OMAI 1000/01.11.2005 privind redactarea, gestionarea documentelor documentelor neclasificate şi activitatea de secretariat în MAI Art.5 (1) Documentele intocmite (note raport, raspunsuri catre petenti, adrese de inaintare, note sinteza s.a.) trebuie sa cuprinda urmatoarele elemente: a. antetul antetul – Ministerul Ministerul Administra Administratiei tiei si Internbelo Internbelor, r, numele numele in clar al structur structurii, ii, emblema emblema ministerului pentru unitatile Aparatului Central sau, dupa caz, a inspectoratului general, directiei generale, agentiei, institutului etc.; b. numarul si data inregistrarii, caracterul documentelor (nesecret), nr.exemplar; c. destinatarul destinatarului ui – denumi denumirea rea instituti institutiei, ei, functia, functia, numele numele si prenumel prenumele; e; d. titlul titlul corespondent corespondentei ei – delimitar delimitarea ea genului genului de lucrare lucrare – dupa caz; e. formula formula de introduc introducere, ere, cu precizarea precizarea numarul numarului ui lucrarii lucrarii la care se face face referire acolo acolo unde unde este cazul; f. continutul continutul coresponden corespondentei tei – prezentarea prezentarea pe pe scurt, scurt, a problemei problemei tratate; tratate; g. form formul ulaa de inch inchei eiere ere;; h. semnatura semnatura – functia, functia, gradul, gradul, numele numele si prenumele prenumele persoan persoanei ei care care semneaza; semneaza; i. in partea partea de jos jos a paginii paginii se inscrie: inscrie: adresa, adresa, numaru numarull de telefon, telefon, numaru numarull defax, defax, adresa e-mail, e-mail, codul postal ale expeditorului. (2). Antetul nu se foloseste la corespondenta protocolara, pe invitatii sau felicitari. Art.6 (1) Cand documentele se semneaza de o singura persoana, datele privind functia, gradul, numele si prenumele acesteia se scriu sub text, in centrul paginii. (2) Cand documentele se semneaza de doua sau mai multe personae, functia, gradul, numele si prenumele conducatorului unitatii/persoanei cu functie mai mare se scriusub text, in partea stanga, iar ale celorlalti semnatari, in partea dreapta, in ordinea functiilor. (3) Cand documentele se emit in comun de doua sau mai multe unitati, denumirile acestora se scriu separate in antet, iar la sfarsit se semneaza decatre sefii unitatilor respective, de la stanga la dreapta, aplicandu-se stampilele corespunzatoare. Art.7 Documentele redactate la calculator vor avea pe ultima pagina mentiunea referitoare la calea de salvare in calculator si la autor (ex. C:\Documente\Instructiuni.doc\CM – 2 exemplare). Art.14 (1) In situatia in care se face o inregistrare gresita, se bareaza toate rubricile corespunzatoare respectivului numar, iar la rubrica “Unde s-a clasat lucrarea” se trece gradul, numele, prenumele si semnatura persoanei care a facut inregistrarea, precum si data. (2) Numarul respectiv nu se mai foloseste pentru a inregistra al document. Art.16 Evidenta registrelor de intrare-iesire a corespondentei ordinare, a condicilor de predare-primire a corespondentei ordinare, a borderourilor de expeditie a documentelor ordinare, a registrelor de evidenta a petitiilor, a registrelor de evidenta a persoanelor primate in audienta se tine in registrul unic de evidenta, conform anexei 4. Art.20 (2) Documentele intrate, precum si cele intocmite in cadrul structurii, se predau destinatarilor numai pe baza de semnatura in condica de predare-primire a corespondentei ordinare, al carei model este prezentat in anexa 6. Art.22 Documentele neclasificate se transporta si expediaza in plicuri lipite si stampilate, prin curieri proprii,posta civila sau posta speciala. Predarea-primirea documentelor se face pe baza de semnatura in condica de predare-primire a corespondentei ordinare sau in borderoul de expeditie a documentelor ordinare, al carui model este prezentat in anexa 7. Expedierea corespondentei urgente se face si prin alte mijloace (fax, telex, e-mail) Art.24 (1) Documentele neclasificate se claseaza anual in dosare, conform nomenclatoarelor arhivistice, efectuandu-se scaderea acestora in registrele de intre-iesire. Clasarea reprezinta trecerea documentului in circuitul de arhivare, fiind scos din circuitul activ de documente. (2) Persoanele care au in primire documente neclasificate raspund de pastrarealor pana in momentul predarii la arhiva.
OMAI 650/15.05.2005 privind organizarea şi administrarea fondului arhivistic al MAI Art.6 Toate documentele nesecrete, intrate, irsite sau intocmite pentru uz intern se inregistreaza obligatoriu in registrul de intrare-iesire (anexa 1). Art.7 (1) In vederea utilizarii, filele registrului de intrare-iesire se numeroteaza, iar pe coperta acestuia se noteaza: denumirea structurii (unitatii), anul inregistrarii, numerele extreme cuprinse in registru, data inceperii si incheierii, numeral filelor si termenul de pastrare. (2) La sfarsitul anului sau la incheierea unui volum al registrului, se certifica numerele de inregistrare si numarul filelor folosite. Art.11 (1) Documentele ce prives o lucrare luata in evidenta anterior se inregistreaza la numarul current si se conexeaza la prima lucrare, in rubrica “observatii” a registrului de intrare-iesire, notandu-se numarul de inregistrare al documentului la care s-a facut conexarea. (2) Documentele elaborate in cadrul structurii (unitatii) si expediate de catre aceasta se inregistreaza prin completarea coloanelor corespunzatoare din registrul de intrare-iesire. In cazul documentelor expediate ca raspuns, acestea vor primi numarul de inregistrare al documentului la care se raspunde. Art.12 Dupa rezolvarea lor, documentele se grupeaza annual in dosare, pe probleme si cu acelasi termen de pastrare. Art.19 (1) Documentele ce alcatuiesc un dosar se ordoneaza chronologic tinandu-se cont de data actelor de baza sau in cazuri speciale, dupa alte criterii (alphabetic, geographic). Cand in constituirea dosarului se aplica ordinea cronologica, actele mai vechi vor fi deasupra iar cele noi dedesubt. (2) Raspunsurile se aseaza imediat dupa actele de baza iar anexele se alatura actelor la care serefera. Art.20 Statele de plata a salariilor (soldelor) se grupeaza separat de actele justificative (ordine de plata, de personal, certificate de scoatere sau alocare la drepturi, baze de calcul etc.), pe structuri (unitati), iar in cadrul acestora, chronologic, pe luni, trimester sau ani dupa caz. Art.21 (1) Documentele de format mare, care prezinta importanta deosebita din punctual de vedere al valorii lor si care prin impaturire s-ar deteriora nu se constituie in dosare, ci se pastreaza in mape sau tuburi. (2) Atunci cand astfel de documente sunt insotite de corespondenta aceasta poate fi cusuta intr-un dosar, mentionandu-se pe fiecare act, locul unde se pastreaza documentele de baza, iar pe acestea se noteaza cota dosarului unde se afla corespondenta. Art.22 In cazul acelorasi genuri de documente, intocmite pe perioade de timp diferite si cu termene de pastrare diferite (planuri de munca, dari de seama, bilanturi lunare, trimestriale sau anuale) se constituie dosare separate, pentru fiecare termen in parte. Art.23 (1) la Constituirea dosarelor se indeparteaza filele nescrise sau dubletele iar pentru a preveni distrugerea documentelor prin oxidarea obiectelor metalice, la coaserea dosarelor se indeparteaza accesoriile metalice (ace, clame, agrafe) (2) Documentele ce constituie dosarul sunt legate in coperti de carton, in asa fel incat sa asigure posibilitatea citirii integrale a textului, datelor si rezolutiilor. (3) Dosarele trebuie sa contina maxim 300 de file, iar in cazul depasirii acestui numarul, se constituie mai multe volume ale aceluiasi dosar. (4) Dupa constituire, filele dosarelor se numeroteaza in coltul din dreapta sus cu reion negru. In cazul dosarelor compuse din mai multe volume, filele se numeroteaza separate, incepand cu 1 pentru fiecare volum.Copertele dosarului si fila de certificare nu se numeroteaza. Art.24 Documentele preconstituite (registrele de evidenta a documentelor, de intrare-iesire a corespondentei, condicile, carnetele de borderouri) care, potrivit normelor legale se incheie annual, nu se indosariaza. Art.25 Pe coperta dosarului (anexa 3) se inscriu, fara prescurtari urmatoarele elemente de cota: denumirea in clar a structurii (unitatii), denumirea compartimentului care a creat dosarul, numarul de dosar din inventar, indicativul din nomenclator si cuprinsul dosarului, datele de inceput si sfarsit, numarul filelor si al volumului (unde este cazul) precum si termenul de pastrare a documentelor.
Art.26 (1) La incheierea dosarului, capetele snurului se aplica in interior pe coperta spate, lipinduse peste ele o hartie de marcaj de siguranta. (2) Pe o fila nescrisa, adaugata la sfarsitul dosarului, sau pe prima pagina nescrisa a documentelor preconstituite, se trece subn semnatura in clar a persoanei care a intocmit dosarul, urmatoarea certificare: Prezentul dosar registru, condica etc. contine….. file (in cifre si in litere), dupa care se pune data (ziua, luna, anul) in care s-a certificate dosarul. (3) Pentru dosarele care contin documente importante sau sunt solicitate frecvent la studiu, se intocmesc opise. Art.28 (1) Inventarul intocmit de structura creatoare (anexa 4) cuprinde toate dosarele cu acelasi termen de pastrare, create in decursul unui an de catre un compartimentr de munca. Fiecare structura intocmeste atatea inventare cate termene de pastrare sunt prevazute in nomenclator, la compartimentul respective. (2) In cazul dosarelor formate din mai multe volume, fiecare volum se trece separate in invenatrul respective, cu numar distinct. (3) Registrele, condicile si alte documente preconstituite se trec in inventar dupa dosare. Dosarele neincheiate in anul respective sau cele care, din motive justificate se opresc la compartiemntul de munca, se inscriu in inventar pe anul in cvare au fost create, iar la rubrica observatii se face mentiunea urmeaza a fi predate. Ulterior in momentul predarii lor, acest lucru va fi mentioneat in inventar si in procesul verbal de predare primire. Art.29 (1) Inventarele se intocmesc in trei exemplare, pentru dosarele cu termen de pastrare temporar, si in patru exemplare pentru cele cu termen de pastrare permanent. (2) Inventarele se aproba de seful structurii sau comandantul unitatii. (3) Un exemplar din fiecare inventar se opreste la compartimentul care preda dosarele, iar restul exemplarelor se preda la depozitul de arhiva impreuna cu documentele. (4) Inventarele ramase la compartiment se pastreaza separate si vor ramane permanent la structura care a predate arhiva. Art.30 Dosarele care cuprind documente din mai multi ani se inventariaza la anul de inceput, mentionandu-se in inventar datele extreme, la rubrica respective. Art.31 La rubrica Continutul dosarului, se precizeaza genurile documentelor (corespondenta, sinteze, rapoarte, ordine, dispozitii etc.) emitentul, destinatarul si problema sau problemele continute. Art.32 Documentele de mobilizare se predau la arhiva dupa doi ani de la iesirea din vigoare a planului de mobilizare la care se refera. Art.33 Dosarele de personal, fisele de evidenta, dosarele de pensii, fisele medicale si altele asemenea se predau la arhiva pe baza de inventare constituite alphabetic, mentionandu-se si alte elemente de identificare (data nmasterii, a incetarii activitatii, numarul deciziei de pensionare etc.). Art.93 Planul esre reprezentarea grafica prin desen ethnic a unui teren, a unei constructii, instalatii etc. la o scara de pana la 1:20000. Art.95 Planurile se iunventariaza in ordinea intrarii lor (anexa 14) tinandu-se cont de urmatoarele: a. numarul numarul de inventar inventar se scrie scrie pe verso, verso, in coltul coltul de sus, pe planurile planurile de ansambl ansamblu u pastrate pastrate sul, iar iar pe cele pastrate desfasurat sau pliate numarul de inventar se scrie in coltul din dreapta jos; b. in rubrica a doua se scrie cu cifre romane, numarul total al planurilor de detaliu si partiale, urmand ca pe acestea sa se scrie numarul de inventar al planului de ansamblu, urmat de cifra romana corespunzatoare(ex. 1/I; 1/II etc.) c. la rubrica rubrica tehnica tehnica de executi executiee se mentionea mentioneaza za daca acestea acestea sunt sunt alb-negru alb-negru sau sau color; color; d. la rubrica rubrica observati observatiii se mentionea mentioneaza za cand este este cazul, cazul, numarul numarul exemplar exemplarelor. elor. Art.98 Harta este reprezentarea grafica in plan orizontal a suprafetei terestre (totale sau partiala), generalizata si micsorata conform unei anumite scari de proportii. Art.100 (1) Hartile se predau la Serviciul Arhiva, pe masura ce sunt scoase din uz. (2) Hartile se iau in evidenta in ordinea preluarii in inventar (anexa 15) tinandu-se cont de urmatoarele: a. hartile existente in dosare constituite vor fi pastrate ca parte componenta a acestora, inventariindu-se o date cu dosarele; atlasele vor fi considerate dosare constituite si se vor inventaria ca atare, in inventarul hartilor mentionandu-se si numarul de harti cuprinse.
OMAI 811/23.09.2005 privind efectuarea controalelor, constatarea contravenţiilor şi aplicarea sancţiunilor prevăzute de lege în domeniul protecţiei informaţiilor clasificate în MAI Art.5(1) Controalele de fond urmaresc verificarea intregului system organizatoric, structural si functional de protectie a informatiilor clasificate. Art.8 (1) Controalele tematice vizeaza domenii strict determinate ale activitatiide protectie a informatiilor clasificate stabilite anterior declansarii actiunii de control. (2) Controalele tematice urmaresc verificarea, analiza, indrumarea si sprijinul anumitor domenii ale activitatii de protectioe a informatiilor clasificate. La incheierea unor astfel de controale nu se acorda calificative, ci se analizeaza rezultatele pe baza carora se stabilesc masurile ce se impugn a fi luate, diferentiat, de la un caz la altul. Art.9(1) Controalele in situatii de urgenta auca scop verificarea unor aspecte punctuale, stabilite ca urmare a identificarii unui risc sau incident de securitate. Cap.III – Obiectivele controalelor asupra modului de aplicare a masurilor de protectie a informatiilor clasificate Art.,10 Obiectivele controalelor asupra modului de aplicare a masurilor de protectie a informatiilor clasificate in MAI se diferentiaza in functie de natura protectiei evaluate. Art.11 Obiectivele controlului pe linia protectiei fizice sunt: a. delimi delimitar tarea ea si marc marcarea area zone zonelor lor de secur securita itate te b. sistemul de control al accesului c. masurile masurile de protectie protectie (grilaj (grilajee la ferestre, ferestre, incuietori incuietori la usi usi etc.) etc.) d. sistemu sistemull de de aver avertiza tizare re si si alar alarmare mare e. siste sistemu mull de de paz pazaa si si apa apara rare re f. planul planul de evacu evacuare are a docu documen mentel telor or in caz de de urgent urgentaa g. modul modul de actiune actiune in caz de urgenta urgenta (masuri (masuri de evacuare-d evacuare-distrug istrugere ere a documente documentelor). lor). Art.12 Obiectivele controlului pe linia protectiei prin masuri procedurale sunt: a. stabilirea stabilirea normelor normelor interne interne de lucru lucru si de ordine ordine interioa interioara ra destinate destinate protectiei protectiei informat informatiilor iilor clasificate potrivit actelor normative in vigoare b. modul de intocmire si actualizare a Programului de prevenire a scurgerii de informatii clasificate c. reguli reguli de intocmire, intocmire, procesare procesare,, evidenta, evidenta, manipulare manipulare,, accesare, accesare, multiplicare, multiplicare, pastrare pastrare si arhivar arhivaree a informatiilor si documentelor clasificate pe support de hartie d. reguli reguli de acces, atat pentru pentru personalul personalul propriu propriu cat cat si pentru persoane persoanele le din afara instituti institutiei, ei, inclusive pentru straini sau reprezentanti mass-media e. modul modul de raportare raportare,, investigare investigare si evidenta evidenta a incalcaril incalcarilor or masurilor masurilor de securitate securitate f. responsabilit responsabilitatile atile privind privind verificarea verificarea sistemul sistemului ui de protectie protectie a obiectivul obiectivului ui g. modalitatile modalitatile de realizare realizare a controalelo controalelorr asupra masurilor masurilor de protectie protectie a informatiil informatiilor or clasificate clasificate aplicate in cadrul structurii/institutiei/unitatii. Art.13 Obiectivele controlului pe linia protectiei personalului sunt: a. verificarea verificarea modului modului de acces acces si distribuir distribuiree a informatiil informatiilor or clasificate clasificate (pe (pe baza de de avizare/autorizare cu respectarea principiului necesitatii de a cunoaste) b. modalitatile de realizare a pregatirii personalului (planificarea activitatilor de pregatire, derularea unor activitati specifice, completarea fiselor de pregatire, verificarea modului de insusire a prevederilor legale pe linia protectiei informatiilor clasificate). Art.16 (1) Prin exceptia de la prevederile art.11-15 controlul asupra modului de aplicare a masurilor de protectie a informatiilor in sistemul informatic si de comunicatii – SIC – vizeaza urmatoarele obiective: a. masu masuri rile le de de secu securi rita tate te b. identificarea, autenticitatea si accesul acces ul c. securita securitatea tea accesu accesului lui on-l on-line ine la la inform informati atiii d. manage managemen mentul tul contu conturil rilor or de util utilizat izator or e. suprav supravegh eghere ereaa secu securita ritatii tii sistemu sistemului lui f. atribuirea atribuirea corecta corecta a clasei clasei sau nivelului nivelului de secretizar secretizaree a inform informatiilo atiilor r
g. gest gestio iona narea rea inc incid iden ente telo lor r h. protect protectie ie func functii tiilor lor de securit securitate ate i. manage managemen mentul tul echipa echipamen mentelo telorr si document documentelo elorr criptogra criptografice fice j. protectia in cazul conectarii la retele publice k. masuri masurile le de preve prevenir niree a efectelo efectelorr dezastrel dezastrelor or l. modul de de op operare m. reteau reteauaa de calcu calculat latoare oare n. pregat pregatire ireaa si introd introduce ucerea rea informa informatii tiilor lor in system system o. proc procesa esarea rea inf infor orma mati tiil ilor or p. gestionarea mediilor de stocare a informatiilor q. gestiu gestiunea nea aplic aplicatii atiilor lor si a docum document entatii atiilor lor r. intre intreti tine nerea rea si repa repara rarea rea sist sistem emul ului ui s. apli aplica cati tiil ilee fol folos osit itee Cap. V – Constatarea contraventiilor contraventiilor si aplicarea sanctiunilor Art.18 Constatarea contraventiilor si aplicarea sanctiunilor se fac, in conditiile legii, de catre persoanele desemnate potrivit prevederilor art.2, denumite in continuare agenti constatatori. Art.19 (1) Constatarea contraventiilor reprezinta prima faza procedurala privind angajarea raspunderii contraventionale si presupune: a. identificarea identificarea normei normei juridice juridice inculcate inculcate precum si a celei celei sanctiona sanctionatoare; toare; b. stabilirea imprejurarilor incare s-a comis fapta si a pers oanei vinovate c. formar formarea ea convin convinger gerii ii agentu agentului lui consta constatat tator or d. tragerea tragerea la raspundere raspundere a contravenien contravenientului tului pentru pentru fapta comisa comisa prin aplicarea aplicarea sanctiuni sanctiuniii prevazuta prevazuta de lege. (2) Daca agentul constatator apreciaza ca fapta a fost savarsita in astfel de conditii incat, potrivit legii penale, constituie infractiune, sesizeaza organul de urmarire penala competent. Art.20 (1) Agentul constatator poate lua cunostinta despre savarsirea unei contraventii fie in mod direct, fie in urma unei sesizari. (2) Dupa luarea la cunostinta despre o posibila incalcare a dispozitiilor legale, agentul constatator procedeaza la constatarea acestia stabilind in prealabil daca fapta respective constituie contraventie sau infractiune. (3) Daca fapta constituie contraventie, agentul constatator desfasoara urmatoarele activitati: a. verifica daca este competent competent sa constate sis a sanctioneze fapta in cauza b. stabileste persoana vinovata (identifica contravenientul) c. explica acestuia fapta savarsita, pericolul social al acesteia, sanctiunea ce I se poate apliuca si modalitatea de plata a amenzii d. stabileste existenta sau inexistenta vreuneia vreuneia dintre cauzele care inlatura inlatura caracterul contraventional al faptei ori a raspunderii pentru fapta savarsita e. verifica daca se impune aplicarea in acelasi timp si a sanctiunii complementare constand in confiscarea, in conditiile legii, a bunurilor destinate, folosite sau rezultate din contraventie f. stabileste si descrie fapta si imprejurarile in care aceasta a fost savarsita g. incadreaza juridic fapta h. completeaza formularul procesului verbal de constatare a contraventiei. Art.21 (1) Pentru a avea forta probanta procesul verbal de constatare a contraventiilor trebuie completat cu respectarea tuturor regulilor de fond si forma prevazute de lege. (2) Modelul procesului verbal este prevazut in anexa 3. Art.22 Dispozitiile reglementarilor in vigoare privind regimul juridic al contraventiilor se aplica in mod corespunzator. Art.23. Faptele care, conform legii, constituie infractiuni se cerceteaza si se sanctioneaza potrivit dispozitiilor legale in vigoare.
OMAI 810/23.09.2005 – pentru aprobarea Normelor de aplicare a standardelor nationale de protectie a informatiilor clasificate in sistemele informatice si de comunicatii – INFOSEC – in institutiile MAI Art.2 (1) In acceptiunea prezentelor norme, prin protectia surselor generatoare de informatii se intelege protectia informatiilor in Sistemele Informatice si de Comunicatii INFOSEC. (2) Prin Sistem Informatic side Comunicatii, denumnit in continuare SIC, se intelege atat Sistem de Prelucrare a Datelor – SPAD izolat sau conectat la alte SPAD, cat si Reteaua de Transmisii de Date – RTD, in functie de situatie. Art.3 (1) Politica INFOSEC se aplica tuturor SIC din MAI indifferent daca informatiile stocate, procesate, transmise sunt clasificate sau neclasificate. neclasific ate. (2) Pentru SIC care stocheaza, proceseaza sau transmit informatii NATO sau UE clasificate, politica INFOSEC se aplica in conformitate cu nivelul de clasificare a informatiilor echivalente in legislatia nationala, daca nu s-a dispus astfel prin acorduri/conventii, protocoale la care Romania este parte. Art.4 Protectia informatiilor in SIC este parte integranta a securitatii generale, iar pentru realizarea acesteia este necesara aplicarea la conditiile specifice atat a unor masurei cucaracter general – organizarea securitatii, masuri de protectie fizica, de protectie a personalului, de protectie a documentelor, de protectie juridical, procedurale si de securitate industriala – cat si a unor masuri specifice SIC. Particularizarea masurilor de securitate este impusa de modul specific in care informatiile sunt accesate si vehiculate pe timpul procesarii. Art.5 Prevederile prezentelor norme se aplica la nivelul fiecarei structuri si institutii din MAI si reprezinta baza legala pentru asigurarea confidentialitatii, integritatii, autenticitatii si disponibilitatii informatiilor stocate, procesate sau transmise in SIC. Art.7 Toate SIC se acrediteaza inainte de intrarea in functiune. Anexa 1 – Glosar Termenii specifici, folositi in acest document, cu aplicabilitate in domeniul INFOSEC, se definesc dupa cum urmeaza: Acreditare – procesul de acordare a autorizarii si aprobarii date unui SIC de a prelucra informatii clasificate, in spatial/mediul operational propriu. Active X – exte un instrument de lucru utilizat in programarea controalelor necesare unei aplicatii in vederea interactiunii cu alte aplicatii. Este mult utilizat in crearea si prezentarea paginilor Web pe internet. Amenintare – pericol potential de compromitere accidentala sau deliberate a securitatii unui SIC prin pierderea confidentialitatii, a integritatii sau disponibilitatii informatiilor. Autentificare – masura de securitate destinata pentru a stabili veridicitatea unei transmisii, mesaj sau a unei surse; mijloace de verificare daca o persoana sau antitate este autorizata sa primeasca o anumita categorie de informatii. Autorizatie de acces la informatii clasificate- document eliberat cu avizul structurii abilitate,prin care se confirma ca, in exercitarea atributiilor profesionale de un anumit nivel de secretizare, potrivit principiului necesitatii de a cunoaste. Browser Web – produs software pentru a vizualiza si interactiona cu un document Web. Certificare – in urma procesului de evaluare, se emite un document de constatare, la care se ataseaza unul de analiza, in care sunt prezentate modul in care a decurs evaluarea si rezultatele acesteia. In documentul de constatare se mentioneaza masura incare SIC verificat satisface cerintele de securitate sau gradul in care produsul de securitate destinbat protectiei acestora, raspunde exigentelor in materie de securitate. Certificat de securitate – document eliberat persoanei cu atributii nemijlocite in domeniul protectiei informatiilor clasificate, care atesta verificarea si acreditareade acreditarea de a detine, de a avea acces si de a lucra cu informatiile clasificate. Cookie – informatie stocata intr-un calculator de catre un site Web pentru a identifica un utilizator in vederea viitorelor conectari. Compromitere – situatia in care se pierde confidentialitatea, integritatea sau disponibilitatea informatiilor clasioficate sau integritatea si disponibilitatea serviciilor si resurselor SIC din cauza unei brese de securitate sau a unei actiuni subversive (spionaj, act terrorist, sabotaj sau furt). Aceasta include
pierderea sau dezvaluirea informatiilor unorpersoane neautorizate, modificarea neautorizata, distrugerea intr-un mod neautorizat si acestora sau invalidarea accesului autorizat (denial of service). Confidentialitate – proprietatea informatiei de a nu fi disponibila sau dezvaluita persoanelor sau entitatilor neautorizate. Controlul accesului – procesul de limitare a accesului utilizatorilor la resursele unui system, programe, procese autorizate sau alte sisteme dintr-o retea. Disponibilitate – proprietatea informatiei de a fi accesibila si folosita la cererea persoanelor sau entitatilor autorizate. Document clasificat – orice support material care contine informatii clasificate, in original sau copie, precum: - hartie – documen documente te olografe, olografe, dactilografia dactilografiate te sau tiparite, tiparite, schite, schite, harti, planes, planes, fotografi fotografii, i, desene, indigou, listing - benzi benzi magnet magnetice, ice, casete casete audioaudio-vid video, eo, microf microfilm ilmee - medii de stocare stocare a informat informatiilor iilor in sistemele sistemele informat informatice ice – dischete, dischete, compact-disc compact-discuri, uri, hard-discuri, memorii PROM si EPROM, riboane - dispozitive dispozitive de procesar procesaree portabile portabile – agende agende electronice, electronice, laptop-uri laptop-uri la care care hard-discu hard-discull este folosit pentru stocarea informatiilor. Evaluare- consta in examinarea detaliata – din punct de vedere ethnic si functional – a aspectelor de securitate ale SIC sau a produselor informatice de securitate, de catre o autoritate abilitata in acest sens. Prin procesul de evaluare se verifica prezenta functiilor de securitate cerute, absenta efectelor secundare compromitatoare care ar putea decurge din implementarea facilitatilor de securitate si se estimeaza functionalitatea globala a sistemului de securitate. Prin evaluare se apreciaza in ce masura cerintele de securitate specifice prentru un SIC sunt satisfacute. De asemenea, prin evaluarea performantelor de securitate ale produsului informatic de securitate se stabileste nivelul “de incredere” al SIC sau al produsului informatic de securitate implementat. Evaluare riscuri –procesul care se desfasoara periodic pentru identificarea riscurilor de securitate, de determinare a consecintelor posibile si de stabilire a zonelor in care trebuie sa se aplice contramasuri corespunzatoare. Facilitati de securitate specifice unui SIC – prin facilitate de securitate specifice unui SIC se intelege: functii si caracteristici hardware/firmware/software; proceduri/moduri de operare; proceduri si mijloace de evidenta; controlul accesului; definirea zonei de operare a SIC; definirea zonbei de operare a posturilor de lucru/a terminalelor la distanta; restrictii impuse prin politica de managemtn; structuri desemnate pentru protectia fizica si de personal; mijloace de control ale comunicatiilor. Toate acestea sunt necesare asigurarii unui nivel acceptabil de protectie pentru informatiile clasificate, care urmeaza a fi stocate, procesate sau transmise intr-un SIC. Firewall – element de protectie compus din echipamente si/sau programe care asigura atat la intrare cat si la iesire, o bariera de securitate intre o retea considerate “de incredere” (interna) si orice alta retea care nu este de incredere (externa). Aceste elemente sunt realizate din doua tipuri de produse, cele pentru filtrarea pachetelor si aplicatii gateway. Firmware – un software instalat intr-un dispozitiv hardware si care permite citirea si executarea acelui software, darn u permite modificarea acestuia, de exemplu stergerea datelor de catre utilizator. Fisiere jurnal – prezentarea independenta a monitorizarii si examinarii inregistrarilor si a activitatilor pentru a evalua calitatea sistemului de control, pentru a asigura conformitatea cu politicile stabilite si procedurile operationale si recomanda schimbarile necesare in control, politica sau proceduri. Gateway - - interfata care asigura compatibilitatea intre retele care folosesc viteze sau coduri de transmisie, protocoale sau masuri de securitate diferite. Informatie – orice notiune care poate fi comunicata in orice forma. Informatie in format electronic – reprezinta texte, date, imagini, sunete, inregistrate pe suporturi magnetice, optice, electrice sau tranmise sub forma de curenti, tensiuni sau camp electromagnetic, in atmosfera sau in retele de comunicatii. Informatie cu destinatie speciala – marcarea informatiilor cu destinatie speciala se aplica, in mod obisnuit, informatiilor clasificate care necesita o distributie limitata si o manipulare speciala, in plus fata de caracterul atribuit, prin clasificarea de securitate.
Integritate – proprietatea informatiei de a nu fi modificata sau distrusa in mod neautorizat. Internet – conceptual este o retea a retelelor. Aceasta include un numar mare de retele locale care apartin unor institutii comerciale, academice sau guvernamentale interconectate prin intermediul protocolului TCP/IP. Nucleul central care guverneaza aceasta retea mondiala se numeste Consiliul Activitatilor Internet (Internet Activities Board – IAB). Intranet – este o retea private a unei organizatii bazata pe protocoale de comunicatie Internet, destinata partajarii resurselor si informatiilor intre utilizatorii acesteia. Java – limbaj de programare complet orientat pe obiecte, independent de platforma. Managementul riscurilor de securitate – procesul continuu de identificare, control si minimalizare a efectelor evenimentelor care ar putea afecta resursele SIC. Managemtnul riscurilor de securitate este un process care urmareste evolutiile rapide ale tehnologiei si mutatiile factorilor de risc. Masuri Tempest – un complex de activitati si masuri de testare si de realizare a securitatii impotriva scurgerii informatiilor, prin intermediul emisiilor electromagnetice parasite. Echipamentele Tempest incorporeaza tehnologii de fabricatie si elemente care elimina sau atenueaza radiatiile compromitatoare. Mecanismul de control al accesului – elementele hardware si software, procedurile de operare, procedurile de administrare si/sau combinatia acestora in scopul detectarii si/sau prevenirii acces sului neautorizat al persoanelor sau entitatilor la resursele SIC. Ne-repudiere – presupune urmatoarele aspecte: - verifi verificare careaa origini originiii care permit permitee receptor receptorulu uluii sa poata poata dovedi dovedi furniz furnizare areaa datelor, datelor, inpiedicandu-se astfel orice incercare a unui emitator de a nu mai recunoaste transmiterea datelor sau continutul mesajelor; - verificarea verificarea livrari livrarii, i, care permite permite emitator emitatorului ului sa sa fie convins convins sis sis a poata proba receptia receptia mesajelor trimise de el, impiedicandu-se astfel orice incercare a unui receptor de a nu mai recunoaste primirea datelor sau continutul mesajelor. Parola – un cuvant protejat sau un sir de caractere care identifica sau autentifica un utilizator, o resursa specifica sau un tip de acces. Politica Infosec - ansamblul prevederilor prevederilor legale, reglementarilor, masurilor, procedurilor procedurilor si structurilor destinate protectiei informatiilor clasificate care sunt stocate, procesate sau transmise prin intermediul Sistemelor Informatice si de Comunicatii – SIC, sau al altor sisteme electronice, impotriva amenintarilor si a oricaror actiuni care pot adduce atingere confidentialitatii, integritatioi, disponibilitatii, autenticitatii si nerepudierii informatiilor clasificate, precum si functionarii SIC, indifferent daca acestea apar accidental sau intentionat. Principiul necesitatii de a cunoaste (need-to-know) – principiul conform caruia accesul la informatii clasificate se acorda in mod individual numai persoanelor care, pentru indeplinirea indatoririlor de serviciu, trebuie sa lucreze cu astfel de informatii sau sa aiba acces la acestea. Privilegii “root” – privilegii care apartin radacinii sistemului de fisiere. Proceduri “back-up” – copii create pentru refacerea fisierelor de date si a bibiliotecilor de programe, precum si pentru repornirea sau inlocuiorea echipamentelor unui SIC in urma urma aparitiei unei functionaru defectuoase sau a unui calamitati. Produs informatic de securitate – element de securitate care se incorporeaza intr-un SIC si care serveste la sporirea sau asigurarea confidentialitatii, integritatii sau disponibilitatii informatiilor. Protectia fizica – ansamblul activitatilor de paza, securitate si aparare, prin masuri si dispozitive de control fizic si prin mijloace tehnice a informatiilor clasificate. Protectia personalului – ansamblul activitatilor privind selectionarea, verificarea, avizarea si autorizarea accesului la informatiile secrete de stat, revalidarea, controlul si instruirea personalului, retragerea certificatului de securitate/autorizatiei de acces la informatii clasificate. Protocolul punct-la-punct – un protocol de transport la nivel de retea care lucreaza pe conexiuni de retea punct-la-punct, cum ar fi liniile seriale sau de modemuri. Proxy server – un serfver care intermediaza comunicatiile intre o statie de utilizator si o retea, asigurandu-se servicii de retea, controlul administrative si elemente de securitate. Regula celor doi (two men rule) – reprezinta obligativitatea lucrului in comun a cel putin doua personae pe timpul desfasurarii unei activitati specifice. Rhost – serviciul TCP/IP care utilizeaza pentru rularea comenzilor pe calculatoare de la distanta.
Risc de securitate – posibilitatea exploatarii unei vulnerabilitati a unui SIC. Securitatea SIC – aplicarea procedurilor si masurilor de securitate in SIC cu scopul de a preveni sau impiedica extragerea, modificarea sau distrugerea informatiilor clasificate stocate, procesate, tranmsmise prin intermediul acestora – prin interceptare, alterare, distrugere, accesare neautorizata cu mijloace electronice, precum si invalidarea de servicii sau functii, prin mijloace specifice. Asigurarea securitatii SIC presupune aplicarea unui ansamblu de masuri organizatorice, Compusec, Comsec, fizice, la nivel de personal si de securitate a documentelor. Securitatea calculatoarelor – Compusec – consta in aplicarea – la nivel de calculator – a masurilor de securitate hardware, software si firmware, pentru a preveni divulgarea, utilizarea, modificarea sau stergerea neautorizata a informatiilor sau invalidarea neautorizata a unor functii. Securitatea comunicatiilor – Comsec – reprezinta aplicarea masurilor pentru protejarea mesajelor vehiculate prin sistemul de comunicatii, care pot fi interceptate, studiate, analizate si care, prin reconstituire pot conduce la cunoasterea informatiilor clasificate. Comsec reprezinta un set complex de masuri si proceduri, incluzand: securitatea criptografica; securitatea transmisiilor – Transec ; securitatea radiatiilor electromagnetice compromitatoare – Tempest. Securitatea transmisiilor – Transec – componenta de securitate a comunicatiilor care contine toate masurile mai putin cele de protectie fizica, destinate pentru protejarea transmisiilor impotriva interceptarii si exploatarii neautorizate prin mijloace, altele decatcele de criptanaliza criptografica. Shell – comanda MS-DOS pentru lucru cu alte subsisteme Windows NT. SNMP – protocolul simplu de management de retea. Script – lista de comenzi intr-un limbaj de programare de nivel inalt. Streaming- o tehnica de transfer de date din internet care permite utilizatorului sa redea fisiere audio audio si si vide video o fara fara durate durate de timp timp limitat limitate. e. Surs Sursaa de de infor informat matii ii impa imparte rte inform informatia atia in pachet pachetee mici mici transmitandu-le prin retea catre utilizator, care poate accesa continutul in timp ce este receptionat. Sistem informatic si de comunicatii – SIC – ansamblu de elemente interdependente in care sunt incluse echipamente de calcul produse software de baza si applicative, metode, procedee si, daca este cazul, personal, organizate astfel incat sa asigure indeplinirea functiilor de stocare, procesare sau transmitere a informatiilor in format electronic. Este alcatuit din cel putin o statie de lucru – PC, sau poate fi organizat in retele locale de dimensiuni mici sau in retele complexe (Lan. Wan etc.) incluzand sistemele de comunicatii aferente. Sisteme de comunicatii – SC – reprezinta ansamblu de elemente interdependente in care se inclus echipamente, programe si dispozitive de comunicatie, metode si proceduri pentru transmisie si receptie de date si controlul retelei, precum si, daca este cazul, personalul aferent. SIC independente – sisteme care nu sunt interconactate la alte sisteme sau retele. Majoritatea sistemelor independente sunt calkculatoare cu utilizator unic sau sisteme cu mai multi utilizatori, cum ar fi calculatoarele folosite la procesarea de texte, care nu au conexiunile externe. Sistem de operare – reprezinta o colectie integrate de rutine de serviciu pentru supravegherea secventializarii si prelucrarii unor programe de catre un calculator. Sistemul de operare controleaza alocarea resurselor catre utilizatori si programele lor si joaca un rol central in asigurarea operarii in siguranta a unui calculator. Sistemele de operare poit executa operatii de depanare-devirusare, inputoutput, contabilizare/evidenta alocare resurse, compilare, asignare a zonelor de memnorie si alte functii de operare specifice, sinonime cu programul de monitorizare, executie, control si de supraveghere. Software nociv – un cod ascuns in sistem cu scopul de a provoca disfunctii acestora, de a sustrage informatii si de a distruge fisiere. Telnet – serviciul de conectare la distanta cu alte calculatoare inlinie de comanda. Trusted Computing Base (TCB)- totalitatea mecanismelor de protectie in cadrul sistemului informatic – hardware, firmware si software – care se pot aplica pentru impunerea unei politici de securitate. TCB consta in una sau mai multe componente de securitate care impreuna pot impune o politica de securitate unitara. URL (Uniform Rescource Locator) – reprezinta adresa de internet/intranet unde poate fi localizata o anumita resursa. Vulnerabilitate – o slabiciune sau lipsa de control de natura tehnica, procedurala sau operationala, care ar putea fi speculate in scopuri ilicite.
Virus de calculator – un tip de software nociv care are capacitatea de a se multiplica si de a infecta programe si fisiere. Este doar un exemplu din multiplele forme de software nociv care poate actiona rapid si distructiv, provocand prejudicii foarte mari. Alte forme de software nociv include: bombele logice, calul Troian, viermii de retea. Zona SIC – reprezinta o zona de lucru incare se gasesc si opereaza unul sau mai multe calculatoare, unitati periferice locale si de stocare, mijloace de control si echipamente specifice de interconactare si de comunicatii. Zona terminal/Statie de lucru la distanta- reprezinta o zona, separate de zona SIC, in care se gasesc si functioneaza: echipamente periferice locale sau terminale associate echipamentului de calcul central; statii de lucru la distanta; echipamente de comunicatii. Spad (Sistem de Prelucrare Automata a Datelor) – se intelege un ansamblu de elemente interdependente – in care se include: echipamentele de calcul, produsele software de baza si applicative, metodele, procedeele si daca este cazul personalul – organizate astfel incat sa asigure indeplinirea functiilor de stocare si prelucrare automata a informatiilor in forma electronica. RTD (retea de Transmisii de Date) – este un ansamblu de elemente interdependente in care se include: dispozitive si echipamentye de comunicatie, tehnica de calcul hardware si software, metode si proceduri pentru transmisie/receptie date, precum si pentru controlul retelei. Daca este cazul, este inclus si personalul afferent. Toate acestea suntr organizate astfel incat sa asigure indeplinirea functiilor de teletransmisie a informatiilor in forma electrinica intre doua sau mai multe SPAD (SIC), sau sa permita interconectarea cu alte RTD-uri. RTD poate utilize serviciile unui singur system de comunicatii sau ale mai multor sisteme de comunicatii; mai multe RTD pot utilize serviciile unuia si acelasi system de comunicatii. Lista cu acronimele utilizate AAS – Autoritatea deAcreditare de Securitate AAIAS- Autoritatea Administratiei si Internelor de Acreditare de Securitate AAISIC – Autoritatea Administratiei si Internelor de Securitate pentru Informatica si Comunicatii AAIPC – Autoritatea Administratiei si Internelor de Protectie Criptografica CSTIC – Componenta de Securitate pentru Tehnologia Informatiei si Comunicatiilor CAS- Comitetul de Acreditare de Securitate CSC – Cerintele de Securitate Comune CSS – Cerintele de Securitate Specifice CSSI – Cenrintele de Securitate Specifice pentru Protectia Informatiilor in format electronic intr-un SIC COMPUSEC – Securitatea Calculatoarelor COMSEC – Securitatea Comunicatiilor DCS – Documentatia cu Cerintele de Securitate EMSEC – Securitatea Emisiilor MSG – Mediul de Securitate Globala MSE- Mediul de Securitate Electronica ORNISS – Oficiul Registrului National al Informatiilor Secrete de Stat PrOpSec – Procedurile Operationale de Securitate SIC – Sistem Informatic si de Comunicatii TRANSEC – Securitatea Transmisiilor. Art.13 (1) In structurile si instutitiile MAI, in care functioneaza SIC, ce stocheaza, proceseaza sau transmit informatii in format electronic, se infiinteaza Componenta deSecuritate pentru Tehnologia Informatiei si Comunicatiilor, denumita in continuare CSTIC. (2) CSTIC functioneaza incadrul structurii de securitate. (3) Pentru institutiile MAI in care functioneaza mai multe SIC interconectate, responsabilitatea interconexiunii este a sefilor CSTIC implicate. Art.14 CSTIC isi exercita atributiile in subdomeniile: a. securitatea securitatea calculatoarelo calculatoarelor, r, denumi denumitt in continuare continuare COMPUSEC COMPUSEC b. securitatea comunicatiilor, denumit in continuare COMSEC. Art.15 Daca volumul de activitate este redus si daca cerintele de securitate permit, atributiile CSTIC pot fi indeplinite de catre seful CSTIC.
Art.16 (1) Pentru COMPUSEC in vederea indeplinirii atributiilor functionale, se numeste urmatorul personal astfel: a. pentru pentru securitate securitate SIC : administ administrator rator de securitat securitatee al SIC, administ administrator rator de securitat securitatee in zona terminalelor isolate b. pentru administrarea SIC: administrator de system/retea, administrator WEB, administrator de baze de date (2) Pentru COMSEC in vederea indeplinirii atributiilor functionale, se numeste urmatorul personal astfel: a. pentru pentru securitetea securitetea transmisiilo transmisiilor: r: administrato administratorr TRANSE TRANSEC C b. pentru securitatea emisiilor: administrator EMSEC c. pentru pentru securitatea securitatea echipamente echipamentelor lor criptograf criptografice: ice: administrato administratorr cripto sau sau custodele custodele cripto. cripto. Sectiunea 2 – Responsabilitati de securitate Art.23 Seful structurii de securitate in domeniul Infosec, indeplineste urmatoarele atributii principale: a. este responsabi responsabill pentru implem implementarea entarea si asigurar asigurarea ea masurilor masurilor de securitat securitate, e, conform conform normelor normelor in vigoare; b. pune la dispozitia sefului CSTIC lista cu ceritificatele de securitate/autorizatiil e de acces la informatii clasificate detinute de personalul MAI c. monitorizea monitorizeaza za echipamen echipamentele tele care care intra/ies intra/ies din zonele zonele de securitate. securitate. Art.24 CSTIC relationeaza cu AAIA, AAISIC, AAIPC in situatiile in care o structura/institutie din cadrul MAI: a. planifica planifica dezvoltare dezvoltareaa sau achizitia achizitia unui unui SIC care stocheaz stocheaza, a, proceseaza proceseaza sau transmit transmit informa informatii tii clasificate b. propune schimbari configuratiei de system existente c. prop propun unee cone conect ctar area ea cu un un alt alt SIC SIC d. propune propune schimba schimbari ri ale modului modului de de operare operare protejat protejataa al SIC e. propune propune modificare modificareaa sau inlocui inlocuirea rea software software pentru pentru optimiz optimizarea area securitatii securitatii SIC SIC f. initiaza initiaza proceduri proceduri de de modificare modificare a clasei sau nivelului nivelului de secretizare secretizare ale SIC SIC care au au fost deja deja acreditate g. planifica planifica sau propune propune desfasurare desfasurareaa oricarei alte alte activitati activitati in scopul imbuna imbunatatirii tatirii securitatii securitatii SIC SIC care au fost deja acreditate. Art.25 CSTIC isi exercita atributiile pe intregul ciclu de viata al SIC incepand cu proiectarea, continuand cu elaborarea specificatiilor, testarea instalarii, acreditarea, testarea periodica in vederea reacreditarii, exploatarea operationala, modificarea si incheind cu scoaterea din uz a acestora. Art.26 Seful CSTIC se subordoneaza sefului structurii de securitate si indeplineste urmatoarele atributii principale: a. solicita solicita acreditarea/reac acreditarea/reacreditar reditarea ea SIC de la AAIAS AAIAS pentru pentru toate toate activitatile activitatile prevazut prevazutee la art.24 b. solicita asistenta de specialitate din partea AAIAS si AAISIC pentru stabilirea cerintelor de securitate si procedurilor de aplicare necesare si respectarii de catre furnizori de echipamente, pe durata intregului process de dezvoltare, instalare si testare SIC c. raspunde raspunde de alegerea, alegerea, implemen implementarea, tarea, justifica justificarea rea si controlul controlul facilitati facilitatilor lor de securitate, securitate, de de natura tehnica, care reprezinta parte componenta a SIC d. asigura asigura explo exploatar atarea ea in condi conditii tii de secur securita itate te a SIC e. realizea realizeaza za legatur legaturaa intre intre contract contractant ant,, AAISIC AAISIC si AAIAS AAIAS f. participa participa la selectionar selectionarea, ea, organizarea organizarea si realizarea realizarea pregatiri pregatiriii personalulu personaluluii cu atributii atributii in domeniu domeniull INFOSEC g. organizeaza organizeaza si desfasoara desfasoara convocar convocarii de instruire instruire cu personalul personalul din din subordine subordine si utilizatorii utilizatorii din din SIC h. stabileste stabileste respon responsabili sabilitatile tatile personalulu personaluluii din subordine subordine i. verifica verifica periodic periodic sau in timp timp real, implem implementarea entarea masurilo masurilorr de protectie protectie in in SIC, din cadrul cadrul unitatii/structurii, pentru a se asigura ca securitatea acestuia este in concordanta cu cerintele de securitate aprobate de AAIAS j. tine evidenta echipamentelor SIC, proprietate private, autorizate sa functioneze in incinta unitatii, inconditiile capitolului XI
k. cerceteaza cerceteaza incidentele incidentele de securita securitate te si raporteaza raporteaza rezultatele rezultatele ierarhic, ierarhic, AAIAS AAIAS si AAISIC AAISIC,, concomitant cu aplicarea unor masuri de reducere a consecintelor Art.27 Administratorul COMPUSEC se subordoneaza sefului CSTIC si raspunde de asigurarea dezvoltarii, implementarii si mentinerii masurilor de securitate SIC Art.28 In functie de dimensiunea si complexitatea complexitatea SIC, atributiile administratorului COMPUSEC pot fi indeplinite de catre administratorul de securitate. Art.29 Administratorul de securitate al SIC se subordoneaza sefului CSTIC si indeplineste urmatoarele atributii principale: a. elaboreaza elaboreaza si actualizeaza actualizeaza Procedu Procedurile rile Operation Operationale ale de Securitate Securitate,, denumite denumite in continua continuare re PrOpSec b. monitorizeaza permanent toate aspectele de securitate specifice SIC c. participa participa la elaborarea elaborarea si actualiza actualizarea rea documentel documentelor or Cerinte Cerinte deSecuritate deSecuritate Specifice Specifice,, Cerintele Cerintele deSecuritate Comune si Cerintele de Securitate Specifice pentru Protectia Informatiilor in format electronic intr-un SIC pentru sistemele de care raspunde d. actualizeaza actualizeaza si si tine tine evidenta evidenta tuturor tuturor utilizato utilizatorilor rilor autorizati autorizati e. apolica apolica masurile masurile adecvate adecvate de control control al accesului accesului la la SIC respective respective f. verifi verifica ca elemen elementele tele de de identif identificar icaree a utilizat utilizatori orilor lor g. asigura asigura evidenta evidenta evenimentel evenimentelor or legate de de securitatea securitatea sistemului sistemului si a sesiuni sesiunilor lor de lucru lucru h. evalueaza evalueaza implicatiile, implicatiile, in planul planul securitati securitatiii privind modifica modificarile rile software, software, hardware, hardware, firmware firmware si procedurale propuse pentru SIC i. verifica verifica daca modificarile modificarile de configu configuratie ratie a SIC afecteaz afecteazaa securitatea securitatea si dispune dispune masurile masurile in consecinta j. verifica daca personalul cu acces autorizat la SIC cunoaste responsabilitatile care r evin in domeniul protectiei informatiilor k. verifica verifica modul de executare executare a iontretine iontretinerii rii si actualizarii actualizarii software software pentru pentru a nu se periclita periclita securitatea sistemului l. asigura asigura un control control riguro riguross al mediilor mediilor de de stocare stocare a informatiil informatiilor or si dopcume dopcumentatiei ntatiei sistemu sistemului lui verificand concordanta intre clasa sau nivelul de secretizare a informatiilor stocate si marcajul de secretizare al mediilor stocate m. ia msuri tehnice tehnice si organizatorice organizatorice pentru pentru protectia protectia mediilor mediilor de stocare a informatiilor informatiilor fata de campurile electromagnetice si accesul neautorizat la informnatiile clasificate n. executa executa controale controale privind privind modul modul de utilizar utilizaree a mediilor mediilor de stocare a inform informatiilor atiilor o. asigura asigura pastrarea pastrarea si consultarea consultarea documen documentatiei tatiei si a datelor datelor de eviden evidenta ta si control, control, referitoare referitoare la securitate, in conformitate cu PrOpSec p. stabileste proceduri de verificare pentru utilizarea in SIC numai a software autorizat q. asigura, asigura, impreunma impreunma cu administrat administratorul orul system/rete system/retea, a, aplicarea aplicarea celor mai eficiente eficiente proceduri proceduri de creare a copiilor de rezerva si de recuperare software r. asigura asigura instruirea instruirea si pregati pregatiorea orea corespunz corespunzatoare atoare a administrator administratorilor ilor de securitate securitate in zona zona terminalelor isolate s. raporteaza raporteaza sefului sefului CSTIC CSTIC orice brese brese de securitate, securitate, vulnera vulnerabilitat bilitatii si inclacari inclacari ale masurilor masurilor de securitate. Art.30 In situatia in care un SIC are terminale sau alte echipamente aflate in cladiri diferite apartinand aceluiasi obiectiv se numeste un administrator cu securitatea in zona terminalelor isolate. Art.31 Administratorul de securitate in zona terminalelor izolate se subordoneaza sefului CSTIC si indeplineste urmatoarele atributii principale: a. aplica masuri masuri de securita securitate te specifice specifice terminalelor terminalelor izolate izolate si celorlalte celorlalte echipame echipamente nte aferente aferente aflate in zona sa de responsabilitate b. asigura indeplinirea atributiilor de administrator de securitate, in lipsa acestuia c. raporteaza raporteaza sefului sefului CSTIC orice brese/inciden brese/incidente te de securitate] securitate] d. aplica prevederi prevederile le PrOpSec PrOpSec specifice specifice zonei sau incaperii incaperii in care care functioneaza functioneaza terminalele terminalele izolate. izolate. Art.32 (1) Administratorul de system/retea raspunde de dezvoltarea, implementarea si functionarea unui SIC (2) Administratorul de system/retea se subordoneaza sefului CSTIC si indeplineste urmatoarele atributii principale:
a. participa la elaborarea urmatoarelor documente: Cerintele de securitate specifice, Cerintele de securitate commune si Procedurile operationale de securitate b. asigura managementul configuratiei sistemelor sau retelelor acreditate si stabilite in Cerintele de securitate specifice sau Cerintele de securitate commune c. elaboreaza propuneri de dezvoltare a SIC, avand in vedere si aspectele legate de evaluare si certificare d. participa la elaborarea propunerilor de efectuare a unor modificari pentru imbunatatirea securitatii SIC E. asigura functionarea SIC in concordanta cu Cerintele de securitate specifice si Procedurilor Operationale de Securitate f. asigura pregatirea de specialitate a utilizatorilor echipamentelor SIC. Art.34 Administratorul COMSEC se subordoneaza sefului CSTIC si indeplineste urmatoarele atributii principale: a. verifica verifica si raspunde raspunde de instalare instalareaa echipamentelo echipamentelorr SIC folosite folosite in transmite transmiterea rea informatiil informatiilor or clasificate in conformitate cu cerintele COMSEC; b. verifica si raspunde de aplicarea in mod corespunzator a masurilor de securitate a emisiilor – EMSEC si a transmisiilor – TRANSEC c. tine evidenta evidenta echipame echipamentelor ntelor si sistemel sistemelor or folosite folosite la transmitere transmitereaa informatiilor informatiilor clasificat clasificatee Capitolul III – Amenintari si vulnerabilitati ale SIC Art.41 Informatiile stocate, procesate sau transmise in SIC sunt vulnerabile la accesul, modificarea sau distrugerea de catre utilizatori neautorizati datorita urmatorilor factori: a. volumul volumul substantia substantiall de informatii informatii stocate stocate care sunt sunt accesate accesate si transferate transferate cu viteze viteze foarte foarte mari b. dificultate in realizarea controlului accesului la informatiile stocate in SIC c. posibilitate posibilitateaa de a evita masurile masurile de securita securitate te de catre utilizat utilizatorii orii autorizati autorizati experime experimentati ntati d. capacitatea capacitatea foarte foarte mare a mediilor mediilor de stocare stocare care care faciliteaza faciliteaza sustragerea sustragerea unui unui volum volum consistent consistent de informatii e. posibilitate posibilitateaa pierderii pierderii integritatii integritatii informatiil informatiilor or ca urmare a defectiuni defectiunilor lor in functionar functionaree a hardware si software f. posibilitate posibilitateaa interceptarii interceptarii comun comunicatiilo icatiilorr pe canale canale neprotejat neprotejatee sau a emisiilo emisiilorr compromitat compromitatoare. oare. Art.42 (1) Amenintarile specifice SIC se impart in trei categorii: a. din interior interior – care care au ca sursa sursa actiunile actiunile rau intentio intentionate, nate, actiunile actiunile neintent neintentionat ionatee sau erorile erorile de operare ale utilizatorilor autorizati b. din exterior – care au ca sursa actiunile intentionate sau neintentionate ale persoanelor fara acces ale persoanelor fara acces la SIC c. fizice – care care au ca sursa incide incidente nte sau calamitati calamitati natural naturalee care afecteaza afecteaza perimetrul perimetrul in care care sunt amplasate SIC. (2) Amenintarile si vulnerabilitatile sunt specifice fiecarui SIC in parte. Cap.IV – Protectia informatiilor in SIC – Sectiunea 1 – Reguli generale Art. 47 Este interzisa conectarea unui SIC care proceseaza informatii nesecrete si/sau secrete de serviciu cu un SIC care proceseaza informatii secrete de stat, fara procedura de acreditare aferenta aprobata de functionarul de securitate al MAI. Art.48 Toate SIC si echipamentele aferente acestora se clasifica si se marcheaza corespunzator celui mai inalt nivel de secretizare a informatiilor stocate, procesate sau transmise cu ajutorul acestora, conform prevederilor legale in vigoare. Sectiunea 2 – Documente care reglementeaza securitatea SIC Art.51 Functionarea unui SIC in conditii de securitate se reglementeaza in baza urmatoarelor documente: a. Raport Raportul ul de de analiza analiza a riscul riscului ui de de securi securitate tate b. Documentatia cu Cerintele de Securitate c. PrOpSec Art.58 (1) PrOpSec reprezinta documentul in care sunt descries modul de aplicare a politicii de securitate stabilita in DCS, procedurile de operare care se aplica, precum si responsabilitatile personalului. (2) PrOpSec se elaboreaza de catre administratorul de securitate, se avizeaza de catre AAIAS si se aproba decatre functionarul de securitate al MAI. (3) PrOpSec se aproba de catre AAIAS inainte de a autoriza stocarea, procesarea sau transmiterea informatiilor clasificate.
(4) Modalitatea de intocmire a PrOpSec este prezentata in Ghidul privind structura si continutul PrOpSec, prevazut in anexa 5. Sectiunea 3 – Modurile de operare protejata Art.59 Toate SIC care stocheaza, prelucreaza sau transmit informatii in format electronic se acrediteaza sa functioneze in unul din modurile de operare protejate astfel: a. Dedicat b. Nivel inalt c. Multi ni nivel Sectiunea 4 – Protectia fizica Art.66 In cadrul SIC sunt definite trei medii de securitate care delimiteaza zonele in care sunt implementate controale specifice ale securitatii: a. Mediul Mediul de Securitate Securitate Generala Generala – denumit denumit in in continuare continuare MSG MSG este reprezentat reprezentat de de cladirea cladirea sau cladirile in care functioneaza SIC. Notiunea de MSG cuprinde in general intreaga locatie a SIC si este in responsabilitatea functionarului de securitate fizica si administratorului de securitate CSTIC. In cazul retelelor poate exista un numar disjunct de MSG b. Mediul de Securitate Locala, denumit in continuare MSL, este reprezentat de toate incaperile in care se afla echipamente ale SIC si este mediul de protectie fizica, a personalului, a documentelor si procedurala aflat in sfera de responbsabilitate a CSTIC administratorul de securitate c. Mediul Mediul de Securitate Securitate Electron Electronica ica denumit denumit in continua continuare re MSE al SIC SIC este reprezenta reprezentatt de SIC insusi si este in responsabilitatea administratorului de securitate al SIC (ex. Interfetele ommasina, interfetele interne si externe, firewall-ul, security guard si gateway-ul). Art.68 Zonele SICunde sunt sau vor fi vehiculate informatii clasificate sunt organizate in zona de securitate corespunzator nivelului de clasificare al informatiilor vehiculate in fiecare zona, astfel: a. Zona de de securitate securitate clasa I este este zona in care care sunt vehicul vehiculate ate informatii informatii cu nivel nivel de clasifica clasificare re STRICT SECRET si cu un nivel superior, in asa fel incat intrarea in aceasta zona reprezinta practice acces la aceste informatii. La intrare a in aceasta zona este afisat un mesaj de atentionare de forma: ATENTIE! INTRATI IN ZONA DE SECURITATE CLASA I b. Zona de securitate clasa II este zona in care sunt vehiculate informatii cu nivel maxim de clasificare SECRET, in asa fel incat informatiile clasificate pot fi protejate impotriva accesarii de catre personae neautorizate, prin masuri si mijloace interne specifice. La intrarea in aceasta zona este afisat un mesaj de atentionare de forma: ATENTIE! INTRATI IN ZONA DE SECURITATE CLASA II c. Zona administ administrative rative este este zona situate situate in jurul jurul sau vecinata vecinatatea tea zonelor zonelor de securitate securitate clasa clasa I si II si pentru care sunt stabilite masuri de securitate mai permissive. In aceste zone sunt vehiculate informatii cu nivel maxim declasificare SECRET DE SERVICIU, in asa fel incat aceste informatii pot fi accesate de personal pentru indeplinirea sarcinilor de serviciu. La intrarea in aceasta zona este afisat un mesaj de atentionare de forma: ATENTIE! INTRATI IN ZONA ADMINISTRATIVA Art.72 Accesul la statiile de lucru ale SIC este permis numai personalului autorizat care poseda certificate de securitate corespunzator nivelului de clasificare al informatiilor la care au drept de acces pentru indeplinirea sarcinilor de serviciu, iar monitoarele acestora sunt pozitionate in asa fel incat sa previna vizualitatea informatiilor afisate de catre personalul neautorizat s i sunt acoperite sau deconectate atunci cand in incapere este prezent un vizitator. Sectiunea 5 – Protectia personalului Art.73 Utilizatorii sunt autorizati si au acces la informatii clasificate pe baza principiului necesitatea de a cunoaste” si in functie de clasa sau nivelul de secretizare a informatiilor stocate, procesate sau transmise in SIC. Art.74 Fiecare persoana, care intra in posesia informatiilor clasificate, are obligatia de a se asigura ca acestea sunt transmise numai persoanelor autorizate/certificate corespunzator clasei sau nivelului de secretizare a informatiilor respective. Art.84 (1) Persoanelor care au incalcat masurile de securitate stabilite in PeOpSec, PeOpSec, li se suspenda temporar, dreptul de acces pana la clarificarea situatiei. (2) Modalitatile de raportare a acestor cazuri si masurile care se impugn intr-o asemenea situatie se detaliaza in PrOpSec.
Art.85 Toti utilizatorii autorizati trebuie sa semneze de luare la cunostinta despre prevederile PrOpSec. Un exemplar al PrOpSec, semnat de utilizatori se pastreaza de catre seful CSTIC. Art,.87 (1) Vizitatorii, carora li s-a aorobat aorobat intrarea in zonele de securitate, sunt insotiti permanent. (2) In fiecare incapere/incinta se stabilesc masuri pentru prevenirea contactului visual al vizitatorilor cu informatiile afisate pe monitoare sau rezultate la imprimanta. Sectiunea 6 – Controlul si evidenta accesului Art.89 Inainte de deschiderea unei sesiuni de lucru, este obligatory afisarea unui mesaj de avertizare prin care utilizatorul este instiintat ca a ccesat un SIC proprietatea MAI si este obligat sa respecte normele privind protectia informatiilor clasificate. Art.90 (1) Evidenta automata a accesului la informatii secrete de stat se pastreaza si sub forma fisierelor jurnal. (2) Perioada de pastrare a fisierelor jurnal listate se stabileste in conformitate cu prevederile actelor normative specifice si se mentioneaza atat in CSS, cat si in PrOpSec. Art.91 Inregistrarile din fisierele jurnal trebuie sa cuprinda urmatoarele date: a. data data si si ora ora activit activitatii atii/op /operat eratiun iunii ii b. operatiunea executata c. codul de identifica identificare re al utilizato utilizatorului rului in contul contul caruia caruia apare operati operatiunea unea d. daca daca operati operatiune uneaa s-a finaliz finalizat at corespu corespunza nzator tor sau nu nu e. tentat tentative ivele le de execu executie tie a unei unei operat operatii ii ilega ilegale le f. intrare intrare/ies /iesire ire in/din in/din sesiune sesiuneaa de de lucr lucru u g. porn pornir irea ea/o /opr prire ireaa siste sistemu mulu luii h. modific modificaril arilee parame parametril trilor or de securita securitate te Art.92 (2) Informatiile stocate in aceste fisiere sunt examinate periodic, cel putin o data pe luna, de catre administratorul de securitate care urmareste orice violare sau tentative de violare a sistemului de securitate. (3) Semestrial se creeaza copii de rezerva ale fisierelor jurnal, care se vor pastra pe medii de stocare a informatiilor de tipul disponibil doar pentru citire – read inly – carora li se asigura protectie corespunzatoare nivelului de secretizare atribuit SIC. Sectiunea 8 – Protectia mediilor de stocare a informatiilor Art.102 (2) Evidenta mediilor de stocare a informatiilor clasificate se tine de catre administratorul de securitate sau de catre o persoana desemnata din cadrul compartimentului de exploatare al SIC. Sectiunea 9 – Protectia software Art.103 (1) In SIC din MAI se utilizeaza numai software licentiate si care este autorizat de catre AAIAS. Art.108 (1) Versiunile software-ului utilizate current se examineaza si testeaza la intervale regulate de timp, nu mai mari de 6 luni, pentru verificarea integritatii acestora si corectitudinii in operare. (2) Se interzice utilizarea unor versiuni noi sau modificate de software pentru prelucrarea informatiilor secrete de stat, pana nu au fost testate facilitatile de securitate de catre administratorul de securitate si aprobate de AAIAS in functie de conditiile dereacriditare stabilite in CSS. Art. 114 (1) Utilizatorii sunt obligate sa-si creeze copii de siguranta proprii proprii domeniului pentru care este autorizat. (2) Administratorului de system/retea creeaza obligatoriu copii de siguranta ale bazelor dedate conform procedurilor stabilite in PrOpSec. Sectiunea 10 – Protectia Hardware Art.116 In SIC din MAI se utilizeaza sau conecteaza numai hardware autorizat de catre AAIAS. Art.121 Toate echipamentele din compunerea sistemului se sigileaza de catre administratorul de securitate. Sigilarea se face dupa caz folosind etichete cu stampila structurii MAI, sigiliul administratorului aplicat pe support de ceara sau alte metode, care respecta masurile de securitate impuse. Art.122 Porturile neautorizate ale sistemului se sigileaza sau se deconecteaza decatre administratorul de securitate. Art.124 (1) Verificarea integritatii sigiliilor se face zilnic de catre utilizatori la inceperea programului de lucru sau la luarea in primire a serviciului.
(2) Administratorii de securitate verifica lunar integritatea sigiliilor la toate componentele SIC. Art.125 Administratorul de securitate tine evidenta componentelor care stocheaza, chiar si temporar, informatiile clasificate si le verifica periodic intr-o maniera similara cu documentele clasificate redactate pe support de hartie.
Capitolul V – PARTICULARITATI PRIVIND PROTECTIA INFORMATIILOR IN SIC Sectiunea 1 – Protectia informatiilor in sisteme informatice independente Art.169 Pentru sistemele informatice, denumite in continuare SI, independente, se asigura masuri de protectie fizica in conformitate cu clasa sau nivelul desecretizare a informatiilor procesate in system. Art.170 Masurile de protectie fizica adoptate au drept scop prevenirea: a. accesul accesului ui neauto neautoriza rizatt la sistem si la infor informat matiile iile stocat stocate; e; b. introducerii, modificarii sau scoaterii neautorizate a unor componente ale sistemului; c. sustrag sustrageri eriii sistemulu sistemuluii sau unor compo componen nente te din acesta. acesta. Art.171 SI indenpendente care contin medii de stocare nedetasabile se protejeaza fizic impotriva accesului neautorizat. Masurile de protectie fizica se realizeaza prin: a. dispunerea dispunerea SI in in incaperi/inc incaperi/incinte inte securizate securizate si certificat certificatee in concordant concordantaa cu clasa sau nivelul nivelul de de secretizare a informatiilor stocate; b. pastrarea componentelor sistemului, care contin informatii clasificate, intr-un container de securitate certificate in conformitate cu clasa sau nivelul de secretizare a informatiilor stocate. Pentru componentele sistemelor pastrate in afara containerelor de securitate, se iau masuri de protectie pentru prevenirea sau detectarea tentativelor de sustragere sau de violare a integritatii fizice a acestora; c. izolarea izolarea sursei de alimentare, alimentare, a monitor monitorului, ului, plasarea plasarea tastaturii tastaturii in interioru interiorull containerului containerului etc., etc., pentru impiedicarea accesului neautorizat la informatiilor protejate. Art.172 (1) Mediile de stocare detasabile de system se scot si se pastreaza in concordanta cu clasa sau nivelul desecretizare a informatiilor stocate pe acesta. (2) SI independent din care au fost scoase mediile de stocare clasificate si care nu mai contine nici o alta componenta clasificata separate poate fi considerat neclasificat. Art.73 Toti utilizatorii autorizati ai unui SI independent trebuie sa aiba certificate de securitate/autorizati de acces la informatii clasificate pentru cel mai inalt nivel de sercretizare a informatiilor la care au drept de acces. Nivelul minim de certificare este stability in Cerintele deSecuritate Specifice si Proceduri Operationale de Securitate. Serctiunea 2 – Protectia informatiilor in SIC portabile Art.178 SIC portabile interzise, dar a caror utilizare este justificata de ratiuni operationale, pot fi supuse spre evaluare AAIAS care le autorizeaza, dupa caz. Capitaolul VIII – ACREDITAREA SI REACRIDITAREA Sectiunea 1 – Reguli generale Art.231 (1) Toate SIC care proceseaza informatii se acrediteaza de AAIAS. Sectiunea 4 – Reacreditarea Art.248 SIC se reacriditeaza dupa cum urmeaza: a. annual, annual, SIC care care stocheaza stocheaza proceseaza proceseaza sau transmit transmit inform informatii atii strict secrete secrete de import importanta anta deosebita si cudestinatie speciala b. periodic, la fiecare doi ani, SICcare stocheaza, proceseaza sau transmit informatii secrete de stat, cu exceptia celor prevazute la lit.a; c. periodic, periodic, la fiecare fiecare trei trei ani SIC SIC care stocheaza, stocheaza, proceseaza proceseaza sau sau tramsit tramsit informatii informatii secrete secrete de de serviciu d. dupa executar executarea ea unor modifi modificari cari hardware hardware si software software care afecteaza afecteaza securitat securitatea ea SICrespectiv; SICrespectiv; e. la recomandare recomandareaa administrator administratorului ului COMSEC COMSEC,, ca urmare urmare a unor modifica modificari ri care ar putea putea avea impact asuprasecuritatoo comunicatiilor precum: modificari in configuratia zonelor de securitate ale obiectivului respective, in amplasarea echipamentelor sau modificari de configuratie necesare pentru corectarea unor deficiente majore la nivel hardware. Capitolul X – ACTIVITATEA DE INTRETINERE SI REPARATII A SIC
Art. 259 Este interzis persoianelor neautorizate pentru efectuarea unor activitati de intretinere sau reparare si care reprezinta atributul echipelor deservice sau a producatorilor de sisteme informatice. Art.263 Administratorul de system tine evidenta intretinerilor effectuate. Art.265 Repararea, casarea, retragerea din serviciu/disponibilizarea unor componente software dintr-un SIC clasificat se face obligatoriu cu aprobarea administratorilor de securitate si de system/retea. Capitolul XI – FOLOSIREA ECHIPAMENTELOR SIC DIN EXTERIOR Art.268 Este interzisa introducerea mediilor de stocare, a software-ului si hardware-ului, aflate in proprietate private, in zonele in aprobarea functionarului de securitate, a unitatii/structurii respective care se stocheaza, se proceseaza sau se transmit informatii clasificate. Art.269 Este interzisa utilizarea mediilor de stocare amovibile, a software si hardware, aflate in poroprietate private, pentru stocarea, procesarea si transmiterea informatiilor clas ificate. Art.270 Utilizarea mediilor de stocare amovibile, a software si hardware, aflate in proprietate private, pentru stocarea, procesarea sau transmiterea informatiilor nesecrete este permisa numai cu avizul CSTIC si aprobarea functionarului de securitate a unitatii/structurii respective, cu respectarea politicii INFOSEC. Art.271 Utilizarea echipamentelor si software puse la dispozitie decatre alte instituii sau autoritati publice sau privat pentru stocarea, procesarea sau transmiterea informatiilor clasificat e se acrediteaza de catre AAIAS. Art.272 (1) Echipamentele puse la dispozitie de catre alte institutii sau autoritati publice sau private se iau in evidenta unitatii. (2) Este obligatorie acreditarea SIC prevazute la alin.1 inainte de intrarea in functiune. Capitolul XIII – PREGATIREA SI INSTRUIREA PERSONALULUI Art.278 (1) Pregatirea si instruirea in domeniul domeniul INFOSEC este obligatorie pentru pentru intreg personalul care isi desfasoara activitatea in SIC. (2) Activitateade instruire se efectueaza planificat, permanent si diferentiat, in functie de atributiile personalului, precum si de clasa sau nivelul de secretizare acordat prin certificatul de securitate/autorizatia de acces la informatii clasificate. (3) Personalul autorizat cu acces in zona de operare a SIC este instruit cu privire la necesitatea respectarii masurilor si procedurilor de securitate, atat la inceperea activitatii cat si periodic. Art.279 (1) Administratorul de securitate se numeste din randul personalului cu studii superioare in domeniul Tehnologiei Informatiilor si Comunicatiilor – TIC si pregatire de specialitate in securitatea informatiilor sau care a lucrat in domeniu, fiind propus de seful CSTIC si avizat de functionarul de securitate. (2) Administratorul de securitate se va selectiona,pe cat posibil, din randul personalului care a indeplinit anterior functii de administratori de system/retea. Art.280 Principalele etape in selectionarea si verificarea administratorului de securitate constau in: a. identificarea identificarea personalulu personaluluii cu pregatire pregatire profesi profesionala onala adecvata; adecvata; b. obtinerea acceptului persoanei selectionate, prin raport scris; c. obtinerea obtinerea certificatulu certificatuluii de securitate securitate corespunzat corespunzator or clasei sau nivelului nivelului de secretiza secretizare re cel mai inalt inalt pentru informatiile stocate, procesate sau transmise in SIC. Art.281 (1) In urma desfasurarii procesului de selectionare si verificare, pe baza solicitarii scrise a functionarului de securitate a unitatii/structurii respective, administratorul de securitate este avizat din punct de vedere al cerintelor de securitate de catre AAISIC. (2) Avizarea trebuie sa aiba loc inainte de numirea in functie. Art.282 (1) Administratorul desecuritate, de system/retea sunt atestati din punct de vedere al pregatirii de specialitate in urma absolvirii cursului de pregatire al informatiilor clasificate in format electronic. (2) Tematica cursului se intocmeste in colaborare cu AAISIC. (3) Din comisia de examinare examinare face parte, obligatoriu un reprezentant al AAISIC. Art.,287 (1) Utilizatorii din cadrul unui SIC vor fi instruiti trimestrial priuvind cunoasterea PrOpSex, de catre seful CSTIC. (2) In cazul producerii unor incidente de securitate, seful CSTIC prelucreaza cu intreg personal autorizat sa aiba acces la SIC, cauzele, modul derezolvare si masurile luatye in situatiile respective in colaborare cu AAISIC.
Art.288 Planul de pregatire a personalului este elaborate,annual, de catre seful CSTIC si este parte componenta din Planul specific de pregatire a personalului., In continutul acestuia sunt mentionate responsabilitatile, termenele, mijloacele si metodele de instruire si de educatie de securitate. Art.289 In cadrul temelor de pregatire specifica, se are in vedere introducerea unor lectii, informari, prelegeri, simpozioane, simpozioane, sedinte cu character aplicativ referitoare la: a. cunoasterea cunoasterea si identificar identificarea ea amenintarilor amenintarilor,, vulnerabilitat vulnerabilitatilor ilor si riscurilor riscurilor privind privind securitatea securitatea SIC b. protectia fizica a hardware si software c. cunoas cunoastere tereaa confi configur gurati atiei ei sist sistemu emului lui d. accesul accesul in in zonele zonele in in care care functi functione oneaza aza SIC SIC e. protectia protectia diferentiat diferentiataa a informatii informatiilor, lor, resurselor resurselor,, proceselor proceselor si mediilo mediilorr de stocare stocare f. prot protec ecti tiaa anti antivi viru russ g. asigura asigurarea rea protect protectiei iei transm transmisii isiilor lor de date date si voce. voce. Art.290 Fiecare forma de pregatire la care participa utilizatorii si personalul cu atributii privind securitatea SIC se inscrie in fisa individuala de pregatire de catre seful CSTIC. Capitaolul XIV – DISPOZITII FINALE Art. 291 Annual si ori de cate ori este nevoie se executa, pe durata a 1-3 zile, instruirea personalului care incadreaza structurile cu responsabilitati in domeniul INFOSEC. Art.292 Organizarea si coordonarea activitatii de pregatire se executa de catre Directia Generala de Informatii si Protectie Interna, prin AAIAS.