Protectia informatiilor clasificate

ACADEMIA NATIONALA DE INFORMATII

MASTERAT: MANAGEMENTUL INFORMATIILOR PENTRU SECURITATE NATIONALA

DISCIPLINA: INFORMATIA PENTRU SECURITATE NATIONALA

PROTECTIA INFORMATIILOR CLASIFICATE

Protectia asigura functionalitatea si operationalitatea sistemelor informationale, confidentialitatea, integritatea, disponibilitatea, autenticitatea si nerepudierea datelor si informatiilor, blocarea accesului persoanelor neautorizate la informatiile clasificate, apararea structurilor legal constituite cu atributii  in domeniul securitatii nationale, a activitatilor specifice si ale personalului, indeosebi ale factorilor decizionali cu competente in domeniu, fata de posibilele actiuni de spionaj, terorism, sabotaj, divulgare neautorizata, subminare si orice fel de actiuni distructive ce vizeaza sistemele de transmisie si infrastructura evidentelor si a bazelor de date. Informatia este o lamurire, o veste, o stire, un element nou in raport cu cele anterioare, cuprinse in semnificatia unui simbol sau grup de simboluri. Informatia este vulnerabila, atacabila si din aceasta cauza trebuie protejata.

Pentru ca o informatie sa nu fie compromisa se protejeaza cele trei caracteristici ale ei: confidentialitatea, integritatea si disponibilitatea. Confidentialitatea se refera la faptul ca informatia trebuie sa fie cunoscuta de cat mai putini oameni. Integritatea se refera la consecintele grave pe care le-ar avea modificarea unor informatii fara stirea autorului. Disponibilitatea reprezinta accesibilitatea la informatii in momentul oportun. Informatiile pentru serviciile secrete sunt datele si materialele obtinute prin mijloace speciale si care prezinta interes operativ, fiecare din ele aducand elemente lamuritoare noi in raport cu cunostintele acumulate anterior. Informatia pentru securitatea nationala este rezultata in urma activitatilor specializate de cautare, identificare, obtinere, procesare a datelor referitoare la disfunctii, vulnerabilitati, factori de risc, amenintari, stari de pericol la adresa principiilor si normelor politico-sociale statornicite prin Constitutie. Se poate prezenta sub forma de fotografii, filme, scheme, texte, mesaje video sau sonore.

Informatii pentru siguranta nationala pot fi obtinute prin culegerea din surse publice jurnale de stiri, rapoarte, literatura deschisa publicului larg, internet, presa, prin exploatarea surselor umane, prin interceptarea si analiza comunicatiilor, prin folosirea fotografiei. Informatiile vor fi clasificate numai in cazul in care se impune protectia acestora, iar nivelurile de secretizare si termenele de clasificare exista atata timp cat dezvaluirea sau diseminarea lor neautorizata ar putea prejudicia siguranta nationala, apararea tarii, ordinea publica sau interesele persoanelor juridice de drept public sau privat. Protectia informatiilor este determinata de diversitatea si specificitatea domeniilor, problemelor si profilurilor de activitate, de particularitatile mediului informational, de perfectionarea si diversificarea accentuata a mijloacelor, tehnicilor si tehnologiilor de obtinere, prelucrare, analiza, procesare si transmitere operativa a datelor, informatiilor si produselor informationale, precum si de pericolul sustragerii, accesarii si utilizarii ilegale a informatiilor de catre persoane neautorizate.

Protectia informatiilor pentru securitate cuprinde totalitatea masurilor si actiunilor fizice, juridice si procedurale, organizatorice, informationale si tehnice necesare respectarii regulilor de lucru in elaborarea si exploatarea documentelor, pastrarea secretului, accesului autorizat si ierarhizat la date si informatii clasificate si comunicarii deciziei de utilizare a acestora. Se protejeaza toate tipurile de suporti de informatii, documente, inregistrari audio-video, harti, planuri, fotografii, echipamente; bazele de date; sistemele informatice, telefonul, telegraful, radioul, televiziunea, imprimantele, documentele, posta, curieratul, posta electronica, resursele umane. Prin divulgarea informatiilor secrete de stat se poate prejudicia siguranta nationala si apararea tarii. Acestea sunt clasificate strict secret de importanta deosebita, strict secret si secret, iar transmiterea lor prin cablu sau eter, fara a folosi mijloace specifice cifrului de stat sau alte elemente criptografice stabilite de autoritatile publice competente este interzisa. Prin divulgarea informatiilor secrete de serviciu este prejudiciata o persoana juridica de drept public sau privat. Scoaterea din incinta unitatii detinatoare a informatiilor secrete de serviciu fara aprobarea conducatorului acesteia este interzisa. Prin divulgarea informatiei strict secreta de importanta deosebita se produc daune de o gravitate exceptionala securitatii nationale. Prin divulgarea informatiei strict secreta se produc daune grave securitatii nationale. Prin divulgarea informatiei secrete se produc daune securitatii nationale. Marcarea informatiilor clasificate are drept scop atentionarea persoanelor care le gestioneaza sau care le acceseaza ca sunt in posesia unor informatii prin a caror divulgare se produc incidente grave. Informatia clasificata compromisa si-a pierdut integritatea, a fost ratacita, pierduta ori accesata, total sau partial, de persoane neautorizate

Informatiile secrete de stat sunt: sistemul de aparare a tarii si elementele de baza ale acestuia, operatiile militare, tehnologiile de fabricatie, caracteristicile armamentului si tehnicii de lupta utilizate exclusiv in cadrul elementelor sistemului national de aparare; planurile, precum si dispozitivele militare, efectivele si misiunile fortelor angajate; cifrul de stat si alte elemente criptografice stabilite de autoritatile publice competente, precum si activitatile in legatura cu realizarea si folosirea acestora; organizarea sistemelor de protectie si aparare a obiectivelor, sectoarelor si la retelele de calculatoare speciale si militare, inclusiv la mecanismele de securitate a acestora; datele, schemele si programele referitoare la sistemele de comunicatii si la retelele de calculatoare speciale si militare, inclusiv la mecanismele de securitate a acestora; activitatea de informatii desfasurata de autoritatile publice stabilite prin lege pentru apararea tarii si siguranta nationala; mijloacele, metodele, tehnica si echipamentul de lucru, precum si sursele de informatii specifice, folosite de autoritatile publice care desfasoara activitate de informatii; hartile, planurile topografice, termogramele si inregistrarile aeriene de orice tip, pe care sunt reprezentate elemente de continut sau obiective clasificate secrete de stat; studiile, prospectiunile geologice si determinarile gravimetrice cu densitate mai mare de un punct pe kilometru patrat, prin care se evalueaza rezervele nationale de metale si datele si informatiile referitoare la rezervele materiale, care sunt in competenta Administratiei Nationale a Rezervelor de Stat; sistemele si planurile de alimentare cu energie electrica, energie termica, apa si agenti necesari functionarii obiectivelor clasificate secrete de stat; activitatile stiintifice, tehnologice sau economice si investitiile care au legatura cu siguranta nationala ori cu apararea nationala sau prezinta importanta deosebita pentru interesele economice si tehnico-stiintifice ale Romaniei; cercetarile stiintifice in domeniul tehnologiilor nucleare, in afara celor, fundamentale, precum si programele pentru protectia si securitatea materialelor si a instalatiilor nucleare; emiterea, imprimarea bancnotelor si baterea monedelor metalice, machetele misiunilor monetare ale Bancii Nationale a Romaniei si elementele de siguranta ale insemnelor monetere pentru depistarea falsurilor, nedestinate publicitatii, precum si imprimarea si tiparirea hartiilor de valoare de natura titlurilor de stat, a bunurilor de tezaur si a obligatiunilor de stat; relatiile si activitatile externe ale statului roman, care nu sunt destinate publicitatii, precum si informatiile altor state sau organizatii internationale, fata de care, prin tratate ori intelegeri internationale, statul roman si-a asumat obligatia de protectie.

Masurile de protectie a informatiilor clasificate vor fi stabilite in raport cu: clasele si nivelurile de secretizare a informatiilor; volumul si suportul informatiilor; calitatea, functia si numarul persoanelor care au sau pot avea acces la informatii, potrivit certificatului de securitate si autorizatiei de acces si cu respectarea principiului necesitatii de cunoastere; amenintarile, riscurile si vulnerabilitatile ce pot avea consecinte asupra informatiilor clasificate. Transmiterea informatiilor clasificate catre alti utilizatori se va efectua numai daca acestia detin certificate de securitate sau autorizatii de acces corespunzator nivelului de secretizare. Autorizatia de acces la informatii clasificate este documentul eliberat cu avizul institutiilor abilitate, de conducatorul persoanei juridice detinatoare la astfel de informatii, prin care se confirma ca, in exercitarea atributiilor profesionale, posesorul acestuia poate avea acces la informatii secrete de stat de un anumit nivel de secretizare, potrivit principiului necesitatii de a cunoaste. Prin intermediul principiului necesitatii de a cunoaste accesul la informatii clasificate se acorda in mod individual numai persoanelor care, pentru indeplinirea indatoririlor de serviciu, trebuie sa lucreze cu astfel de informatii sau sa aiba acces la acestea. Certificatul de securitate este documentul eliberat persoanei cu atributii nemijlocite in domeniul protectiei informatiilor clasificate, respective functionarului de securitate, salariatului din structura de securitate, care atesta verificarea si acreditarea de a detine, de a avea acces si de a lucra cu informatii clasificate de un anumit nivel de secretizare. Protectia informatiilor clasificate are obiective: protejarea acestor informatii impotriva actiunilor de spionaj, compromitere sau acces neautorizat, alterarii sau modificarii continutului acestora, precum si impotriva sabotajelor sau distrugerilor neautorizate, realizarea securitatii sistemelor informatice si de transmitere a informatiilor clasificate.

Protectia informatiilor clasificate vizeaza: protectia fizica, protectia prin masuri procedurale, protectia juridica, protectia personalului care are acces la informatii clasificate ori este desemnat sa asigure securitatea acestora si protectia surselor generatoare de informatii-INFOSEC. Protectia fizica reprezinta ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control fizic si prin mijloace tehnice a informatiilor clasificate. Obiectivele, sectoarele si locurile in care sunt gestionate informatii secrete de stat trebuie protejate fizic impotriva accesului neautorizat. Incintele in care nu se lucreaza zilnic 24 de ore vor fi inspectate imediat dupa terminarea programului de lucru, pentru a verifica daca informatiile secrete de stat sunt asigurate in mod corespunzator. In jurul zonelor de securitate clasa I, unde este permis accesul la informatii strict secrete de importanta deosebita si strict secrete, sau clasa II, unde este permis accesul la informatii secrete, poate fi stabilita de o zona administrativa, cu perimetru vizibil delimitat, in interiorul careia sa existe posibilitatea de control al personalului si al vehiculelor. Accesul in zonele de securitate clasa I si clasa II va fi controlat prin verificarea permisului de acces sau printr-un sistem de recunoastere individuala aplicat personalului. Combinatiile incuietorilor de la incaperile si containerele de securitate vor fi cunoscute de un numar restrans de persoane desemnate de conducerea unitatii. Cheile si combinatiile incuietorilor vor fi schimbate ori de cate ori are loc o schimbare de personal; de fiecare data cand se constata ca au intervenit situatii de natura sa le faca vulnerabile; la intervale regulate, de preferinta o data la 6 luni, fara a depasi 12 luni. Este interzis accesul cu aparate de fotografiat, filmat, inregistrat audio-video, de copiat din baze de date informatice sau de comunicare la distanta, in locurile in care se afla informatii secrete de stat, iar conducatorii unitatilor detinatoare de informatii secrete de stat vor stabili reguli cu privire la circulatia si ordinea interioara in zonele de securitate. Sistemele electronice de alarmare sau de supraveghere destinate protectiei informatiilor secrete de stat trebuie prevazute cu surse de alimentare de rezerva. Protectia prin masuri procedurale reprezinta ansamblul reglementarilor prin care emitentii si detinatorii de informatii clasificate stabilesc masurile interne de lucru si de ordine interioara destinate realizarii protectiei informatiilor clasificate. In unitatile detinatoare de informatii clasificate se organizeaza compartimente speciale pentru evidenta, intocmirea, pastrarea, procesarea, multiplicarea, manipularea , transportul, transmiterea si distrugerea acestora in conditii de siguranta. Conducatorii unitatilor vor asigura masurile necesare de evidenta si control al informatiilor. Multiplicarea documentelor clasificate se face in baza aprobarii conducatorului unitatii detinatoare, cu avizul structurii de securitate sau functionarului de securitate, ambele inscrise pe cererea pentru copiere sau pe adresa de insotire in care se mentioneaza necesitatea multiplicarii. Difuzarea informatiilor clasificate multiplicate se face obligatoriu cu avizul structurii sau functionarului de securitate. Documentele de lucru, ciornele sau materialele acumulate sau create in procesul de elaborare a unui document, care contin informatii clasificate trebuie tocate dupa care arse. Copiatoarele si dispozitivele telefax se vor instala in incaperi special destinate si se vor folosi numai de catre persoanele autorizate, potrivit nivelului de secretizare a informatiilor la care au acces. Protectia juridica reprezinta ansamblul normelor constitutionale si al celorlalte dispozitii legale in vigoare care reglementeaza protectia informatiilor clasificate. Protectia personalului reprezinta ansamblul verificarilor si masurilor destinate persoanelor cu atributii de serviciu in legatura cu informatiile clasificate, spre a preveni si inlatura riscurile de securitate pentru protectia informatiilor clasificate.

INFOSEC-ul reprezinta ansamblul masurilor si structurilor de protectie a informatiilor clasificate care sunt prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicatii si al altor sisteme electronice, impotriva amenintarilor si a oricaror actiuni care pot aduce atingere confidentialitatii, integritatii, disponibilitatii, autenticitatii si nerepudierii informatiilor clasificate precum si afectarea functionalitatii sistemelor informatice, indiferent daca acestea apar accidental sau intentionat. Protectia informatiilor secrete de stat reprezinta o obligatie ce revine tuturor persoanelor autorizate care le emit, le gestioneaza sau care intra in posesia lor. Accesul persoanelor din afara unitatii in zona administrativa sau in zonele de securitate este permis numai daca sunt insotite de persoane anume desemnate cu bilet de intrare eliberat pe baza documentelor de legitimare de conducatorul unitatii. Protectia impotriva ascultarii pasive a discutiilor confidentiale se realizeaza prin izolarea fonica a incaperilor. Ferestrele incaperilor de securitate, incaperi special amenajate in zone de securitate clasa I sau II, dispuse la parter sau la ultimul etaj trebuie protejate cu bare incastrate in beton sau asigurate antiefractie.

Pentru a evita compromiterea informatiilor clasificate, persoanele care au acces la astfel de informatii trebuie: sa fie atente la gestionarea informatiilor clasificate; sa respecte reglementarile cu privire la acest tip de informatii; sa nu mai dea dovada de o transparenta exagerata in cadrul unor activitatii de cooperare care favorizeaza accesul la date si documente secrete ce excedeaza clauzelor contractuale; sa capete experienta si sa nu mai dea dovada de atitudine de buna-credinta; documentele redactate trebuie sa fie clasificate cu atentie; reteaua de calculatoare din institutie pe care se proceseaza informatii clasificate trebuie sa fie independenta de restul sistemului informatic, adica ce se lucreaza pentru serviciu nu se implementeaza pe un calculator legat la internet sau la alta retea la care au acces si alti oameni si care pot folosi informatiile respective; informatii clasificate se transmit numai cu ajutorul aparatelor telefonice special destinate acestui tip de activitate; sa nu penetreze retelele de telecomunicatii, sa nu le intrerupa functionarea si sa nu distruga; sa nu intercepteze comunicatiile pentru ca acest lucru constituie amenintari la adresa sigurantei nationale.

Telecomunicatiile sunt transmisiile, emisiile sau receptiile de semne, semnalele, scrierile, imaginile, sunetele sau informatiile de orice natura prin fir, radio, sistem optic sau prin alte sisteme electromagnetice. In ziua de azi razboaiele nu se mai tin pe campul de lupta, ci la nivel informational, cine detine informatia castiga lupta. Informatiile pot fi stocate si in sistem electronic, pe calculator. Asupra calculatoarelor se poate actiona ilegal prin: frauda informatica, fals informatic, prejudicii aduse datelor sau programelor pentru calculator, sabotaj informatic, acces neautorizat, interceptarea neautorizata, reproducerea neautorizata de programe pentru calculator protejat, reproducerea neautorizata a unei topografii protejate, alterarea datelor si programelor pentru calculator, spionaj informatic, utilizarea neautorizata a unui calculator, utilizarea neautorizata a unui program pentru calculator protejat. Infractiunile contra confidentialitatii si integritatii datelor si sistemelor informatice cuprind: infractiunea de acces ilegal la un sistem informatic, infractiunea de interceptare ilegala a unei transmisii de date informatice, infractiunea de alterare a integritatii datelor informatice, infractiunea de perturbare a functionarii sistemelor informatice, infractiunea de a realiza operatiuni ilegale cu dispozitive sau programe informatice.

Atacurile asupra calculatoarelor se fac prin accesul liber, prin exploatarea slabiciunilor tehnologice, prin exploatarea bibliotecilor partajate, prin deturnarea protocolului de Control al Transporturilor, prin deturnarea sesiunii, prin inginerie sociala. Protejarea sistemelor informatice se face fie prin protectia fizica, se izoleaza tehnica de calcul intr-o incinta securizata, se asigura cu dispozitive mecanice cu cheie sau cifru metalic, se controleaza manual sursa de curent, se face prin protejarea logica cand se utilizeaza parole, coduri de acces sau criptare. In institutiile in care se vehiculeaza informatii clasificate in format electronic, angajatilor ar trebui sa li se interzica sa poarte la ei dischete, cd-uri, flash-uri proprietate personala.

In ceea ce priveste comunicatiile prin fibra optica trebuie sa ne asiguram ca respectivele cabluri nu sunt taiate, furate sau inlocuite de persoane straine pentru a preveni eventualele incidente. Retelele de telecomunicatii pot fi distruse prin incendiu, datorita infitratiilor de apa, datorita dezastrelor naturale, cutremure, inundatii, alunecarii de teren, prin pene de curent, prin accesul neautorizat, prin defectarea materialelor, datorita erorilor si omisiunilor umane si datorita starii negative de la locul de munca. Pentru prevenirea incendiilor trebuie sa existe planuri de stingere a incendiilor. Pentru prevenirea distrugerii retelelor prin infiltratii de apa trebuie verificate toate caloriferele si conductele cu apa. Materialele vechi care sunt intrebuintate la retele trebuie schimbate pentru a nu periclita informatiile detinute. Masurile de prevenire se iau pentru ca integritatea informatiilor clasificate detinute intr-o institutie sa nu fie afectate in nici un fel si astfel sa nu existe amenintari la adresa sigurantei nationale.

Instalarea, depanarea sau modificarea sistemelor de calcul se executanumai de personal abilitat. Echipamentele trebuie asigurate si sigilate de catre personal abilitat, pentru a preveni accesul neautorizat la componentele hardware. Pentru asigurarea datelor si functionarii de lunga durata a sistemelor de calcul trebuie luate masuri. Toate sistemele de calcul trebuie sa aiba instalat un produs software de monitorizare si control antivirus. Accesul la sistemul de operare, instalat pe fiecare sistem de calcul trebuie facut pe baza de parola, fiecare utilizator beneficiind de propria interfata si de propriile drepturi de acces. Documentele si suportii magnetici trebuie protejati impotriva accesului neautorizat, in functie de nivelul de clasificare. Componentele hardware si software care intra si ies din unitate trebuie monitorizate.

Masurile de protectie se iau tocmai pentru a preveni divulgarea, distrugerea, modificarea informatiilor pentru siguranta nationala si pentru a inpiedica accesul neautorizat al unor persoane la ele.

BIBLIOGRAFIE

- H.G. nr.585 din 13 iunie 2002-Hotararea pentru aprobarea Standardelor nationale de protectie a informatiilor clasificate in Romania;

- H.G. nr.353 din 15 aprilie 2002-Hotararea pentru aprobarea Normelor privind protectia informatiilor clasificate ale Organizatiei Tratatului Atlanticului de Nord in Romania;

- H.G. nr.781 din 5 august 2002-Hotarare privind protectia informatiilor secrete de serviciu;

- Legea nr.92 din 24 iulie 1996, privind organizarea si functionarea Serviciului de Telecomunicatii Speciale;

- H.G. nr.845 din 23 august 2002-Hotarare privind organizarea si functionarea Oficiului Registrului National al Informatiilor Secrete de Stat;

- Legea nr.182 din 12 aprilie 2002, privind protectia informatiilor clasificate;

- Doctrina Nationala a Informatiilor pentru Securitate, editata de Serviciul Roman de Informatii, 2004;

- Maxim Dobrinoiu, Infractiuni in domeniul informatic, Editura C.H.Beck, Bucuresti, 2006;