

PRINCIPII GENERALE

n     adaptarea masurilor de protectie;

n     esalonarea in adancime a masurilor de protectie;

n     corelarea masurilor de protectie fizica cu timpul de interventie a fortelor de securitate;

n     asigurarea eficacitatii sistemului;

n     asigurarea disponibilitatii tehnice a echipamentelor;

n     planificarea contingentiala a masurilor de protectie.

DIMENSIONARE

n     nivelul de clasificare a informatiilor;

n     volumul si suportul fizic de prezentare a informatiilor clasificate;

n     modul de pastrare a informatiilor;

n     evaluarea amenintarilor la adresa securitatii informatiilor clasificate.

STRUCTURA

n     DISPOZITIV EXTERIOR

n     DISPOZITIV INTERMEDIAR

n     DISPOZITIV INTERIOR

DISPOZITIVUL EXTERIOR

Poate fi reprezentat de una din urmatoarele variante:

garduri care delimiteaza perimetrul;

peretii exteriori ai cladirii.

Pentru imbunatatirea performantei si eficientei se pot utiliza, dupa caz, masuri de securitate suplimentare:

sisteme de detectare a intruziunilor;

televiziune cu circuit inchis;

sisteme de alarma.

DISPOZITIVUL INTERMEDIAR

n     Personalul de paza si aparare

- asigura sistemul de paza si aparare pentru obiectivele, zonele, sectoarele si locurile in care sunt gestionate informatii clasificate.

n     Controlul accesului

- personalului permanent;

- vizitatorilor;

- personalului de curatenie;

- angajatilor agentilor economici care efectueaza lucrari de constructii, reparatii si intretinere a cladirilor, instalatiilor sau utilitatilor in zonele de securitate.

DISPOZITIVUL INTERIOR

n     Dispozitivul interior este reprezentat de incaperea speciala de securitate reglementata prin Ordinul nr. 475 din 17.11.2005 al Directorului general al ORNISS.

CONCLUZII

In urma efectuarii unei analize de risc la nivelul obiectivului, un sistem de protectie fizica trebuie sa fie:

- multiplu, adica sa aiba mai multe dispozitive de protectie succesive, diferite, asociate sau combinate cu unul sau mai multe dispozitive de detectie-alarmare, fiecare dintre aceste dispozitive de detectie-alarmare bazandu-se pe principii diferite;

- omogen, adica sa garanteze aceeasi eficacitate in toate punctele, patrunderea efectuandu-se intotdeauna in zona de minima rezistenta, valoarea unui sistem fiind aceea a punctului sau cel mai slab;

- controlat, adica sa fie testat frecvent pentru a fi mentinut in stare de functionare;

- monitorizat, adica sa furnizeze in orice moment datele necesare pentru stabilirea unui istoric al functionarii diferitelor sisteme de securitate.

VI. INCAPERI SI CONTAINERE SPECIALE DE SECURITATE

I. INCAPERI SPECIALE DE SECURITATE

Cerintele minime de securitate fizica pentru incaperile speciale de securitate destinate protectiei informatiilor NATO clasificate si a celor echivalente, potrivit legii, si au fost aprobate si publicate prin ORDINUL 475/17.11.2005 al Directorului General al ORNISS

DEFINITIE - incaperi amplasate in zona I sau II

de securitate, destinate gestionarii informatiilor

NATO clasificate si a celor echivalente.

CLASIFICARE

1 - camera tezaur;

2 - camera de securitate;

3 - birou de securitate.

II. CERINTE GENERALE

- Peretii interiori, exteriori, tavanele si pardoselile trebuie sa nu prezinte degradari si defecte, pentru depistarea cu usurinta a urmelor provocate de eventualele tentative de patrundere prin efractie.

Camera tezaur si camera de securitate trebuie sa fie prevazute cu sistem de detectie a accesului neautorizat.

III. DEFINITII SI CERINTE SPECIFICE

1 CAMERA TEZAUR – camera special construita, cu o rezistenta mare la efractie, destinata pastrarii informatiilor NATO clasificate si echivalente.

Cerinte:

- peretii, tavanul si podeaua sa fie de o rezistenta minima echivalenta cu un zid de beton armat cu grosimea de 15 cm, iar deschiderea pt. aerisire de max. 500 cmp sa fie protejata.

- usa sa corespunda SR EN 1143-1, clasa de rezistenta IV.

- sistem de stingere automata a incendiilor.

2 CAMERA DE SECURITATE – camera special amenajata si dotata, destinata gestionarii informatiilor NATO clasificate si echivalente.

Cerinte:

- sa fie rezistenta la efractie, cu peretii din beton, caramida.

- usa sa fie construita din lemn de esenta tare, metal, prevazuta cu o incuietoare tip yala.

- in cazul in care se gestioneaza materiale clasificate care nu pot fi pastrate in containere, usa trebuie sa fie din metal, prevazuta cu o incuietoare cu cifru mecanic cu min.500.000 combinatii, sau cu cifru electronic cu performante echivalente.

- sa fie prevazuta cu un sistem de acces controlat.

- ferestrele aflate la o distanta mai mica de 5,5 m de sol, acoperis, terase sau anexe, sa fie protejate impotriva efractiei (cu gratii metalice interioare sau exterioare, folie anti-efractie sau geamuri armate), iar impotriva observarii neautorizate cu materiale sau folii opace, jaluzele, draperii etc.

- deschiderile in pereti si plansee, altele decat cele pentru usi si ferestre, care depasesc 15 cm in dimensiunea cea mai mica (aerisiri, ventilatie, conducte etc.) sa fie protejate cu grilaje;

3 BIROUL DE SECURITATE – camera amenajata si dotata, in care pot fi gestionate informatiile NATO clasificate si echivalente, fara a fi pastrate in afara programului de lucru.

Cerinte:

- sa respecte cerintele pentru camera de securitate referitoare la ferestre, gratii metalice, deschideri in pereti si plansee, rezistenta peretilor.

- peretii interiori pot fi executati si din materiale de constructie usoare (ghips carton, placi de lemn sau metal), iar usa trebuie sa fie prevazuta cu un mecanism de incuiere.

IV. DISPOZITII FINALE

- Daca in urma analizei riscurilor de securitate generate de specificul amplasamentului, structura si eficacitatea sistemului de securitate, amploarea amenintarilor si a vulnerabilitatilor s.a., rezulta ca se impune asigurarea unui grad de securitate sporit, fiecare institutie va stabili masuri de protectie suplimentare.

- Autorizarea incaperilor speciale de securitate se face odata cu autorizarea functionarii unei Componente a Sistemului National de Registre, de catre ORNISS.

CONTAINERE SPECIALE DE SECURITATE

I DEFINITIA SI ROLUL CONTAINERULUI

II CARACTERISTICI CONSTRUCTIVE

III. DISPOZITII FINALE

I. DEFINITIE

Dulap metalic special destinat pastrarii informatiilor NATO clasificate si a celor echivalente.

ROL

Asigura protectia informatiilor clasificate impotriva accesului neautorizat.

II. CARACTERISTICILE CONSTRUCTIVE ALE CONTAINERULUI

- peretii :

- confectionati din tabla din otel, beton armat, material ignifug, pentru a asigura o rezistenta corespunzatoare la efractie, apa si foc.

usa :

- va avea o rezistenta similara cu cea a peretilor;

- va fi prevazuta cu un mecanism de inchidere cu bolturi, un sistem de incuiere, un maner fix si unul mobil;

- balamalele vor permite deschiderea acesteia la 180 0.

- baza containerului si partea superioara vor avea aceleasi dimensiuni.

- greutatea variaza in functie de dimensiunile constructive.

- ancorarea pe pozitie se va face cel putin intr-un punct.

- marcajul trebuie sa contina :

- elemente referitoare la producator;

- an de fabricatie;

- un cod de identificare al produsului;

- aplicarea se va face la interiorul containerului.

CONTAINERE CLASA A

Autorizate la nivel national prin Ordinul nr. 443 din 31.10.2003 al Directorului general al ORNISS pentru pastrarea informatiilor Cosmic Top Secret si echivalente in zona de securitate clasa I sau II.

Prevazute cu sisteme de incuiere grupa A alcatuite din:

- incuietoare cu cifru mecanic cu minim trei dispozitive de combinare a cifrului actionata de

un singur tambur.

- incuietoare cu cel putin sase verturi, cu cheie cu dubla barbie.

- un dispozitiv de autoblocare a mecanismului de inchidere.

CONTAINERE CLASA B

Autorizate la nivel national prin Ordinul nr. 443/31.10.2003 al Directorului general al ORNISS pentru pastrarea informatiilor NATO CONFIDENTIAL, NATO SECRET si echivalente, in zona de securitate clasa I sau II.

- Prevazute cu sisteme de incuiere grupa B alcatuite din:

- incuietoare cu cifru mecanic cu cel putin 500000 combinatii sau cu cifru electronic cu performante echivalente;

- incuietoare cu cel putin cinci verturi, avand cheie cu simpla sau dubla barbie.

III. DISPOZITII FINALE

Institutiile cu atributii legale de coordonare si control al activitatilor referitoare la protectia informatiilor clasificate, sau ORNISS, acrediteaza conform Procedurii de desemnare aprobata prin Ordinul Directorului general al ORNISS nr. 174 din 07.04.2004 o entitate evaluatoare care va efectua evaluarea conformitatii.

Pana in prezent, doar R.A. RASIROM Bucuresti a solicitat si a obtinut certificatul de recunoastere a calitatii de entitate evaluatoare.

Pe baza certificatului de conformitate emis de entitatea evaluatoare, ORNISS autorizeaza containerele in vederea pastrarii informatiilor clasificate.

Utilizarea containerelor autorizate de catre state membre NATO se va face cu aprobarea ORNISS.

VII. Fotografierea si filmarea
in obiective sau locuri de importanta deosebita pentru protectia informatiilor secrete de stat

Teme abordate

Explicare notiuni

Obligatii ale conducatorului institutiei/functionarului de securitate

Reglementare si proceduri actuale

Eliberarea si valabilitatea autorizatiei speciale

Conditii de aerofotografiere pe teritoriul Romaniei

Contraventii si sanctiuni

Explicare notiuni

Obiective, zone sau locuri de importanta deosebita pentru protectia informatiilor secrete de stat;

Autorizatia speciala

Obiective, zone sau locuri de importanta deosebita pentru protectia informatiilor secrete de stat

Definitie: Incinta sau perimetru anume desemnat, in care sunt gestionate informatii secrete de stat;

Hotararea Guvernului nr. 01600/2002 ce cuprinde lista obiectivelor, zonelor sau locurilor de importanta deosebita pentru protectia informatiilor clasificate.

Obligatii ale functionarului de securitate

Prezinta conducatorului unitatii propuneri privind stabilirea obiectivelor, sectoarelor si locurilor de importanta deosebita pentru protectia informatiilor clasificate din sfera de responsabilitate si, dupa caz, solicita sprijinul institutiilor abilitate – Art. 31 lit. m din H.G. 585/2002.

Obligatii ale conducatorului institutiei

Stabileste obiectivele, sectoarele si locurile din zona de competenta care prezinta importanta deosebita pentru protectia informatiilor secrete de stat si sa le comunice Serviciului Roman de Informatii pentru a fi supuse spre aprobare Guvernului – Art. 86 lit. f din H.G. 585/2002.

Atributii ale Serviciului Roman de Informatii

Acorda sprijin pentru stabilirea obiectivelor si a locurilor care prezinta importanta deosebita pentru protectia informatiilor clasificate, la cererea conducatorilor autoritatilor si institutiilor publice, a agentilor economici si a persoanelor juridice de drept privat, si supune spre aprobare Guvernului evidenta generalizata a acestora – Art. 34 lit. g din Legea nr. 182/2002

Autorizatia speciala

Document eliberat de catre ORNISS prin care se atesta verificarea si acreditarea unei persoane de a desfasura activitati de fotografiere, filmare, cartografiere si lucrari de arte plastice pe teritoriul Romaniei, in obiective, zone sau locuri care prezinta importanta deosebita pentru protectia informatiilor secrete de stat.

In conformitate cu prevederile art. 186 din H.G. 585/2002 cu modificarile ulterioare (H.G. 185/2005), cererea adresata ORNISS va cuprinde:

  1. Mentionarea obiectului activitatii;
  2. Mentionarea locului activitatii;
  3. Aparatura folosita;
  4. Perioada de timp in care urmeaza a se realiza;
  5. Scara de zbor la care vor fi efectuate activitatile de aerofotografiere (in cazul inregistrarilor aeriene);
  6. Datele de identitate ale persoanei care va efectua activitatea/activitatile;

Date de identificare a solicitantului

Adresa;

Telefon/fax;

Persoana de contact;

Nr. de inregistrare la Registrul Comertului/Cod Unic de Inregistrare;

Cod fiscal

Obiectul activitatii

Fotografiere/aerofotografiere;

Filmare;

Cartografiere;

Executare a unor lucrari de arte plastice.

Locul activitatii

Trebuie precizat cat mai exact

In cazul aerofotografierii se anexeaza harta – 8 exemplare

Perioada de timp estimata pentru realizarea activitatii

Perioada trebuie sa fie limitata;

Perioada solicitata sa fie cat mai exacta si in conformitate cu activitatile desfasurate.

Conditii de aerofotografiere

Activitatea de aerofotografiere cu camere fotogrammetrice digitale sau analogice a teritoriului Romaniei la o scara de zbor mai mare de 1:20.000, se efectueaza pe baza autorizatiei speciale eliberate de ORNISS si in prezenta reprezentantului Ministerului Apararii Nationale.

Activitatile de developare a materialului fotografic si scanarea negativelor, dupa caz, se pot realiza, exclusiv pe teritoriul national, in prezenta reprezentantului Ministerului Apararii Nationale, de catre persoane juridice care indeplinesc conditiile legale privind protectia informatiilor clasificate;

Materialele rezultate in urma procesului de developare si scanare, precum si cele rezultate in urma activitatilor de aerofotografiere cu camere fotogrammetrice digitale sunt declasificate, cu avizul Autoritatilor Desemnate de Securitate (ADS), de catre Ministerul Apararii Nationale, in termen de 30 de zile lucratoare de la primirea acestora.

In termen de 30 de zile lucratoare produsele finale rezultate in urma declasificarii se vor preda la ORNISS, prin reprezentantul Ministerului Apararii Nationale, pentru a fi puse la dispozitia beneficiarului.

Eliberarea si valabilitatea autorizatiei speciale

Termenul de eliberare a autorizatiei speciale este de 60 de zile lucratoare de la data primirii cererii. Pentru zborurile fotogrammetrice efectuate la scari de zbor mai mari de 1:20.000 termenul este de 30 zile lucratoare;

Autorizatia speciala este valabila doar pentru elementele mentionate in cerere;

Autorizatia speciala se va elibera numai dupa primirea avizelor de la Autoritatile Desemnate de Securitate;

Pentru fiecare modificare a oricarui element din cerere se va relua procedura de avizare;

ORNISS va elibera autorizatia speciala doar pentru perioada solicitata;

Autorizatia speciala este valabila doar daca sunt respectate conditiile cerute de Autoritatile Desemnate de Securitate;

EXCEPTII

Pentru trupele Ministerului Apararii Nationale, Ministerului de Interne si Serviciului Roman de Informatii, aflate la instructie, in aplicatii ori in interiorul obiectivelor prevazute la art. 17 din legea nr. 182/2002, nu este necesara eliberarea autorizatiei speciale (art. 184, H.G. nr. 585/2002).

Obiectivele si mijloacele prevazute la art. 17 din legea nr. 182/2002.

Contraventii si sanctiuni pentru nerespectarea conditiilor de fotografiere, filmare, cartografiere sau executare de lucrari de arte plastice

Contraventiile si sanctiunile sunt reglementate de Capitolul IX din H.G. 585/2002;

Constituie contraventie nerespectarea normelor prevazute in Capitolul V din H.G. 585/2002;

Contraventiile se sanctioneaza cu avertisment sau amenda de la 1.000.000 lei la 50.000.000 lei.

VIII. ZONELE DE SECURITATE, CONTROLUL ACCESULUI SI PROTECTIA COMBINATIILOR INCUIETORILOR SI A CHEILOR

FUNCTIONARUL/SEFUL STRUCTURII DE SECURITATE:

A. Stabileste masurile de securitate fizica pentru controlul accesului in zonele de securitate;
B. Verifica conditiile de securitate ale spatiilor, birourilor, incaperilor, containerelor in care sunt manipulate sau pastrate informatii clasificate;

C. Adopta masurile necesare pentru a asigura un nivel de protectie corespunzator in toate incaperile in care se desfasoara activitati in cadrul carora sunt vehiculate informatii clasificate;

D. Elaboreaza planul de securitate al obiectivului, pregateste si executa programele de inspectie a masurilor de securitate fizica in cadrul CSNR, din competenta;

E. Realizeaza verificari inopinate ale sistemelor de protectie;

F. Stabileste planul de cooperare cu alte formatiuni cu responsabilitati in asigurarea protectiei fizice.

CONTROLUL ACCESULUI IN ZONELE DE SECURITATE

Se vor stabili reguli de acces pentru urmatoarele categorii de personal:

personalul propriu;

vizitatori (modalitatea de inregistrare a acestora

reprezentantii presei;

personalul auxiliar;

personalul contractant.

ZONE DE SECURITATE

Zona de securitate – reprezinta spatiul clar delimitat, protejat, structurat, special destinat gestionarii informatiilor NATO clasificate.

Scopul zonei de securitate este acela de a genera un sistem de control care sa permita accesul la informatii NATO clasificate doar acelor persoane certificate si autorizate special in baza principiului “nevoii de a cunoaste”.

ZONA I DE SECURITATE

Presupune ca orice persoana aflata in interiorul acesteia are acces la informatii NATO clasificate. O asemenea zona necesita:

Un perimetru clar delimitat si protejat, in care toate intrarile si iesirile sunt controlate;

Un sistem de control al intrarilor care sa permita accesul in zona numai persoanelor verificate si autorizate;

Indicarea clasei si a nivelului de clasificare a informatiilor clasificate NATO gestionate in mod obisnuit.

ZONA II DE SECURITATE

Presupune gestionarea informatiilor clasificate NATO prin aplicarea unor masuri specifice de protectie a acestora impotriva accesului persoanelor neautorizate. O asemenea zona necesita:

Un perimetru clar delimitat si protejat, in care toate intrarile si iesirile sunt controlate;

Un sistem de control al intrarilor care sa permita accesul neinsotit numai persoanelor care detin certificat de securitate pentru informatiile clasificate gestionate in zona;

Un sistem de insotire in aceasta zona pentru persoanele care necesita acces la informatii, dar nu detin certificat de securitate corespunzator.

ZONA ADMINISTRATIVA

Zona in care se gestioneaza cel mult informatii NATO RESTRICTED. O astfel de zona poate fi stabilita in jurul zonelor de securitate clasa I sau clasa II, avand un perimetru vizibil definit, in interiorul careia sa existe posibilitatea de control a persoanelor si vehiculelor.

PROTECTIA COMBINATIILOR INCUIETORILOR SI CHEILOR

  • Combinatiile incuietorilor cu cifru:

Evidenta fiecarei combinatii se va pastra in plic separat, mat si sigilat

  • Cheile de la containerele si incaperile de securitate se vor pastra astfel:

un rand de chei la utilizator (cheile de serviciu);

al doilea rand la seful structurii/functionarul de securitate (cheile de rezerva).

  • Cheile de serviciu:

- in afara orelor de program, vor fi pastrate in cutii sigilate;

- predarea – primirea cheilor de la incaperile de securitate si containere se va face, pe baza de semnatura, in condica special destinata.

  • Cheile de rezerva

- se pastreaza la seful structurii/functionarul de securitate;

- se pastreaza in plicuri separate, mate, in container separat.

IX. INCIDENTE DE SECURITATE

Organizarea de securitate

Definitii

Responsabilitati

Solutionarea incidentelor

Protectia informatiilor NATO clasificate depinde, pe de o parte, de aplicarea reglementarilor de securitate specifice pentru a da efect politicii de securitate aprobata, directivelor si orientarilor, si, pe de alta parte, de implementarea eficienta a acestor reguli prin educatie si supraveghere, dublate de disciplina si, in cazuri extreme, de sanctiuni legale.

ORGANIZAREA DE SECURITATE

Conducatorul institutiei care detine informatii clasificate trebuie sa asigure conditiile necesare pentru ca toate persoanele care gestioneaza astfel de informatii sa cunoasca reglementarile in vigoare referitoare la protectia acestora. Cu alte cuvinte, conducatorul institutiei este responsabil de educatia de securitate a personalului.

Pentru implementarea masurilor de securitate si organizarea activitatii specifice de protectie a informatiilor clasificate, in unitatile detinatoare de astfel de informatii se infiinteaza structuri de securitate cu atributii specifice, subordonate direct conducatorului institutiei. Infiintarea structurii de securitate este obligatorie in toate institutiile, societatile, firmele, intreprinderile de stat sau private, care, prin natura activitatii lor sau prin contractele, acordurile, intelegerile ce le incheie, vehiculeaza informatii NATO clasificate. Structura de securitate:

- constituie componenta executiva pentru implementarea reglementarilor privind protectia informatiilor;

- reprezinta punctul de contact dintre institutie si ORNISS;

- asigura relationarea cu institutia abilitata sa coordoneze activitatea si sa controleze masurile privitoare la protectia informatiilor clasificate, institutie care, in majoritatea cazurilor, este SRI.

In unitatile detinatoare de informatii clasificate se organizeaza structuri special destinate gestionarii acestora. Astfel:

- pentru documente nationale, se organizeaza compartimente speciale pentru evidenta, intocmirea, pastrarea, procesarea, multiplicarea, manipularea, transportul, transmiterea si distrugerea acestora in conditii de siguranta, in conformitate cu prevederile HG 585/2002;

- pentru documente NATO sau UE, fiecare structura institutionala (militara sau civila), care in desfasurarea activitatii sale gestioneaza sau urmeaza sa gestioneze astfel de informatii, trebuie sa isi infiinteze propria Componenta a Sistemului National de Registre, prescurtat (CSNR).

Activitatea compartimentelor speciale si a CSNR-urilor este coordonata de structura de securitate.

INCIDENT DE SECURITATE (DEFINITII)

Notiunea de incident de securitate este abordata, si chiar definita, in mod nuantat in legislatia de specialitate a Romaniei, in Politica de securitate a NATO sau in Regulamentul de securitate al Consiliului Uniunii Europene.

In Normele de protectie a informatiilor NATO clasificate (HG 353), incidentul de securitate nu este definit in mod explicit.

In schimb, Standardele nationale definesc incidentul de securitate ca fiind:

orice actiune sau inactiune

contrara reglementarilor de securitate

a carei consecinta a determinat sau este de natura sa determine compromiterea informatiilor clasificate.

In documentul Politica de securitate a NATO, incalcarea reglementarilor de securitate este tratata nuantat, in functie de compromiterea sau necompromiterea informatiilor NATO clasificate.

Astfel, incidentul de securitate (Breach of security) este definit ca fiind:

o fapta sau omisiune, deliberata sau accidentala,

contrara Politicii de securitate a NATO si directivelor sale de implementare,

care provoaca o reala sau posibila compromitere a informatiilor NATO clasificate.

Daca NU are loc o compromitere a informatiilor NATO clasificate, Politica de securitate a NATO considera ca

o fapta sau o omisiune, deliberata sau accidentala,

contrara Politicii de securitate NATO si a directivelor sale de implementare,

este Security Infraction, sintagma pe care am tradus-o prin abatere de la reglementarile de securitate, pentru ca, mot-a-mot, infractiune de securitate suna chiar mai grav decat incident de securitate.

Pentru exemplificare, nu sunt considerate ca fiind compromiteri

lasarea informatiilor NATO clasificate neprotejate in interiorul unui obiectiv industrial sigur in care toate persoanele sunt verificate corespunzator, sau

absenta unei duble impachetari de protectie a informatiilor clasificate.

In Regulamentul de securitate al Consiliului Uniunii Europene, incidentul de securitate este definit ca fiind:

un act sau o omisiune

contrara unei reguli de securitate a Consiliului sau a unuia dintre statele membre UE si

susceptibila de a pune in pericol sau compromite informatii UE clasificate.

n     HG 585/2002 – Standarde nationale

Incident de securitate

n     actiune sau inactiune

n     contrara reglementarilor de securitate

n     COMPROMITEREA informatiilor clasificate

n     C-M(2002)49 – Politica de securitate a NATO

Breach of security - (incident de securitate)

n     fapta sau omisiune

n     contrara Politicii de Securitate a NATO

n     COMPROMITEREA informatiilor NATO clasificate

Security infraction (abatere de la reglementarile de securitate)

n     nu are loc o COMPROMITERE

n     fapta sau omisiune

n     contrara Politicii de Securitate a NATO

n     Regulamentul de securitate al Consiliului UE

Breach of security - (incident de securitate)

n     act sau omisiune

n     contrara unei reguli de securitate a UE

n     COMPROMITEREA informatiilor UE clasificate

COMPROMITEREA INFORMATIILOR (DEFINITII)

Astfel:

Potrivit Standardelor nationale, informatia clasificata este compromisa atunci cand:

si-a pierdut integritatea,

a fost ratacita ori pierduta,

a fost accesata, total sau partial, de persoane neautorizate.

In conformitate cu Politica de securitate a NATO, compromiterea este situatia in care informatii NATO clasificate si-au pierdut:

Confidentialitatea - caracteristica informatiei de a nu fi disponibila sau dezvaluita persoanelor sau entitatilor neautorizate,

Integritatea - proprietatea prin care informatia (inclusiv data dar si textul cifrat) a fost alterata sau distrusa printr-o modalitate neautorizata sau

Disponibilitatea - proprietatea informatiilor si a materialelor de a fi accesibile si folosite la cerere de o persoana sau entitate autorizata.

In acceptiunea CM 49, sunt considerate ca fiind compromise:

informatiile clasificate pierdute in timpul transportului,

informatiile clasificate lasate intr-o zona neprotejata unde persoane fara certificat au acces fara insotitor,

un document inregistrat care nu poate fi gasit,

informatii clasificate care au fost supuse unor modificari neautorizate,

distrugerea intr-o maniera neautorizata.

Informatiile NATO clasificate se considera compromise chiar atunci cand au fost supuse riscului unei cunoasteri neautorizate. Astfel, informatiile NATO clasificate pierdute, chiar si temporar, in afara unei zone de securitate sunt considerate a fi compromise. De asemenea, documentele care nu au putut fi gasite la inventarierea periodica vor fi considerate compromise pana cand investigatia de securitate va dovedi contrariul.

Potrivit Regulamentului de securitate al Consiliului Uniunii Europene, compromiterea unei informatii UE clasificate are loc atunci cand:

aceasta cade, total sau partial, in mana unei persoane neautorizate, adica a unei persoane care fie nu detine certificat de securitate fie nu are need-to-know, sau

cand exista suspiciuni ca o astfel de compromitere a avut deja loc.

Compromiterea unei informatii UE clasificate poate surveni din cauza unei neatentii, neglijente sau indiscretii, ca urmare a activitatii serviciilor speciale interesate sa intre in posesia de informatii UE clasificate sau din partea organizatiilor subversive.

n     HG 585/2002 – Standarde nationale

n     si-a pierdut intergitatea

n     a fost ratacita sau pierduta

n     a fost accesata, total sau partial, de persoane neautorizate

n     C-M(2002)49 – Politica de securitate a NATO

n     confidentialitatea

n     integritatea

n     disponibilitatea

n     Regulamentul de securitate al Consiliului UE

n     cade, total sau partial, in mana unei persoane neautorizate

n     exista suspiciuni ca o astfel de compromitere a avut loc.

INCIDENTUL DE SECURITATE SURVINE IN URMA UNEI COMPROMITERI

RESPONSABILITATI PREVENIRE INCIDENTE

Responsabilitatea in ceea ce priveste prevenirea si solutionarea incidentelor de securitate revine conducatorului unitatii care gestioneaza informatii clasificate si structurii de securitate, care raspunde solidar cu acesta pentru toate problemele referitoare la securitatea documentelor clasificate.

Pentru prevenirea aparitiei incidentelor de securitate, structura de securitate verifica periodic eficienta masurilor de securitate fizica din cadrul zonelor in care sunt vehiculate informatii clasificate si, cu aprobarea conducerii unitatii, efectueaza controale privind modul de aplicare a normelor de protectie a informatiilor clasificate. Controlul are drept scop:

Identificarea vulnerabilitatilor existente

Constatarea cazurilor de incalcare a reglementarilor de securitate

In urma controalelor efectuate, structura de securitate informeaza conducerea unitatii despre vulnerabilitatile, riscurile si incalcarile reglementarilor de securitate existente in sistemul de protectie a informatiilor clasificate si propune masuri pentru inlaturarea acestora.

Conducatorii unitatilor si persoanele care gestioneaza informatii clasificate au obligatia de a aduce la cunostinta ORNISS si a institutiilor cu atributii de coordonare si control in domeniu orice indicii din care pot rezulta premise de insecuritate pentru astfel de informatii.

Tot pentru prevenirea incidentelor de securitate, ORNISS si Serviciul Roman de Informatii, prin unitatea sa specializata, sunt imputernicite cu atributii de exercitare a controlului asupra modului de aplicare a masurilor de protectie de catre institutiile publice si unitatile detinatoare de informatii clasificate. Activitatea de control vizeaza:

- structura de securitate,

personalul care are acces la informatii clasificate si, dupa caz,

- CSNR sau compartimentul special.

Printre altele, controlul efectuat de ORNISS si/sau SRI are ca scop:

- verificarea modului in care sunt aplicate si respectate reglementarile privind protectia informatiilor clasificate;

- identificarea vulnerabilitatilor existente in sistemul de protectie a informatiilor clasificate, care ar putea duce la compromiterea acestor informatii, in vederea luarii masurilor de prevenire necesare;

- constatarea cazurilor de nerespectare a normelor de protectie a informatiilor clasificate si

- aplicarea sanctiunilor contraventionale sau, dupa caz, sesizarea organelor de urmarire penala, in situatia in care fapta constituie infractiune.

INCIDENT DE SECURITATE (INFORMATII NATIONALE CLASIFICATE)

Incidentele de securitate pot fi constatate cu ocazia inventarierii anuale, in urma unor controale efectuate de catre persoane abilitate sau pot fi semnalate de catre persoane fizice ori juridice. De asemenea, ele pot fi stabilite de catre autoritatile desemnate de securitate in baza activitatilo specifice pe care le desfasoara.

In situatia aparitiei unui astfel de incident, conducatorul institutiei are obligatia de a instiinta, in scris si prin cel mai operativ sistem de comunicare, institutiile prevazute la art. 25 din Legea nr. 182/2002, despre compromiterea informatiilor secret de stat.

Instiintarea trebuie sa contina:

- descrierea informatiilor compromise, respectiv:

  • nivelul de clasificare
  • marcarea documentului
  • numarul de inregistrare si de exemplare
  • data emiterii
  • emitentul
  • subiectul la care se refera
  • persoana sau compartimentul care le-a gestionat
  • scopul pentru care a fost primit documentul

- o scurta prezentare a imprejurarilor in care a avut loc compromiterea, inclusiv:

  • data constatarii
  • perioada in care informatiile au fost expuse compromiterii
  • persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, daca sunt cunoscute

- precizari cu privire la eventuala informare a emitentului.

Instiintarea se face in scopul obtinerii sprijinului necesar pentru recuperarea informatiilor, evaluarea prejudiciilor, diminuarea si inlaturarea consecintelor.

Orice incalcare a reglementarilor de securitate va fi cercetata pentru a se stabili:

  • daca informatiile respective au fost compromise;
  • daca persoanele neautorizate care au avut sau ar fi putut avea acces la informatii secrete de stat prezinta suficienta incredere si loialitate, astfel incat rezultatul compromiterii sa nu creeze prejudicii;
  • masurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.

In situatia in care informatiile clasificate au fost accesate de persoane neautorizate, acestea vor fi instruite pentru a preveni producerea de eventuale prejudicii.

INCIDENT DE SECURITATE (INFORMATII NATO CLASIFICATE)

Potrivit Politicii de securitate a NATO, „toate cazurile in care exista suspiciuni vizand incidente de securitate vor fi imediat raportate Autoritatii Nationale de Securitate competente. Rapoartele privind aceste cazuri vor fi analizate de catre persoane competente pentru a evalua daunele produse la adresa NATO si pentru a stabili masurile corespunzatoare ce se impun”.

Orice compromitere a informatiilor NATO clasificate, indiferent de nivelul de clasificare, se aduce la cunostinta ORNISS.

Scopul principal al comunicarii incidentului de securitate este de a da posibilitatea recuperarii informatiilor, evaluarii prejudiciilor aduse Aliantei Nord-Atlantice si intreprinderii actiunilor necesare pentru minimalizarea consecintelor.

Prima obligatie care ii revine structurii de securitate in momentul in care constata un incident de securitate este aceea de a informa conducerea unitatii. Dupa analizarea si evaluarea situatiei, cu acordul conducatorului unitatii, structura de securitate raporteaza la ORNISS – accentuez la ORNISS - producerea incidentului.

Raportul catre ORNISS cuprinde aceleasi capitole ca si instiintarea trimisa catre SRI in cazul incidentelor vizand compromiterea informatiilor nationale clasificate.

Termenul de raportare a incidentului de securitate depinde de sensibilitatea informatiilor si de imprejurarile in care a avut loc compromiterea. Din acest motiv trebuie avut in vedere faptul ca ORNISS inainteaza imediat la NOS rapoarte de prima sesizare in cazul in care:

  • este implicata o informatie de nivel CTS sau NS
  • exista indicii sau suspiciuni de spionaj ori
  • s-au produs dezvaluiri neautorizate in mass-media.

In cazul in care se impune informarea NOS cu privire la compromiterea unei informatii NATO clasificate, ORNISS trebuie sa alerteze si emitentul informatiei. Atunci cand nu este posibil acest lucru, ORNISS poate solicita sprijinul NOS pentru identificarea emitentului si informarea acestuia.

Acelasi lucru este valabil si in cazul informatiilor UE clasificate.

Dupa primirea raportului, ORNISS are obligatia de a evalua implicatiile incidentului de securitate, concomitent, in colaborare cu institutiile abilitate de resort, intreprinde masurilor necesare de contracarare/diminuare a efectelor incidentului si declanseaza investigatia de securitate.

In principiu, investigatia de securitate va trebui sa certifice compromiterea informatiilor NATO clasificate, sa identifice persoanele implicate si sa stabileasca masurile de remediere ce se impun.

ORNISS va stabili modul in care va fi investigat incidentul de catre persoane cu experienta in problematica securitatii, in investigatii si, daca este cazul, in contraspionaj. Persoanele implicate in investigarea incidentului de securitate trebuie sa fie independente de cele susceptibile de provocarea acestuia. In acest scop, ORNISS poate apela la experti provenind din institutii abilitate.

ORNISS raporteaza la NOS aspecte ulterioare referitoare la compromitere (rezultatul investigatiilor de securitate efectuate de institutiile abilitate de resort, masurile de recuperare a informatiilor compromise si de reducere a prejudiciului etc.).

X. CONTRACTE NATIONALE CLASIFICATE
PROCEDURA DE ELIBERARE A AUTORIZATIEI SI CERTIFICATULUI DE SECURITATE INDUSTRIALA

Negocierea contractelor clasificate secret de stat

HG 585/2002

Autorizatia de securitate industriala (ASI) se elibereaza de ORNISS, pentru fiecare contract clasificat

Documente necesare:

cerere pentru eliberarea autorizatiei de securitate industriala – anexa nr. 24 din HG 585/2002;

chestionar de securitate industriala, in plic sigilat – anexa nr. 25 din HG nr. 585/2002;

invitatie de participare la procesul de negociere;

lista persoanelor autorizate, participante la negociere.

Invitatia de participare

Denumirea contractului clasificat

Obiectul contractului clasificat

Nivelul de clasificare al contractului

Obligatii ale obiectivului industrial

Cerinte pentru eliberarea ASI

Sa posede structura/functionar de securitate

Sa posede program de prevenire a scurgerii de informatii clasificate, avizat;

Sa fie stabil din punct de vedere economic:

Nu este in proces de lichidare

Nu este in stare de faliment

Nu este implicat intr-un litigiu care ii afecteaza stabilitatea economica

Isi indeplineste obligatiile financiare catre stat, persoane fizice si juridice

Sa nu fi inregistrat o greseala de management cu implicatii grave asupra starii de securitate a informatiilor clasificate pe care le gestioneaza;

Sa fi respectat obligatiile de securitate din cadrul contractelor clasificate derulate anterior;

Personalul implicat in negocierea contractului sa detina autorizatii de acces la informatii clasificate secret de stat;

Obligatii ale contractorului

in cazul negocierii contractelor clasificate

Pastrarea evidentei tuturor persoanelor participante la intalnirile de negociere

date de identificare

angajamente de confidentialitate

organizatiile pe care le reprezinta

tipul si scopul intalnirilor

informatii la care acestea au avut acces

Stabilirea unei clauze in invitatiile de participare prin care potentialul ofertant e obligat sa returneze documentele clasificate puse la dispozitie.

Termen < 15 zile

Asigurarea faptului ca in procesul de negociere participa doar persoane autorizate.

Obiectivele activitatii de verificare

Prevenirea accesului persoanelor neautorizate la informatiile clasificate;

Garantarea ca informatiile clasificate sunt distribuite pe baza existentei autorizatiei de securitate industriala si a principiului necesitatii de a cunoaste;

Identificarea persoanelor, care prin actiunile lor, pot pune in pericol protectia informatiilor clasificate;

Garantarea faptului ca obiectivele industriale au capacitatea de a proteja informatiile clasificate in procesul de negociere.

Avizul de securitate

Operatorul economic nu prezinta riscuri de securitate;

Sunt aplicate in mod corespunzator masurile de securitate fizica si normele privind accesul persoanelor la informatii clasificate;

Obiectivul industrial este solvabil din punct de vedere financiar

Obiectivul industrial nu a fost si nu este implicat in politici de sprijinire sau aprobare a comiterii de acte de sabotaj sau teroriste

Termen pentru eliberarea ASI

60 de zile lucratoare

Valabilitatea ASI

n     Pana la incheierea contractului sau pana la retragerea de la negocieri

Retragerea ASI

La solicitarea obiectivului industrial

La propunerea motivata a ADS competente

La expirarea termenului de valabilitate

DERULAREA CONTRACTELOR CLASIFICATE SECRET DE STAT

Certificat de securitate industriala (CSI)

Documente necesare:

q    Cerere pentru eliberarea certificatului de securitate industriala – anexa nr. 30 din HG nr. 585/2002

q    Chestionar de securitate industriala, in plic sigilat – anexele nr. 26 si 27 din HG nr. 585/2002

q    Anexa de securitate

q    Lista persoanelor autorizate participante la derularea contractului

Anexa de securitate

Cuprinde clauzele si procedurile de protectie valabile pentru fiecare contract clasificat.

Se intocmeste catre partea contractanta detinatoare de informatii clasificate.

Clauzele si procedurile din Anexa sunt supuse periodic verificarilor de catre ADS competenta.

Obligatiile contractorului

in cadrul activitatilor contractuale clasificate

Este responsabil pentru clasificarea si definirea tuturor componentelor contractului;

Intocmeste anexa de securitate si pune un exemplar al acesteia la dispozitia contractantului;

Declanseaza procedura de clasificare si protejare pentru contractele care se clasifica pe parcursul derularii;

Solicita contractantului sa impuna eventualilor subcontractanti conditii de securitate similare;

Permite punerea in executare a contractului numai in conditiile in care contractantul detine CSI

Obligatii ale contractantului

Cerinte pentru eliberarea CSI

Sa posede program de prevenire a scurgerii de informatii clasificate, avizat;

Sa fie stabil din punct de vedere economic;

Sa nu fi inregistrat o greseala de management cu implicatii grave asupra starii de securitate a informatiilor clasificate pe care le gestioneaza;

Sa fi respectat obligatiile de securitate din cadrul contractelor clasificate derulate anterior;

Personalul implicat in derularea contractului sa detina autorizatii de acces de nivel egal cu cel al informatiilor vehiculate in cadrul contractului clasificat;

Alte obligatii ale contractantului

in cadrul activitatilor contractuale clasificate

Pune in executie contractul clasificat numai in conditiile in care:

detine CSI,

personalul autorizat a fost instruit si a semnat fisa individuala de pregatire;

Informeaza contractorul cand decide sa subcontracteze realizarea unei parti din contractul clasificat.

Impune subcontractantilor conditii de securitate similare cu cele aplicate contractantului

Se asigura ca acestia detin ASI/CSI

Inapoiaza contractorului toate informatiile clasificate incredintate sau generate pe perioada contractului.

Respecta procedura stabilita pentru protectia informatiilor clasificate legate de contract.

Informeaza ORNISS asupra tuturor modificarilor survenite privind datele de securitate incluse in chestionarul completat.

Avizul de securitate

Operatorul economic nu prezinta riscuri de securitate;

Sunt aplicate in mod corespunzator masurile de securitate fizica, prevazute de reglementarile in vigoare, precum si normele privind accesul persoanelor la informatii clasificate;

Obiectivul industrial este solvabil din punct de vedere economic;

Obiectivul industrial nu a fost si nu este implicat sub nici o forma in activitatea unor organizatii care adopta o politica de sprijinire sau aprobare a comiterii de acte de sabotaj sau teroriste

Termene pentru eliberarea CSI

Nivel secret – 90 zile lucratoare

Nivel strict secret – 120 zile lucratoare

Nivel strict secret de importanta deosebita – 180 zile lucratoare

Valabilitatea CSI

Pe perioada derularii contractului, dar nu mai mult de 3 ani

Retragerea CSI

La solicitarea obiectivului industrial

La propunerea motivata a ADS competente

La expirarea termenului de valabilitate

La incetarea contractului

La schimbarea nivelului de certificare acordat initial

Contraventii

Punerea in executare a unui contract clasificat fara CSI.

Permiterea accesului la informatii clasificate

persoanelor neautorizate

persoanelor autorizate neinstruite sau care nu au semnat fisa individuala de pregatire.

Sanctiuni

Avertisment

Amenda de la 500.000 la 25.000.000 lei

XI. ANEXA DE SECURITATE

Cadrul legal

Art. 201 (HG nr. 585/2002)

anexa la contract

este intocmita de partea detinatoare de informatii clasificate;

clauzele sunt supuse periodic verificarilor de catre Autoritatea Desemnata de Securitate (ADS) competenta.

Art. 216, 221 (HG nr. 585/2002)

cerinta pentru initierea procedurii de avizare a eliberarii certificatului de securitate industriala

Definitie si rol

Definitie: Document realizat de institutia detinatoare de informatii clasificate, ca parte a unui contract sau sub-contract in care sunt transferate astfel de informatii si care identifica clar cerintele de securitate sau acele elemente care necesita protectie de securitate.

Rol: sa identifice clar si fara echivoc cerintele de securitate ale proiectului/programului

Clauze generale

Obligativitatea contractantului/furnizorului de a respecta cerintele consemnate in aceasta

Informatiile si materialele clasificate gestionate in cadrul contractului vor fi protejate cu respectarea prevederilor legale privind protectia personalului, protectia fizica, INFOSEC si securitatea industriala

Derularea contractului este conditionata de obtinerea certificatului de securitate industriala eliberat de ORNISS

Posibilitatea efectuarii de catre contractor a unor vizite de evaluare

Informatiile si materialele clasificate la care are acces contractantul nu vor fi transmise catre un tert, fara aprobarea prealabila a emitentului

Orice persoana care pe parcursul derularii contractului are acces la informatii clasificate trebuie sa detina certificat de securitate sau autorizatie de acces la informatii clasificate, in conformitate cu legislatia in vigoare

Pentru stabilirea nivelului de clasificare a documentelor sau materialelor produse pe durata de executie a contractului, contractantul/furnizorul se va adresa contractorului

Nerespectarea de catre contractant /furnizor a prevederilor anexei de securitate si a reglementarilor de securitate stabilite de legislatia in vigoare poate duce la rezilierea contractului

Se stabilesc datele si materialele (echipamente, informatii, manuale tehnice, specificari etc.) care vor fi gestionate in timpul derularii contractului precum si nivelul clasificarii acestora

Transportul informatiilor si materialelor clasificate va fi efectuat in conformitate cu legislatia in vigoare

In cazul achizitionarii unor produse si servicii de la un sub-contractant, necesare indeplinirii obiectului contractului principal, contractantul/furnizorul are obligatia sa informeze contractorul si ORNISS

Obligatiile contractantului

Desemnarea unei persoane din cadrul structurii de securitate responsabila cu implementarea si supervizarea masurilor de securitate legate de contract

Transmiterea, in timp util, catre ORNISS a datelor de identitate ale persoanelor implicate in derularea contractului

Mentine legatura permanenta cu contractorul, in vederea asigurarii faptului ca toate informatiile si materialele clasificate gestionate in cadrul contractului vor fi protejate corespunzator

Nu permite copierea, multiplicarea, transmiterea sau distrugerea prin orice mijloace a documentelor sau materialelor clasificate ce i-au fost incredintate de catre contractor, cu exceptia cazurilor in care exista aprobarea expresa a acestuia

Pastreaza evidenta angajatilor implicati in derularea contractului si care au fost abilitati sa aiba acces la informatii clasificate

Pune la dispozitia contractorului/ADS, oricand este necesar, date despre persoanele care vor avea acces la informatii si materiale clasificate pe parcursul derularii contractului

Interzice accesul la informatii si materiale clasificate acelor persoane ce nu au fost autorizate in conformitate cu legislatia in vigoare

Limiteaza diseminarea informatiilor clasificate doar catre persoanele responsabile pentru indeplinirea contractului, pe baza principiului „necesitatii de a cunoaste” si in conformitate cu nivelul de acces la informatii clasificate

Respecta orice cerinta de securitate venita din partea contractorului, cu privire la persoanele carora li s-au incredintat informatii si materiale clasificate (angajament de confidentialitate)

Informeaza contractorul cu privire la orice incalcari sau posibile incalcari ale masurilor de securitate, tentative, acte de sabotaj sau activitati subversive

Obtine aprobarea contractorului inaintea inceperii negocierilor in vederea sub-contractarii unei parti a contractului principal, prin care sub-contractantul va avea acces la informatii clasificate

Sub-contractantul, la randul sau, trebuie sa se supuna reglementarilor impuse de legislatia nationala in domeniul protectiei informatiilor clasificate si prevederilor anexei de securitate

Nu va utiliza, fara acordul scris al contractorului, informatiile si materialele clasificate ce i-au fost incredintate sau care au fost generate pe parcursul derularii contractului, decat pentru scopul specific al contractului

Va returna contractorului toate informatiile si materialele clasificate care i-au fost incredintate precum si cele generate in timpul contractului sau sub-contractelor, cu exceptia cazurilor in care acestea au fost distruse cu acordul contractorului sau pastrarea lor a fost autorizata de catre acesta

Respecta intocmai procedurile de diseminare a informatiilor clasificate legate de contract sau sub-contract

Exemplu de redactare

1. Informatii referitoare la: data intocmirii, emitent, furnizor, perioada de derulare a contractului, nivelul cel mai inalt de secretizare a activitatilor si/sau informatiilor;

2. Lista locurilor de executie a activitatilor in care se utilizeaza informatii clasificate: locurile de executie, categoriile de personal, nr. de persoane, activitatile/informatiile necesar a fi protejate, nivelul de secretizare;

3. Caietul de sarcini privind protectia informatiilor clasificate:

obiectul contractului,

definirea activitatilor/informatiilor necesar a fi protejate,

masurile particulare de protectie a informatiilor clasificate: clauzele privind protectia sistemelor informatice/tehnica de prelucrare automata a datelor, masurile de protectie a informatiilor pe timpul transportului, masurile de protectie a informatiilor pe timpul incercarilor/testarilor.

XII. securitatea industriala

Cadrul legal

Legea 101/2003

Hotararea Guvernului nr. 585/2002, capitolul VII

Hotararea Guvernului nr. 353/2002, capitolul H

Normele metodologice privind protectia informatiilor clasificate in cadrul activitatilor contractuale NATO

Definitii

Securitatea industriala

Contracte nationale si NATO clasificate, sub-contracte

Certificat de securitate industriala

Anexa de securitate

Securitate industriala

Sistemul de norme si masuri care reglementeaza protectia informatiilor clasificate gestionate de obiectivele industriale, in cadrul contractelor clasificate

Obiective industriale: companii, societatii comerciale, unitati de cercetare, universitati etc.

Contracte clasificate

Contract national clasificat: contract incheiat intre parti, in cadrul caruia, pentru producerea unui bun sau furnizarea unui serviciu, se vehiculeaza informatii nationale clasificate

Contract NATO clasificat: contract incheiat de o institutie militara sau civila NATO sau de o tara membra NATO in vederea realizarii unui program/proiect initiat, negociat sau administrat de NATO si care necesita acces sau genereaza informatii NATO clasificate

Contracte principale

Sub-contracte

Clauzele si procedurile de securitate in cadrul contractelor clasificate vor fi stipulate in Anexa de securitate

Certificatul de securitate industriala

Se elibereaza obiectivelor industriale care sunt sau care vor fi implicate in derulare unor contracte clasificate

Document eliberat de ORNISS prin care se atesta ca, din punct de vedere al securitatii, un obiectiv industrial indeplineste standardele minime de protectie a informatiilor clasificate de un anumit nivel sau inferior

Cerinte generale impuse companiei(1):

Implementarea unui sistem de securitate in cadrul obiectivului industrial pentru protectia informatiilor clasificate

Implementarea normelor cu privire la protectia fizica si a documentelor, protectia personalului, INFOSEC

Desemnarea unui functionar de securitate, responsabil cu implementarea masurilor de protectie a informatiilor clasificate in obiectivul industrial

Indeplinirea oricaror cerinte de securitate suplimentare venite din partea ORNISS

Cerinte generale impuse companiei(2):

Realizarea si implementarea programului de prevenire a scurgerii de informatii clasificate

Stabilitate din punct de vedere economic

Personalul obiectivului industrial implicat in negocierea sau derularea unui contract clasificat trebuie sa detina autorizatii sau certificate de acces la informatii clasificate

Etapele derularii unui contract clasificat (1)

Anuntarea publica a licitatiei sau a cererii de oferta

Caietul de sarcini prevede obligativitatea obtinerii autorizatiei de securitate industriala pentru companiile participante

Anuntarea datei limita a depunerii ofertelor

Termenul de eliberare a autorizatiei de securitate industriala este de 60 de zile lucratoare

La negociere vor participa companiile

Care detin autorizatie de securitate industriala

Ale caror personal a fost autorizat sa aiba acces la informatii clasificate

Pentru derularea contractului clasificat, compania declarata castigatoare va face demersurile necesare pentru obtinerea certificatului de securitate industriala, eliberat de ORNISS

XIII. Documentatia de securitate

Ce se intelege printr-un SIC sigur ?

Un SIC care asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nerepudierea informatiilor pe care le stocheaza, proceseaza sau transmite.

Cum se poate obtine un SIC sigur ?

Prin implementarea unui ansamblu de masuri de securitate tehnice si procedurale, specifice.

Ce este documentatia de securitate?

O documentatie care contine atat cerintele de securitate cat si masurile de securitate care trebuie implementate in vederea obtinerii unui SIC sigur

Este specifica fiecarui SIC, in functie de scopul si misiunea acestuia

Este caracteristica fiecarei etape a ciclului de viata al SIC

Este determinata de mediul operational al SIC-ului

Este o conditie primordiala in acreditarea unui SIC.

Cine elaboreaza documentatia de securitate ?

Administratorul de securitate al SIC-ului in colaborare cu AOSIC.

Cine aproba documentatia de securitate ?

ORNISS, la propunerea Agentiei de Acreditare de Securitate in urma analizei si evaluarii documentatiei de securitate.

In ce consta documentatia de securitate ?

Raportul Analizei riscului

Documentatia cu Cerintele de Securitate (DCS)

Procedurile Operationale de Securitate (PrOpSec)

Ghidul General de Securitate pentru Utilizatori

Alte documente specifice

Raportul Analizei riscului

contribuie la luarea deciziei privind modul in care cerintele de securitate pot fi indeplinite, la stabilirea proportiei intre masurile tehnice de securitate si cele alternative si ofera o evaluare impartiala a riscului rezidual.

este un raport de management care ajuta conducerii, responsabililor misiunii sa ia decizii privind politica, procedurile, bugetul si schimbarile in sistemul operational si de management.

Definirea Documentatiei cu Cerintele de Securitate

o documentatie completa si explicita a principiilor de securitate care trebuie avute in vedere si a cerintelor detaliate de securitate care trebuie indeplinite

specifica cum poate fi realizata, gestionata si verificata securitatea SIC

se refera atat la cerintele pentru utilizatori cat si la cerintele operationale

Documentatia cu Cerintele de Securitate

1. Cerinte de Securitate Specifice Sistemului (CSSS)

2. Cerinte de Securitate Comunitara(CSC)

3. Cerinte de Securitate pentru Interconectarea Sistemelor (CSIS)

4. Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)

Definirea PrOpSec

PrOpSec reprezinta descrierea precisa a implementarii cerintelor de securitate definite anterior in Documentatia cu Cerintele Securitate (DCS), a procedurilor operationale care vor trebui urmate si responsabilitatile personalului, specifice SIC

Continutul PrOpSec

Administrarea si organizarea securitatii

Securitatea fizica

Securitatea personalului

Securitatea documentelor

INFOSEC

Planificarea masurilor in situatii de urgenta si pentru continuarea activitatii

Managementul configuratiei

Ghidul General de Securitate pentru Utilizatori

Consta in prezentarea sumara a principalelor proceduri de securitate care trebuie cunoscute de utilizatori si care li se adreseaza direct, astfel incat sa poata intelege implicatiile nerespectarii acestora.

Se refera la aspectele relevante ale PrOpSec, in partile care privesc direct utilizatorii astfel incat acestia sa poata intelege implicatiile acestor aspecte, si sa constientizeze ca ei sunt parte integranta si joaca un rol activ in realizarea securitatii SIC.

Ghidul General de Securitate pentru Utilizatori contine indicatii cu privire la :

a) cum se obtine autorizatia de utilizare a resurselor si a functiilor SIC-ului;

b) responsabilitatile privind identificarea si autentificarea

utilizatorului si controlul accesului;

c) manuirea si pastrarea informatiilor clasificate;

d) modul de raportare a diferitelor probleme care pot sa apara referitoare la securitate (de exemplu, incidentele cauzate de virusi), a disfunctionalitatilor si suspiciunilor de incalcare a securitatii;

e) responsabilitatile generale ale utilizatorilor privind securitatea in cadrul SIC.

Alte documente specifice

Rapoartele de evaluare si certificare :

COMPUSEC

COMSEC

CRIPTOGRAFICA

TRANSEC

TEMPEST

XIV. DOCUMENTATIA CU CERINTELE DE SECURITATE

Cerinte de Securitate Specifice Sistemului (CSSS)

2. Cerinte de Securitate Comunitara(CSC)

3. Cerinte de Securitate pentru Interconectarea Sistemelor (CSIS)

4. Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)

1. Cerintele de Securitate Specifice Sistemului

1.1 Generalitati

Un document explicit privind cerintele de securitate specifice unui sistem

Defineste ce inseamna ca un sistem sa fie sigur

Indica modalitatile pentru obtinerea securitatii informatiilor vehiculate prin sistem

Constituie un document fundamental si obligatoriu pentru procesul de acreditare de securitate

CSSS sunt formulate de catre AOSIC inca din stadiul de planificare a sistemului informatic si trebuie dezvoltate si imbunatatite pe parcursul desfasurarii proiectului.

CSSS trebuie sa constituie o parte integranta a documentatiei proiectului care se inainteaza autoritatilor corespunzatoare atat pentru aprobarea bugetului cat si pentru aprobarea de securitate.

Documente de referinta: - Ghidul pentru Elaborarea Documentatiei cu Cerintele de Securitate pentru Sistemele Informatice si de Comunicatii – DS1, publicat in Monitorul Oficial Nr. 865/05.12.2003

Cand un sistem informatic este operational

CSSS constituie baza unui acord intre AOSIC si AAS prin care se considera ca sistemul este mentinut si utilizat intr-o maniera sigura, din punct de vedere al securitatii.

Continutul CSSS poate fi modificat numai de catre AOSIC dupa consultarea cu AAS.

1.2 Structura si continutul CSSS

Capitolul I - Introducere

Trebuie sa ofere o privire de ansamblu a sistemului si sa cuprinda :

a) numele proiectului / SIC;

b) rolul, misiunea proiectului / SIC;

c) locul de dispunere al SIC;

d) utilizatorii SIC;

e) datele relevante privind etapele de realizare a obiectivelor proiectului

f) referinte catre alte documente relevante pentru securitatea SIC.

Capitolul II - Definirea SIC

Trebuie sa descrie necesitatea sistemului

Rolul operational al sistemului privit din punct de vedere al procesarii, stocarii si transmiterii datelor

Informatiile SIC

Utilizatorii SIC

Arhitectura sistemului ( hardware, software, firmware)

Capitolul III - Definirea cerintelor de securitate

Trebuie descrise pe baza analizei de risc

Amenintarile pentru SIC

Importanta informatiilor

Vulnerabilitatile specifice sistemului

Cerintele minime de securitate

Modul de operare de securitate

Capitolul IV - Definirea mediilor de securitate

Trebuie descrise

Mediul de Securitate Global (MSG)

Mediul de Securitate Local (MSL)

Mediul de Securitate Electronic (MSE)

Capitolul V - Definirea masurilor de securitate

Aceasta este cea mai importanta sectiune a CSSS si trebuie sa descrie

a) Accesul /Controlul Accesului

Definitii:

Accesul este modalitatea specifica de interactiune dintre un subiect (utilizator) si un obiect ( date ) care rezulta din fluxul de informatii de la unul la altul

Controlul accesului este exercitarea controlului asupra acestei interactiuni

Politica de Securitate :

accesul la informatiile clasificate, trebuie sa fie limitat la persoanele cu certificate corespunzatoare de securitate si potrivit principiului „nevoii de a cunoaste”;

Riscuri:

Accesul fizic

Autorizatie de acces/ clasificare

Nevoia da a cunoaste

Comunicatii

Emisii

Masuri de securitate:

MSG/MSL: MSE:

- securitate fizica - controlul accesului discretionar

- supervizarea - controlul accesului autorizat

- autorizatii de acces - marcarea

TEMPEST - reutilizarea produselor

- criptarea - criptarea

- regula“celor 2 persoane”

b) Autentificarea

Definitie :

Este procesul de confirmare a validitatii unei identitati revendicate.

Politica de securitate:

Toate persoanele care au acces la informatiile clasificate trebuie sa fie identificate sigur si sa le fie stabilita autorizarea; toate procesele automate care opereaza in interesul unei persoane vor fi asociate fara echivoc cu persoana respectiva.

Riscuri:

Personificarea

Masuri de securitate :

MSG/MSL: MSE:

- Paza - Parole de acces

- Patrulare - Carduri de acces (PID)

- Recunoastere vizuala - Date Biometrice

- Ecusoane,Permise - Criptografice

- Carduri de identitate - Cai sigure

c) Evidenta

Definitie:

Pastrarea inregistrarilor tuturor activitatilor si evenimentelor referitoare la securitate.

Politica de Securitate :

Evidenta individuala a informatiilor generate sau accesate trebuie aplicata astfel incat sa fie oprita orice persoana care, avand acces la informatiile clasificate, este posibil sa le puna in pericol.

Riscuri:

Autorizatii de acces/ clasificare

Iesiri neautorizate (furt)

Modificari neautorizate a datelor

Masuri de securitate:

MSG/MSL: MSE:

- inregistrarea vizitatorilor -informatii necesare evidentelor specifice

- proceduri privind   -evidenta drepturilor de acces (de exemplu evidenta documentelor creare, citire, imprimare si stergere etc.)

controlul configuratiei -evidenta pe nivele de securitate (de exemplu de la strict secret la un nivel superior )

-evidenta utilizarii canalelor protejate identificate

d) Auditul

Definitie :

Monitorizarea evenimentelor referitoare la securitate pentru a detecta si preveni activitatile din sistem ce pot ameninta securitatea sistemului, descoperind astfel bresele reale sau potentiale in securitatea sistemului.

Politica de Securitate :

Trebuie evidentiate incercarile si incalcarile actuale sau posibile privind securitatea SIC

Riscuri :

Accesul fizic neautorizat

Furtul

Modificari neautorizate a datelor

Incercari nereusite de autentificare

Incercari nereusite de acces la fisiere/ comenzi

Masuri de securitate:

MSG/MSL: MSE:

- Inspectii - Rapoarte periodice

Securitatea breselor fizice - Analiza rezultatelor auditului

- Securitatea breselor sistemului

e) Reutilizarea obiectelor

Definitie:

In multe sisteme informatice, este necesar sa se asigure faptul ca resurse, cum ar fi portiuni din memorii si discuri de stocare, atunci cand sunt alocate unui subiect nu contin informatii pe care subiectul nu este autorizat sa le cunoasca sau nu ii sunt necesare.

Masuri de securitate:

MSG/MSL: MSE:

Toate informatiile continute intr-un produs de stocare trebuie analizate

inaintea alocarii initiale sau realocarii unui subiect din fondul comun de produse de stocare neutilizate.

f) Integritatea

Masuri de securitate :

MSG/MSL: MSE:

Inspectii fizice BCI trebuie sa includa functii care sa asigure ca atunci cand informatiile sunt transmise intre utilizatori, procese si obiecte este posibila „prevenirea pierderilor” sau „alterarea” si de asemenea nu este posibila modificarea sursei si destinatiei in procesul transferului informatiei.

g) Disponibilitatea

Masuri de securitate :

MSG/MSL: MSE:

Trebuie sa asigure ca accesul la resurse este posibil atunci cand este necesar si ca aceste resurse nu sunt mentinute daca nu sunt utile.

h) Comunicatiile de date (COMSEC)

cerinte privind securitatea informatiilor in timpul transmisiei pe canalele de comunicatie (COMSEC)

trebuie sa acopere toate functiile de asigurare a securitatii informatiilor in timpul transmisiei pe canalele de comunicatie respectiv : autentificarea, controlul accesului, confidentialitatea, integritatea si nerepudierea.

constituie masuri distincte fata de securitatea calculatoarelor (COMPUSEC).

i) Riscurile reziduale

Definitie :

Este acel risc care ramane dupa implementarea intr-un SIC a masurilor de securitate, bazat pe intelegerea faptului ca nu pot fi contracarate toate amenintarile si ca nu pot fi eliminate sau reduse toate vulnerabilitatile.

Capitolul VI - Administrarea securitatii:

Acest capitol trebuie sa descrie, cum, din punct de vedere administrativ, sistemul va fi mentinut sigur si sa prezinte urmatoarele:

- Managementul securitatii

- Managementul riscului

- Proceduri operationale de securitate

- Controlul configuratiei

- Intretinerea

- Documentatia

- Instruirea

- Acreditarea/reacreditarea

- Scoaterea din uz si disponibilizarea echipamentelor

2. Cerintele de Securitate Comunitara

2.1 Generalitati

Trebuie realizate cand comunitatea de interese este compusa din mai multe sisteme informatice interconectate.

Stabilesc standardele minime de securitate carora trebuie sa se conformeze SIC din interiorul comunitatii.

Cerintele de Securitate Comunitara trebuie realizate inaintea oricaror Cerinte de Securitate pentru Interconectarea Sistemelor, care constituie anexe la CSC.

2.2 Structura si continutul CSC

Capitolul I - Introducere Definirea scopului CSC, a partilor implicate

si a obiectivelor

Capitolul II - Standarde de Securitate Definirea standardelor de securitate pentru sistemele informatice care se interconecteaza (minim de indeplinit).

Capitolul III – Masuri de securitate Specifica masurile de securitate care trebuie implementate pentru :

Accesul/Controlul accesului

- Autentificare

- Evidenta

- Auditul

- Reutilizarea obiectelor

- Integritate

- Disponibilitate

- Comunicatii de date (COMSEC)

Capitolul IV – Responsabilitatile Lista personalului si responsabilitatile specifice

pentru sistemul informatic fiecaruia

3. Cerinte de Securitate pentru Interconectarea Sistemelor

Sunt realizate pentru a oferi aspecte detaliate ale securitatii in cazul interconectarii a doua sau mai multe SIC.

3.1 Structura si Continutul CSIS

Capitolul I - Introducere

Date de baza privind Motivatia/Avantajele interconectarii si personalul responsabil pentru securitatea acestora

Capitolul II - Natura Interconectarii

Cerintele operationale pentru interconectare

Capitolul III –Cerinte privind securitatea

MSE si MSL sunt descrise prin intermediul CSSS proprii

Capitolul IV – Medii de securitate

Conceptul de MSG inclus in Cerintele de Securitate Comunitara (CSC)

Capitolul V - Diagrama retelei

Trebuie sa arate toate componentele sistemelor informatice interconectate

Capitolul VI – Masuri de securitate

Masuri de securitate care trebuie implementate in SIC-uri

pentru : Controlul Accesului, Evidenta, Audit, Reutilizarea obiectelor, Integritate si Disponibilitate

Cerinte de Securitate a Informatiilor Electronice Specifice Sistemului (CSIESS)

Document elaborat in cazul in care sunt necesare mai multe detalii tehnice pentru SIC.

CSIESS trebuie elaborate concomitent cu CSSS, acestea din urma fiind considerate baza elaborarii CSIESS

CSIESS si CSSS trebuie permanent corelate printr-un control strict al managementului configuratiei

XV. Proceduri Operationale de Securitate PrOpSec

Ce sunt PrOpSec ?

PrOpSec reprezinta descrierea implementarii politicilor de securitate care trebuie adoptate, procedurile operationale care trebuie urmate si responsabilitatile intregului personal.

PrOpSec trebuie realizate pentru toate sistemele informatice si retelele care proceseaza, stocheaza sau transmit informatii NATO/nationale clasificate (inclusiv pentru calculatoare neconectate la retea).

Cine trebuie sa elaboreze PrOpSec?

PrOpSec trebuie elaborate de Administratorul de Securitate al SIC impreuna cu AOSIC

Fiecare Administrator de Securitate pentru Zona Terminalelor poate face propuneri care sa fie incluse in PrOpSec.

Cine trebuie sa aprobe PrOpSec ?

AAS (Agentia de Acreditare de Securitate ) trebuie sa aprobe PrOpSec inainte de a autoriza stocarea, procesarea sau transmiterea informatiilor NATO/nationale clasificate.

PrOpSec pentru sisteme informatice cu nivel de secretizare NATO Restricted/NATO Unclassified, vor fi autorizate de catre Autoritatile Locale de Securitate.

Cine trebuie sa cunoasca PrOpSec ?

Utilizatorii autorizati ai sistemului trebuie sa semneze de luare la cunostinta a PrOpSec.

O copie a PrOpSec, semnata de utilizatori, trebuie pastrata de catre Administratorul de Securitate al Sistemului Informatic.

Unde se regasesc indrumarile ?

Document de referinta

-DS2Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii, publicat in M.O. 865/05.12.2003

Continutul PrOpSec

Introducere:

In continuare vom particulariza prezentarea PrOpSec pentru procesarea informatiilor clasificate . Aceste PrOpSec sunt realizate de catre Administratorul de Securitate al Sistemului pentru Autoritatea Operationala a Sistemului Informatic (AOSIC) in concordanta cu cerintele continute in documentatia de referinta. Ele stabilesc cerintele minime de securitate care trebuie indeplinite de catre SIC. Nu este permisa nici o abatere sau amendament la aceste PrOpSec care sa conduca la o diminuare a securitatii decat in cazul obtinerii unor acorduri explicite, in urma consultarii cu Agentia de Acreditare de Securitate

Capitolul I – Administrarea si Organizarea Securitatii

Descrierea SIC-ului si a misiunii sale

Autoritatile de Securitate

Responsabilitati privind securitatea

Nivelul de clasificare al informatiilor

Modul de operare de securitate al SIC

Proceduri administrative de actualizare sau modificare in Lista cu utilizatorii autorizati ai SIC si drepturile de acces ale acestora;

Raportarea incidentelor

Capitolul II – Securitatea Fizica

Locatia zonelor sistemului informatic (Clasa-I, Clasa-II, Zona Administrativa)

Protectia cladirii

Protectia intrarii

Protectia camerelor

Protectia mediului inconjurator

Protectia impotriva incendiilor

Filtre

Protectia de la distanta a locatiei


Capitolul IIISecuritatea de Personal

Lista personalului cu legitimatie de intrare

Accesul neescortat

Accesul escortat

Accesul vizitatorilor

Pregatirea de securitate, educarea si constientizarea personalului SIC.

Capitolul IV – Securitatea Informatiilor

(documente si medii de stocare)

Autoritatea responsabila

Sistemul de evidenta a documentelor

Verificari periodice

Sistemul de marcare a documentelor

Proceduri de stergere (pentru distrugere sau declasificare)

Metode de distrugere.

Capitolul V - INFOSEC

Securitatea hardware

Controlul managementului configuratiei

Lista tuturor componentelor hardware care necesita masuri speciale de securitate

Controlul accesului la componentele precizate mai sus

Periodicitatea verificarilor privind integritatea

Alte proceduri specifice

Securitatea Software

Controlul managementului configuratiei

Utilizarea software-ului autorizat

Proceduri de actualizare a software-ului

Sistemul de management al parolelor

Implementarea profilelor utilizatorilor

Rapoartele incidentelor de securitate

Asigurarea copiilor de siguranta (back-up

Protectia antivirus a calculatoarelor

Responsabilitatile privind selectarea,instalarea si intretinerea actualizarilor produsului anti-virus ales

Procedurile aplicate inaintea instalarii unui nou software

Procedurile pentru curatarea mediilor infectate

Proceduri pentru raportarea incidentelor legate de virusarea calculatoarelor

Formularele care trebuie utilizate pentru raportarea incidentelor de securitate sunt continute in Anexa 4 la „Directiva privind managementul INFOSEC pentru SIC – INFOSEC 3” publicat in M.O. nr. 874/09.12.2003

Managementul si auditul automat al securitatii

Proceduri pentru rularea instrumentelor automate de management al securitatii

Detalii privind evenimentele de securitate care trebuie inregistrate

Procedurile care trebuie urmate in eventualitatea descoperirii unor anomalii

Securitatea criptografica

Responsabilitatile pentru implementarea si controlul echipamentului cripto si a variabilelor cripto asociate

Securitatea emisiei

Responsabilitatile pentru implementarea si controlul procedurilor privind securitatea emisiei

Proceduri de verificare a indeplinirii cerintelor TEMPEST pentru utilitati

Proceduri pentru controlul locatiilor unde se pot utiliza calculatoarele portabile

Securitatea transmisiei

Responsabilitatile pentru implementarea si controlul procedurilor privind securitatea transmisiei

Procedurile operationale pentru sistemele care asigura securitatea traficului

Capitolul VI - Planificarea masurilor in situatii de urgenta si pentru continuarea activitatii

Situatii de urgenta

- lipsa energiei electrice sau a capacitatilor sistemului informatic 

- pierderea programelor sau a datelor

- pierderea personalului

- pierderea utilitatilor

Masuri pentru mentinerea in “stand-by” a

- alimentarii cu energie electrica

- programelor

- personalului

- comunicatiilor

Capitolul VII – Managementul de configuratie

Responsabilitatile personalului pentru controlul actualizarilor configuratiei

Documentatiile/actualizarile configuratiei de baza ale sistemului/retelei

Procedurile necesare in cazul modificarilor hardware-ului, software-ului sau firewall-ului sistemului/retelei.

Anexa - exemplu

Lista cu toti utilizatorii

Responsabilitatile Administratorului de securitate a sistemului, a Administratorului de Securitate pentru Zona Terminalelor/Utilizatorilor

Lista aplicatiilor si produselor software autorizate

Lista echipamentelor hardware

Proceduri de pornire/oprire a sistemului

Orice alt considerent important pentru imbunatatirea securitatii

XVI. SISTEMUL NATIONAL DE REGISTRE

n     Informatiile NATO si UE se gestioneaza doar in cadrul Sistemului National de Registre

n     ORNISS : -asigura evidenta la nivel national

-coordoneaza activitatea SNR

-autorizeaza functionarea CSNR

COMPONENTELE SNR (CSNR)
(Subordonare)

SHAPE * MERGEFORMAT

REGISTRUL CENTRAL

REGISTRUL EXTERN

REGISTRU INTERN

SUBREGISTRU

PUNCT DE LUCRU

XVII. PROCESUL DE ACREDITARE DE SECURITATE

AL UNUI SIC

1. INTRODUCERE

HG nr. 585/2002 pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania

art. 322: “Toate . . .. SIC inainte de a fi utilizate pentru stocarea, procesarea sau transmiterea informatiilor clasificate, trebuie acreditate de catre Agentia de Acreditare de Securitate, pe baza datelor furnizate de catre CSS, procedurilor operationale de securitate si altor documentatii relevante”.

art. acreditarea - etapa de acordare a autorizarii si aprobarii unui SIC de a prelucra informatii clasificate, in spatiul/mediul operational propriu”.

art. 240, alin (3): SIC vor fi supuse procesului de acreditare, urmat de evaluari periodice, in vederea mentinerii acreditarii.”

Acreditarea proces complex si continuu care incepe din faza de proiectare a SIC si dureaza pe intreaga perioada a ciclului de viata al SIC.

Acreditarea de securitate reprezinta autorizarea acordata unui SIC national, civil sau militar, sa vehiculeze informatii nationale clasificate secrete de stat in mediul sau operational.

In derularea procesului de acreditare de securitate trebuie avute in vedere urmatoarele principale aspecte:

dimensiunea si complexitatea SIC;

sensibilitatea, nivelul de clasificare si volumul informatiilor stocate, procesate sau transmise in SIC;

nivelurile certificatelor de securitate detinute de utilizatorii SIC;

tipul si numarul de utilizatori ai SIC;

modul de operare de securitate;

aplicarea principiului need-to-know;

riscurile de securitate asociate informatiilor, resurselor si serviciile   SIC;

masurile INFOSEC tehnice si non-tehnice necesare pentru reducerea riscurilor.

2. ROLUL SI RESPONSABILITATILE AAS

Autoritatea Nationala de Acreditare de Securitate a unui SIC este Agentia de Acreditare de Securitate (AAS) din cadrul ORNISS

Indruma si gestioneaza activitatea de acreditarea de securitate a SIC.

Participa la elaborarea strategiei de acreditare de securitate

Evalueaza si inainteaza spre aprobare Documentatia de Securitate.

Elibereaza certificatul de acreditare de securitate.

Monitorizeaza respectarea masurilor de securitate prin efectuarea de inspectii si verificari de securitate.

Participa la investigarea oricaror evenimente majore de securitate INFOSEC.

Coopereaza cu alte agentii si autoritati nationale si internationale.

3. ACTIVITATI DE BAZA PRIVIND ACREDITAREA

ETAPELE PROCESULUI DE ACREDITARE DE SECURITATE

1. Notificare oficiala ORNISS

2. Elaborarea strategiei de acreditare de securitate

3. Managementul riscului de securitate

4. Elaborarea, evaluarea si aprobarea Documentatiei de Securitate

5. Evaluarea si testarea securitatii

6. Se acorda acreditarea?

DA 7. Se emite Certificatul de Acreditare

NU 8. Se acorda 'APO' ?

DA 9. Se emite documentul APO

10. Corectarea deficientelor

Notificarea ORNISS

Stabilirea colectivului de acreditare

Colectivul de Acreditare de Securitate are rolul de a gestiona derularea activitatilor din cadrul procesului de acreditare.

Este constituit inca din etapa de planificare a proiectului si trebuie sa-si mentina existenta pana in momentul acreditarii.

Poate fi reactivat de catre AAS

Prin intermediul colectivului, AAS poate cere, tuturor celor implicati in securitatea SIC, sa participe la procesul de acreditare si sa contribuie la luarea deciziei de acreditare.

Reuniuni periodice ale colectivului.

Structura colectivului:

AAS;

ASIC;

AOSIC;

structura de securitate;

managerul de proiect;

alte autoritati de implicate in securitatea SIC.

Elaborarea strategiei privind procesul de acreditare.

STRATEGIA DE ACREDITARE DE SECURITATE trebuie sa vizeze urmatoarele aspecte :

a) scopul si obiectivul;

b) principii de baza

c) descrierea SIC;

d) responsabilitatile structurilor implicate in procesul de acreditare;

e) rolurile si responsabilitatile Colectivului de Acreditare;

f) cerintele privind managementul riscului

g) cerintele privind procesul de evaluare de securitate

h) graficul de desfasurare in timp a activitatilor

i) procesele care sa asigure acreditarea / reacreditarea continua a SIC.

IMPLEMENTAREA STRATEGIEI DE ACREDITARE

AAS este entitatea care evalueaza si monitorizeaza modul de implementare a masurilor de securitate.

Pentru luarea unei decizii privind acreditarea, AAS poate sa ceara o confirmare oficiala de la AOSIC.

. Managementul riscului de securitate

Etapele procesului de management al riscului de securitate:

Etapa de analiza a riscului de securitate.

Etapa de reducere a riscului de securitate.

Nota:

DS 3 – Metodologie privind managementul riscului de securitate pentru sistemele informatice si de comunicatii care stocheaza, proceseaza sau transmit informatii clasificate, aprobata prin ordinul nr. 389/11.11.2004 al Directorului general al ORNISS si publicat in Monitorul Oficial al Romaniei nr. 1081/ 19.11.2004, Partea I.

Riscul de securitate - probabilitatea ca o amenintare la adresa securitatii SIC sa exploateze o vulnerabilitate a acestuia.

Amenintarea - posibilitatea de compromitere accidentala sau deliberata a securitatii SIC.

Vulnerabilitatea - poate fi definita ca fiind o slabiciune sau o deficienta care ar permite sau ar facilita o manevra de amenintare impotriva unei valori sau a unei tinte specifice.

Efectul exploatarii unei vulnerabilitati a SIC de catre o amenintare este compromiterea obiectivelor securitatii: confidentialitate, integritate, disponibilitate.

PIERDEREA CONFIDENTIALITATII

Accesul neautorizat la informatii clasificate

PIERDEREA INTEGRITATII

Informatiile, resursele sau serviciile SIC au constituie subiectul unei modificari neautorizate si/sau stergerii neautorizate

PIERDEREA DISPONIBILITATII

Informatiile, resursele sau serviciile SIC devin partial sau complet indisponibile pentru utilizatorii sai autorizati

Analiza riscului de securitate

Nota

Analiza riscului de securitate se realizeaza periodic urmare a modificarilor asupra amenintarilor, vulnerabilitatilor, misiunii SIC, facilitatilor si echipamentului.

DS 4 - Ghid INFOSEC privind analiza naturii si proportiilor amenintarilor si vulnerabilitatilor la adresa sistemelor informatice si de comunicatii (SIC) aprobata prin Ordinul nr. 3 din 5.01.2005 al Directorului General al ORNISS, ordin publicat in Monitorul Oficial al Romaniei Partea I nr.74 din 21.01.2005

Analiza riscului este prima etapa din procesul de management al riscului.

Se efectueaza in fiecare etapa a CVS.

Rezultatul analizei riscului contribuie la identificarea masurilor de securitate corespunzatoare pentru reducerea acestuia.

Avantaje

Managerii pot lua decizii documentate privind managementul riscului.

Managerii pot fundamenta bugetul aferent securitatii informatiilor bazat pe o analiza obiectiva a riscului.

Ofera o descriere concreta a sistemului si o evaluare calitativa a riscului de securitate (de exemplu: inalt, mediu, mic).

Etapa care se deruleaza in 9 pasi.

1. Identificarea si evaluarea bunurilor SIC

2. Identificarea amenintarilor

3. Identificarea vulnerabilitatilor

4. Analiza masurilor de securitate existente

5. Determinarea probabilitatii producerii evenimentului nedorit

6. Analiza impactului producerii unui eveniment nedorit

7. Determinarea riscurilor

8. Recomandari privind masurile de securitate

9. Elaborarea raportului privind analiza riscului

3. . Reducerea riscului de securitate

1. Ierarhizarea actiunilor

2. Evaluarea masurilor de securitate recomandate

3. Analiza cost-beneficiu

Selectarea masurilor de securitate

5. Atribuirea responsabilitatilor

6. Elaborarea planului de implementare a masurilor de securitate

7. Implementarea masurilor de securitate selectate si Identificarea riscului rezidual

. Elaborarea evaluarea si aprobarea Documentatiei de Securitate.

1. Raportul privind analiza riscului de securitate;

2. Documentatia cu Cerintele de Securitate (DCS); 

3. Documentatia cu Procedurile Operationale de Securitate (PrOpSec);

4. Ghidul general de securitate pentru utilizatori;

5. Planul pentru continuarea activitatii in situatii de urgenta (PCA);

. Alte documente.

3.4.1. Raportul privind analiza riscului de securitate

1. Introducere

2. Modul de abordare a analizei riscului

3. Descrierea sistemului

4. Lista amenintarilor

5. Lista vulnerabilitatilor

6. Rezultatele analizei riscului

7. Concluzii

Nota Model in DS 3, anexa nr. 2

3.4.2. Documentatia cu Cerintele de Securitate (DCS)

Va fi elaborata de AOSIC impreuna cu structura de planificare a SIC si managerul de proiect.

Va fi formulata inca din etapa de planificare a SIC.

Va fi imbunatatita pe masura dezvoltarii proiectului.

a) politica de securitate nationala;

b) directivele INFOSEC emise de ORNISS;

c) procesul de management al riscului;

d) parametrii impusi care se refera la mediul operational cum ar fi : - cel mai scazut nivel al certificatului de securitate al personalului;

- cel mai ridicat nivel de clasificare al informatiilor vehiculate;

- modul de operare de securitate;

- cerintele pentru utilizatori.

DCS reprezinta o documentatie completa si explicita privind principiile securitatii care trebuie avute in vedere si cerintele detaliate de securitate care trebuie indeplinite.

DS 1 – Ghid pentru elaborarea documentatiei cu cerintele de securitate (DCS) pentru sisteme informatice si de comunicatii (SIC), aprobata prin ordinul nr. 488/21.11.2003 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. 865/ 05.12.2003, Partea I.

Tipuri de Documentatie cu Cerinte de Securitate:

a) Documentul cu Cerintele de Securitate Comunitara;

b) Documentul cu Cerintele de Securitate pentru Interconectarea Sistemelor;

c) Documentul cu Cerintele de Securitate Specifice Sistemului;

d) Documentul cu Cerintele de Securitate a Informatiilor Electronice Specifice Sistemului.

3.4.3. Documentul cu Procedurile Operationale de Securitate (PrOpSec)

Documentul PrOpSec reprezinta o descriere a modului de implementare a masurilor de securitate care urmeaza sa fie adoptate pentru un SIC, a procedurilor operationale de urmat si a responsabilitatilor personalului SIC.

DS 2 – Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii aprobat prin ordinul nr. 489/21.11.2003 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. 865/ 05.12.2003, Partea I.

Ghidul general de securitate al utilizatorilor

Documentul este destinat utilizatorilor SIC in vederea luarii la cunostinta si insusirea prevederilor PrOpSec in partile care ii privesc.

Se semneaza un angajament pentru utilizatorii SIC.

Detalii in Ghidul DS 2, Anexa 1.

Planul de masuri IT pentru continuarea activitatii in situatii de urgenta (PCA)

PCA cuprinde masurile si procedurile tehnice si non-tehnice care permit refacerea rapida a informatiilor, resurselor si serviciilor unui SIC.

PCA trebuie actualizat, diseminat catre personal si verificata eficienta sa prin exercitii periodice.

DS 7 - 'Metodologia privind elaborarea planului pentru continuarea activitatii in situatii de urgenta pentru sisteme informatice si de comunicatii (SIC) care vehiculeaza informatii clasificate“, aprobat prin ordinul nr. 149/18.04.2005 al Directorului general al ORNISS. Ordin publicat in Monitorul Oficial al Romaniei nr. , Partea I.

Evaluarea si testarea securitatii.

AAS trebuie sa efectueze verificarea mediilor de securitate.

Constatarile rezultate din verificare vor sta la baza unui raport care trebuie sa identifice orice deficiente privind implementarea masurilor de securitate aprobate si sa contina masurile corective necesare, inculzand termene precise de indeplinire

. Luarea deciziei privind acreditarea SIC.

AAS poate propune Comitetului Interdepartamental de Acreditare de Securitate al ORNISS luarea uneia din urmatoarele decizii:

a) Acreditarea - emiterea Certificatului de Acreditare de Securitate;

b) Aprobarea pentru exploatarea SIC in afara mediului operational stabilit initial;

c) 'Aprobare Limitata de Operare” (ALO);

d) 'Aprobare Provizorie de Operare' (APO);

e) Neacreditarea.

4. ACTIVITATI POST - ACREDITARE

AAS va monitoriza aspectele referitoare la securitatea SIC aflate in responsabilitatea sa, prin executarea de verificari INFOSEC privind securitatea.

Investigarea oricaror incalcari, sau posibile incalcari, ale prevederilor referitoare la securitate.

Necesitatea reacreditarii SIC in cazul:

a) schimbarii nivelului de clasificare a informatiilor care au ca efect o schimbare a masurilor de securitate;

b) schimbarii in cerintele de securitate rezultata ca urmare a schimbarii politicii de securitate;

c) schimbarii amenintarilor sau a vulnerabilitatilor asupra SIC (sau ale unui SIC cu care este interconectat);

d) modificarii Mediului de Securitate Electronica;

e) incalcarii securitatii, violarea integritatii SIC etc.

f) schimbarii semnificative a structurii fizice a obiectivului sau a Procedurilor Operationale de Securitate (PrOpSec);

g) schimbarii semnificative a configuratiei SIC;

h) includerii in retea a unui SIC suplimentar sau al modificarii / inlocuirii SIC-urilor conectate;

i) rezultatelor unei verificari.

XVIII. Protectia informatiilor UE clasificate

Clase si niveluri de secretizare

Principii de acces

Niveluri de clasificare

Forme de autorizare a accesului

Cerinte minime pentru protectia informatiilor clasificate UE care fac obiectul activitatilor contractuale

Anexa de securitate

Certificat de securitate industriala

Obiectiv industrial

Securitatea fizica a informatiilor UE clasificate

Obiective

Planul de securitate fizica

Masuri de securitate fizica

o      Incintele

o      Sistemele de detectie / iluminare

o      Accesul vizitatorilor

o      Forta de securitate

o      Masuri suplimentare in zone de securitate

o      Planul de securitate fizica

XIX. CERINTE MINIME
PENTRU PROTECTIA INFORMATIILOR UE CLASIFICATE CARE FAC OBIECTUL ACTIVITATILOR CONTRACTUALE

Cadrul legal

Ordinul nr. 491/21.12.2005 al Directorului General al ORNISS

pentru aprobarea cerintelor minime pentru protectia informatiilor UE clasificate care fac obiectul activitatilor contractule

publicat in Monitorul Oficial al Romaniei, Partea I, nr. 20/10.01.2006

Notiuni generale

Securitate industriala

Obiectiv industrial

Certificat de securitate industriala (CSI-UE)

Contract/subcontract clasificat

Contractant/subcontractant

Anexa de securitate (AS)

Lista clasificarilor de securitate (LCS)

Securitate industriala – ansamblul masurilor si procedurilor de protectie a informatiilor UE clasificate, aplicabile obiectivelor industriale care au acces la acestea in cadrul contractelor;

Obiectiv industrial – persoana juridica care desfasoara activitati de producere/furnizare de bunuri/servicii in domeniul industrial, comercial, stiintific sau de cercetare-dezvoltare;

Certificat de securitate industriala UE – document care atesta ca, din punct de vedere al securitatii, un obiectiv industrial asigura masuri adecvate de protectie a informatiilor UE clasificate de un anumit nivel;

Contract/subcontract clasificat – contract incheiat in conditiile legii, care presupune accesul la informatii UE clasificate de un anumit nivel

Contractant/subcontractant – obiectivul industrial parte a unui contract/subcontract clasificat;

Anexa de securitate – documentul elaborat de partea contractanta care pune la dispozitia celeilalte parti informatii UE clasificate si care cuprinde cerintele de securitate specifice contractului;

Lista clasificarilor de securitate – documentul cuprinzand categoriile de informatii UE clasificate, gestionate in cadrul contractului, precum si nivelurile de clasificare atribuite acestora;

Cerinte de securitate generale privind negocierea si derularea contractelor/subcontractelor clasificate

Detinerea certificatului de securitate industriala UE de nivel CONFIDENTIEL sau superior

Aplicarea principiului “necesitatea de a cunoaste”

Obtinerea permisiunii de subcontractare de la autoritatea contractanta

Contractantii/subcontractantii care au acces la informatii UE clasificate sunt responsabili de protectia acestora

Contractele/subcontractele clasificate vor contine o Anexa de Securitate

Anexa de securitate va contine Lista Clasificarilor de Securitate

Notificarea la ORNISS a intentiei de contractare/subcontractare

Initierea procedurii de eliberare a CSI-UE, prin ORNISS

Avizarea Anexei de Securitate de ORNISS

Procedura de eliberare a CSI-UE

Cerinte de securitate pentru obiectivul industrial:

Sa nu prezinte riscuri de securitate;

Sa fie stabil din punct de vedere economic;

Personalul implicat in negocierea/derularea contractului clasificat sa fie autorizat la nivel corespunzator pentru acces la informatii UE clasificate;

Sa nu fi inregistrat incidente de securitate cu implicatii grave din punct de vedere al securitatii informatiilor UE clasificate;

Sa fi respectat obligatiile asumate in cadrul tuturor contractelor clasificate derulate anterior;

Sa fi implementat masuri de securitate fizica si a informatiilor UE clasificate, dupa caz;

Sa fi implementat masuri de securitate a informatiilor vehiculate in mediul electronic – INFOSEC, dupa caz.

CSI-UE pentru obiectivele industriale cu sediul in Romania se elibereaza de catre ORNISS

Documente necesare:

Cererea de eliberare a CSI-UE (Anexa nr. 1)

Chestionarul de securitate industriala (Anexa nr. 2)

Lista cu personalul/functiile implicat in negocierea / derularea contractului clasificat

Document justificativ pentru cerere

ORNISS solicita ADS competente efectuarea verificarilor de securitate

ADS elibereaza avizul de securitate – termen 45 zile lucratoare

ORNISS efectuaza inspectii de securitate si poate solicita informatii de la persoana juridica aflata in procedura de certificare, dupa caz

ORNISS elibereaza CSI-UE daca sunt indeplinite cerintele de securitate sau comunica refuzul eliberarii – termen 60 zile lucratoare

Valabilitatea CSI-UE este de 3 ani

ORNISS decide mentinerea sau retragerea CSI-UE

Retragerea CSI-UE implica retragerea informatiilor UE clasificate

Obiectivul industrial detinator de CSI-UE nu va face public statul sau de securitate

Obiectivele industriale detinatoare de certificate de securitate industriala nationale sau NATO pot fi certificate pentru acces la informatii UE clasificate in anumite conditii:

Personalul implicat in negocierea si derularea contractului clasificat este autorizat pentru acces la informatii UE clasificate

Au implementat masuri de securitate fizica si a informatiilor UE clasificate si/sau masuri INFOSEC, dupa caz

Vizite

Vizitele efectuate de reprezentanti ai contractantilor/ subcontractantilor la obiective industriale implicate in contracte/subcontracte clasificate vor fi notificate in prealabil la ORNISS

Notificarea va contine:

Datele de identificare ale vizitatorului

Calitatea in care se efectueaza vizita, denumirea institutiei/companiei/organizatiei pe care vizitatorul o reprezinta sau din care face parte;

Scopul vizitei;

Confirmarea ca vizitatorul este autorizat sa aiba acces la informatii UE clasificate de nivel cel putin egal cu cel al informatiilor pe care urmeaza sa le acceseze;

Denumirea si adresa obiectivului industrial care urmeaza a fi vizitat;

Data sosirii si data plecarii.

Transportul international al materialelor UE clasificate

Ordonanta Guvernului nr. 52/2005 privind organizarea si desfasurarea activitatii de curierat pentru materialele NATO clasificate, aprobata si modificata prin Legea nr. 342/2005.

Principii :

Se va asigura securitatea materialelor UE clasificate in toate etapele transportului si in toate conditiile, de la plecare pana la destinatia finala;

Masurile de protectie aplicabile pe parcursul transportului vor fi determinate de cel mai inalt nivel de clasificare al materialelor continute;

Transportatorii vor fi certificati din punct de vedere al securitatii industriale, dupa caz;

Toate etapele transportului vor fi planificate si realizate in cel mai scurt timp posibil;

Rutele de transport vor fi alese astfel incat sa tranziteze numai teritoriile statelor membre UE;

Inaintea efectuarii unui transport de materiale UE clasificate, expeditorul trebuie sa elaboreze Planul de transport, aprobat de autoritatile competente.

XX. CONTRACTE NATO CLASIFICATE
– elemente de procedura –

Baza legala

n     OUG nr. 153/2002 aprobata prin Legea nr. 101/2003

n     HG nr. 353/2002 pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania

n     Ordin nr. 491/2003 al Directorului General al ORNISS pentru aprobarea Normelor metodologice privind protectia informatiilor clasificate in cadrul activitatilor contractuale NATO

Contract NATO clasificat –definitie

n     orice contract incheiat de o institutie militara sau civila NATO sau de un stat membru NATO in vederea realizarii unui program/proiect initiat, negociat sau administrat de NATO si in cadrul caruia este necesar accesul sau se genereaza informatii NATO clasificate

Negocierea contractelor NATO clasificate - contracte principale

n     Organism/Birou de Management al Proiectului NATO (OMPN) – organism/birou executiv al unui Organism de Productie si Logistica al NATO;

n     responsabil de proiect

n     negociaza si atribuie contractul principal

n     Organism de Productie si Logistica al NATO (OPLN) – organism auxiliar creat in cadrul NATO in vederea implementarii sarcinilor specifice rezultate din Tratatul Nord Atlantic, careia Consiliul Nord Atlantic ii garanteaza autonomia organizationala, administrativa si financiara.

n     Contractantul principal:

n     responsabil fata de OMPN pentru activitatile de subcontractare

n     detine certificat de securitate industriala NATO (CSIN) corespunzator

n     Invitatiile la licitatii – clauze:

n     Returnarea documentatiei NATO de catre potentialul ofertantul care nu transmite oferta;

n     Returnarea documentatiei de catre ofertantul care nu a castigat licitatia (termen < 15 zile

n     Ofertantul care a pierdut licitatia este obligat, in baza angajamentului semnat, sa pastreze confidentialitatea datelor la care a avut acces.

Negocierea contractelor NATO clasificate - subcontracte

n     Conditii pentru sub-contractare:

n     Obtinerea acordului OMPN inainte de negocierea sub-contractului;

n     Obtinerea acordului inainte de a solicita confirmarea detinerii CSIN sau initierea verificarilor pentru sub-contractant;

n     Obtinerea acordurilor, initierea eliberarii CSIN se face prin ANS (ORNISS)

n     Contractantul principal este obligat sa puna la dispozitia sub-contractantului toate detaliile referitoare la protectia informatiilor NATO clasificate aferente activitatii de sub-contractare.

Negocierea contractelor NATO clasificate - obligatii contractanti

n     Personalul participant la negociere

detine certificat de securitate NATO de nivel corespunzator

are acces numai la informatiile clasificate necesare negocierii

n     Pastrarea evidentei tuturor participantilor la negocieri minim 2 ani (numele, organizatia, data si scopul intalnirii)

n     Pastrarea evidentei sub-contractantilor certificati si impunerea unor conditii de securitate similare

Contracte NATO clasificate –ISP, AS

n     Programe/proiecte de importanta deosebita

n     Instructiunile de Securitate ale Proiectului (ISP) contin Ghidul Clasificarilor de Securitate (GCS)

n     Alte programe/proiecte

n     Anexa de Securitate (AS) contine Lista Clasificarilor de Securitate (LCS)

n     IS si AS

n     Completeaza masurile de securitate

n     Compatibilizeaza procedurile de securitate

n     Obligatorii pentru participanti

Atributiile ORNISS in domeniul securitatii industriale NATO

n     Aproba si elibereaza certificatul de securitate industriala NATO (CSIN);

n     Monitorizeaza, impreuna cu autoritatile competente, respectarea cerintelor de securitate ce trebuie indeplinite de un obiectiv industrial;

n     Coordoneaza aplicarea masurilor de securitate stabilite in comun cu ANS/ADS din statele membre NATO

n     Gestioneaza la nivel national, evidentele privind:

n     obiectivele industriale detinatoare de CSIN;

n     persoanele fizice care detin certificate de securitate NATO implicate in activitati contractuale NATO;

n     persoanele care efectueaza vizite internationale, in legatura cu activitatile contractuale sau alte scopuri oficiale si care presupun accesul la informatii NATO clasificate, in Romania;

n     La cererea NATO sau ANS/ADS din statele membre NATO, initiaza procedura de eliberare a CSIN si confirma detinerea CSIN

n     Coordoneaza si participa la activitatile de control in cazurile in care s-au semnalat incidente de securitate

n     Stabileste masuri si proceduri adecvate de protectie a informatiilor NATO clasificate si verifica aplicarea acestora pentru a preveni producerea incidentelor de securitate

Certificatul de securitate industriala NATO (CSIN)

n     Contracte clasificate NATO CONFIDENTIAL si superior

necesita CSIN

n     Contracte NATO RESTRICTED

secret de serviciu

nu necesita CSIN

CSNR

Certificatul de securitate industriala NATO (CSIN)

Obiectivele certificarii:

n     prevenirea accesului persoanelor neautorizate la informatii NATO clasificate;

n     garantarea faptului ca accesul la informatiile NATO clasificate se face cu respectarea reglementarilor de securitate privind acest tip de informatii si in conformitate cu principiul necesitatii de a cunoaste;

n     identificarea persoanelor care, prin actiunile lor, pot pune in pericol securitatea informatiilor NATO clasificate si interzicerea accesului acestor persoane la astfel de informatii;

n     garantarea faptului ca obiectivele industriale au capacitatea de a proteja informatiile NATO clasificate in procesul de negociere si derulare a contractului.

Documente CSIN

n     Cererea de eliberarea CSIN;

n     Formularul de securitate industriala corespunzator celui mai inalt nivel de clasificare a informatiilor NATO care fac obiectul negocierii sau derularii contractului clasificat;

n     Existenta oportunitatii de participare la negocierea/derularea unui contract NATO clasificat

Cerinte minime pentru eliberarea CSIN

n     Sa nu prezinte riscuri de securitate

n     Sa posede sistem de protectie a informatiilor NATO clasificate corespunzator;

n     Sa fie stabil din punct de vedere economic

Nu este in proces de lichidare

Nu este in stare de faliment

Nu este implicat intr-un litigiu care ii afecteaza stabilitatea economica

Isi indeplineste obligatiile financiare catre stat, persoane fizice si juridice

n     Sa nu fi comis greseli de management cu implicatii grave din punct de vedere al securitatii informatiilor NATO clasificate;

n     Sa fi respectat obligatiile asumate in toate contractele NATO clasificate, derulate anterior.

Sistem de protectie a informatiilor NATO clasificate, dupa caz:

Securitatea personalului

n     Persoanele care ocupa pozitii/functii care le faciliteaza accesul la informatii NATO clasificate in cazul negocierii/derularii de contracte NATO trebuie sa detina certificat de securitate corespunzator

Securitatea fizica si a documentelor

n     Plan de securitate avizat

n     Autorizatie de infiintare si functionare a CSNR

INFOSEC

n     Acreditarea Sistemului Informatic si de Comunicatii

Derularea contractelor NATO clasificate - conditii

n     Contractantul principal/sub-contractantul detine certificatul de securitate industriala (CSI);

n     Personalul obiectivului industrial implicat in derularea contractului NATO clasificat detine certificat de securitate;

n     Personalul a fost instruit asupra reglementarilor NATO de securitate si a semnat fisa individuala de pregatire;

n     Derularea contractelor se face numai dupa ce AS/ISP s-au avizat de ORNISS.

Derularea contractelor NATO clasificate - masuri de securitate pentru contractant

n     Sa fi desemnat functionar/structura de securitate;

n     Sa mentina o relatie continua cu ORNISS;

n     Sa asigure sprijinul pentru efectuarea inspectiilor periodice de securitate;

n     Sa nu permita copierea nici unei informatii NATO clasificate, decat daca acest lucru este permis prin contract sau cu aprobarea OMPN;

n     Sa tina evidenta certificatelor de securitate pentru angajatii autorizati sa negocieze si sa deruleze contracte NATO clasificate;

n     Sa interzica accesul persoanelor neautorizate la informatiile NATO clasificate;

n     Sa limiteze diseminarea informatiilor NATO clasificate;

n     Sa informeze ORNISS asupra oricaror compromiteri sau sustrageri de documente NATO clasificate;

n     Sa impuna sub-contractantilor masuri de securitate similare cu cele aplicate contractantului;

n     Sa nu utilizeze in alte scopuri decat cele specifice contractului, informatiile NATO clasificate la care are acces;

n     Sa se asigure ca distrugerea documentelor este reglementata;

n     Sa furnizeze la cererea ORNISS/AC toate informatiile despre persoanele care vor necesita acces la informatii NATO clasificate;

n     Sa se asigure ca angajatii implicati in derularea contractelor NATO clasificate au semnat un angajament de confidentialitate.

n     Sa restituie OMPN/contractului principal toate informatiile NATO clasificate ce i-au fost incredintate si cele generate pe timpul derularii contractului;

n     Sa respecte orice procedura care este sau care poate fi stabilita de catre ORNISS, referitoare la protectia informatiilor NATO clasificate referitoare la contract.

Termene de eliberare a CSIN

n     Pentru certificatul de securitate industriala de nivel NATO CONFIDENTIAL – 90 de zile lucratoare

n     Pentru certificatul de securitate industriala de nivel NATO SECRET – 120 zile lucratoare

n     Pentru certificatul de securitate industriala de nivel COSMIC TOP SECRET– 180 zile lucratoare

Valabilitatea CSIN

n     3 ani

CSIN si CSI

n     CSIN

Valabil pentru negocieri si derulari de contracte NATO clasificate

Valabilitate: 3 ani

n     Obligatia informarii ORNISS pentru fiecare:intentie de subcontractare, negociere, atribuire

n     Avizarea fiecarei AS/ISP

n     CSI

Valabil pentru derularea unui contract national clasificat

Negocierea se face in baza ASI

Valabilitate: un contract specific, dar nu mai mult de 3 ani

Retragerea CSIN

n     La initiativa ORNISS

n     La cererea motivata a AC, OMPN sau ANS/ADS implicate

n     La trecerea la un nivel superior nivelului de certificare acordat initial

n     La solicitarea obiectivului industrial

n     La solicitarea motivata a conducatorului autoritatii publice in subordinea/ coordonarea caruia functioneaza obiectivul industrial

Vizite internationale

n     „Cererea de Vizita”, completata corespunzator

n     ORNISS aproba vizita in urmatoarele conditii:

vizita are un scop oficial in legatura cu activitati NATO;

vizitatorul detine certificat de securitate corespunzator

este necesar ca vizitatorul sa cunoasca informatiile clasificate privind proiectul/programul/activitatea NATO respectiva;

Cererea de vizita :

n     institutia, obiectivul solicitant

n     institutia, obiectivul care urmeaza a fi vizitat

n     data/datele vizitei/vizitelor

n     tipul vizitei

n     subiectul care va fi discutat/justificarea vizitei

n     nivelul de clasificare al informatiilor anticipat a fi accesate

n     scopul vizitei

n     date despre vizitatori

n     confirmarea ANS/ADS privind detinerea certificatelor de securitate.

n     Tipuri de vizite:

n     unica – pentru un scop precis, cu o durata mai mica de 30 de zile si a caror repetare nu se previzioneaza inainte de un an de la data incheierii vizitei;

n     periodica – vizitele repetate pe o perioada determinata, care in mod normal nu depaseste un an si sunt organizate pentru un scop precis;

n     de urgenta – vizita unica, al carei caracter de urgenta si importanta fac imposibila aplicarea procedurii normale de solicitare.

n     Solicitantul vizitei → cerere de vizita → ANS

solicitant → cerere de vizita → ANS gazda → cerere de vizita → obiectiv/institutie gazda

n     Obligatii de verificare ale obiectivului gazda

vizitatorul poseda autorizatie din partea ANS/ADS propriu;

vizitatorul prezinta actele de identificare corespunzatoare;

nivelul de certificare prezentat in „Cererea de Vizita” este corespunzator vizitei si scopului declarat.

n     Termene: 10 - 25 zile; Romania: 25 zile

n     Cererile de vizite repetate/periodice se vor folosi pentru toate contractele clasificate rezultate din programe/proiecte NATO

Valabilitate 1 an

Retransmitere pentru reavizarea anuala.

XXI. REGLEMENTARI ALE CONSILIULUI UNIUNII EUROPENE

IN DOMENIUL INFOSEC

Directiva Consiliului Europei nr. 264/2001

Protectia informatiilor vehiculate in sisteme informatice si de comunicatii

Sectiunea INFOSEC

INFOSEC se refera la aplicarea masurilor de securitate pentru protectia informatiilor procesate, stocate sau transmise prin sistemele informatice si de comunicatii, sau prin alte sisteme electronice, impotriva pierderii confidentialitatii, integritatii sau disponibilitatii, fie accidental sau intentionat a informatiilor sau a pierderii integritatii sau disponibilitatii sistemelor insele. Pentru aceasta trebuie implementate contramasuri adecvate pentru a impiedica accesul utilizatorilor neautorizati la informatiile UE clasificate, pentru a preveni falsificarea, modificarea sau stergerea neautorizata a informatiilor UE.

Directiva Consiliului Europei nr. 264/2001

AUTORITATEA DE ACREDITARE DE SECURITATE

Reprezinta:

fie o Autoritate Nationala de Securitate (ORNISS),

fie Autoritatea desemnata de Secretarul General / Inaltul Reprezentant,

fie o autoritate de securitate a unei agentii descentralizate a UE,

fie reprezentantii delegati / desemnati ai acestor structuri, in functie de SIC care trebuie acreditat.

Directiva Consiliului Europei nr. 264/2001

Autoritatea de acreditare de securitate va raspunde de asigurarea conformitatii SIC cu politica de securitate a Consiliului. Responsabilitatea principala a autoritatii de acreditare de securitate este acreditarea SIC care vehiculeaza informatii UE clasificate in mediul sau operational.

AUTORITATEA INFOSEC (AI)

Autoritatea INFOSEC raspunde de activitatile biroului INFOSEC. In ceea ce priveste SGC si, daca este cazul, agentiile descentralizate ale UE, Autoritatea INFOSEC raspunde de:

asigurarea consilierii tehnice si asistentei pentru autoritatea de acreditare de securitate;

sprijin in dezvoltarea CSSS (Cerintele de Securitate Specifice Sistemului);

- analiza CSSS pentru a se garanta conformarea cu reglementarile de securitate si politicile INFOSEC si documentele de arhitectura,

- asigurarea sprijinului pentru activitatile de pregatire si educatie ale INFOSEC,

asigurarea consilierii in investigarea incidentelor legate de INFOSEC,

stabilirea politicii de coordonare tehnica pentru a se asigura ca se utilizeaza numai software autorizat.

AUTORITATEA OPERATIONALA A SISTEMULUI INFORMATIC SI DE COMUNICATII (AOSIC)

AOSIC va raspunde de toate masurile de securitate intreprinse ca facand parte din intregul SIC. Aceasta responsabilitate cuprinde si pregatirea PrOpSec. AOSIC va specifica standardele de securitate si practicile care trebuie indeplinite de furnizorul SIC.

AOSIC poate delega o parte dintre responsabilitatile sale, acolo unde este cazul, de exemplu catre functionarul de securitate si administratorul de securitate al SIC. Diversele functii INFOSEC pot fi cumulate de o singura persoana.

MASURI TEHNICE DE SECURITATE

Controlul si evidenta.

Decizia 264 2001 prevede ca :

Accesul la informatiile clasificate SECRET UE si de nivel superior trebuie inregistrat automat (fise de urmarire) sau manual intr-un registru. Aceste registre vor fi pastrate in conformitate cu reglementarile de securitate.

Din cele mentionate mai anterior reiese ca normele UE sunt mai permisive decat prevederile HG 585/2002, deoarece prevad obligativitatea inregistrarii accesului doar in ceea ce priveste informatiile de nivel SECRET UE sau superior.

In HG 585/2002 in art. 283 si art. 291. se prevad urmatoarele:

Art. 283

Toate informatiile si materialele care privesc accesul la un SPAD sau RTD - SIC sunt controlate si protejate prin reglementari corespunzatoare nivelului de clasificare cel mai inalt si specificului informatiilor la care respectivul SPAD sau RTD - SIC permite accesul.

Art. 291

(1) Evidenta automata a accesului la informatiile clasificate in format electronic se tine in registrele de acces si trebuie realizata neconditionat prin software.

Mediile de stocare pe calculator care stocheaza informatii TRES SECRET UE/ EU TOP SECRET sau de categorie speciala nu vor fi declasificate si reutilizate.

H.G. 585/2002 - Art. 297 (2) Sunt interzise declasificarea si refolosirea mediilor de stocare care contin informatii strict secrete de importanta deosebita, acestea putand fi numai distruse, in conformitate cu procedurile operationale de securitate.

MASURI CRIPTOGRAFICE

In timpul transmiterii, confidentialitatea informatiilor clasificate SECRET UE si de nivel superior va fi protejata prin metode sau produse criptografice aprobate de Consiliu la recomandarea Comitetului de Securitate al Consiliului.

Pe durata transmiterii, confidentialitatea informatiilor clasificate CONFIDENTIEL UE sau RESTREINT UE va fi protejata prin metode sau produse criptografice aprobate ori de SG/IR la recomandarea Comitetului de Securitate al Consiliului, sau de un stat membru.

In conditii operationale exceptionale, informatiile clasificate RESTREINT UE, CONFIDENTIEL UE si SECRET UE pot fi transmise in text clar cu conditia ca fiecare transmitere sa fie aprobata in mod explicit de fiecare data.

Conditiile exceptionale sunt:

(a) in timpul crizelor iminente sau efective, a conflictelor sau situatiilor de razboi;

(b) atunci cand rapiditatea trimiterii lor este foarte importanta, si mijloacele de criptare nu sunt disponibile si se presupune ca informatiile transmise nu pot fi exploatate la timp in operatii care sa le influenteze in mod defavorabil.

TEMPEST

SIC care gestioneaza informatii clasificate CONFIDENTIEL UE si de nivel superior vor fi protejate astfel incat securitatea acestora sa nu poata fi amenintata de emisii compromitatoare, al caror studiu si control este cunoscut sub numele de „TEMPEST”.

Contramasurile TEMPEST pentru instalatiile SGC si agentiile descentralizate ale UE vor fi analizate si aprobate de o autoritate TEMPEST desemnata de autoritatea de Securitate SGC. Pentru instalatiile nationale care gestioneaza informatii UE clasificate, autoritatea care aproba va fi autoritatea de aprobare nationala TEMPEST recunoscuta (ORNISS).

In HG 585/2002 la Art. 303 exista o dispozitie asemanatoare care prevede contramasuri TEMPEST.

„Sistemele SPAD si RTD-SIC care stocheaza, proceseaza sau transmit informatii secrete de stat vor fi protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare -TEMPEST. '

SIC care gestioneaza informatii clasificate CONFIDENTIEL UE si de nivel superior vor fi protejate astfel incat securitatea acestora sa nu poata fi amenintata de emisii compromitatoare, al caror studiu si control este cunoscut sub numele de „TEMPEST”.

Contramasurile TEMPEST pentru instalatiile SGC si agentiile descentralizate ale UE vor fi analizate si aprobate de o autoritate TEMPEST desemnata de autoritatea de Securitate SGC. Pentru instalatiile nationale care gestioneaza informatii UE clasificate, autoritatea care aproba va fi autoritatea de aprobare nationala TEMPEST recunoscuta (ORNISS).

In HG 585/2002 la Art. 303 exista o dispozitie asemanatoare care prevede contramasuri TEMPEST.

„Sistemele SPAD si RTD-SIC care stocheaza, proceseaza sau transmit informatii secrete de stat vor fi protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare -TEMPEST. '

PROTECTIA APLICATIILOR SOFTWARE/ MANAGEMENTUL CONFIGURATIEI

Protectia de securitate a aplicatiilor software se va stabili pe baza unei evaluari a nivelului de incredere a aplicatiei insesi mai degraba decat pe baza clasificarii informatiilor pe care urmeaza sa le proceseze.

Versiunile software aflate in utilizare ar trebui verificate la intervale regulate pentru a se asigura integritatea si corecta lor functionare.

Nu se vor utiliza versiuni noi sau modificate ale software-ului pentru gestionarea informatiilor UE clasificate pana cand nu sunt verificate de AOSIC.

VERIFICAREA PREZENTEI UNUI SOFTWARE NOCIV

Verificarea prezentei unui software malitios / programe nocive (virusi, cai troieni, viermi, etc) se va face periodic, in conditiile stabilite de catre autoritatea de acreditare.

Toate mediile de stocare in format electronic ce ajung la SGC, la agentiile descentralizate ale UE sau la Statele membre vor fi verificate pentru a nu exista software malitios sau virusi de calculator, inainte de fi introduse in oricare SIC.

INTRETINEREA

Contractele si procedurile pentru intretinerea programata sau la cerere a SIC pentru care s-a prezentat CSSS vor specifica cerintele si masurile pentru personalul de intretinere si echipamentele acestuia la intrarea intr-o zona IT.

Cerintele si procedurile vor fi specificate clar in CSSS, respectiv in PrOpSec. Procedurile de acces la distanta in vederea realizarii operatiunilor de intretinere si diagnosticare vor fi permise numai in conditii speciale, sub control de securitate strict si numai cu aprobarea autoritatii de acreditare.

ACHIZITIA

Orice produs de securitate folosit impreuna cu SIC care va fi achizitionat trebuie sa fie evaluat si certificat ori in curs de evaluare si certificare de catre un organism corespunzator de Evaluare sau Certificare pe criterii recunoscute international (ca de ex. Criteriile Comune pentru Evaluarea de Securitate a Tehnologiei Informationale, vezi ISO 15 408). In vederea stabilirii metodei de procurare a echipamentelor (de ex. inchiriere sau cumparare), in mod special pentru mediile de stocare pe computer, se va avea in vedere ca astfel de echipamente, dupa ce au fost folosite pentru gestionarea informatiilor UE clasificate, nu pot fi transferate in afara unui mediu de securitate corespunzator fara a fi mai intai declasificate cu aprobarea autoritatii de acreditare, iar o astfel de aprobare s-ar putea sa nu fie intotdeauna posibila.

ACREDITAREA

Toate SIC pentru care se prezinta CSSS, inainte de a gestiona informatii UE clasificate, vor fi acreditate de autoritatea de acreditare pe baza informatiilor oferite de CSSS, PrOpSec si oricare alta documentatie relevanta. Subsistemele si terminalele la distanta / statiile de lucru vor fi acreditate ca parte a sistemelor la care acestea sunt conectate. In cazul in care un SIC deserveste atat Consiliul cat si alte organizatii, SGC si Autoritatile de Securitate relevante vor conveni de comun acord asupra acreditarii.

EVALUAREA SI CERTIFICAREA

Inainte de acreditare caracteristicile de securitate hardware, firmware si software ale unui SIC vor fi evaluate si certificate in vederea stabilirii capacitatii de a proteja informatiile la nivelul de clasificare dorit.

Cerintele de evaluare si certificare vor fi incluse in planificarea SIC si vor fi clar specificate in CSSS.

Procesele de evaluare si certificare vor fi realizate in conformitate cu norme aprobate si de catre personal calificat din punct de vedere tehnic si verificat corespunzator.

Echipele pot proveni de la o autoritate de certificare sau de evaluare a unui stat membru sau de la reprezentantii sai desemnati, de exemplu de la un contractor competent si verificat.

VERIFICAREA DE RUTINA A DISPOZITIVELOR DE SECURITATE PENTRU ACREDITAREA PERMANENTA

AOSIC va stabili proceduri de control de rutina prin care sa garanteaze ca toate masurile de securitate ale SIC sunt mentinute la nivelul celor implementate la acreditare.

In CSSS trebuie sa fie mentionate si clar definite tipurile de modificari care duc la reacreditare sau care necesita o aprobare prealabila din partea autoritatii de acreditare de securitate. Pentru asigurarea bunei functionari a dispozitivelor de securitate ale SIC, AOSIC va proceda la o verificare a masurilor de securitate dupa orice modificare, reparatie sau defectiune care ar putea afecta dispozitivele de securitate ale SIC. Acreditarea permanenta a SIC depinde in mod normal de incheierea cu succes a verificarilor.

Toate SIC in care s-au implementat masuri de securitate vor fi inspectate sau revizuite periodic de catre autoritatea de acreditare de securitate. In cazul SIC care gestioneaza informatii TRES SECRET UE / EU TOP SECRET sau informatii de categorie speciala, inspectia se va efectua cel putin o data pe an.

SECURITATEA CALCULATOARELOR

Calculatoarele cu discuri fixe (sau alte medii de stocare nevolatile), care opereaza fie de sine statator, fie in retea si dispozitivele de calcul portabile (de ex. laptop si palmtop) cu hard disc-uri fixe, sunt considerate medii de stocare la fel ca si dischetele floppy sau alte medii de stocare temporare.

Acestor echipamente li se va acorda nivelul de protectie, in ceea ce priveste accesul, gestionarea, stocarea si transportul conform nivelului cel mai inalt de clasificare al informatiilor stocate sau procesate vreodata (pana cand li se scade nivelul de clasificare sau sunt declasificate in conformitate cu procedurile aprobate).

UTILIZAREA ECHIPAMENTULUI PROPRIU

Este interzisa utilizarea mediilor proprii (personale) de stocare in format electronic , a programelor software , a dispozitivelor hardware (de ex. laptop si palmtop, memory stick) cu capacitate de stocare pentru gestionarea informatiilor UE clasificate.

Echipamentele hardware proprii, software si mediile nu vor fi aduse in zona de Clasa I si II unde sunt gestionate informatiile UE clasificate, fara permisiunea Sefului Biroului de Securitate al SGC sau a ORNISS ori a agentiei descentralizate UE respective.

XXII. Perfectionarea cadrului de reglementari INFOSEC

Legislatie de implementare

SHAPE * MERGEFORMAT

SISTEM INFORMATIC SI DE COMUNICATII

(SIC)

CERINTE DE UTILIZARE

CERINTE DE SECURITATE

USURINTA IN OPERARE

FUNCTIONARE PERFORMANTA

MONITORIZARE FACILA

PLANIFICAREA SI IMPLEMENTAREA UNUI SIC
- algoritm informativ –

SHAPE * MERGEFORMAT

PLANIFICAREA

Nevoia de achizitie a SIC – cerintele operationale

ANALIZA RISCULUI

(ce trebuie protejat)

Identif vulnerabilitati identif. amenintari (ex: zonare Tempest, control acces).

DEFINIREA CERINTELOR

DE SECURITATE

Fizice, de personal, INFOSEC

Fizice, De personal, INFOSEC

CREAREA PROCEDURILOR OPERATIONALE DE SECURITATE

ACHIZITIONAREA DE ECHIPAMENTE SI INSTRUMENTE NECESARE SIC

IMPLEMENTAREA SIC

Tempestizarea zonelor (acolo unde este cazul)

Realizarea infrastructurii;

Instalarea/amplasarea echip. IT;

Implementarea pol. de securitate INFOSEC.

ANALIZA RISCULUI

CUPRINDE ANALIZAREA VULNERABILITATILOR SI IDENTIFICAREA AMENINTARILOR PENTRU URMATOARELE OBIECTIVE:

Transmisiile de date;

Emisiile de radiatii electromagnetice parazite - TEMPEST;

Securitatea calculatoarelor - COMPUSEC;

Securitatea fizica, procedurala, de personal si a documentelor.

TRANSMISIILE DE DATE:

v    Mecanismele de transmitere a informatiilor;

v    Mecanismele de identificare unica a procesului de introducere/extragere a informatiei in/din cadrul SIC;

v    Analizarea scenariilor posibile de compromitere a informatiilor;

v    Identificarea modalitatilor de combatere a amenintarilor.

EMISIILE DE RADIATII ELECTROMAGNETICE PARAZITE – TEMPEST

v    Masurarea si catalogarea locatiilor in care se intentioneaza instalarea SIC;

v    Identificarea punctelor vulnerabile d.p.d.v. al emisiilor;

v    Analizarea posibilitatilor de reducere a riscurilor identificate;

v    Proiect: SECURITATEA EMISIILOR EMSEC.

SECURITATEA CALCULATOARELOR – COMPUSEC:

v    Securitatea mediului/sistemul de operare;

v    Modul de acces la informatie

v    Identificarea posibilitatilor de compromitere a informatiilor vehiculate in cadrul SIC;

v    determinarea nivelului de incredere minim necesar pentru produsele utilizate in cadrul SIC.

SECURITATEA FIZICA, PROCEDURALA, DE PERSONAL SI A DOCUMENTELOR:

v    Sisteme antiefractie;

v    Sisteme de control al accesului

v    Sisteme de detectie si protectie antiincendiu

v    Sisteme de detectie a inundatiilor;

v    Surse de putere neintreruptibila.

ACHIZITIONAREA DE ECHIPAMENTE SI INSTRUMENTE NECESARE SIC

Echipamentele necesare SIC:

q    Elemente de tehnica de calcul:

Servere;

Calculatoare;

Laptop-uri;

Imprimante;

Cititoare de carduri, mecanisme biometrice de autentificare;

unitati de memorie mobile, etc.

q    Elemente de retelistica:

Active de retea – routere, hub-uri, switch-uri;

Pasive de retea – cabluri, conectori, rack-uri

Instrumente (software) necesare SIC:

q    Software necesar asigurarii scopului SIC:

Sisteme de operare;

Aplicatii office – desktop;

Aplicatii multimedia;

Utilitare de prelucrare a informatiei (arhivatoare, etc.);

Programe de scriere a informatiei pe medii externe

q    Software necesar asigurarii securitatii SIC:

Mecanisme de identificare si autentificare a utilizatorilor SIC;

Detectia intruziunilor, protectie antivirus;

Managementul configuratiei hardware si software;

Auditul evenimentelor de securitate din cadrul SIC.

Selectarea elementelor de tehnica de calcul corespunzatoare

CERINTELE OPERATIONALE

CONFIGURATIA HARDWARE SI SOFTWARE A SIC

ALEGEREA ECHIPAMENTELOR si INSTRUMENTELOR CONFORM LISTELOR O.R.N.I.S.S.


SHAPE * MERGEFORMAT

SHAPE * MERGEFORMAT

CERINTELE OPERATIONALE

CARACTERISTICILE SIC referitoare la TRANSFERUL DE INFORMATII

ALEGEREA ACTIVELOR (hub-uri, switch-uri, routere) SI PASIVELOR DE RETEA(cabluri, conectori rack-uri ) CONFORM LISTELOR O.R.N.I.S.S.

CONSULTANTA O.R.N.I.S.S.

ANALIZA RISCULUI:

v    se realizeaza de entitati acreditate de catre O.R.N.I.S.S.

v    O.R.N.I.S.S. => liste cu entitatile acreditate pe domenii de activitate;

ACHIZITIONAREA DE ECHIPAMENTE SI INSTRUMENTE pt. SIC:

v    se identifica cerintele minime de securitate ce trebuie asigurat de ansamblul echipamentelor hardware – instrumente software necesare;

v    Se aleg echipamentele/instrumente pe baza listelor de produse certificate: securitatea emisiilor, produse criptografice, produse de securitate IT;

CERTIFICAREA DE PRODUSE HARDWARE SI SOFTWARE:

v    orice institutie ce detine sau doreste sa implementeze un SIC clasificat poate inainta o cerere de demarare a procedurilor de certificare pentru un produs sau lista de produse catre o entitate acreditataprin O.R.N.I.S.S

v    produsul/produsele vor fi certificate numai pe domeniul de activitate al entitatii respective.

XXIII. GHID GENERAL DE SECURITATE A SISTEMULUI

INFORMATIC SI DE COMUNICATII

- SIC -

Securitatea informatiilor este responsabilitatea ta!


INFOSEC – ANSAMBLU ECHILIBRAT DE MASURI DE SECURITATE

Retineti!

Securitatea SIC sprijina misiunea organizatiei

Securitatea SIC face parte integranta din activitatea de management a organizatiei

Securitatea SIC trebuie sa fie eficienta din punct de vedere al costurilor

Responsabilitatile in domeniul securitatii SIC trebuie sa fie clar stabilite si transmise personalului

Proprietarii SIC au responsabilitati de securitate si in afara organizatiei lor

Securitatea SIC necesita o abordare comprehensiva si integrata

Securitatea SIC trebuie sa fie reevaluata periodic

Securitatea SIC este determinata de factorii sociali

AOSIC

-AUTORITATEA OPERATIONALA A SIC-

AOSIC este persoana sau compartimentul avand responsabilitatea, delegata de catre ASIC, asupra SIC pentru implementarea metodelor si mijloacelor necesare protectiei informatiilor, precum si pentru exploatarea operationala a SIC in conditii de securitate. Responsabilitatea AOSIC cuprinde intregul ciclu de viata al SIC, incepand cu proiectarea, continuand cu elaborarea specificatiilor, testarea instalarii, acreditarea, testarea periodica in vederea reacreditarii, exploatarea operationala, modificarea si sfarsind cu scoaterea din uz. In anumite situatii speciale rolul AOSIC poate fi preluat de catre diverse componente ale organizatiei, in decursul ciclului de viata. Este important ca rolul AOSIC sa fie de la inceput identificat si exercitat fara intrerupere in decursul ciclului de viata.

Dezvolare/Achizitie

 
SECURITATEA PE DURATA CICLULUI DE VIATA A SISTEMULUI

Initializare

Implementare

Operare/ Intretinere

Dezafectare

Evaluarea sensibilitatii

Determinarea cerintelor de securitate (inclusiv analiza de risc)

Determinarea cerintelor de securitate (inclusiv analiza de risc)

Instalarea/ Pornirea controalelor de securitate

Instruire de securitate (inclusiv Certificare)

Acreditare

Obtinerea/Cumpararea sistemului si activitati de securitate aferente

Operarea si administrarea de securitate

Siguranta operarii (Monitorizare, Audit)

Administrarea schimbarilor

Recreditarea periodica


- Planul de securitate a sistemelor IT -

MANAGEMENTUL PAROLELOR

SIC trebuie proiectate astfel incat sa permita atribuirea sarcinilor si raspunderilor personalului de o asa maniera incat sa nu existe o persoana care sa aiba cunostinta de sau acces la toate cheile de securitate (parole, mijloace de identificare personala etc.) si la toate programele.

Parolele nu constituie unicul mecanism de autentificare, astfel incat pentru SIC sensibile si vulnerabile trebuie cautate metode de autentificare sofisticate si/sau multiple, de exemplu, prin utilizarea semnaturii, a dispozitivelor de amprenta vocala si identificare personala, in combinatie cu parolele.

(a) unui viitor utilizator al SIC trebuie sa i se atribuie mai intai o parola;

(b) parola unui utilizator trebuie schimbata periodic;

(c) SIC trebuie sa tina o baza de date cu parole, preferabil cu parolele criptate. Baza de date cu parole, fie ea in forma criptata sau nu, trebuie sa fie protejata corespunzator;

(d) utilizatorii vor evita sa realizeze copii ale parolelor, exceptie facand circumstantele definite in continuare;

(e) accesul la un SIC trebuie permis numai dupa introducerea unui identificator (ID) si a unei parole;

(f) ca o regula generala, nu sunt permise parole de grup.

Parolele nu se spun!

Reguli generale privind ID-ul si parolele utilizatorilor

este de preferat evitarea cunoasterii parolei chiar si de catre administrator

Minimum caractere, dar 10 este de preferat

Alfabetice, numerice si caractere speciale

Expresii sau combinatii consonante (dar nu cuvinte cu inteles real, comun)

Maximum 3 caractere identice consecutive, in orice pozitie, fata de parola anterioara

utilizarea unui generator de parole fonetice

Memorati parola, nu o scrieti pe nimic

Schimbati-o cel putin o data la 6 luni

Responsabilitatile specifice ale administratorului de securitate al SIC

Parolele initiale ale sistemului Administratorul de securitate al SIC trebuie sa schimbe parolele pentru toti identificatorii standard (de exemplu SYSTEM, TEST, MANAGER), inainte ca utilizatorilor sa li sa permita accesul la SIC

Alocarea parolei initiale de utilizator Administratorul de securitate al SIC genereaza si protejeaza parolele prin:

prezenta utilizatorului in momentul generarii parolei. Administratorul de securitate al SIC trebuie sa initieze procedura de generare a parolei si utilizatorul trebuie sa o protejeze si apoi sa o inlocuiasca sau sa o stearga de pe ecran;

tiparirea parolei generate pe un formular special multi-pagina sigilat.

Autorizarea schimbarii parolei - administratorul de securitate al SIC trebuie sa aiba permisiunea de schimbare a parolei unui utilizator prin generarea unei parole noi in anumite situatii si conform unor proceduri bine stabilite in procedurile operationale de securitate;

Unicitatea identificatorilor de utilizator (ID) - Managementul identificatorilor de utilizator trebuie sa fie sub controlul administratorului de securitate al SIC

Revalidarea ID-ului de utilizator - Administratorul de securitate al SIC va fi instiintat prompt in cazul in care un ID si parola trebuie eliminate din SIC. Ca regula, toate ID-urile trebuie sa fie revalidate periodic (recomandat la 1 an), iar informatiile despre posesor reactualizate, daca este cazul.

Responsabilitatile utilizatorilor

Constientizarea responsabilitatilor de securitate - Utilizatorii trebuie sa inteleaga responsabilitatea lor de a pastra confidentialitatea parolelor si de a raporta incidentele de securitate sau alte evenimente anormale referitoare la sistem sau la utilizatorii acestuia;

Schimbarea parolelor - periodic, nu mai rar de o data la 6 luni

- utilizatorii trebuie sa aiba posibilitatea sa schime parolele intr-o maniera sigura, care implica respectarea unei proceduri

Initializarea unei sesiuni de lucru la un SIC interconectat

- trebuie sa existe relatii de incredere intre cele doua SIC-uri;

- in momentul conectarii, utilizatorii trebuie sa isi declare obligatoriu identitatea, prin utilizarea parolei si a ID-ului asociat.

Memorarea parolelor

Este esential ca utilizatorii sa memoreze parolele lor fara sa le scrie pe suport fizic. Totusi, parolele pot fi plasate in forma scrisa, in interiorul unui plic sigilat, cu ID-ul si data scrise pe plic, inregistrat urmand procedurile de inregistrare legale.

Functionalitatea mecanismului de autentificare

Stocarea interna a parolelor

Parolele memorate trebuie protejate impotriva modificarilor neautorizate sau divulgarii, prin mecanismul de control al accesului asigurat de SIC, prin criptarea parolelor, prin cartele inteligente, sau prin masuri combinate.

Introducerea parolelor

- nu trebuie sa afiseze parola tastata;

- sistemul trebuie sa inregistreze data si ora ultimei initializari reusite a unei sesiuni de lucru.

Incercari de initializare a unei sesiuni de lucru la SIC

- numarul de incercari consecutive de initializare a unei sesiuni de lucru la SIC trebuie sa fie limitat;

- se recomanda ca administratorul de securitate al SIC sa fie anuntat imediat despre incercari nereusite de accesare a sistemului.

Evidenta

SIC - capacitatea de a crea o lista de audit a modificarilor si utilizarilor suferite de parola

Evidenta trebuie sa includa:

initializarea reusita a unei sesiuni de lucru;

incercarile nereusite de initializare a unei sesiuni de lucru;

evenimente deosebite (ex.: lucrul in afara programului);

utilizarea procedurii de schimbare a parolei;

blocarea ID-ului utilizatorului;

evenimentele normale si anormale de incheiere a unei sesiuni de lucru.

Pentru fiecare eveniment, auditul trebuie sa cuprinda:

data si ora evenimentului;

tipul evenimentului;

ID-ul utilizatorului in cazul initializarii nereusite a unei sesiuni de lucru;

ID-ul utilizatorului real pentru alt tip de eveniment si originea evenimentului.

Nu va asumati riscuri! Administrati-va dischetele.

Marcarea mediilor de stocare

Personalul va marca si eticheta toate mediile de stocare in conformitate cu nivelul de clasificare cel mai inalt al sistemului in care acestea au fost utilizate

Decizia de declasificare a mediilor de stocare se ia numai dupa compararea riscurilor inerente cu cu avantajele financiare sau operationale pe care le aduce declasificarea Spre exemplu, de cele mai multe ori distrugerea mediilor este mai avantajoasa decat declasificarea si reutilizarea, avand in vedere costurile scazute ale mediilor de stocare

PROCEDURI DE STERGERE PENTRU REUTILIZAREA MEDIILOR DE STOCARE AMOVIBILE ALE CALCULATOARELOR

Reutilizarea in interiorul aceleiasi instalatii

- Pentru modurile de operare de securitate “dedicat” sau “de sistem nivel inalt” - nu sunt necesare proceduri speciale

- Pentru modul de operare de securitate “compartimentat” sau “multinivel” , trebuie aplicate procedura “Refolosirea intr-o alta instalatie de securitate”

Reutilizarea intr-o alta instalatie de securitate

Inainte ca orice mediu de stocare amovibil de calculator sa poata sa fie reutilizat intr-o alta instalatie de securitate, informatia clasificata inregistrata trebuie sa fie stearsa.

(a) benzi magnetice, casete cu banda magnetica, cartele, etc. -stergerea totala sau prin suprascrierea completa, o singura data cu informatii neclasificate;

(b) pachete de discuri, hard discuri amovibile, dischete floppy, discuri optice, etc. - se verifica mai intai daca functioneaza corect, apoi trebuie ca toate suprafetele de stocare sa fie suprascrise de trei ori, o data cu „1” logic, o data cu ,,0” logic si o data cu un singur caracter numeric, alfabetic sau caracter special, verificand fiecare suprascriere prin sondarea aleatorie a unor piste/sectoare inaintea efectuarii urmatoarei suprascrieri.

DECLASIFICAREA MEDIILOR DE STOCARE ALE CALCULATOARELOR

Trebuie mai intai stabilit daca toate informatiile pentru care au fost folosite mediile de stocare respective pot fi declasificate.

(a)        cartele magnetice, benzi magnetice, cartuse / casete de benzi –declasificate prin folosirea unui echipament aprobat de demagnetizare. Nivelul semnalului rezidual rezultat trebuie sa fie cu minim 90 dB inferior nivelului de saturatie a semnalului;

(b)        pachete de discuri, hard discuri amovibile, dischete floppy, discuri optice, etc. – se procedeaza asemanator cu procedurile specificate la sectiunea “Reutilizarea intr-o alta instalatie de securitate”.

(c)        tambure, discuri si pachete de discuri nefunctionale – cu un magnet permanent, avand un camp cu intensitatea de cel putin 120 000 A/m la nivelul suprafetei de inregistrare, astfel incat intreaga suprafata sa fie stearsa de minimum trei ori, prin trecerea neuniforma a magnetului pentru ca toate pistele sa fie baleiate de centrul magnetului.

(d)        componente electronice de memorare – mediile de memorare electronice, ca de exemplu RAM, ROM, PROM, EPROM, care stocheaza informatia in format electronic si nu magnetic, trebuie declasificate urmarind procedurile aprobate de ORNISS.

MASURI PENTRU DISTRUGEREA MATERIALULUI

CLASIFICAT PENTRU CALCULATOR

Hartie si materiale similare

Utilizarea calculatoarelor care prelucreaza informatii clasificate genereaza o mare cantitate de hartie sau material similar care va trebui distrusa in conditii de securitate. In vederea colectarii acestui material pentru a fi distrus in conditii de securitate vor trebui luate masuri adecvate la fiecare instalatie.

Mediile de stocare pentru calculator

Informatia inregistrata trebuie sa fie stearsa sau suprascrisa inaintea distrugerii oricarui tip de material clasificat inregistrat magnetic.

(a)         benzi magnetice – trebuie rupte mecanic in bucati, cu echipamentul propriu, distruse chimic sau prin incinerare

(b)         dischete floppy - dischetele floppy se scot din caseta lor, se taie sau se rup intr-un numar mare de bucati si apoi se incinereaza

(c)         pachete de discuri amovibile – pentru pachetele de discuri amovibile, se vor lua masuri de spargere sau de incinerare, suprafata magnetica a discurilor se va indeparta prin folosirea de hartie abraziva sau orice alt material sau tehnica abraziva

(d)         discuri fixe, tambure, miezuri de ferita - trebuie avute in vedere masuri speciale de spargere sau de incinerare a lor.

SCOATEREA ECHIPAMENTULUI CE APARTINE SIC IN AFARA ZONEI DE SECURITATE

Toate componentele echipamentului, in special cele care stocheaza informatii clasificate vor fi declasificate corespunzator inainte de a fi scoase din zona

PROTECTIA IMPOTRIVA VIRUSILOR DE CALCULATOR

SI A ALTUI SOFTWARE NOCIV

Trebuie sa folositi software de protectie antivirus care indeplineste cerintele standard pentru servere si computere individuale.

Acest software sa fie in permanenta activ si actualizat cu datele despre virusii cunoscuti

Pasii necesari pentru reducerea riscului.

Ce este un program Anti-Virus?

Exchange Server

- Programul anti-virus scaneaza email-urile transmise

- Blocheaza email-ul tinand cont de numele fisierului sau de extensia sa (.vbs, .exe, etc.) – pentru a proteja impotriva unor noi virusi

Verificari / actualizari zilnice ale semnaturilor de virusi

Server anti-virus

- Actualizeaza de la distanta softaware-ul AV de pe statiile clientilor

- Baga in carantina fisiere infectate

Programeaza si scaneaza statiile de lucru ale clientilor

Exemple servere anti-virus:

Norton Symantec Systems Center

McAfee ePolicy Orchestrator

Statii de lucru clienti

-Anti-virus-ul

scaneaza primirea de email descarcarile (share, web)

- Scanari periodice ale sistemului

Actualizari saptamanale

LAN

Functii

Compara semnaturile virusilor si Cailor Troieni cunoscuti.

Sterge baga in carantina sau sterge fisierele infectate.

Exemple software:

Motor AV; definitii AV; Norton, McAfee (e.t.c.).

RAPORTAREA VIRUSARII COMPUTERULUI

Ziua/ora infectarii

Localizarea

Punctul de contact

Nume/telefon al Administratorului de securitate

Tipul de sistem

Reconstituirea datelor

Analizarea incidentului

Implicatiile

Evaluarea pagubelor

Contramasurile luate

Recomandari

MINIMALIZAREA RISCURILOR IN E-MAIL

Utilizatorii trebuie sa semneze pentru cunoasterea Politicii privind mesajele electronice

Nu va credeti in siguranta.

Folositi numai e-mail pentru afaceri guvernamentale.

Stocati e-mail-urile cu precautie si stergeti orice mesaj care nu va mai foloseste.

Raportati IMEDIAT orice e-mail suspect la Ofiterul cu securitatea.

Deschideti si stocati cu precautie fisierele atasate.

ASPECTE PRIVIND SECURITATEA INTRETINERII COMPONENTELOR HARDWARE / SOFTWARE PENTRU MICROCALCULATOARE

Intretinerea hardware

Trebuie efectuata in mod normal in cadrul obiectivului de un personal cu certificat de securitate corespunzator. In cazul in care nu este posibil ca un microcalculator sa fie declasificat intretinerea se va face in afara zonei de securitate in baza unui contract clasificat. Dupa modificarea hardware a oricarui calculator sau dispozitiv protejat TEMPEST, trebuie realizata certificarea TEMPEST.

Intretinerea software

Trebuie sa fie realizata de personal verificat corespunzator.Este recomandat ca intretinerea aplicatiilor software sa fie in responsabilitatea personalului propriu

CONSIDERATII PRIVIND MEDIUL MICRO-CALCULATOARELOR

Generalitati

- configurate pentru a fi utilizate in medii de birou ”tipice”;

- pot fi afectate sau chiar distruse complet de factori precum suprasarcini electrice, foc, electricitate statica, lichide varsate si fum de tigara etc.

Alimentarea cu energie electrica

- administratorul COMSEC al SIC responsabil cu:

- filtrarea surselor de alimentare;

- utilizarea de surse de tensiune neintreruptibile.

Impamantarea de siguranta (planul de pamant)

Trebuie stabilita o impamantare comuna sigura sau un plan de impamantare, in vederea prevenirii posibilei compromiteri a datelor prin formarea de bucle de pamant.

Contaminanti ai aerului

Cu toate ca in general nu este necesara instalarea de purificatoare speciale de aer pentru sistem, reducerea sau eliminarea contaminarilor cu fum si praf sunt benefice mediilor lui de stocare.

Electricitatea statica

Daca in atmosfera, intr-o anumita zona se detecteaza prezenta unui nivel ridicat al electricitatii statice, trebuie luata in considerare utilizarea de spray-uri, de covorase sau pad-uri antistatice.

Nu va pune-ti datele in primejdie. Tine-ti locul de lucru curat.

ASPECTE PRIVIND SECURITATEA DISPOZITIVELOR DE CALCUL PORTABILE

Gama de amenintari sporita

Procesarea informatiilor clasificate pe aceste echipamente trebuie sa aiba loc numai in zone care sunt desemnate pentru o clasificare corespunzatoare.

Nici un dispozitiv portabil de calcul de orice tip si descriere, care este proprietate particulara, nu poate fi folosit pentru stocare, procesare sau transmitere de informatie clasificata SECRET si cu nivel de confidentialitate mai inalt.

Dispozitivele de calcul portabile aflate in proprietatea contractantilor pot fi utilizate daca aceasta si personalul specializat avand acces la dispozitive au autorizatie / certificat de securitate corespunzator de la ORNISS.

ASPECTE PRIVIND SECURITATEA EMISIILOR ELECTROMAGNETICE COMPROMITATOARE

TEMPEST

- Reprezinta masuri de testare si de realizare a securitatii, impotriva scurgerii de informatii prin intermediul emisiilor electromagnetice parazite.

- SIC care stocheaza, proceseaza sau transmit informatii clasificate SECRET si cu un nivel superior trebuie protejate corespunzator fata de vulnerabilitatile de securitate cauzate de radiatiile compromitatoare.

Deconecteaza-te cand nu folosesti calculatorul!

NORME INFOSEC PUBLICATE

TITLUL DOCUMENTULUI ELABORAT

COD NATIONAL

NR. ORDIN

NR. M.OF.

Directiva privind structurile cu responsabilitati in domeniul INFOSEC

INFOSEC 1

O. 482/21.11.2003

M.O. 874/09.12.2003

Directiva principala privind domeniul INFOSEC

INFOSEC 2

O. 483/21.11.2003

M.O. 874/09.12.2003

Directiva privind managementul INFOSEC pentru sisteme informatice si de comunicatii

INFOSEC 3

O. 484/21.11.2003

M.O. 874/09.12.2003

Directiva INFOSEC Tehnica si de Implementare pentru Interconectarea Sistemelor Informatice si de Comunicatii

INFOSEC 7

O. 485/21.11.2003

M.O. 874/09.12.2003

Ghid pentru elaborarea documentatiei cu cerintele de securitate (DCS) pentru sisteme informatice si de comunicatii

DS 1

O. 488/21.11.2003

M.O 865/ 05.12.2003

Ghid privind structura si continutul Procedurilor Operationale de Securitate (PrOpSec) pentru sisteme informatice si de comunicatii

DS 2

O. 489/21.11.2003

M.O 865/ 05.12.2003

Instalarea Echipamentelor Electrice Destinate Procesarii Informatiei Clasificate

DS 6

O. 490/21.11.2003

MO 885/12.12.2003

Instructiuni pentru controlul si protectia materialului COMSEC NATO in statele nemembre NATO si organizatiile internationale

IC 1

O. 486/21.11.2003

M.O 865/ 05.12.2003

Directiva INFOSEC tehnica si de implementare a  securitatii criptografice si a mecanismelor criptografice NATO

IC 3

O. 487/21.11.2003

M.O 865/ 05.12.2003

Metodologia privind managementul riscului de securitate pentru sistemele informatice si de comunicatii care stocheaza, proceseaza sau transmit informatii clasificate

DS 3

O. 389/11.11.2004

M.O. 1081/19.11.2004

Directiva INFOSEC tehnica si de implementare privind cerintele instrumentelor de securitate, selectarea, aprobarea si implementarea acestora

INFOSEC 9

O. 390/11.11.2004

M.O. 1081/19.11.2004

Directiva INFOSEC tehnica si de implementare privind securitatea calculatoarelor si a retelelor locale

INFOSEC 4

O. 391/11.11.2004

M.O. 1081/19.11.2004

Ghid pentru acreditarea de securitate a sistemelor informatice si de comunicatii nationale care vehiculeaza informatii NATO

DS 8

O. 386/11.11.2004

M.O. 1081/19.11.2004

Ghid INFOSEC tehnic de implementare pentru protejarea sistemelor informatice si de comunicatii impotriva programelor informatice nocive

DS 9

O. 387/11.11.2004

M.O 1081/19.11.2004

Directiva INFOSEC tehnice si de implementare privind securitatea transmisiilor

INFOSEC 10

O. 388/11.11.2004

M.O 1081/19.11.2004

Ghid INFOSEC privind analiza naturii si proportiilor amenintarilor si vulnerabilitatilor la adresa sistemelor informatice si de comunicatii (SIC)

DS 4

O. 03/05.01.2005

MO 74/21.01.2005

Ghid general de securitate a sistemelor informatice si de comunicatii

DS 5

O. 04/05.01.2005

M.O 74/21.01.2005

Ordinul nr. 149 din 18.04.2005 pentru aprobarea Metodologiei privind elaborarea planului pentru continuarea activitatii in situatii de urgenta pentru sisteme informatice si de comunicatii care vehiculeaza informatii clasificate

DS 7

O.

M.O

XXIV. Serviciul de Curierat al

Oficiului Registrului National al Informatiilor Secret de Stat

NECESITATE

Necesitatea desfasurarii activitatii de curierat pentru materiale NATO clasificate a aparut in urma infiintarii Contului Cripto National in aprilie 2004 si este prevazuta in urmatoarele documente NATO si nationale:

v    C-M(2002)49 - Politica de securitate in cadrul NATO

Directiva ACO 15-25 - Sistemul de Curierat al Comandamentului Aliat pentru Operatii

v    AMSG 293F – Instructiuni pentru managementul materialului criptografic NATO

v    Documentul 2001/264/EC – Regulamentul de Securitate al Consiliului Uniunii Europene

v    Ordonanta Guvernului nr. 52/2005 privind organizarea si desfasurarea activitatii de curierat pentru materialele NATO clasificate

CERINTE NATO INDEPLINITE

  • Infiintarea Serviciului de curierat al ORNISS, stabilirea locatiei Terminalului de Curierat si implementarea masurilor de protectie fizica – locatia a fost inspectata de reprezentantii NATO si UE si corespunde standardelor.
  • Au fost obtinute certificatele de securitate NATO CTS pentru personalul ADMC implicat in activitati de curierat.
  • Dotare: tehnica de calcul, aplicatia software specifica, containere de securitate autorizate pentru pastrarea materialelor clasificate
  • Mijloace auto corespunzatoare

LEGISLATIE

Au fost publicate in MO nr. 95/1 feb. 2006 Instructiunile privind transportul materialelor NATO clasificate AC-1.

Se afla in lucru Instructiunile privind transportul personal al materialelor NATO clasificate AC-2.

Vor fi elaborate proceduri operationale specifice.

ORGANIZAREA TRANSPORTULUI MATERIALULUI NATO CLASIFICAT

SHAPE * MERGEFORMAT

NATO HQ

Delegatia

Romaniei

la NATO

SHAPE

COURIER

SERVICE

NDA ALE

TARILOR

NATO

SERVICIUL DE

CURIERAT AL

ORNISS

CONTUL

CRIPTO

AL ADMC

REGISTRUL

CENTRAL AL

ORNISS

ALTE

PERSOANE DE

DREPT PUBLIC

SAU PRIVAT

IN AFARA GRANITELOR

cu sprijin din partea :

- MAE - Serviciul de Curierat Diplomatic

- MApN

IN INTERIORUL TARII

cu sprijin din partea

SRI - Posta Speciala

TRANSPORTUL INTERNATIONAL

Se face cu mijloace auto sau aeriene in colaborare – ORNISS – MAE – MApN

Curierii si materialele NATO clasificate beneficiaza de privilegii si imunitati identice cu cele acordate curierilor si „valizei diplomatice” in conformitate cu Acordul privind statutul Organizatiei Tratatului Atlanticului de Nord, al reprezentantilor nationali si al personalului international, adoptat la Ottawa la 20 septembrie 1951 si ratificat de Romania in decembrie 2004

TRANSPORTUL INTERN

Pe teritoriul national toate materialele NATO clasificate vor fi transportate in conformitate cu prevederile Hotararii Guvernului nr.1349/2002 privind colectarea, transportul, distribuirea si protectia, pe teritoriul Romaniei, a corespondentei clasificate.





loading...




Politica de confidentialitate

.com Copyright © 2020 - Toate drepturile rezervate.
Toate documentele au caracter informativ cu scop educational.


Proiecte

vezi toate proiectele
 PROIECT DE LECTIE CLASA: a X a EDUCATIE MUZICALA - OPERA IN GERMANIA SI RUSIA
 PROIECT DIDACTIC 3-5 ani Limba si comunicare - Strugurele, de Maria Gaitan
 Proiect instalatii electrice - Sa se proiecteze instalatia electrica si de forta a unei microintreprinderi la alegerea studentului
 PROIECT - Ingineria reglarii automate - sistemul de reglare automata a unei actionari cu motor electric

Lucrari de diploma

vezi toate lucrarile de diploma
 LUCRARE DE DIPLOMA - Rolul asistentului medical in ingrijirea pacientului cu A.V.C.
 Relatiile diplomatice dintre Romania si Austro- Ungaria din a doua jumatate a secolului al XIX-lea
 Lucrare de diploma managementul firmei “diagnosticul si evaluarea firmei”
 Lucrare de diploma tehnologia confectiilor din piele si inlocuitor - proiectarea constructiv tehnologica a unui produs de incaltaminte tip cizma scurt

Lucrari licenta

vezi toate lucrarile de licenta
 Lucrare de licenta contabilitate si informatica de gestiune - politici si tratamente contabile privind leasingul (ias 17). prevalenta economicului asupra juridicului
 Lucrare de licenta educatie fizica si sport - studiu asupra imbunataȚirii motricitaȚii in lectia de educatie fizica la clasele a v-a de la &
 Lucrare de licenta ecologie si protectia mediului - aspecte ecologice privind fauna de orthoptere si mantide din parcul national muntii macinului
 LUCRARE DE LICENTA - Asigurarea calitatii la firma Trans

Lucrari doctorat

vezi toate lucrarile de doctorat
 Diagnosticul ecografic in unele afectiuni gastroduodenale si hepatobiliare la animalele de companie - TEZA DE DOCTORAT
 Doctorat - Modele dinamice de simulare ale accidentelor rutiere produse intre autovehicul si pieton
 LUCRARE DE DOCTORAT ZOOTEHNIE - AMELIORARE - Estimarea valorii economice a caracterelor din obiectivul ameliorarii intr-o linie materna de porcine

Proiecte de atestat

vezi toate proiectele de atestat
 PROIECT ATESTAT INFORMATICA - GESTIONAREA STOCULUI UNEI FARMACII
 LUCRARE DE ATESTAT ELECTRONIST - TEHNICA DE CALCUL - Placa de baza
 Evidenta a clientilor dar si a serviciilor in Visual Fox pro 9 - Lucrare de atestat
 Lucrare atestat Tehnician in turism - CALITATEA SERVICIILOR TURISTICE




Contrarevolutia monetarista si revigorarea neoclasicismului si neoliberalismului dupa anul 1965
Obiectul de studiu al analizei economico-financiare
Limitele si inconsecventele teoriei marginaliste
Societatile de bursa si agentii de bursa
Tipuri de economi
Open account (contul deschis)
Liberalismul economic clasic si paradigma lui
COMPETITIVITATEA INTERNATIONALA: CONCEPT SI MASURARE A NIVELULUI SI DINAMICII PROCESULUI




Termeni si conditii
Contact
Creeaza si tu