Capitolul 8 MANAGEMENTUL INFORMAŢIILOR CLASIFICATE ÎN ROMÂNIA Motto: „O cetate este apărată de cetăţenii ei, nu de zidurile sale” (Tucit ide) 8.1 Domeniile de securitate a informaţiilor clasificate. 8.1.1 Securitatea personalului Securitatea personalului reprezintă ansamblul măsurilor de securitate legate de accesul persoanelor la informaţii clasificate. Obiectivele măsurilor de securitate privind accesul persoanelor la informaţii clasificate urmăresc: • să prevină accesul persoanelor neautorizate la informaţii clasificate; • să permită identificarea persoanelor care, prin acţiunile lor, pot afecta securitatea informaţiilor clasificate; • să asigure accesul persoanelor la informaţii clasificate numai pe baza unui document special de acces (denumit generic certificat de securitate) şi a respectării principiului „nevoia de a cunoaşte”. Principiul „nevoia de a cunoaşte” se referă la necesitatea imperioasă ca o persoană să aibă acces la informaţii clasificate, exclusiv în scopul realizării atribuţiilor sale de serviciu, numai la nivelul, numai în momentul şi numai pe durata în care accesul este absolut necesar. Observaţii Reglementările naţionale utilizează mai multe denumiri pentru documentele de acces al persoanelor la informaţiile clasificate (Legea nr.182/2002 foloseşte ca termen generic – autorizaţie de acces): • certificat de securitate ce se acordă persoanelor cu atribuţii nemijlocite în domeniul protecţiei informaţiilor (Art. 3, Hotărârea de Guvern nr. 585/2002); • autorizaţie de acces la informaţii (naţionale) clasificate ce se acordă celorlalte categorii de persoane, altele decât cele menţionate la paragraful anterior (Art. 3, Hotărârea de Guvern nr. 585/2002);
• certificat de securitate de tip A ce se acordă persoanelor pentru acces la informaţii NATO clasificate (Art. 18, Hotărârea de Guvern nr. 353/2002); • certificat de securitate de tip B care autorizează participarea unei persoane la activităţile NATO ce presupun accesul la informaţii NATO clasificate (în esenţă, un asemenea certificat este o adeverinţă prin care organizatorul unor acţiuni NATO, de tipul celor menţionate, se asigură de faptul că o anumită persoană este îndrituită să participe la acea activitate, posedă un certificat de securitate de tip A corespunzător şi a fost instruită privind măsurile de securitate a informaţiilor NATO clasificate la care va avea acces) (Art. 18, Hotărârea de Guvern nr. 353/2002); Situaţia prezentată este de natură să inducă o serie de confuzii şi chiar nemulţumiri (în rândul unor conducători de instituţii care ar primi doar o autorizaţie de acces, pe când unii dintre subalternii lor un certificat de securitate, perceput ca având o calitate superioară autorizaţiei), atât timp cât verificările pentru toate tipurile de autorizare a accesului sunt identice. Având în vedere faptul că România este membră NATO şi UE, apreciem că s-ar putea proceda la o actualizare a legislaţiei, în sensul introducerii unui singur certificat de securitate naţional, pe baza căruia să se elibereze şi certificatele de securitate NATO şi certificate de securitate pentru Uniunea Europeană1; în acelaşi context ar trebui corelate şi perioadele de valabilitate ale certificatului pentru informaţii clasificate naţionale şi UE, respectiv NATO (în prezent de patru, respectiv trei ani). Principiul „nevoia de a cunoaşte” („need-to-know”) Principiul are drept scop controlul accesului la informaţiile clasificate în cazul persoanelor ce deţin un certificat de securitate corespunzător. Analiza implicaţiilor introducerii acestui principiu se poate face adoptând ca ipoteză de lucru faptul că toate celelalte condiţii necesare obţinerii accesului la informaţiile clasificate sunt considerate aprioric îndeplinite. Experienţa în domeniul securităţii confidenţialităţii informaţiilor a consacrat principiul desemnat prin sintagma „nevoia de a cunoaşte”, ca fiind unul dintre principiile fundamentale de securitate aplicat, de altfel, în toate ţările membre NATO, precum şi în cele ale Uniunii Europene şi nu numai. Valabilitatea principiului „nevoia de a cunoaşte” a fost pe deplin confirmată de cazuistica specifică domeniului de securitate; astfel, din analiza unor cazuri de spionaj, devenite de notorietate ca urmare a deconspirării unor informaţii sensibile, a rezultat că prejudiciile ar fi fost 1
În acest moment, pe baza certificatului de acces la informaţii naţionale, ORNISS eliberează, o confirmare de acces la informaţii UE.
incomparabil reduse, dacă principiul menţionat mai sus ar fi fost respectat cu stricteţe, ceea ce nu ar mai fi permis unor persoane rău intenţionate să acceseze informaţii pentru care nu erau autorizate. În esenţă, principiul relevă faptul că deţinerea unui certificat de securitate nu acordă unei persoane accesul efectiv la informaţii clasificate, ci reprezintă doar o condiţie preliminară, de eligibilitate; accesul propriu-zis, punctual, la un anumit document sau material clasificat, devine posibil numai în măsura în care titularul unui certificat de securitate are neapărată nevoie de acest acces, exclusiv pentru rezolvarea unei sarcini de serviciu, ce intră în atribuţiile funcţiei pe care o exercită. Prin urmare, nici o persoană nu este îndreptăţită ca, doar în virtutea rangului, a funcţiei ocupate sau chiar a deţinerii unui certificat de securitate, să aibă acces la o anumită informaţie clasificată, dacă acest lucru nu-i este absolut necesar pentru îndeplinirea sarcinilor de serviciu. Principiul „nevoia de a cunoaşte” acţionează atunci când, în rezolvarea unei probleme de serviciu, o persoană, în calitate de deţinător legal sau de reprezentant legal al unui deţinător originar al unei informaţii clasificate, denumită în continuare emitent, trebuie să decidă asupra diseminării acesteia către o altă persoană, denumită în continuare primitor, ce posedă un certificat de securitate corespunzător. În concluzie, o persoană care posedă un certificat de securitate poate primi accesul punctual la o anumită informaţie clasificată, doar atunci când sunt îndeplinite cumulativ următoarele condiţii: 1. Certificatul de securitate este valabil şi corespunde nivelului de clasificare al informaţiei; 2. Accesul la acea informaţie reprezintă o necesitate imperioasă, recunoscută ca atare de către deţinătorul legal al acesteia; 3. Informaţia va folosi exclusiv la realizarea atribuţiilor de serviciu ale persoanei, iar accesul se va acorda numai în momentul şi se presupune a fi valabil numai pe durata în care acesta este absolut necesar. Prevederile legii române De la început trebuie precizat faptul că Legea nr.182/2002 nu face referiri exprese cu privire la condiţionarea accesului persoanelor la informaţiile clasificate de respectarea unui principiu cum ar fi „necesitatea de a cunoaşte”, ci doar menţionează, la art. 5 lit. (c), unul din scopurile urmărite prin această reglementare, şi anume de a garanta „…că informaţiile clasificate sunt distribuite exclusiv persoanelor îndreptăţite, potrivit legii, să le cunoască…”. Sintagma „potrivit legii” a avut menirea de a deschide calea unor reglementări ulterioare privind modalitatea de identificare a „persoanelor îndreptăţite”. Atât timp cât absenţa unei situaţii care să
„îndreptăţească” pe cineva să obţină acces la toate informaţiile clasificate ţine de domeniul evidenţei, fără îndoială, persoanele îndreptăţite nu pot fi altele decât persoanele care beneficiază de o aprobare specială, obţinută pentru fiecare informaţie în parte, ceea ce înscrie de fapt principiul „nevoia de a cunoaşte”. Această concluzie este susţinută şi prin interpretarea prevederilor art. 6, alin (1) coroborat cu art. 42 lit (e), din care rezultă obligativitatea aplicării unor standarde naţionale de securitate; aceste standarde, concretizate în două hotărâri de guvern, preiau principiul NATO „need-to-know”, fie sub forma sintagmei „necesitatea de a cunoaşte” (art.3 din Hotărârea de Guvern nr. 585/2002), fie în formularea „nevoia de a şti” (art. 20 din Hotărârea de Guvern nr. 353/2002). În consecinţă, principiul „nevoia de a cunoaşte” trebuie acceptat şi corect aplicat de către toţi cei ce gestionează informaţii clasificate. Aplicarea principiului „nevoia de a cunoaşte” Problematica aplicării practice a principiului „nevoia de a cunoaşte” nu este dezvoltată de legislaţia în vigoare. În acest context, fiecare entitate organizaţională care gestionează informaţii clasificate poate să-şi stabilească în cadrul normelor interne de aplicare a reglementărilor privind protecţia informaţiilor clasificate, elaborate în baza art. 93 din Hotărârea de Guvern nr.585/2002 şi art. 301 lit.(b) din Hotărârea de Guvern nr.353/2002, modalităţile concrete de utilizare a principiului „nevoia de a cunoaşte”, ţinându-se seama atât de particularităţile de organizare, cât şi de specificul activităţii desfăşurate. Cu toate acestea se pot formula câteva consideraţii de ordin general, rezultate din experienţa altor state, care ar putea contribui la clarificarea unor aspecte ce ţin de problematica pusă în discuţie. Factorul cheie în asigurarea eficacităţii aplicării principiului „nevoia de a cunoaşte” rămâne, indubitabil, profesionalismul fiecărui angajat care gestionează informaţii clasificate, atât timp cât, într-un fel sau altul, acesta va judeca şi va decide asupra oportunităţii unui transfer de informaţii clasificate; profesionalismul se referă aici nu numai la cunoştinţele şi deprinderile practice în lucrul cu asemenea informaţii, ci şi la rigoarea, calităţile morale şi atitudinea preventivă, manifestate cu consecvenţă şi fără nici un rabat, în toate împrejurările. Aplicarea practică a principiului se confruntă cu dificultăţi derivate şi din faptul că interferează cu înclinaţia naturală a individului educat şi instruit de a fi politicos, prietenos, de a-i ajuta pe ceilalţi, de a cere şi de a acorda asistenţă şi încredere; cu toate acestea nu trebuie omis faptul că toţi cei ce au afectat securitatea informaţiilor clasificate s-au bucurat de
încredere. O atitudine preventivă este de preferat în acest caz, şi nici un individ educat, normal din punct de vedere psihic şi animat de bune intenţii, nu o poate refuza. Selecţia adecvată a personalului, verificările exigente de securitate, alături de educaţia continuă de securitate, evaluarea corectă a activităţii fiecăruia prin prisma securităţii informaţiilor clasificate, pot crea condiţiile favorabile aplicării corecte a principiului „nevoia de a cunoaşte”. Aşadar, aplicarea eficace a acestui principiu depinde în cea mai mare măsură de fiecare persoană care gestionează informaţii clasificate; în raport cu o asemenea persoană, în activitatea curentă a acesteia, pot fi formulate o serie de aşteptări legitime, cum ar fi: 1. Să nu solicite informaţii clasificate care nu îi sunt neapărat necesare îndeplinirii sarcinilor de serviciu, aşa cum rezultă acestea din fişa postului; 2. Să fie gata să ofere toate justificările necesare, atunci când solicită anumite informaţii clasificate, pentru a demonstra deţinătorilor legali ai informaţiilor, faptul că sunt întrunite condiţiile care o îndreptăţesc să obţină accesul la acestea; 3. Să evite situaţiile în care constată că ar putea avea acces la informaţii clasificate care nu îi sunt neapărat necesare îndeplinirii sarcinilor de serviciu; 4. Să nu permită accesul la informaţii clasificate dintre cele pe care le deţine în mod legal nici unei persoane, până când nu se convinge că sunt îndeplinite toate condiţiile care o îndreptăţesc la acest lucru; 5. Să evite discuţiile (în holuri, lift, în spaţiile special destinate fumatului, inclusiv în birou sau la telefon etc.) cu persoane sau în prezenţa acestora (vizitatori, colegi de serviciu, colaboratori interni sau externi la o lucrare comună etc.), chiar dacă acestea deţin certificate de securitate corespunzătoare, precum şi contactul întâmplător al persoanelor menţionate cu documente sau materiale clasificate, dacă informaţiile la care ar avea în felul acesta acces nu le sunt neapărat necesare îndeplinirii sarcinilor de serviciu; 6. Să nu întreprindă nici un fel de acţiuni care ar avea ca efect final inducerea în eroare (prin explicaţii incomplete, prin denaturarea semnificaţiilor sau a adevărului etc.) sau descurajarea (prin presiuni, prin ridiculizare, prin evitare etc.) acelora ce îi solicită justificări sau chiar îi refuză accesul la informaţiile clasificate; 7. Să dezvolte o atitudine activă, promptă şi responsabilă, de
clarificare a situaţiilor de acces nejustificat la informaţii clasificate, ori de câte ori ia cunoştinţă de acestea, procedând, după caz, în funcţie de competenţele pe care le deţine şi consecinţele negative probabile, de la atenţionarea celor implicaţi, pentru conştientizarea şi rezolvarea situaţiei, până la anunţarea factorilor competenţi pe linia protecţiei informaţiilor clasificate; 8. Să nu pună la dispoziţia persoanelor neautorizate informaţii clasificate utilizând reţelele de calculatoare. Procedurile privind securitatea personalului urmăresc asigurarea securităţii informaţiilor clasificate prin acordarea accesului la acestea numai persoanelor care se dovedesc loiale, oneste şi demne de încredere, calităţi confirmate prin eliberarea unui certificat de securitate, obţinut în urma unor verificări specifice de securitate, efectuate de instituţiile abilitate prin lege. Obiectul verificărilor este cel stabilit de Art.7, alin (1) din Legea nr. 182/2002: „…persoanele care vor avea acces la informaţii clasificate secrete de stat vor fi verificate, în prealabil, cu privire la onestitatea şi profesionalismul lor…”. Analiza conţinutului acestei prevederi indică faptul că legea, atâta timp cât nu face nici o distincţie între persoane, cere, în mod imperativ, verificarea, fără excepţie, a tuturor cetăţenilor pentru care se solicită accesul la informaţii clasificate, atitudine întărită de angajamentele României asumate în domeniul securităţii informaţiilor NATO clasificate: „..Guvernul României îşi asumă angajamentul ca toate persoanele cu cetăţenie română, care în îndeplinirea sarcinilor lor oficiale necesită sau pot avea acces la informaţii ori materiale în cadrul programelor Consiliului de Cooperare Nord-Atlantic sau Parteneriatului pentru Pace, să fie verificate corespunzător înainte de a li se acorda acces la astfel de informaţii şi materiale…” [art. 2, alin. (1) din Acordul de Securitate]. Un caz aparte, consecinţă a opţiunii de mai sus, este reprezentat de situaţia membrilor Parlamentului, Guvernului şi, bineînţeles, a deţinătorilor principalelor funcţii publice în stat (preşedintele României, preşedinţii Senatului şi Camerei Deputaţilor, prim-ministrul Guvernului României); acestor demnitari le sunt aplicabile prevederile art. 7, alin (2) din Legea nr. 182/2002: „…pentru candidaţii la funcţii publice ce implică lucrul cu asemenea informaţii [clasificate], precum şi competenţa de a autoriza accesul la astfel de informaţii, verificarea este anterioară numirii în aceste funcţii şi se solicită obligatoriu de autoritatea de investire…”. Modificarea adusă recent în acest sens în baza căreia în mod automat se acordă acces la informaţii naţionale clasificate pentru membrii Parlamentului, pe baza votului exprimat la alegeri, creează vulnerabilităţi în securitatea informaţiilor clasificate. Este adevărat că s-au produs mutaţii
calitative privind majoritatea oamenilor politici. Nu avem, cel puţin deocamdată, posibilitatea să-i alegem nominal pe cei mai buni şi apţi să lucreze cu astfel de informaţii. De subliniat că Legea nr. 268 din 01.10.2007 privind modificarea art. 7 alin. 4 din Legea nr. 182/2002 sau Legea Canacheu, cum a fost reţinută după numele deputatului iniţiator, nu se referă la accesul la informaţii clasificate NATO şi UE, ci numai la cele naţionale. Aşadar, pentru a participa la gestionarea informaţiilor clasificate, altele decât cele naţionale, trebuie să se inscrie în exigenţele prevăzute de acordurile încheiate cu statele părţi ori cu structurile de securitate colectivă. Legislaţia prevede că verificările de securitate se fac cu aprobarea ORNISS şi cu acordul persoanei pentru care se solicită accesul la informaţii clasificate. În urma verificărilor, instituţia abilitată eliberează un aviz de securitate. ORNISS, pe baza analizei concluziilor prezentate în avizul de securitate, decide cu privire la eliberarea certificatului de securitate / autorizaţiei de acces la informaţii clasificate. O procedură de reverificare se impune ori de câte ori este necesar să se garanteze menţinerea condiţiilor în baza cărora s-a eliberat certificatul de securitate/autorizaţia de acces la informaţii clasificate. Reverificarea este obligatorie de fiecare dată când apar indicii că menţinerea certificatului nu mai este compatibilă cu interesele de securitate. Neacordarea certificatului de securitate/ autorizaţiei de acces la informaţii clasificate sau retragerea motivată a acestora determină interdicţia de acces la informaţii clasificate. Vulnerabilităţi de securitate şi incompatibilităţi Prima persoană care face selecţia celor pentru care urmează să se solicite verificări de securitate este chiar conducătorul instituţiei, în sensul că nu va propune persoane cunoscute ca având trăsături de caracter din care pot rezulta riscuri şi vulnerabilităţi de securitate. Situaţiile de incompatibilitate şi elementele de incompatibilitate pentru accesul la informaţii clasificate sunt prevăzute în legislaţia actuală. NOTĂ: chestionarele sunt şi un test de sinceritate pentru cel care le completează. Actualizarea operativă a documentelor de acces la informaţii clasificate. Directiva AC5/2004 privind securitatea personalului prevede că „ atunci când angajatul se schimbă din funcţie, managerul este responsabil dacă nivelul de acces al certificatului de securitate (CS) rămâne necesar pentru acea funcţie”:
- la schimbarea din funcţie a unei persoane, cu menţionarea nivelului de secretizare sau cu trecerea pe un nivel inferior, şeful structurii de securitate va emite un nou CP, corespunzător funcţiei actuale a persoanei, cu păstrarea termenului de expirare a valabilităţii de până la 4 ani de la decizia ORNISS; - dacă schimbarea funcţiei presupune acces la un nivel superior de secretizare, este cazul de revalidare, persoana urmând să completeze toate chestionarele aferente nivelului respectiv. Comunicarea cu operativitate la ORNISS: a. comunicare de sistare a verificărilor - pentru persoanele care nu mai au statutul de angajat sau nu mai sunt pe funcţii care necesită acces; b. comunicare că nu se eliberează CS - pentru persoanele care au fost deja avizate de ORNISS, dar care au fost între timp numite pe funcţii care nu mai necesită acces la informaţii clasificate. În acest caz, ORNISS va răspunde cu o comunicare de anulare a avizului dat. NOTĂ: comunicări de genul celor menţionate, ca şi înaintarea la ORNISS a CS eliberate se vor face imediat. În ce priveşte eliberarea documentelor de acces – după 2 luni, ORNISS poate anula decizia.
•
Revalidarea accesului la informaţii clasificate: - art 167 - o solicită unitatea în care persoana îşi desfăşoară activitatea sau ORNISS: - când este necesar accesul la informaţii de nivel superior; - la expirarea perioadei de valabilitate a CS; - când apar modificări în datele de identificare sau în datele declarate anterior (în cazul căsătoriilor); - la apariţia unor riscuri de securitate. Autorizarea conducătorului unităţii, autorizarea membrilor AGA / consiliilor de administraţie, autorizarea detaşaţilor: a. cum procedează unitatea de unde pleacă persoana; b. cum procedează unitatea unde este detaşată persoana; Accesul cetăţenilor străini, cetăţenilor români cu dublă cetăţenie - art. 178 respectarea principiului nevoii de a cunoaşte; • respectarea convenţiilor, protocoalelor, contractelor şi altor înţelegeri încheiate în condiţiile legii. Accesul temporar: în cazuri excepţionale, determinate de situaţii de criză, calamităţi naturale sau evenimente imprevizibile, cu respectarea unor cerinţe: o asigurarea unui sistem corespunzător de evidenţă;
o semnarea angajamentului de confidenţialitate; o comunicarea la ORNISS, în cel mai scurt timp, pentru efectuarea verificărilor de securitate; o în cazul informaţiilor SSID, accesul temporar va fi acordat, pe cât posibil, persoanelor care deţin deja certificat de securitate pentru nivel SS sau S. Instruirea deţinătorilor de certificate de securitate: la acordarea documentelor de acces, apoi periodic, are ca obiect conţinutul reglementărilor privind securitatea informaţiilor clasificate; Se finalizează prin consemnarea, sub semnătură, în fişa de pregătire individuală. 8.1.2 Securitatea fizică Securitatea fizică reprezintă ansamblul măsurilor de protecţie aplicate în spaţiile în care sunt gestionate informaţii clasificate ce trebuie protejate împotriva accesului neautorizat, deteriorării, distrugerii, pierderii sau compromiterii. Măsurile de securitate fizică, aplicate în cadrul programelor de securitate fizică, urmăresc: - să prevină pătrunderea neautorizată a persoanelor în spaţiile protejate; - să prevină, să descopere şi să împiedice acţiunile ostile, de natură să afecteze securitatea informaţiilor clasificate; - să asigure condiţii ca persoanele autorizate să intre în contact numai cu acele informaţii la care au dreptul pe baza certificatului de securitate şi a principiului „nevoia de a cunoaşte”; - să descopere şi să combată în mod operativ orice încălcare a măsurilor de securitate a informaţiilor clasificate. Programele vizând securitatea fizică cuprind măsurile active şi pasive de securitate a informaţiilor clasificate, dimensionate astfel încât să asigure combaterea ameninţărilor şi menţinerea sub control a vulnerabilităţilor, pe baza aplicării managementului riscurilor de securitate, în strânsă corelaţie cu celelalte măsuri de securitate, şi care, în general, se referă la: - stabilirea şi delimitarea zonelor speciale de securitate; - reglementarea şi controlul accesului în zonele de securitate; - paza şi supravegherea zonelor de securitate. Stabilirea programelor de măsuri privind securitatea fizică este o întreprindere complexă, de a cărei realizare depinde eficacitatea şi a celorlalte măsuri de securitate a informaţiilor clasificate. Principiile generale care stau la baza stabilirii unor astfel de programe sunt:
a) adaptarea măsurilor de securitate la specificul locaţiei ce trebuie protejată: recurgerea la „reţete” în acest domeniu, prin aplicarea de măsuri copiate după o altă locaţie, fără o analiză critică şi competentă, este contraproductivă, fie conduce la cheltuieli nejustificate de existenţa reală a unor riscuri, fie măsurile sunt deficitare în raport cu riscurile existente; b) eşalonarea în adâncime a măsurilor de securitate: prin structurarea măsurilor de securitate pe mai multe dispozitive succesive, dispuse în jurul unei anumite locaţii unde sunt efectiv gestionate informaţiile clasificate; c) corelarea măsurilor de securitate fizică cu timpul de intervenţie a forţelor de securitate: prin stabilirea măsurilor de securitate într-o asemenea manieră încât penetrarea sistemului de securitate să nu fie posibilă sau, la limită, să necesite suficient de mult timp încât să permită intervenţia forţelor de securitate şi anihilarea agresiunii, înainte ca securitatea informaţiilor clasificate să fie afectată; d) asigurarea eficacităţii sistemului de securitate fizică: prin antrenarea şi testarea continuă, atât a personalului destinat pentru securitate informaţiilor clasificate, cât şi a sistemului de securitate în ansamblu; e) asigurarea disponibilităţii tehnice a echipamentelor: prin păstrarea performanţelor tehnice şi evitarea căderilor echipamentelor incluse în sistemul de securitate a informaţiilor clasificate, pe calea realizării corespunzătoare a lucrărilor de întreţinere, reparaţie şi înlocuire a acestor sisteme, periodic şi ori de câte ori este necesar; f) planificarea contingenţială a măsurilor de securitate: prin realizarea din timp şi exersarea unor planuri de răspuns pentru situaţiile previzibile de apariţie a unor incidente de securitate sau atunci când este necesară scoaterea din funcţiune, pentru o perioadă limitată, a unor elemente ale sistemului de securitate. Amploarea măsurilor de securitate fizică a informaţiilor clasificate se stabileşte în funcţie de : a) nivelul de clasificare şi categoria informaţiilor protejate; b) volumul informaţiilor şi natura suportului de stocare a acestora; c) modul de păstrare a informaţiilor; d) frecvenţa accesului la informaţii clasificate, determinată de numărul certificatelor de securitate, precum şi de nevoia de acces la astfel de informaţii; e) ameninţările estimate la adresa securităţii informaţiilor clasificate, gestionate într-o locaţie dată, generate de activităţile serviciilor de
informaţii adverse, de activităţile de natură teroristă, subversivă sau de activităţile altor grupuri criminale. Eşalonarea în adâncime a măsurilor de securitate a informaţiilor clasificate presupune, cel puţin: - identificarea locaţiilor ce trebuie protejate; - un „dispozitiv exterior” de securitate care să delimiteze zona protejată şi să descurajeze accesul neautorizat: - un „dispozitiv intermediar” de securitate care să descopere tentativele sau accesul neautorizat în zona protejată şi să alerteze forţa de securitate; - un „dispozitiv interior” de securitate care să întârzie eventualii intruşi în acţiunile lor, suficient timp pentru a fi reţinuţi de forţele de securitate. Din considerente de securitate, informaţiile clasificate trebuie să fie gestionate şi păstrate numai în interiorul unei zone de securitate. În conformitate cu practica membrilor NATO, se definesc două tipuri de zone de securitate: - zona de securitate clasa I (zona de securitate în care intrarea unei persoane, deţinătoare a unui certificat de securitate corespunzător, indiferent sub care motiv s-ar realiza, îi permite acesteia accesul direct, nemijlocit, la informaţiile clasificate gestionate aici, ca urmare a modului specific de păstrare a acestora - persoana poate avea acces şi la alte informaţii clasificate decât la acelea la care ar avea dreptul prin aplicarea strictă a principiului „nevoia de a cunoaşte”). - zona de securitate clasa II (zona de securitate în care intrarea unei persoane, deţinătoare a unui certificat de securitate corespunzător, permite acesteia accesul numai la informaţiile clasificate pentru care este autorizată, prin aplicarea strictă a principiului „nevoia de a cunoaşte”, ca urmare a modului specific de păstrare a acestora). Gestionarea informaţiilor clasificate exclusiv în zonele de securitate ridică unele probleme de adaptare, în special la nivelele înalte de conducere a organizaţiilor, deoarece implică deplasarea acestor responsabili, pentru a consulta documentele clasificate, în zonele de securitate, atâta timp cât, de regulă, birourile lor nu se constituie într-o astfel de zonă (cazul cel mai frecvent). Gradul în care sistemele de securitate vor rezista la presiunile unor persoane cu autoritate înaltă de a se crea excepţii în aplicarea măsurilor de protecţie va reprezenta principalul test de viabilitate al acestora. În vederea aplicării unitare şi uniforme a măsurilor de securitate fizică, autoritatea naţională de securitate stabileşte reglementările legale necesare care stipulează cerinţele minime şi standardele în care trebuie să se
încadreze sistemele şi mecanismele de securitate, responsabilităţile privind verificarea şi acreditarea mecanismelor şi a sistemelor de securitate, precum şi cele privind implementarea şi controlul măsurilor de securitate. 8.1.3 Securitatea documentelor Securitatea documentelor reprezintă aplicarea măsurilor şi procedurilor de securitate pentru prevenirea sau detectarea acţiunilor ce pot conduce la pierderea sau compromiterea informaţiilor clasificate, precum şi pentru recuperarea informaţiilor care au făcut obiectul unor asemenea acţiuni. Domeniul „securitatea documentelor” stabileşte măsurile ce trebuie aplicate de către toţi cei ce utilizează informaţii clasificate, pe întreaga durată a ciclului de viaţă al acestora, corespunzător cu nivelul lor de clasificare, cu privire la aspectele presupuse de gestionarea informaţiilor clasificate. Pentru a elimina interpretările particulare, a cultiva încrederea în legislaţia noastră, creată pe baza experienţei NATO şi UE, precizăm că am folosit noţiuni şi prevederi ale Normelor cadru privind securitatea informaţiilor NATO şi UE clasificate. Subscriem celor care spun că normele, regulile trebuie preluate aşa cum au fost concepute de autori, traduse şi aplicate, să zicem, cu unele mici adaptări neesenţiale. Cine vrea să aplice la specificul românesc o experienţă care nu se regăseşte în istoria noastră, consumă timp, energie şi bani. 1. Definiţii a) Informaţii – orice document, date, obiecte sau activităţi, indiferent de suport, formă, mod de exprimare sau de punere în circulaţie; b) Informaţie NATO/UE clasificată – orice informaţie, a cărei dezvăluire neautorizată poate aduce prejudicii de diverse grade intereselor NATO/UE ori unuia sau mai multor state membre, indiferent dacă aceste informaţii sunt emise în cadrul NATO/UE sau provin de la statele membre, state terţe sau organizaţii internaţionale; c) Document NATO/UE clasificat – orice suport fizic pe care au fost scrise, imprimate sau înregistrate informaţii NATO/UE clasificate, cum ar fi: scrisoare, notă, proces-verbal, raport, memorandum, mesaj, schiţă, fotografie, diapozitiv, film, hartă, tabel, plan, agendă, şablon, hârtie de indigo, ribon de maşină de scris sau de imprimantă, bandă, casetă, dischetă, CD, CD ROM; d) Material NATO/UE clasificat – orice document NATO/UE clasificat, precum şi orice componentă de echipament sau armă, fabricată sau aflată în curs de fabricaţie;
e) f)
Informaţie NATO/UE sensibilă - orice informaţie NATO/UE clasificată de nivel NATO CONFIDENTIAL/CONFIDENTIEL UE şi superior; Document NATO/UE clasificat sensibil - orice document NATO/UE clasificat care conţine informaţii NATO/UE sensibile; Pentru mai uşoară înţelegere şi reţinere, vă propunem o prezentare schematică a componentelor sensibile, clasificate şi nepublicabile ale informaţiilor NATO şi UE: NATO cosmic top secret/trés secret Informaţii sensibile UE NATO secret/secret UE
Informaţii clasificate
Informaţii nepublicabile
NATO confidential/confidentiel UE NATO restricted/restreint UE NATO unclassified/limité UE g)
Gestionarea informaţiilor NATO/UE clasificate - totalitatea activităţilor de înregistrare, distribuire, transmitere, multiplicare, traducere, realizare de extrase, distrugere, stocare, păstrare şi inventariere a informaţiilor clasificate; h) Sistemul Naţional de Registre (SNR) - cadrul organizat în care sunt gestionate la nivel naţional informaţii NATO/UE clasificate şi în care se asigură controlul fluxului informaţiilor NATO/UE sensibile; i) Componentă a Sistemului Naţional de Registre (CSNR) - structură responsabilă cu gestionarea informaţiilor NATO/UE clasificate şi cu controlul fluxului informaţiilor NATO/UE sensibile la nivel instituţional sau departamental; j) Structură instituţională – orice persoană juridică de drept public sau privat şi se referă la ministere, organisme centrale, instituţii, autorităţi, agenţii agenţi economici, etc., în care sunt sau vor fi utilizate informaţii clasificate NATO/UE; k) Structură departamentală – orice compartiment din cadrul unei structuri instituţionale în care sunt sau vor fi utilizate informaţii clasificate NATO/UE, şi se referă la departamente, direcţii generale, direcţii, etc. l) Controlul fluxului informaţiilor NATO/UE sensibile - activitatea de notificare a datelor de identificare a informaţiilor NATO/UE sensibile între CSNR şi de verificare a modului de desfăşurare a acestei activităţi, astfel
încât să se cunoască în orice moment locul în care se află o astfel de informaţie; m) Integritatea informaţiei NATO/UE clasificate – calitatea unei informaţii NATO/UE clasificate de a nu fi fost alterată, modificată sau distrusă printr-o modalitate neautorizată; n) Confidenţialitatea informaţiei NATO/UE clasificate - caracteristica informaţiei NATO/UE clasificate de a nu fi dezvăluită persoanelor sau entităţilor neautorizate; o) Disponibilitatea informaţiei NATO/UE clasificate - proprietatea informaţiei NATO/UE clasificate de a fi accesibilă şi folosită, când este necesar, de orice persoană sau entitate autorizată. 2. Securitatea documentelor Securitatea informaţiilor NATO şi UE clasificate reprezintă ansamblul procedurilor şi măsurilor de securitate a informaţiilor clasificate, menite să prevină şi să contracareze situaţiile care pot genera compromiterea informaţiilor clasificate, în scopul asigurării integrităţii, confidenţialităţii şi disponibilităţii acestora. Securitatea informaţiilor NATO şi UE clasificate cuprinde măsuri pentru: a) clasificarea informaţiilor; b) marcarea documentelor; c) editarea documentelor; d) gestionarea informaţiilor; e) controlul fluxului informaţiilor clasificate de nivel NATO CONFIDENTIAL/CONFIDENTIEL UE şi superior (sensibile); f) funcţionarea Sistemului Naţional de Registre (SNR); g) soluţionarea incidentelor de securitate şi a abaterilor de la reglementările de securitate. Măsurile de securitate a informaţiilor NATO şi UE clasificate se completează cu măsuri de securitate a personalului, securitate fizică şi INFOSEC. Nivelurile de clasificare se atribuie informaţiilor NATO/UE în funcţie de prejudiciile ce pot fi aduse prin divulgare neautorizată şi indică măsurile de securitate care trebuie aplicate pentru securitatea acestora. Nivelurile de clasificare utilizate pentru informaţiile NATO/UE clasificate sunt următoarele: a) NATO COSMIC TOP SECRET / TRÉS SECRET UE: nivel de clasificare care se aplică numai informaţiilor şi materialelor a căror divulgare neautorizată ar putea determina prejudicii extrem de
grave la adresa intereselor esenţiale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; b) NATO SECRET/SECRET UE: nivel de clasificare care se aplică numai informaţiilor şi materialelor a căror divulgare neautorizată ar putea genera prejudicii grave la adresa intereselor esenţiale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; c) NATO CONFIDENTIAL/CONFIDENTIEL UE: nivel de clasificare care se aplică informaţiilor şi materialelor a căror divulgare neautorizată ar putea provoca prejudicii intereselor esenţiale ale NATO/UE sau ale unuia ori mai multor state membre NATO/UE; d) NATO RESTRICTED/RESTREINT UE: nivel de clasificare care se aplică informaţiilor şi materialelor a căror divulgare neautorizată poate fi în defavoarea intereselor NATO/UE sau ale unuia ori mai multor state membre NATO/UE. 3. Informaţiile NATO UNCLASSIFIED şi LIMITE UE reprezintă informaţii care, deşi nu intră în categoria informaţiilor clasificate, nu sunt destinate publicului şi trebuie protejate împotriva dezvăluirii neautorizate prin măsuri de securitate stabilite la nivel instituţional. Informaţiile UE LIMITE devin publice din dispoziţia emitentului şi se regăsesc, de regulă, în registrul public al UE. În cazul informaţiilor NATO UNCLASSIFIED, diseminarea acestora poate fi delegată de către Consiliul Nord-Atlantic sau Comitetul Militar către statele membre care deţin astfel de informaţii. Managementul şi securitatea informaţiilor NATO UNCLASSIFIED/UE LIMITE se va face în conformitate cu proceduri speciale elaborate de ORNISS 4. Clasificarea informaţiilor În conformitate cu prevederile acordurilor de securitate încheiate de România cu NATO şi respectiv cu UE, echivalenţa marcajelor şi nivelurilor de clasificare este următoarea: NATO ROMÂNIA UE NATO SECRET DE RESTREINT UE RESTRICTED SERVICIU NATO SECRET CONFIDENTIEL CONFIDENTIAL UE NATO SECRET STRICT SECRET SECRET UE
STRICT SECRET DE NATO COSMIC IMPORTANŢĂ TRÈS SECRET UE TOP SECRET DEOSEBITĂ Responsabilitatea încadrării informaţiei într-un nivel de clasificare revine emitentului. Nivelul de clasificare se atribuie doar atunci când este necesar şi se menţine doar pe perioada cât informaţia trebuie protejată. Documentul care conţine informaţii naţionale clasificate emise de instituţiile din România şi destinat NATO/UE este document naţional şi se editează, se clasifică, se marchează şi se gestionează în conformitate cu legislaţia naţională care reglementează protecţia acestor categorii de informaţii; un asemenea document se inscripţionează cu menţiunea ROMANIA, urmată de nivelul de clasificare naţional şi, între paranteze, de nivelul de clasificare NATO/UE echivalent. Exemplu:
ROMANIA – SECRET DE SERVICIU (NATO RESTRICTED/RESTREINT UE) Instituţiile din România pot edita documente NATO/UE clasificate destinate NATO/UE, indiferent dacă acestea conţin şi informaţii naţionale clasificate, atunci când sunt impuse reguli în acest sens de către structurile NATO/UE. Nivelul de clasificare al unui document va fi cel puţin acelaşi cu al secţiunii cu cel mai ridicat nivel de clasificare. Paginile, paragrafele, anexele şi alte tipuri de ataşamente ale documentelor NATO/UE clasificate pot primi niveluri diferite de clasificare pentru a facilita diseminarea ulterioară a secţiunilor corespunzătoare. Documentul rezultat din cumularea neprelucrată a informaţiilor extrase din mai multe documente NATO/UE clasificate sau cel rezultat în urma unei activităţi de analiză-sinteză a acestora poate necesita o clasificare superioară faţă de oricare dintre documentele/secţiunile care au stat la baza redactării sale. Documentul care înglobează informaţii clasificate atât naţionale, cât şi NATO/UE se editează ca un document naţional şi trebuie să conţină marcajele de securitate ale documentului NATO/UE de referinţă. Adresa de însoţire a documentelor NATO/UE clasificate se marchează cu nivelul de clasificare al informaţiilor pe care aceasta le conţine, nivel stabilit de către emitent. În situaţia în care o adresă primeşte nivelul de clasificare al documentelor NATO/UE clasificate pe care le însoţeşte, emitentul acesteia
trebuie să specifice nivelul de clasificare pe care-l va avea după ce aceasta este separată de documentele anexate. În scopul evitării sub-clasificării sau supra-clasificării informaţiilor şi materialelor NATO/UE se impune acordarea unei atenţii sporite în procesul încadrării acestora într-un nivel de clasificare. Cazurile de posibilă supra ori sub-clasificare se aduc la cunoştinţa emitentului de către beneficiarul informaţiei NATO/UE clasificate. Nivelul de clasificare al unei informaţii NATO/UE clasificate poate fi scăzut numai de emitent sau cu acceptul acestuia. Scăderea nivelului de clasificare al unei informaţii NATO/UE clasificate se aduce imediat la cunoştinţa tuturor deţinătorilor acesteia, de către emitent, direct sau prin intermediul expeditorilor subsecvenţi, după caz. Prin declasificare se înţelege anularea nivelului de clasificare al unei informaţii NATO/UE clasificate şi scoaterea ei de sub incidenţa tuturor reglementarilor privind securitatea informaţiilor NATO/UE clasificate. Emitentul unei informaţii NATO/UE clasificate trebuie să indice, pe cât posibil, un termen după expirarea căruia informaţia poate fi declasificată sau i se poate scădea nivelul de clasificare. În cazul în care nu există nici o indicaţie în acest sens, informaţiile NATO/UE clasificate trebuie reanalizate de către emitent la fiecare 5 ani, pentru a stabili dacă mai este necesară menţinerea nivelului de clasificare atribuit iniţial. Toate documentele care conţin informaţii NATO/UE clasificate sunt marcate cu nivelul de clasificare atribuit de emitent, precum şi cu alte marcaje suplimentare. Marcajele nivelurilor de clasificare se vor aplica astfel: - pe documentele NATO RESTRICTED/RESTREINT UE, prin mijloace mecanice sau electronice; - pe documentele NATO CONFIDENTIAL/CONFIDENTIEL UE, prin mijloace mecanice, olograf sau prin folosirea de preimprimate tipizate; - pe documentele NATO SECRET/SECRET UE şi COSMIC TOP SECRET/TRÈS SECRET UE, prin mijloace mecanice sau olograf. Marcajul „NATO” sau „UE” aplicat pe document/material semnifică faptul că informaţiile conţinute sunt proprietatea NATO sau UE şi trebuie protejate corespunzător. Documentelor care conţin informaţii NATO/UE clasificate li se pot aplica marcaje suplimentare de către emitent care pot indica domeniul la care se referă acestea sau modul de diseminare al lor pe baza principiului
„nevoia de a cunoaşte” în scopul limitării numărului persoanelor care îl pot accesa. Documentele transmise la NATO/UE vor fi inscripţionate şi cu menţiunea RELEASEBLE TO NATO/EU. În procesul de editare a documentelor NATO/UE clasificate se impun următoarele: a) aplicarea nivelului de clasificare în partea de sus şi de jos, central, a fiecărei pagini; b) numerotarea fiecărei pagini cu numărul curent / numărul total de pagini; c) aplicarea numărului de înregistrare; pentru documentele NATO SECRET/SECRET UE şi cu nivel de clasificare superior, numărul de înregistrare se aplică pe fiecare pagină; d) înscrierea numărului de exemplar/copie pe prima pagină a documentului; e) menţionarea anexelor pe prima pagină a documentelor NATO/UE sensibile. Gestionarea informaţiilor NATO/UE sensibile şi controlul fluxului acestora se realizează exclusiv în cadrul SNR. Gestionarea informaţiilor NATO/UE sensibile se realizează de către persoane anume abilitate de către conducătorul instituţiei şi care deţin certificat de securitate corespunzătoare nivelului de clasificare al informaţiilor manipulate. Aceste persoane asigură şi activităţile specifice referitoare la controlul fluxului informaţiilor NATO/UE sensibile. Informaţiile NATO/UE sensibile se gestionează separat de alte informaţii clasificate iar informaţiile NATO sensibile se gestionează separat de informaţiile UE sensibile. În cadrul AAS unde funcţionează compartimente speciale (CS) responsabile cu gestionarea informaţiilor naţionale clasificate, se pot stabili, dintre acestea, unele compartimente care să aibă şi responsabilităţi privind gestionarea informaţiilor NATO RESTRICTED/RESTREINT UE. Măsurile luate de instituţiile care gestionează informaţii NATO RESTRICTED/RESTREINT UE vor asigura, cu precădere prevenirea accesului neautorizat la aceste informaţii. În cazul structurilor instituţionale sau departamentale care nu au calitatea de Autoritate Abilitată de Securitate, gestionarea informaţiilor NATO RESTRICTED/RESTREINT UE se va realiza în cadrul CSNR înfiinţate în conformitate cu procedura specială elaborată de către ORNISS.
Activitatea de gestionare a documentelor NATO/UE sensibile cuprinde: înregistrarea, distribuirea, transmiterea, multiplicarea, traducerea, realizarea de extrase, distrugerea, stocarea, păstrarea şi inventarierea. Înregistrarea este activitatea de înscriere a elementelor de identificare a informaţiilor NATO/UE clasificate în registre de evidenţă şi inscripţionarea pe documentele NATO/UE clasificate a numărului de înregistrare atribuit la nivelul CSNR. Registrele de evidenţă se organizează pe suport de hârtie şi/sau în format electronic, pentru fiecare nivel de clasificare a informaţiilor NATO/UE, astfel încât, împreună cu celelalte formulare necesare în activitatea de gestionare, să asigure controlul circulaţiei la nivel instituţional sau departamental a documentelor NATO/UE sensibile şi o evidenţă a documentelor NATO RESTRICTED / RESTREINT UE în perioada în care acestea se află în gestiunea componentelor SNR. Distribuirea constă în activitatea de repartizare a informaţiilor NATO/UE clasificate, în conformitate cu principiul „nevoia de a cunoaşte”, pentru a fi consultate sau prelucrate de către persoanele autorizate aflate în evidenţa unei CSNR. Destinatarii iniţiali ai unei informaţii NATO/UE clasificate trebuie indicaţi de către emitent. Distribuirea informaţiilor NATO COSMIC TOP SECRET/TRÈS SECRET UE se realizează de către ofiţerul de control NATO COSMIC/TRÈS SECRET UE ori un adjunct al acestuia2. În situaţia în care destinatarul unui document NATO COSMIC TOP SECRET/TRÈS SECRET UE nu este specificat, numai ofiţerul de control NATO COSMIC/TRÈS SECRET UE poate deschide plicul şi poate confirma primirea documentului. Informaţiile NATO/UE clasificate se distribuie numai pe bază de semnătură. În cazul în care pentru informaţiile clasificate de nivel NATO SECRET/SECRET UE sau inferior emitentul a impus restricţii privind diseminarea, acestea pot fi redistribuite doar cu acordul emitentului. Transmiterea între două CSNR a documentelor NATO/UE clasificate se realizează în conformitate cu prevederile legale care reglementează această activitate şi presupune: a) împachetarea pentru transmitere a documentelor NATO/UE clasificate; b) transportul documentelor NATO/UE clasificate la CSNR destinatară prin curieri autorizaţi potrivit legii; 2
Funcţii specifice structurilor euroatlantice
c) predarea-primirea documentelor NATO/UE clasificate în condiţii de siguranţă în spaţii special destinate acestui scop; d) verificarea corespondenţei în prezenţa curierului prin controlul stării sigiliilor, al integrităţii ambalajelor, al corectitudinii adreselor/borderourilor care însoţesc documentele propriu-zise, al concordanţei dintre datele înscrise pe adresă/borderou şi cele de pe plic, şi verificarea după desigilarea şi desfacerea plicurilor/coletelor a înscrisurilor de pe documentele propriu-zise. Documentele NATO SECRET/SECRET UE şi de nivel superior circulă între două CSNR însoţite de borderoul de confirmare a primirii. Multiplicarea sau traducerea documentelor COSMIC TOP SECRET/TRÈS SECRET UE se realizează cu aprobarea emitentului. Măsurile de securitate stabilite pentru documentul original se aplică în mod corespunzător copiilor, traducerilor şi extraselor. Distrugerea documentelor NATO/UE clasificate se face prin tocare, incinerare sau topire, astfel încât informaţia să nu poată fi reconstituită. Documentele perimate sau în exces se distrug cu avizul conducătorului instituţiei aplicându-se proceduri corespunzătoare nivelurilor de clasificare. Pentru distrugerea documentelor NATO/UE clasificate nu este necesară o dispoziţie expresă din partea emitentului. În cadrul fiecărei instituţii se elaborează pentru situaţii de urgenţă planuri de distrugere şi/sau evacuare a documentelor NATO/UE clasificate, în funcţie de condiţiile specifice. În scopul reducerii spaţiilor necesare pentru păstrarea informaţiilor NATO/UE clasificate pe o perioadă mai îndelungată, acestea se pot stoca pe diferite medii (microfilm, suport electromagnetic etc.) respectându-se următoarele reguli generale: a) procesul de stocare se realizează de către persoane autorizate care deţin certificare de securitate corespunzătoare nivelului de clasificare al informaţiilor stocate; b) mediul de stocare va primi nivelul de clasificare al documentelor originale; c) microfilmarea, înregistrarea şi scanarea documentelor COSMIC TOP SECRET/TRÈS SECRET UE trebuie adusă la cunoştinţa emitentului; d) un mediu de stocare va putea conţine informaţii din documente sensibile originale doar dacă documentele în cauză au acelaşi nivel de clasificare; e) orice mediu de stocare care conţine informaţii SECRET NATO/UE sau COSMIC TOP SECRET/TRÈS SECRET UE trebuie specificat în toate rapoartele de inventariere;
f) documentele originale se distrug imediat după operaţiunea de stocare. Documentele NATO/UE sensibile, pe suport de hârtie sau alte medii de stocare, se păstrează în încăperi speciale de securitate, conform prevederilor normative specifice şi, dacă dimensiunile permit, se introduc bibliorafturi, dosare, casete etc. Inventarierea reprezintă activitatea de verificare a existenţei documentelor NATO/UE sensibile. Inventarierea se efectuează pentru toate documentele NATO/UE sensibile intrate în gestiune, pe baza registrelor şi formularelor de evidenţă. Cu ocazia inventarierii se pot stabili documentele NATO/UE sensibile care pot fi distruse, declasificate sau cărora li se poate scădea nivelul de clasificare. Inventarierea se efectază ori de câte ori este necesar, însă cel puţin o dată pe an. Un document NATO/UE sensibil se consideră inventariat în una dintre următoarele situaţii: a) există fizic; b) există dovada transmiterii acestuia către altă CSNR; c) există specificat într-un proces-verbal de distrugere; d) există o dispoziţie de declasificare (ori de scădere a nivelului de clasificare). Gestionarea informaţiilor NATO/UE clasificate şi controlul fluxului acestora se detaliază printr-o procedură elaborată de ORNISS La nivelul fiecărei CSNR se desemnează un şef al componentei, care va coordona activitatea şi va răspunde de îndeplinirea atribuţiilor ce revin acesteia conform reglementărilor în vigoare. Modul de gestionare a informaţiilor NATO/UE clasificate la nivelul unei CSNR se supune, pe parcursul unui an calendaristic, unor inspecţii de securitate astfel: a) cel puţin o inspecţie externă efectuată de către: - ORNISS; - Structura de securitate a Autorităţii Abilitate de Securitate (AAS) competentă; - Personalul CSNR ierarhic superioară în colaborare cu Structura de securitate a acesteia; - Structurile de specialitate ale NATO/UE. b) inspecţii interne efectuate periodic de către structura de securitate / funcţionarul de securitate.
La nivelul fiecărei CSNR se ţine evidenţa inspecţiilor de securitate cu consemnarea rezultatelor acestora şi a modului de rezolvare a eventualelor deficienţe. CSNR COSMIC TOP SECRET/TRÈS SECRET UE Gestionarea şi controlul informaţiilor COSMIC TOP SECRET/TRÈS SECRET UE se realizează prin componentele SNR COSMIC TOP SECRET/TRÈS SECRET UE. O componentă a SNR COSMIC TOP SECRET/TRÈS SECRET UE poate gestiona şi informaţii NATO/UE clasificate de nivel inferior, dar înregistrate şi păstrate separat. În cadrul ORNISS funcţionează Registrul Central pentru NATO COSMIC TOP SECRET/TRÈS SECRET UE, care activează ca principală autoritate de primire, distribuire şi transmitere a documentelor de acest nivel schimbate între NATO/UE şi România. Componentele SNR NATO COSMIC TOP SECRET/TRÈS SECRET UE se pot înfiinţa la nivelul autorităţilor publice centrale şi funcţionează ca organisme responsabile pentru păstrarea registrelor şi formularelor prin care se asigură controlul fluxului şi al circulaţiei interne pentru fiecare document NATO COSMIC TOP SECRET/TRÈS SECRET UE aflat în evidenţa lor. Indiferent de forma de organizare a unei CSNR NATO COSMIC TOP SECRET/TRÈS SECRET UE, şeful instituţiei va numi un ofiţer de control COSMIC TOP SECRET(OCCTS) sau ofiţer de control TRÈS SECRET (OCTS), după caz, care este şi şeful acestei componente. În cazul în care în cadrul unei astfel de componente se gestionează atât informaţii NATO cât şi UE, OCCTS cumulează şi calitatea de OCTS. În cadrul acestor componente, se poate numi şi un adjunct al OCCTS (AOCCTS) sau OCTS (AOCTS), care poate avea aceleaşi sarcini cu acesta şi preia responsabilităţile şi sarcinile OCCTS sau OCTS pe perioada în care acesta nu-şi poate exercita atribuţiile. Numirea se face de către şeful instituţiei. OCCTS/OCTS răspunde de îndeplinirea următoarelor sarcini pe linia protecţiei informaţiilor NATO COSMIC TOP SECRET/TRÈS SECRET UE: a) securitatea fizică a tuturor informaţiilor clasificate NATO COSMIC TOP SECRET/TRÈS SECRET UE păstrate în CSNR; b) păstrarea unei evidenţe la zi a documentelor NATO COSMIC TOP SECRET/TRÈS SECRET UE primite de către CSNR; c) păstrarea evidenţei la zi a tuturor CSNR cu care este autorizat să schimbe informaţii clasificate NATO COSMIC TOP SECRET/TRÈS
SECRET UE, inclusiv numele OCCTS/OCTS, AOCCTS/AOCTS şi specimenele de semnătura ale acestora; d) păstrarea de evidenţe nominale, la zi, privind persoanele din cadrul structurilor deservite de către acesta, autorizate să aibă acces la informaţiile clasificate NATO COSMIC TOP SECRET/TRÈS SECRET UE; e) distribuirea şi transmiterea de documente clasificate NATO COSMIC TOP SECRET/TRÈS SECRET UE numai beneficiarilor autorizaţi să aibă acces la informaţii clasificate de acest nivel; f) întocmirea, verificarea existenţei şi păstrarea documentelor justificative (registre de evidenţă, condici, borderouri, fişe de consultare, procese-verbale de distrugere etc.) pentru toate documentele clasificate NATO COSMIC TOP SECRET/TRÈS SECRET UE distribuite ori transmise; g) restituirea la Registrul Central NATO COSMIC TOP SECRET/TRÈS SECRET UE a informaţiilor NATO COSMIC TOP SECRET/TRÈS SECRET UE atunci când ele nu mai sunt necesare pentru arhivare sau pentru distrugerea acestora; h) îndeplineşte orice alte sarcini care decurg din atribuţiile componentelor Sistemului Naţional de Registre. 8.1.4 Securitatea industrială Abordând, acum, procedurile specifice securităţii industriale, ne aflăm în faţa unui domeniu care trece, prin importanţa economică pe care o prezintă, dincolo de sfera preocupărilor stricte de securitate. Asigurarea unei calităţi superioare a managementului informaţiilor clasificate din domeniul industrial nu este doar un accesoriu obligatoriu, ci constituie una din căile de acces în clubul select al naţiunilor industrializate. Securitatea industrială se referă la ansamblul măsurilor de protecţie a informaţiilor clasificate vehiculate în domeniul industrial, în legătură cu licitarea, negocierea şi derularea unor contracte clasificate. Reprezintă un contract clasificat, orice contract, încheiat în condiţii legale, în cadrul căruia se cuprind şi se vehiculează informaţii clasificate. Participarea la negocieri în vederea încheierii unui contract clasificat este permisă în baza unei autorizaţii de securitate industrială, eliberată în urma unor verificări specifice, care confirmă aplicarea măsurilor minime de securitate prevăzute în standarde. Derularea unui contract clasificat de către un obiectiv industrial se realizează în baza unui certificat de securitate industrială, eliberat în urma unor verificări specifice, care confirmă aplicarea măsurilor minime de
securitate prevăzute în standarde. Verificările de securitate urmăresc ca: - angajaţii, managerii sau proprietarii să deţină certificat de securitate corespunzător nivelului de clasificare al informaţiilor la care vor avea acces; - spaţiile în care se vor gestiona informaţii clasificate să fie protejate corespunzător standardelor specifice; - obiectivul industrial să fie stabil din punct de vedere economic, să nu fie implicat în litigii care îi pot afecta stabilitatea economică, să-şi plătească obligaţiile financiare şi să nu prezinte riscuri de securitate. Ne propunem să abordăm problematica securităţii industriale, respectiv a securităţii informaţiilor clasificate încredinţate sau generate în cadrul contractelor. Sunt sintetizate principiile care guvernează securitatea industrială, componentă a sistemului de securitate al informaţiilor clasificate, rezultate din reglementările naţionale, NATO şi, ca exemplu, ale statului canadian (Anexa nr.3). Securitatea informaţiilor clasificate care fac obiectul activităţilor contractuale, respectiv securitatea industrială, este reglementată prin următoarele acte normative: - Ordonanţa de urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, aprobată prin Legea nr. 101/2003; - Legea nr. 182/2002 privind protecţia informaţiilor clasificate; - Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România; - Hotărârea Guvernului nr. 353/2002 privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România; - Normele metodologice privind protecţia informaţiilor clasificate în cadrul activităţilor contractuale NATO, aprobate prin ordinul nr. 491/2003 al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat3; - Cerinţele minime privind protecţia informaţiilor UE clasificate care fac obiectul activităţilor contractuale, aprobate prin Ordinul nr. 491/2005 al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat4. În domeniul protecţiei informaţiilor clasificate care fac obiectul activităţilor contractuale, ORNISS are următoarele atribuţii generale: 3 4
Monitorul Oficial al României partea I-a nr. 885 din 12.12.2003 Monitorul Oficial al României partea I-a nr. 20 din 10.01.2006
a) stabileşte strategia de implementare unitară la nivel naţional a măsurilor de securitate a informaţiilor clasificate care fac obiectul activităţilor contractuale; b) eliberează autorizaţii de securitate industrială (ASI) şi certificate de securitate industrială (CSI), la cererea persoanelor juridice îndreptăţite care sunt sau urmează să fie implicate în contracte naţionale clasificate; c) recunoaşte certificatul de securitate industrială deţinut de societăţile comerciale din state cu care România a încheiat acorduri privind securitatea reciprocă a informaţiilor clasificate şi ţine evidenţa acestora. d) gestionează, la nivel naţional, evidenţele privind: persoanele juridice deţinătoare de autorizaţii de securitate industrială; persoanele juridice deţinătoare de certificate de securitate industrială; persoanele fizice care deţin certificate de securitate sau autorizaţii de acces eliberate în scopul negocierii sau executării unui contract clasificat. e) organizează, împreună cu Autorităţile Abilitate de Securitate competente, activităţi de consiliere şi pregătire a funcţionarilor/membrilor structurii de securitate, desemnaţi de persoanele juridice implicate în activităţi contractuale naţionale clasificate. f) stabileşte, pe baza politicilor generale şi standardelor minime de securitate ale NATO/UE, politica şi strategia de implementare unitară la nivel naţional a măsurilor de securitate a informaţiilor NATO/UE clasificate gestionate în cadrul activităţilor contractuale; g) elaborează reglementări naţionale privind securitatea informaţiilor NATO/UE clasificate în cadrul activităţilor contractuale, coordonează şi verifică aplicarea acestora la nivel naţional; h) eliberează certificate de securitate industrială (CSI) NATO/UE obiectivelor industriale cu sediul în România, implicate în activităţi contractuale care presupun accesul la informaţii NATO/UE clasificate; i) confirmă autorităţilor contractante îndreptăţite din România deţinerea de către obiectivele industriale a CSI NATO/UE. j) colaborează cu structurile de securitate ale NATO/UE şi ale statelor membre NATO/UE şi comunică, la cererea acestora, obiectivele industriale care deţin CSI NATO/UE sau iniţiază procedura de eliberare a acestor documente. k) solicită autorităţilor de securitate din statele membre NATO/UE informaţii privind eliberarea CSI NATO/UE pentru persoanele juridice străine implicate în contracte clasificate care presupun accesul la astfel de informaţii, derulate în România; l) gestionează, la nivel naţional, evidenţele privind: obiectivele industriale deţinătoare de CSI NATO/UE, persoanele fizice autorizate pentru
acces la informaţii NATO/UE clasificate în scopul participării la activităţi contractuale şi confirmările privind deţinerea de CSI NATO/UE transmise şi primite; m) monitorizează, cu sprijinul autorităţilor competente, respectarea cerinţelor de securitate de către un obiectiv industrial pentru negocierea şi derularea contractelor clasificate; n) avizează anexele de securitate la contractele/subcontractele NATO/UE clasificate; o) gestionează cererile de vizite care implică acces la informaţii NATO/UE clasificate aferente activităţilor contractuale şi le aprobă, după îndeplinirea condiţiilor legale, pe cele desfăşurate la companiile româneşti; p) coordonează şi participă la activităţile de control privind securitatea informaţiilor NATO/UE clasificate gestionate în cadrul activităţilor contractuale; r) coordonează activităţile de transport internaţional al materialelor NATO/UE clasificate, în cadrul contractelor clasificate, potrivit normelor în vigoare; s) asigură, la cerere, consultanţă de specialitate obiectivelor industriale în vederea implementării cadrului legal în domeniul securităţii informaţiilor NATO/UE clasificate; t) desfăşoară activităţi de pregătire a personalului cu atribuţii pe linia securităţii informaţiilor NATO/UE clasificate, în cadrul activităţilor contractuale derulate în România care presupun accesul la astfel de informaţii. Cerinţe de securitate pentru negocierea şi derularea de contracte naţionale clasificate secret de stat. Un aspect de reţinut este faptul că ORNISS eliberează autorizaţii şi certificate de securitate industrială numai pentru negocierea şi derularea contractelor naţionale clasificate secret de stat şi, evident, pentru cele NATO/UE echivalente, când este cazul. Pentru a avea o imagine cât mai clară asupra domeniului securităţii industriale şi implicit asupra procedurii de eliberare a autorizaţiei şi certificatului de securitate industrială pentru negocierea şi derularea contractelor naţionale clasificate secret de stat se definesc, în continuare, principalii termeni utilizaţi5: Termen Securitatea industrială
5
Definiţie ansamblul măsurilor şi procedurilor de securitate a informaţiilor clasificate, aplicabile obiectivelor industriale care desfăşoară sau urmează să desfăşoare activităţi contractuale cu acces la astfel de informaţii, în scopul prevenirii pierderii, compromiterii sau divulgării, precum şi identificării şi recuperării celor compromise
Dr. Monica Nidelea, Disertaţie la cursul „Managementul informaţiilor” cu tema: Managementul informaţiilor în cadrul contractelor industriale, 2007
Obiectivul industrial Contractul naţional clasificat Contract NATO clasificat Anexa securitate Autorizaţia securitate industrială
de
Certificatul securitate industrială
de
de
Autoritate abilitată de securitate (AAS)
sau pierdute şi reducerii consecinţelor. persoana juridică ce desfăşoară activităţi de producere/furnizare de bunuri, prestare de servicii sau execuţie de lucrări în domeniul industrial, comercial, ştiinţific sau de cercetare-dezvoltare. un contract încheiat între părţi, în cadrul căruia, pentru producerea unui bun sau furnizarea unui serviciu, se vehiculează informaţii naţionale clasificate. un contract încheiat de o instituţie militară sau civilă NATO sau de o ţară membră NATO în vederea realizării unui program/proiect iniţiat, negociat sau administrat de NATO şi în cadrul căruia este necesar accesul la informaţii NATO clasificate sau se generează astfel de informaţii. un document care reprezintă parte integrantă a unui contract clasificat şi care cuprinde clauzele şi procedurile de securitate specifice derulării acestuia. un document emis de ORNISS prin care se atestă că, din punct de vedere al securităţii, un obiectiv industrial îndeplineşte standardele minime de protecţie a informaţiilor clasificate de un anumit nivel (secret, strict secret, strict secret de importanţă deosebită) pentru a participa la procedura de atribuire a unui contract clasificat. Se eliberează obiectivelor industriale care urmează să fie implicate în procedura de atribuire a unui contract clasificat. un document eliberat de ORNISS prin care se atestă că, din punct de vedere al securităţii, un obiectiv industrial îndeplineşte standardele minime de protecţie a informaţiilor clasificate de un anumit nivel (secret, strict secret, strict secret de importanţă deosebită) pentru a participa la derularea unui contract clasificat. Se eliberează obiectivelor industriale care sunt sau care urmează să fie implicate în derularea unui contract clasificat. instituţie abilitată prin lege să stabilească, pentru domeniul său de activitate şi responsabilitate, structuri şi măsuri proprii privind şi controlul activităţilor referitoare la protecţia informaţiilor secrete de stat.
Tabel cu principalii termeni utilizaţi în domeniul securităţii industriale
Protecţia informaţiilor clasificate secret de serviciu este reglementată prin Hotărârea Guvernului nr.781/2002, gestionarea informaţiilor secret de serviciu realizându-se, în general, după principii asemănătoare celor aplicabile gestionării informaţiilor secret de stat, însă pentru negocierea şi derularea contractelor cu acest nivel de clasificare nu se prevede necesitatea eliberării unui certificat de securitate industrială în baza verificărilor de securitate. Termenul de contract clasificat de un anumit nivel nu presupune automat ca documentul „contract” să fie clasificat (marcat şi înregistrat) la nivelul respectiv. Nivelul de clasificare al unui contract, termen prin care trebuie să se înţeleagă o activitate contractuală şi nu doar un document, este determinat de nivelul maxim de clasificare a informaţiilor care urmează să fie accesate sau generate în cadrul contractului. Cele două părţi aflate în relaţie directă, într-un contract clasificat 6 sunt : • autoritatea contractantă – parte într-un contract de finanţare care, fie în baza legii, fie în baza unui alt contract de finanţare legal 6
Conform Normelor metodologice din HG nr.1265 / 2004, HG nr. 368 / 2005 şi HG nr. 1077 / 2005.
încheiat, la care a avut calitatea de contractor, finanţează realizarea unui obiectiv, stabilind în mod univoc condiţiile în care cealaltă parte va realiza contractul ce se încheie în acest scop; • contractor – parte dintr-un contract de finanţare care, acceptând finanţarea şi condiţiile asociate acesteia, stabilite de autoritatea contractantă, se obligă să asigure realizarea contractului În domeniul securităţii industriale, respectiv al activităţilor contractuale care presupun acces la informaţii clasificate, contractorii, respectiv autorităţile contractante deţinătoare de informaţii clasificate, trebuie să acorde atenţie în procesul de planificare a contractelor clasificate, următoarelor aspecte generale : • Stabilirea cu responsabilitate a contractelor clasificate prin analizarea şi determinarea nivelului maxim de clasificare a informaţiilor care pot fi accesate şi/sau generate în cadrul negocierii/derulării contractului. Potrivit legii, atribuirea clasei şi nivelului de secretizare informaţiilor generate se realizează prin consultarea ghidului de clasificare, a listei cu informaţii secrete de stat elaborate în conformitate cu prevederile legale şi aprobate prin hotărâre a Guvernului. Fiecare autoritate publică ce lucrează cu informaţii secrete de stat are obligaţia să întocmească un ghid în scopul clasificării corecte şi uniforme a informaţiilor. Şeful ierarhic al emitentului trebuie să verifice dacă informaţiile generate în cadrul contractului au fost clasificate corect şi să ia măsuri în consecinţă când se constată că au fost atribuite niveluri de secretizare necorespunzătoare. • Informarea potenţialilor contractanţi, prin invitaţia de participare la procedura de atribuire a contractului sau printr-un document echivalent, cu privire la nivelul de clasificare al contractului şi la obligativitatea obţinerii autorizaţiei de securitate industrială pentru participarea la negociere/licitaţie. • Condiţionarea punerii la dispoziţie a documentaţiei clasificate pentru elaborarea ofertei sau permiterii accesului la informaţii clasificate, de prezentarea autorizaţiei de securitate industrială. • Organizarea procedurii de achiziţie ţinând cont de termenul maxim de eliberare a autorizaţiei de securitate industrială (60 de zile lucrătoare). • Informarea potenţialilor contractanţi asupra obligativităţii obţinerii certificatului securitate industrială pentru participarea la derularea contractului. Prin urmare, contractorul trebuie să aibă în atenţie următoarele aspecte:
o La procedura de atribuire a unui contract clasificat în care se vehiculează informaţii clasificate de un anumit nivel, se va permite participarea numai a companiilor care deţin autorizaţie de securitate industrială şi al căror personal a fost autorizat să aibă acces la informaţii clasificate, de nivelul solicitat; o Pentru derularea contractului clasificat, compania declarată câştigătoare trebuie să facă demersurile necesare şi să obţină certificatul de securitate industrială, eliberat de ORNISS. Procedura de eliberare/retragere a autorizaţiei de securitate industrială şi de respingere a cererii de eliberare a acestui document Participarea la procedura de atribuire a unui contract clasificat, indiferent de forma acesteia (negociere, cerere de ofertă, licitaţie), este reglementată prin Hotărârea Guvernului nr. 585/2002 pentru aprobarea Standardelor naţionale de protecţie a informaţiilor clasificate în România. Un aspect important de reţinut se referă la faptul că autorizaţia de securitate industrială (ASI) se eliberează de ORNISS, pentru negocierea fiecărui contract clasificat secret de stat în parte. Altfel spus, ORNISS nu eliberează autorizaţii de securitate industrială care să fie valabile pentru negocieri de contracte clasificate diferite. Obligaţiile contractorului, respectiv ale părţii contractante deţinătoare de informaţii clasificate, în procesul de atribuire a contractelor clasificate secret de stat se referă la următoarele aspecte : • Păstrarea evidenţei tuturor persoanelor participante la întâlnirile de negociere (pre-contractuale), care să cuprindă: o datele de identificare ale acestora; o angajamentele de confidenţialitate; o organizaţiile pe care le reprezintă, tipul şi scopul întâlnirilor; o informaţiile la care aceştia au avut acces. • Stabilirea unei clauze în invitaţiile de participare la licitaţii sau cereri de oferte, în cazul contractelor clasificate, prin care potenţialul ofertant este obligat să returneze documentele clasificate puse la dispoziţie, în situaţiile în care acesta nu depune oferta până la data stabilită sau nu câştigă licitaţia. Termenul de returnare nu trebuie fie mai mare de 15 zile de la comunicarea rezultatului. • Asigurarea faptului că în procesul de negociere participă doar persoane autorizate provenind de la obiective industriale autorizate.
Documentaţia necesară pentru iniţierea procedurii de autorizare se depune la sediul ORNISS de către obiectivul industrial solicitant şi constă din următoarele: • cerere pentru eliberarea autorizaţiei de securitate industrială – anexa nr. 24 din H.G. nr.585/2002; • chestionar de securitate industrială, în plic sigilat – anexa nr. 25 din H.G. nr. 585/2002; • invitaţie de participare la procedura de atribuire a unui contract clasificat sau un document echivalent; • lista persoanelor implicate în procesul de negociere. În situaţia în care aceste persoane nu deţin autorizaţii de acces la informaţii clasificate/certificate de securitate se impune şi demararea, în paralel, a procedurilor pentru autorizarea lor. Chestionarul de securitate industrială, după completare, se înregistrează şi se marchează corespunzător nivelului de secretizare secret de serviciu şi se introduce într-un plic separat, care se anexează la cerere. Invitaţia de participare, întocmită de către partea contractantă deţinătoare de informaţii clasificate, trebuie să specifice: • denumirea sau obiectul contractului clasificat; • nivelul de clasificare al contractului (nivel maxim de clasificare a informaţiilor vehiculate până la semnarea contractului şi a celor gestionate pe perioada derulării contractului; • data/perioada când are loc ridicarea materialelor clasificate/depunerea ofertelor/negocierea, identificând momentul în care firma are acces la informaţii clasificate, astfel încât să se prevadă un timp suficient pentru ca aceasta să îşi obţină autorizaţia de securitate industrială; • locul/locurile (sedii sau puncte de lucru) unde se gestionează informaţiile clasificate; • clauză de returnare a documentelor clasificate pentru firmele care au intrat în posesie de materiale clasificate şi care pierd competiţia sau se retrag de la negocieri. Pentru eliberarea autorizaţiei de securitate industrială, obiectivul industrial trebuie să îndeplinească următoarele cerinţe minime: • să posede structură/funcţionar de securitate responsabil cu securitatea informaţiilor clasificate care fac obiectul activităţilor contractuale; • să posede program de prevenire a scurgerii de informaţii clasificate, avizat de autoritatea abilitată de securitate; • să fie stabil din punct de vedere economic:
- să nu fie în proces de lichidare; - să nu fie în stare de faliment sau în procedura reorganizării judiciare sau a falimentului; - să nu fie implicat într-un litigiu care să îi afecteaze stabilitatea economică; - să îşi îndeplinească obligaţiile financiare către stat, persoane fizice şi juridice; • să nu fi înregistrat nici o greşeală de management cu implicaţii grave asupra stării de securitate a informaţiilor clasificate pe care le gestionează; • să fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior; • personalul implicat în negocierea contractului să deţină autorizaţii de acces la informaţii clasificate secret de stat, de nivel corespunzător. Nerespectarea acestor cerinţe precum şi furnizarea intenţionată a unor informaţii inexacte în completarea chestionarului de securitate constituie elemente de incompatibilitate în procesul de eliberare a autorizaţiei de securitate industrială. În cazul în care obiectivul industrial nu deţine un program de prevenire a scurgerii de informaţii clasificate avizat de autoritatea abilitată de securitate, în paralel cu solicitările de eliberare a autorizaţiei de securitate industrială şi de efectuare a verificărilor de securitate pentru personalul implicat în negociere, va trebui să întocmească şi să implementeze un astfel de program în conformitate cu anexa nr.10 la Hotărârea Guvernului nr. 585/2002. Programul de prevenire a scurgerilor de informaţii clasificate va fi structurat pe mai multe capitole şi va cuprinde aspecte referitoare la: • elemente de identitate, statut juridic, obiect de activitate specifice obiectivului industrial; • obiectivele urmărite prin măsurile prezentate în program; • principiile care stau la baza prevenirii scurgerilor de informaţii clasificate; • elemente generale privind informaţiile clasificate deţinute sau care urmează să fie deţinute de obiectivul industrial; • locurile unde se concentrează de regulă ori temporar informaţiile clasificate sau se desfăşoară activităţi care implică accesul la astfel de informaţii; • lista funcţiilor care necesită acces la informaţii clasificate;
• prezentarea funcţionarului de securitate şi a persoanelor abilitate să îndeplinească atribuţii pe linia securităţii informaţiilor clasificate; • prezentarea persoanelor care au sau urmează să aibă acces la informaţii clasificate, pe niveluri de secretizare; • măsuri de securitate fizică a clădirilor/spaţiilor/locurilor unde se păstrează sau se concentrează informaţii clasificate sau se desfăşoară activităţi cu astfel de informaţii; • măsuri procedurale de securitate a informaţiilor clasificate; • măsuri de protecţie împotriva observării şi ascultării; • prezentarea sistemului informatic şi de comunicaţii destinat prelucrării sau stocării de informaţii clasificate, dacă este cazul; • controale, activităţi de analiză şi evaluare a modului în care se respectă prevederile legale referitoare la securitatea informaţiilor clasificate; • soluţionarea cazurilor de încălcare a reglementărilor privind securitatea informaţiilor clasificate; • măsuri de instruire şi educaţie de securitate a persoanelor care au acces la informaţii clasificate. După depunerea la ORNISS a documentaţiei complete specificată anterior, în termen de 7 zile lucrătoare, ORNISS solicită autorităţii abilitate de securitate (AAS) competente efectuarea verificărilor de securitate şi eliberarea avizului de securitate. În situaţia în care obiectivul industrial nu depune documentaţia completă menţionată anterior, cererea de eliberare a autorizaţiei de securitate industrială se respinge. Activitatea de verificare desfăşurată în vederea eliberării Autorizaţiei de Securitate Industrială (ASI) trebuie să asigure îndeplinirea următoarelor obiective principale : • prevenirea accesului persoanelor neautorizate la informaţiile clasificate; • garantarea faptului că informaţiile clasificate sunt distribuite pe baza existenţei autorizaţiei de securitate industrială şi a principiului necesităţii de a cunoaşte; • identificarea persoanelor, care prin acţiunile lor, pot pune în pericol securitatea informaţiilor clasificate; • garantarea faptului că obiectivele industriale au capacitatea de a proteja informaţiile clasificate în procesul de negociere.
Avizul de securitate, eliberat de autoritatea abilitată de securitate, este un element care stă la baza eliberării ASI şi garantează că: • agentul economic nu prezintă riscuri de securitate: o nu este implicat în derularea unor activităţi ce contravin intereselor de siguranţă naţională sau angajamentelor pe care România şi le-a asumat în cadrul acordurilor bilaterale sau multilaterale; o nu dezvoltă relaţii cu persoane fizice sau juridice străine ce ar putea aduce prejudicii intereselor statului român; o nu are legături cu asociaţiile, persoanele fizice sau juridice care pot prezenta factori de risc pentru interesele de stat ale României; o nu a fost şi nu este implicat sub nici o formă în activitatea unor organizaţii, asociaţii, mişcări, grupări de persoane străine sau autohtone care au adoptat sau adoptă o politică de sprijinire sau aprobare a comiterii de acte de sabotaj, subversive sau teroriste. • sunt aplicate în mod corespunzător măsurile de securitate fizică şi a informaţiilor, prevăzute de reglementările în vigoare, precum şi normele privind accesul persoanelor la informaţii clasificate; • obiectivul industrial este solvabil din punct de vedere economic; Avizul de securitate menţionat anterior are la bază verificările de securitate de nivel I: a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială (anexa nr.25 la Hotărârea Guvernului nr.585/2002); aceste date se referă la firmă în general: coordonate, stare, statut juridic, formă de proprietate, capital, conducere, structură de securitate, profil şi activitate desfăşurată, scurt raport pentru ultimii 3 ani de exerciţiu financiar, bonitate şi garanţii bancare, informaţii de securitate, date referitoare la sistemul de securitate al informaţiilor secrete de stat (măsuri de securitate fizică, măsuri procedurale, INFOSEC), securitatea personalului, date cu privire la procesele penale sau contravenţii ca urmare a încălcării legilor; b) verificarea modului de aplicare a prevederilor programului de prevenire a scurgerii de informaţii clasificate; c) evaluarea statutului de securitate a fiecărei persoane cu putere de decizie - asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate - ori executivă implicată în negocierea contractului clasificat;
d) verificarea datelor minime referitoare la bonitatea şi stabilitatea economică a obiectivului industrial - domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare. După primirea avizului de securitate de la AAS care a efectuat verificările de securitate, ORNISS va decide cu privire la eliberarea sau neeliberarea autorizaţiei de securitate industrială. Dacă se constată că sunt îndeplinite cerinţele de securitate necesare asigurării securităţii informaţiilor clasificate vehiculate în cadrul negocierii / derulării contractului, ORNISS eliberează şi transmite obiectivului industrial autorizaţia de securitate industrială. În situaţia în care se constată că obiectivul industrial nu îndeplineşte cerinţele de securitate ORNISS nu eliberează autorizaţia de securitate industrială şi informează în acest sens obiectivul industrial solicitant şi autoritatea abilitată de securitate care a efectuat verificările. Termenul pentru eliberarea ASI este de 60 de zile lucrătoare de la data depunerii documentaţiei complete la sediul ORNISS, dintre care 14 zile sunt alocate ORNISS, 7 zile pentru solicitarea efectuării a verificărilor de securitate de către AAS competent şi 7 zile după primirea avizului de securitate pentru eliberarea autorizaţiei sau comunicarea către obiectivul industrial a refuzului eliberării acesteia. Autorizaţia de securitate industrială are valabilitate până la încheierea contractului sau până la retragerea solicitantului de la negocieri. Acest document poate fi retras numai de către ORNISS, în următoarele cazuri: • la solicitarea obiectivului industrial; • la propunerea motivată a AAS competente; • la expirarea termenului de valabilitate. În cazul în care ORNISS decide retragerea autorizaţiei de securitate industrială va informa autoritatea contractantă, obiectivul industrial şi AAS competentă. Procedura de eliberare/retragere a certificatului de securitate industrială şi de respingere a cererii de eliberare a acestui document În urma adjudecării contractului clasificat, contractantul care are obligaţia obţinerii certificatului de securitate industrială de nivel corespunzător nivelului maxim al informaţiilor gestionate în cadrul contractului pentru a putea pune în executate contractul clasificat. În acest sens obiectivul industrial contractant va depune la sediul ORNISS următoarele documente:
• Cerere pentru eliberarea certificatului de securitate industrială – anexa nr.30 din HG nr.585/2002; • Chestionar de securitate industrială, în plic sigilat – anexele nr.26 pentru contracte clasificate secret de stat de nivel secret şi, respectiv, anexa nr.27 pentru cele clasificate strict secret şi strict secret de importanţă deosebită din H.G. nr.585/2002; • Anexa de securitate, în copie; • Lista persoanelor autorizate participante la derularea contractului. Şi în acest caz, în situaţia în care există persoane care urmează să participe la derularea contractului şi nu deţin autorizaţie de acces este necesară demararea, în paralel, şi a verificărilor pentru personal. Anexa de securitate este parte integrantă a fiecărui contract clasificat şi trebuie să cuprindă clauzele şi procedurile de securitate specifice fiecărui contract clasificat în parte. Aceasta se întocmeşte către autoritatea contractantă deţinătoare de informaţii clasificate şi se semnează de ambele părţi implicate în contract. Clauzele şi procedurile din anexă sunt supuse periodic verificărilor de către AAS competentă. Legislaţia în domeniu nu prevede un anumit format pentru anexa de securitate. Anexa trebuie întocmită de autoritatea contractantă deţinătoare de informaţii clasificate astfel încât prevederile acesteia să asigure o securitate corespunzătoare informaţiilor gestionate în cadrul contractului. Principalele cerinţe de securitate care ar trebui cuprinse în anexa de securitate sunt prezentate în continuare: - nivelul maxim de clasificare al informaţiilor gestionate în cadrul contractului este: secret, strict secret, strict secret de importanţă deosebită (se va preciza nivelul). contractul va fi pus în executare numai în condiţiile în care furnizorul a obţinut certificatul de securitate industrială eliberat de ORNISS, de nivel corespunzător informaţiilor gestionate în cadrul contractului; orice persoană care pe parcursul derulării contractului are acces la informaţii clasificate sau este responsabilă de contract trebuie să deţină certificat de securitate sau autorizaţie de acces la informaţii clasificate de nivel corespunzător, în conformitate cu legislaţia în vigoare; contractantul şi orice alt sub-contractant trebuie să se supună obligaţiei de a respecta reglementările legislaţiei
naţionale în domeniul securităţii informaţiilor clasificate, precizându-se despre ce acte normative este vorba; obţinerea de către contractor a aprobării scrise a autorităţii contractante înaintea începerii negocierilor în vederea sub-contractării unei părţi a contractului principal în care subcontractantul va avea acces la informaţii clasificate. Subcontractantul trebuie să se supună reglementărilor impuse de legislaţia naţională în domeniul securităţii informaţiilor clasificate şi prevederilor anexei de securitate la contract; returnarea în urma finalizării contractului a informaţiilor şi materialelor clasificate puse la dispoziţie, precum şi a celor generate în timpul contractului sau sub-contractelor, precizându-se perioada; se menţionează cazurile şi condiţiile în care acestea pot fi distruse de către contractant sau termenul până la care este autorizată păstrarea lor; informarea beneficiarului, a autorităţii abilitate de securitate şi ORNISS asupra oricăror încălcări sau posibile încălcări ale măsurilor de securitate, tentative, acte de sabotaj sau activităţi subversive, orice schimbări ale acţionariatului sau managementului furnizorului, alte schimbări care afectează statutul de securitate al contractantului; respectarea oricărei cerinţe de securitate venită din partea ORNISS, AAS competentă sau autorităţii contractante, cu privire la persoanele care au primit acces la informaţii şi materiale clasificate şi au semnat un angajament de confidenţialitate; lista clasificărilor de securitate, în care să se specifice activităţi/ informaţii/materiale clasificate care vor fi puse la dispoziţia contractantului şi cele generate pe parcursul derulării contractului, precum şi nivele de clasificare aferente; un ghid de clasificare al informaţiilor, dacă este cazul; cerinţe de securitate specifice contractului privind manipularea, multiplicarea, stocarea etc. a informaţiilor clasificate; - lista locurilor de execuţie a activităţilor în care se utilizează date şi informaţii clasificate (ex. locurile unde se desfăşoară activităţile de proiectare, producţie, testare în funcţie de specificul contractului, precizându-se categoriile de personal care participă, activităţile şi informaţiile necesare a fi protejate şi nivelul de secretizare); - precizări privind transportul materialelor clasificate;
- definiţiile termenilor utilizaţi în mod frecvent în cadrul contractului clasificat; - detalii despre persoanele de contact (managerii de proiect, funcţionarii de securitate) responsabile de contract ale ambelor părţi implicate; - cerinţe de securitate privind utilizarea şi acreditarea unui sistem informatic şi de comunicaţii pentru procesarea sau stocarea de informaţii clasificate în cadrul contractului, dacă este cazul. Anexa de securitate trebuie adaptată specificului fiecărui contract clasificat în parte iar deţinătorul informaţiei va impune acele cerinţe de securitate, în spiritul legii, astfel încât să se asigure că utilizatorul informaţiei îi asigură securitatea corespunzătoare. Contractorul, respectiv autoritatea contractantă deţinătoare de informaţii clasificate are o serie de obligaţii legate de activităţile contractuale clasificate, care sintetizate se referă la următoarele aspecte: • este responsabil pentru clasificarea şi definirea tuturor componentelor contractului; contractul se clasifică pe niveluri în funcţie de conţinutul informaţiilor, clasificându-se numai acele părţi ale contractului care trebuie protejate; • întocmeşte anexa de securitate şi pune un exemplar al acesteia la dispoziţia contractantului; • declanşează procedurile de clasificare şi protejare în conformitate cu reglementările în vigoare, în situaţia în care apare necesitatea protejării informaţiilor dintr-un contract care anterior nu a fost clasificat; • solicită contractantului să impună eventualilor subcontractanţi condiţii de securitate similare cu cele aplicate acestuia; • permite punerea în executare a contractului numai în condiţiile în care contractantul deţine certificat de securitate industrială iar personalul implicat care urmează să aibă acces la informaţii clasificate deţine autorizaţie de acces. Cerinţele generale pe care un obiectiv industrial trebuie să le îndeplinească pentru eliberarea certificatului de securitate industrială sunt în principiu aceleaşi cu cele prezentate în cadrul procedurii de eliberare a autorizaţiei de securitate industrială: • să posede structură/funcţionar de securitate responsabil cu protecţia informaţiilor clasificate care fac obiectul activităţilor contractuale; • să posede program de prevenire a scurgerii de informaţii clasificate, avizat de autoritatea competentă;
• să fie stabil din punct de vedere economic; • să nu fi înregistrat nici o greşeală de management cu implicaţii grave asupra stării de securitate a informaţiilor clasificate pe care le gestionează; • să fi respectat obligaţiile de securitate din cadrul contractelor clasificate derulate anterior; • personalul implicat în derularea contractului să deţină autorizaţii de acces de nivel egal cu cel al informaţiilor vehiculate în cadrul contractului clasificat. În sinteză, principalele obligaţii care revin contractantului în cadrul activităţilor contractuale clasificate se referă la următoarele aspecte: • pune în execuţie contractul clasificat numai în condiţiile în care: – deţine CSI; – personalul autorizat participant la derularea contractului a fost instruit asupra reglementărilor de securitate industrială de către structura de securitate şi a semnat fişa individuală de pregătire. • informează contractorul când decide să subcontracteze realizarea unei părţi din contractul clasificat. • impune subcontractanţilor condiţii de securitate similare cu cele aplicate contractantului (se asigură că aceştia deţin autorizaţie de securitate industrială în cazul negocierilor şi certificat de securitate industrială pentru derularea subcontractelor clasificate, după caz). • înapoiază contractorului toate informaţiile clasificate încredinţate sau generate pe perioada derulării contractului, cu excepţia cazului în care astfel de informaţii au fost distruse autorizat sau păstrarea lor a fost autorizată de către contractor pe o perioadă de timp strict determinată. • respectă procedura stabilită pentru protecţia informaţiilor clasificate legate de contract, stabilită prin anexa de securitate şi reglementările în materie. • menţine o legătură permanentă cu ORNISS şi autoritatea contractantă pe linia securităţii informaţiilor clasificate, prin intermediul funcţionarului de securitate; • informează ORNISS asupra tuturor modificărilor survenite privind datele de securitate incluse în chestionarul completat, pe întreaga durată de valabilitate a certificatului de securitate industrială. Orice modificare a datelor cuprinse în chestionarul de securitate industrială transmis la ORNISS împreună cu cererea de eliberarea de eliberare a certificatului de securitate industrială: schimbarea sediului social,
formei juridice, conducerii şi structurii de securitate, măsurilor de securitate etc. Modificările la chestionarul de securitate se transmit de către ORNISS autorităţii abilitate de securitate competente, sub formă de modificare la chestionarul de securitate industrială iniţial, într-un plic separat, sigilat, care va continua verificările de securitate sau, în cazul în care societăţii comerciale i s-a eliberat certificat de securitate industrială, va verifica dacă acestea sunt de natură să producă efecte avizului de securitate şi va informa ORNISS în consecinţă. Avizul de securitate eliberat de Autoritatea Abilitată de Securitate, în urma verificărilor de securitate, a căror amploare depinde de nivelul de clasificare al contractului, trebuie să asigure aceleaşi garanţii principale cu cele enumerate în cazul procedurii de eliberare a autorizaţiei de securitate industrială: • agentul economic nu prezintă riscuri de securitate; • sunt aplicate în mod corespunzător măsurile de securitate fizică şi a informaţiilor, prevăzute de reglementările în vigoare, precum şi normele privind accesul persoanelor la informaţii clasificate; • obiectivul este solvabil din punct de vedere economic. Verificările de securitate care stau la baza eliberării avizului de securitate se realizează pe nivele în funcţie de nivelul de secretizare al informaţiilor gestionate în cadrul contractului, urmărindu-se următoarele aspecte: a) verificarea corectitudinii datelor consemnate în chestionarul de securitate industrială (anexa pentru nivelul secret, anexa pentru nivelele strict secret şi strict secret de importanţă deosebită); b) evaluarea statutului de securitate al fiecărei persoane cu putere de decizie - asociaţi/acţionari, administratori, persoanele din comitetul director şi structura de securitate - ori executivă responsabilă şi implicată în derularea contractului clasificat; c) verificarea modului de implementare şi de aplicare a normelor şi măsurilor de securitate fizică, de securitate a personalului şi a documentelor, prevăzute pentru nivelul corespunzător; d) verificarea datelor referitoare la bonitatea şi stabilitatea economică a obiectivului industrial - domeniu şi obiect de activitate, statut juridic, acţionari, garanţii bancare; pentru nivele strict secret şi strict secret de importanţă deosebită verificările se extind şi asupra aspectelor referitoare la sucursale, filiale, firme la care este asociat, date financiare;
e) pentru nivele strict secret şi strict secret de importanţă deosebită se verifică existenţa autorizării sistemului informatic şi de comunicaţii propriu, pentru nivelul respectiv, dacă este cazul; f) în vederea clarificării datelor rezultate din chestionar se poartă discuţii cu proprietarii, membrii consiliului director, funcţionarii de securitate, angajaţii, după caz. Potrivit competenţelor, autorităţile abilitate de securitate vor verifica dacă obiectivul industrial îndeplineşte o serie de cerinţe şi anume: a) a numit o structură sau un funcţionar de securitate responsabil cu securitatea informaţiilor clasificate care fac obiectul activităţilor contractuale; b) asigură sprijinul necesar pentru efectuarea inspecţiilor de securitate periodice; c) aplică măsuri prin care se previne diseminarea, fără autorizaţie scrisă din partea emitentului, a nici unei informaţii clasificate care i-a fost încredinţată în cadrul derulării unui contract clasificat; d) a stabilit măsuri prin care aprobă accesul la informaţiile clasificate vehiculate în cadrul contractului numai persoanelor care deţin certificat de securitate sau autorizaţie de acces, în conformitate cu principiul necesităţii de a cunoaşte; e) dispune de posibilităţile necesare pentru a informa asupra oricărei compromiteri, divulgări, distrugeri, sustrageri, sabotaje sau activităţi subversive ori altor riscuri la adresa securităţii informaţiilor clasificate vehiculate sau a persoanelor angajate în negocierea contractului respectiv şi orice schimbări privind proprietatea, controlul sau managementul obiectivului industrial cu implicaţii asupra statutului de securitate al acestuia; f) interzice utilizarea în alte scopuri decât cele specifice contractului a informaţiilor clasificate la care are acces, fără permisiunea scrisă a emitentului; h) returnează toate informaţiile clasificate care i-au fost încredinţate, precum şi cele generate pe timpul derulării contractului, cu excepţia cazului în care asemenea informaţii au fost distruse autorizat sau păstrarea lor a fost autorizată de către autoritatea contractantă pentru o perioadă de timp strict determinată; i) respectă procedura stabilită pentru securitatea informaţiilor clasificate legate de contractul clasificat. După primirea avizului de securitate de la Autoritatea Abilitată de Securitate care a efectuat verificările de securitate, ORNISS va decide cu
privire la eliberarea certificatului de securitate industrială sau la respingerea cererii obiectivului industrial. Dacă se constată că sunt îndeplinite cerinţele de securitate necesare asigurării securităţii informaţiilor clasificate vehiculate în cadrul derulării contractului, ORNISS eliberează şi transmite obiectivului solicitant certificatul de securitate industrială. În situaţia în care se constată că obiectivul industrial nu îndeplineşte cerinţele de securitate ORNISS nu eliberează certificatul de securitate industrială şi informează în acest sens obiectivul industrial şi autoritatea abilitată de securitate care a efectuat verificările. Termenele pentru eliberarea certificatul de securitate industrială (CSI) cresc corespunzător nivelului de clasificare al contractelor astfel: • CSI de nivel secret – 90 zile lucrătoare; • CSI de nivel strict secret – 120 zile lucrătoare; • CSI de nivel strict secret de importanţă deosebită – 180 zile lucrătoare. Ca şi în cazul procedurii de eliberare a autorizaţiei de securitate industrială, 14 zile sunt alocate ORNISS pentru solicitarea avizelor de securitate şi eliberarea certificatului sau comunicarea refuzului către obiectivul industrial solicitant. Termenul de valabilitate pentru CSI este determinat de perioada derulării contractului, dar nu mai mult de 3 ani de la data eliberării, după care autoritatea contractantă este obligată să solicite revalidarea acestuia. Certificatul de securitate industrială se retrage de către ORNISS în următoarele cazuri: • la solicitarea obiectivului industrial; • la propunerea motivată a AAS competente; • la expirarea termenului de valabilitate; • la încetarea contractului; • la schimbarea nivelului de certificare acordat iniţial. Sancţiuni În condiţiile în care în conformitate cu Codul penal nu sunt considerate infracţiuni, următoarele fapte reprezintă contravenţii la normele privind securitatea informaţiilor clasificate în cadrul activităţilor contractuale: - deţinerea fără drept, sustragerea, divulgarea, alterarea sau distrugerea neautorizată a informaţiilor secrete de stat, constituie contravenţii la standardele privind securitatea informaţiilor clasificate în cadrul activităţilor contractuale;
- punerea în executare a unui contract clasificat fără certificat de securitate industrială eliberat de ORNISS; - participarea în procesul de derulare a contractului a persoanelor care nu deţin certificate de securitate pentru acces la informaţii clasificate sau a persoanelor autorizate care nu au fost instruite asupra reglementărilor de securitate de către structura/funcţionarul de securitate sau care nu au semnat fişa individuală de pregătire. Securitatea industrială în cadrul NATO Securitatea informaţiilor NATO clasificate este reglementată la nivelul structurilor NATO prin Politica de securitate NATO C-M (2002)49 şi directivele de aplicare a acesteia AC/35. Aceste documente stabilesc principiile de bază şi standardele minime de securitate care trebuie aplicate de statele membre NATO şi structurile civile şi militare NATO în scopul prevenirii pierderii confidenţialităţii, integrităţii şi disponibilităţii informaţiei. În conformitate cu aceste standarde, securitatea industrială este definită ca fiind aplicarea măsurilor şi procedurilor de securitate în scopul prevenirii pierderii, compromiterii informaţiilor clasificate care au fost încredinţate şi identificării şi recuperării celor compromise sau pierdute. Reglementările NATO dedicate domeniului securităţii industriale sunt: C-M (2002)49 enclosure „G” (Politica de securitate NATO - securitatea industrială), AC/35- D/2003-REV2 (Directiva privind securitatea industrială) şi AC/35-D/1036 (Linii directoare privind securitatea industrială), însă, pentru a avea o imagine corectă şi completă asupra problematicii trebuie avute în vedere şi standardele NATO referitoare la securitatea personalului, securitatea fizică, securitatea informaţiilor şi INFOSEC. Responsabilităţi generale ale statelor membre NATO Fiecare stat membru NATO are obligaţia de a desemna o autoritate naţională de securitate (ANS) şi poate desemna, dacă este necesar, şi una sau mai multe autorităţile abilitate de securitate (AAS). În accepţiunea NATO noţiunea de AAS este diferită de cea definită în legislaţia naţională. Standardele NATO definesc AAS ca fiind o autoritate subordonată ANS, responsabilă de transmiterea politicii naţionale de securitate către industrie şi de acordarea de sprijin şi consultanţă pentru implementarea acesteia. Înainte de a transmite către industrie informaţii NATO clasificate, fiecare stat membru NATO, prin intermediul propriului ANS/AAS , trebuie:
- să se asigure că potenţialul contractant, contractant/subcontractant şi locaţia/locaţiile acestuia au capacitatea de a proteja informaţii NATO clasificate de nivel NATO CONFIDENTIAL (NC) şi superior; - să elibereze certificat NATO de securitate industrială obiectivului industrial de nivel corespunzător; - să elibereze certificat NATO de securitate pentru persoanele care ocupă funcţii ce necesită acces la informaţii NATO clasificate de nivel NC şi superior; - să se asigure că accesul la informaţii NATO clasificate este limitat numai la acele persoane care îndeplinesc principiul need-to-know pentru scopul derulării programului/proiectului; - să implementeze, când şi unde este necesar, procedurile NATO în scopul păstrării reciproce a secretului invenţiilor; - să elibereze, la cererea unui ANS/AAS dintr-un stat membru NATO sau a unei structuri militare sau civile NATO, certificate de securitate persoanelor din sfera de competenţă, în scopul participării la contracte NATO clasificate; - să coordoneze activităţile de transport şi vizite internaţionale în conformitate cu cerinţele NATO cuprinse în politica de securitate şi directiva privind securitatea industrială; - să coordoneaze investigarea cazurilor în care se cunoaşte sau există suspiciuni privind pierderea informaţiilor NATO clasificate puse la dispoziţie sau generate în cadrul unui contract sau divulgarea acestora către persoane neautorizate. Fiecare stat membru NATO trebuie să respecte cerinţele privind investigarea prevăzute în politica de securitate NATO şi în directivele de aplicare şi să informeze alte state membre NATO afectate, prin intermediul NOS, cu privire la detaliile producerii unui astfel de eveniment; - să se asigure că orice locaţie în care urmează să se utilizeze informaţii NATO clasificate este numită cel puţin o persoană cu responsabilităţi nemijlocite în domeniul protecţiei informaţiilor NATO clasificate (funcţionar de securitate). Această persoană va fi responsabilă pentru limitarea accesului la informaţii NATO clasificate la acele persoane care au fost certificate şi au necesitatea de a cunoaşte; Responsabilităţi generale ale Oficiul de Securitate NATO La nivelul NATO, politica de securitate NATO în domeniul securităţii industriale şi directivele de aplicare sunt elaborate de Comitetul de Securitate NATO (NSC), iar Oficiul de Securitate NATO (NOS) asigură agenţiilor de management a proiectelor NATO asistenţă şi consiliere în toate
aspectele privind securitatea industrială şi supervizează implementarea politicilor şi directivelor de securitate NATO în cadrul proiectelor. Totodată NOS furnizează, la cerere, asistenţă ANS/AAS din statele membre NATO, precum şi obiectivelor industriale implicate în proiecte clasificate şi desfăşoară inspecţii periodice în scopul evaluării măsurilor de securitate aplicate de ANS/AAS şi de obiectivele industriale angajate în contractele NATO clasificate administrate de o agenţie NATO competentă. Cerinţe minime de securitate pentru contracte NATO clasificate - certificatul NATO de securitate industrială Standardele NATO în domeniul securităţii informaţiilor NATO clasificate prevăd obligativitatea potenţialilor contractanţi / subcontractanţi, implicaţi în activităţi contractuale clasificate, de a deţine certificat de securitate industrială de nivel corespunzător nivelului maxim de clasificare al informaţiilor gestionate în cadrul negocierii/derulării contractului. Pentru participarea la negocierea şi derularea contractelor care implică acces la informaţii NATO RESTRICTED nu este necesar certificatul de securitate industrială. În cazul contractelor principale care se atribuie de agenţia de management a proiectului NATO, această structură verifică deţinerea de către potenţialul contractant a certificatului de securitate industrială de nivel corespunzător nivelului maxim de clasificare al informaţiilor gestionate în cadrul contractului, prin contactarea ANS/AAS din statul respectiv. ANS/AAS din statele implicate vor colabora, informându-se reciproc asupra oricăror elemente care pot apărea şi afecta statutul de securitate al contractanţilor/subcontractanţilor implicaţi în contracte NATO clasificate. Fiecare contract clasificat trebuie să conţină o anexă de securitate care va include o listă a clasificărilor de securitate sau, în cazul contractelor de amploare, instrucţiuni de securitate ale proiectului care vor conţine un ghid al clasificărilor de securitate. Anexa de securitate sau instrucţiunile de securitate ale proiectului se transmit ANS/AAS şi contractantului principal de către agenţia de management a proiectului, iar în cazul subcontractării se transmit anexe de securitate contractantului principal, subcontractanţilor şi ANS/AAS din statele de care aparţin. Responsabilitatea atribuirii nivelului de clasificare elementelor programului/proiectului referitoare la un produs în care toate elementele sunt clar definite şi clasificarea lor prederminată revine agenţiei de management a proiectului care lucrează în colaborare cu ANS/AAS din statele NATO participante. Clasificarea informaţiilor asociate cu posibile subcontracte se
va face în baza anexei de securitate sau instrucţiunilor de securitate ale proiectului. ANS/AAS din fiecare stat membru NATO este responsabil să se asigure că orice obiectiv industrial care urmează să aibă acces la informaţii clasificate de nivel NATO CONFIDENTIAL sau superior îndeplineşte condiţiile necesare pentru eliberarea certificatului de securitate industrială. Angajaţii obiectivului industrial care urmează să aibă acces la informaţii clasificate trebuie să fie certificaţi şi instruiţi înainte de eliberarea certificatului de securitate industrială. Verificările de securitate efectuate în scopul eliberării CSI trebuie să vizeze: - integritatea şi probitatea companiei care urmează să aibă acces la informaţii clasificate de nivel NATO CONFIDENTIAL şi superior; - statutul de securitate al proprietarilor, directorilor, personalului executiv şi angajaţilor obiectivului industrial şi al altor persoane care în virtutea poziţiilor pot avea acces la informaţii NATO clasificate sau coordonează un contract NATO clasificat, în scopul asigurării că aceştia deţin certificate de securitate corespunzătoare; - aranjamentele de securitate pentru securitatea informaţiilor NATO clasificate în locaţia obiectivului industrial, în sensul asigurării concordanţei cu politica de securitate NATO şi directivele de implementare a acesteia. În procesul de eliberare a certificatului se securitate industrială, ANS/AAS va evalua măsura în care circumstanţele prezentate reprezintă o ameninţare la adresa informaţiilor NATO clasificate la care urmează să aibă acces obiectivul industrial, iar dacă este cazul va întreprinde măsurile necesare pentru minimalizarea riscului înainte de a elibera sau menţine certificatul de securitate industrială. În cazul în care un ANS/AAS decide modificarea sau retragerea certificatului de securitate industrială, acesta are obligaţia de a informa ANS/AAS şi agenţia de management a proiectului care au fost notificate iniţial cu privire la eliberarea certificatului de securitate industrială pentru o anumită companie. În mod asemănător trebuie să se procedeze în cazul în care se respinge cererea de eliberare a certificatului de securitate pentru personalul implicat în activităţi contractuale clasificate sau se retrage un certificat deja deţinut. Ca şi în cazul reglementărilor naţionale, reglementările NATO în domeniul securităţii industriale prevăd posibilitatea eliberării pentru personal a certificatelor de securitate provizorii. În cazuri excepţionale, în care obiectivele militare majore sunt serios afectate sau când există alte raţiuni
întemeiate şi nu este posibil să se obţină certificarea în timp util, se pot face aranjamente provizorii sau se poate permite accesul la informaţii NATO clasificate o singură dată numai în cazurile în care persoanele vizate sunt cetăţeni ai statelor membre NATO iar informaţiile implicate nu au nivel de clasificare mai mare decât NATO SECRET şi nu sunt informaţii speciale. Perioada de valabilitate a certificatelor provizorii trebuie stabilită şi notificată de ANS/AAS din statul care eliberează documentul şi nu trebuie să fie mai mare decât timpul necesar prevăzut la nivel naţional pentru eliberarea certificatului de securitate. Vizite internaţionale clasificate În cazul contractelor NATO clasificate, atât reglementările NATO în domeniu, cât şi ordinul directorului general al ORNISS în domeniul securităţii industriale prevăd proceduri pentru vizitele internaţionale legate de un program/ proiect/contract. Vizitele internaţionale care implică acces la informaţii NATO clasificate au la bază cererea de vizită care trebuie să cuprindă date privind: - instituţia, obiectivul solicitant; - instituţia, obiectivul care urmează a fi vizitat; - data/datele vizitei/vizitelor; - tipul vizitei; - subiectul care va fi discutat/justificarea vizitei; - nivelul de clasificare al informaţiilor anticipat a fi accesate; - scopul vizitei; - date despre vizitatori; - confirmarea ANS/AAS privind deţinerea certificatelor de securitate. Acestea se aprobă de ANS/AAS din statul membru unde urmează să aibă loc vizita, în următoarele condiţii: - vizita are un scop oficial în legătură cu activităţi NATO; - vizitatorul deţine certificat de securitate corespunzător şi este necesar să cunoască informaţiile clasificate privind proiectul, programul sau activitatea NATO respectivă. Vizitele care implică accesul la informaţii clasificate NATO RESTRICTED şi NATO UNCLASSIFIED pot fi planificate direct între structura de securitate a vizitatorului şi cea a obiectivului vizitat. Procedura se aplică următoarelor tipuri de vizite: • unice – vizite cu un scop precis, cu o durată mai mică de 30 de zile şi a căror repetare nu se previzionează înainte de un an de la data încheierii vizitei;
• periodice – vizite repetate pe o perioadă determinată, care în mod normal nu depăşesc un an şi sunt organizate pentru un scop precis; • de urgenţă – vizită unică, al cărei caracter de urgenţă şi importanţă fac imposibilă aplicarea procedurii normale de solicitare. Vizitele unice şi periodice se iniţiază prin cererea de vizită, trimisă de către solicitantul vizitei instituţiei sau obiectivului gazdă, prin intermediul ANS-urilor din ţările implicate. Sunt permise modificări la cererea de vizită, însă acestea sunt limitate la: - vizite unice – data vizitei; adăugiri sau eliminări de persoane; - vizite repetate – adăugiri sau eliminări de persoane. Modificările/ştergerile vor fi transmise prin mijloacele cele mai rapide şi la îndemâna ANS/AAS al statului gazdă. Amendamentele care prevăd date calendaristice anterioare faţă de cele prevăzute în original nu vor fi acceptate. Cererile pentru vizitele de urgenţă nu pot fi modificate. Înainte de a permite vizitatorului accesul la informaţii NATO, obiectivul industrial ce urmează a fi vizitat va verifica dacă: a) vizitatorul posedă autorizaţie din partea ANS/AAS propriu; b) vizitatorul prezintă actele de identificare corespunzătoare; c) nivelul de autorizare prezentat în cererea de vizită să fie corespunzător vizitei şi scopului declarat. De asemenea, obiectivele vizitate trebuie să păstreze evidenţa tuturor vizitatorilor şi să se asigure că aceştia au acces numai la informaţiile NATO clasificate legate de obiectul vizitei. Cererile de vizite se procesează în termene cuprinse între 10 şi 25 de zile, în funcţie de termenul stabilit de fiecare stat membru NATO. Cererile de vizite repetate/periodice se vor folosi pentru toate contractele clasificate rezultate din programe/proiecte NATO. Acestea sunt valabile pe o perioadă de un an de la data prevăzută în cererea de vizită şi, după caz, vor fi reavizate anual. Dacă, cu cel puţin trei zile lucrătoare înainte de data vizitei unice, ANS/AAS solicitantă nu primeşte obiecţiuni din partea ANS/AAS a statului gazdă, vizita poate avea loc. Vizitele de urgenţă sau neplanificate se desfăşoară numai în situaţii excepţionale când nu se pot respecta procedurile standard pentru vizite unice sau repetate. Acestea trebuie să îndeplinească una din următoarele condiţii: a) să fie legate de o cerere oficială a NATO privind o ofertă sau o cerere de ofertă; b) să reprezinte un răspuns la o invitaţie specială a guvernului statului gazdă sau a agenţiei de management a proiectului/programului;
c) să fie afectată negativ realizarea unui proiect/program NATO sau să existe riscul pierderii oportunităţii de afaceri în cazul în care vizita nu ar avea loc. Cererile pentru vizite de urgenţă trebuie analizate cu atenţie, argumentate şi analizate de către structura de securitate sau de funcţionarul de securitate al solicitantului. Ultimele actualizări aduse reglementărilor NATO referitoare la vizitele internaţionale clasificate prevăd şi o procedură specială. Datorită faptului că timpul de procesare al cererilor de vizită care implică acces la informaţii NATO clasificate variază de la un stat la altul, s-a apreciat că acest aspect poate avea implicaţii serioase asupra unor programe/proiecte NATO. Din acest considerent s-a convenit ca atunci când procedurile standard de vizite (unice, repetate, de urgenţă) nu pot fi aplicate, se poate agrea, dacă legislaţiile naţionale ale statelor implicate permit, o procedură specială care să asigure o protecţie similară cu cea asigurată prin procedurile standard. Făcând o paralelă între certificatele de securitate industrială NATO şi naţionale, putem afirma că reglementările NATO în domeniu se regăsesc şi în reglementările naţionale privind securitatea informaţiilor NATO clasificate menţionate. Anumite diferenţe pot fi constatate însă între manierele de abordare pentru certificatul de securitate industrială NATO şi certificatul de securitate industrială naţional. În cazul contractelor NATO clasificate accesul persoanelor juridice la informaţii NATO clasificate de un anumit nivel, atât în cazul procedurii de atribuire a contractului, cât şi pe perioada derulării acestuia, se face în baza certificatului de securitate industrială de nivel corespunzător, spre deosebire de cazul contractelor naţionale clasificate în care este necesară autorizaţia de securitate industrială pentru negociere şi certificatul de securitate industrială pentru derularea contractului clasificat. Certificatul de securitate industrială NATO de un anumit nivel este valabil pe o perioadă de trei ani de la data eliberării pentru orice negociere şi/sau derulare de contract clasificat care implică accesul la informaţii NATO clasificate de nivelul respectiv. Certificatul de securitate industrială naţional este valabil pe perioada derulării unui anumit contract clasificat, dar nu mai mult de trei ani de la data eliberării. În cazul contractelor naţionale clasificate un document obligatoriu pentru iniţierea procedurii de eliberare a certificatului de securitate industrială este anexa de securitate, spre deosebire de situaţia contractelor NATO clasificate unde anexa de securitate trebuie transmisă la ORNISS, în
scopul verificării respectării prevederilor acesteia, înainte de punerea în executare a contractului. De asemenea certificatul de securitate industrială naţional nu face o distincţie clară între cazurile în care obiectivul industrial deţine şi nu deţine capabilităţi fizice de stocare a informaţiilor clasificate aşa cum se face în cazul acordării certificatului de securitate industrială NATO. În concluzie, conceptul de securitate naţională şi internaţională a evoluat şi poartă amprenta fenomenelor globale şi transnaţionale cu impact deosebit în planul diversităţii şi complexităţii noilor forme de manifestare a riscurilor şi ameninţărilor clasice şi internaţionale. Conceptul de securitate se identifică, deopotrivă, cu securitatea a tot ce afectează bazele statului de drept, dar şi pe cele ale organizaţiilor internaţionale. Trecerea la o economie bazată pe informaţie impune acordarea unei atenţii sporite securităţii informaţiilor clasificate încredinţate industriei. Creşterea preocupărilor pentru asigurarea securităţii informaţiilor clasificate se reflectă în dinamica actualizărilor duse reglementărilor NATO în domeniu, aspect care implică armonizarea în consecinţă a legislaţiilor statelor membre. Se poate afirma că principiile fundamentale de securitate care guvernează domeniul securităţii industriale se regăsesc în reglementările naţionale, NATO şi ale UE, însă se observă diferenţe de abordare în procedurile de aplicare ale acestor principii. În Anexa nr.3 sunt prezentate, ca exemplu, unele consideraţii privind securitatea industrială în Canada. Se poate constata că experienţa canadiană mai îndelungată în domeniul securităţii informaţiilor clasificate se reflectă în norme şi instrucţiuni de securitate mai detaliate şi în punctarea cu rigurozitate a unor elemente de procedură pentru certificarea de securitate industrială. 8.1.5 Securitatea informaţiilor clasificate, vehiculate în format electronic (INFOSEC) Securitatea informaţiilor clasificate în România nu este o activitate nouă, însă a fost concentrată pe asigurarea securităţii informaţiilor vehiculate pe suport de hârtie sau a celei înglobate în diverse materiale. În trecut, securitatea formei intangibile a informaţiei, informaţia vehiculată în format electronic, a constituit obiect de preocupare numai pentru un număr mic de personal, în special al celui din serviciile speciale, fără a exista o cultură de securitate la nivelul utilizatorilor obişnuiţi.
În anul 2002, legislaţia în domeniul securităţii informaţiilor clasificate a fost modificată şi adaptată nivelului tehnologic al mileniului trei, termenul „INFOSEC” fiind utilizat pentru prima dată într-un act normativ. Astfel, articolul 237 din cuprinsul Hotărârii Guvernului nr.585/2002, pentru aprobarea standardelor naţionale de protecţie a informaţiilor clasificate, defineşte INFOSEC ca fiind „ansamblul măsurilor şi structurilor de protecţie a informaţiilor clasificate prelucrate, stocate sau transmise prin intermediul sistemelor informatice de comunicaţii şi al altor sisteme electronice, împotriva ameninţărilor şi a oricăror acţiuni care pot aduce atingere confidenţialităţii, integrităţii, disponibilităţii, autenticităţii şi nerepudierii informaţiilor clasificate, precum şi afectarea funcţionării sistemelor informatice, indiferent dacă acestea apar accidental sau intenţionat”. În conformitate cu politica de securitate a NATO, CM(2002)49, reflectată în legislaţia naţională referitoare la securitatea informaţiilor NATO clasificate, INFOSEC reprezintă aplicarea măsurilor de securitate în vederea protejării informaţiilor procesate, stocate sau transmise prin intermediul sistemelor informatice, de comunicaţii şi al altor sisteme electronice împotriva pierderii confidenţialităţii, integrităţii sau disponibilităţii, în mod accidental sau deliberat, precum şi împotriva pierderii integrităţii şi disponibilităţii sistemelor în sine. De asemenea, trebuie luat în considerare şi faptul că, în vederea atingerii obiectivelor securităţii, trebuie implementat un ansamblu echilibrat de măsuri de securitate (fizică, de personal, a informaţiilor şi INFOSEC), care creează un mediu operaţional sigur în care poate opera un sistem informatic de comunicaţii sau alt tip de sistem electronic. Glosarul Naţional de Securitate al Sistemelor Informaţionale, publicat de Naţional Security Telecommunications and Information Systems Security Committee (Comitetul Naţional de Securitate al Sistemelor Informatice şi de Telecomunicaţii) din cadrul guvernului federal al SUA, defineşte securitatea sistemelor informatice (INFOSEC): „Securitatea sistemelor informatice împotriva accesului neautorizat la informaţie sau a modificării neautorizate a informaţiei, în cadrul stocării, procesării sau transmiterii şi împotriva refuzului deservirii utilizatorilor autorizaţi sau asigurarea deservirii utilizatorilor autorizaţi, incluzând acele măsuri necesare pentru a detecta, documenta sau contracara aceste ameninţări.” Această abordare este corectă până la un anumit punct, dar se limitează la sisteme informatice şi de comunicaţii fără a lua în considerare şi aspectele legate de organizarea procesului, structuri implicate sau reglementările tehnice sau operaţionale.
De asemenea, termenul INFOSEC mai poate fi definit ca reprezentând ansamblul normelor, structurilor şi măsurilor de securitate destinate securităţii informaţiilor clasificate procesate, stocate sau transmise în cadrul sistemelor informatice şi de comunicaţii sau al altor sisteme electronice, precum şi detectării, documentării şi contracarării riscurilor la adresa acestor informaţii. Prin această definiţie se pot evidenţia următoarele aspecte: • vizează securitatea informaţiei în ansamblu; • abordează unitar toate aspectele de securitate ale informaţiei clasificate: • nu se limitează la securitatea informaţiilor clasificate; • nu se concentrează numai pe suportul informaţiei, se pune accent şi asupra procesului de asigurare a securităţii sub toate aspectele; • vizează şi alte tipuri de sisteme, măsuri şi structuri cu responsabilităţi în derularea procesului de management al riscului; • tratează şi măsurile şi/sau acţiunile pro-active, cu implicarea tuturor structurilor ce contribuie la securitatea informaţiilor vehiculate în format electronic. Cadrul legal care guvernează securitatea informaţiilor clasificate în format electronic în România. În prezent, cadrul legal care guvernează domeniul INFOSEC se compune, în afara legislaţiei domeniului informaţiilor clasificate, din directive, metodologii şi instrucţiuni tehnice INFOSEC aprobate prin ordin al directorului general al Oficiului Registrului Naţional al Informaţiilor Secrete de Stat., publicate în Monitorul Oficial al României, începând cu anul 2002 până în prezent7. Legea 182/2002 privind protecţia informaţiilor clasificate defineşte ca principal obiectiv al securităţii informaţiilor clasificate (alături de securitatea acestora împotriva acţiunilor de spionaj, compromitere sau acces neautorizat, alterării sau modificării conţinutului acestora, precum şi împotriva sabotajelor ori distrugerilor neautorizate), realizarea securităţii sistemelor informatice şi de transmitere a informaţiilor clasificate. De asemenea, actul normativ evidenţiază faptul că măsurile ce decurg din aplicarea legii sunt destinate: a) să prevină accesul neautorizat la informaţiile clasificate; 7
În Monitorul Oficial al României, partea I-a. se publică numai ordinele de aprobare a directivelor, metodologiilor sau instrucţiunilor tehnice. Conţinutul acestor ordinele de aprobare publicate în Monitorul Oficial al României, se transmit numai persoanelor de drept public sau privat, îndreptăţite.
b) să identifice împrejurările, precum şi persoanele care, prin acţiunile lor, pot pune în pericol securitatea informaţiilor clasificate; c) să garanteze că informaţiile clasificate sunt distribuite exclusiv persoanelor îndreptăţite, potrivit legii, să le cunoască; d) să asigure securitatea fizică a informaţiilor, precum şi a personalului necesar securităţii informaţiilor clasificate. Ordonanţa de Urgenţă a Guvernului nr. 153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat stabileşte atribuţiile acestuia în domeniul INFOSEC, respectiv art. 4, lit. j „asigură, prin intermediul agenţiilor specializate, implementarea Standardelor naţionale de protecţie a informaţiilor clasificate în România şi a Normelor privind protecţia informaţiilor clasificate NATO şi UE, referitoare la informaţiile stocate în cadrul sistemelor informatice şi de comunicaţii”. În conformitate cu prevederile Legii nr.182/2002 privind protecţia informaţiilor clasificate, informaţiile sunt orice documente, date, obiecte sau activităţi, indiferent de suport, formă, mod de exprimare sau de punere în circulaţie iar informaţiile clasificate reprezintă informaţiile, datele, documentele de interes pentru securitatea naţională, care, datorită nivelurilor de importanţă şi consecinţelor care s-ar produce ca urmare a dezvăluirii sau diseminării neautorizate, trebuie să fie protejate. Hotărârea Guvernului nr.585/2002 pentru aprobarea standardelor naţionale de protecţie a informaţiilor clasificate în România defineşte informaţiile în format electronic ca reprezentând: texte, date, imagini, sunete, înregistrate pe dispozitive de stocare sau pe suporturi magnetice, optice, electrice ori transmise sub formă de curenţi, tensiuni sau câmp electromagnetic, în eter sau în reţele de comunicaţii. De asemenea, în cadrul secţiunii dispoziţii generale din cadrul Capitolului VIII „Protecţia surselor generatoare de informaţii – INFOSEC” sunt definite obiectivele securităţii informaţiilor clasificate, respectiv: • confidenţialitate: asigurarea accesului la informaţii clasificate numai pe baza certificatului de securitate al persoanei, în acord cu nivelul de secretizare a informaţiei accesate şi a permisiunii rezultate din aplicarea principiului nevoii de a cunoaşte; • integritate: interdicţia modificării - prin ştergere sau adăugare - ori a distrugerii în mod neautorizat a informaţiilor clasificate • disponibilitate: asigurarea condiţiilor necesare regăsirii şi folosirii cu uşurinţă, ori de câte ori este nevoie, cu respectarea strictă a condiţiilor de confidenţialitate şi integritate a informaţiilor clasificate
Cadrul organizatoric, la nivel naţional, realizat în vederea asigurării securităţii informaţiilor clasificate în format electronic. ORNISS(Autoritatea Naţională de Securitate) asigură coordonarea sistemului naţional de securitate a informaţiilor clasificate în format electronic, astfel: • asigură, prin intermediul agenţiilor specializate, implementarea Standardelor naţionale de securitate a informaţiilor clasificate în România şi a Normelor privind securitatea informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, referitoare la securitatea informaţiilor stocate în cadrul sistemelor de prelucrare şi transmitere automată a datelor; • acreditează şi reacreditează sistemele de securitate a informaţiilor clasificate. Autorităţile Abilitate de Securitate (AAS ) stabilesc, pentru domeniul lor de activitate şi responsabilitate, structuri şi măsuri proprii privind coordonarea şi controlul activităţilor referitoare la protecţia informaţiilor clasificate. • Structuri interne INFOSEC – responsabile de gestionarea tuturor activităţilor aferente procesului de acreditare de securitate a sistemelor informatice şi de comunicaţii din cadrul AAS, pentru necesităţile proprii; • Componente de securitate pentru tehnologia informaţiei şi comunicaţiilor (CSTIC) / Autorităţi operaţionale ale sistemelor informatice şi de comunicaţii (AOSIC) ( definite în HG nr.585/2002, respectiv HG nr.353/2002) • Entităţi evaluatoare: evaluatori ai sistemelor de protecţie a informaţiilor clasificate, laboratoare de evaluare. În domeniul INFOSEC, prin intermediul agenţiilor specializate, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat îndeplineşte atribuţii de reglementare, control, autorizare şi evidenţă privind sistemele de securitate a informaţiilor clasificate care sunt stocate, procesate sau transmise în format electronic. Sintagma „informaţii clasificate care sunt stocate, procesate sau transmise în format electronic” se referă la informaţiile clasificate naţionale, NATO, UE şi ale statelor cu care România a încheiat tratate, înţelegeri sau acorduri privind securitatea informaţiilor clasificate. Totodată, ORNISS coordonează şi răspunde de elaborarea politicii de securitate a informaţiilor în format electronic, în conformitate cu prevederile naţionale, armonizate cu
standardele NATO, UE şi în acord cu tratatele ori înţelegerile bilaterale şi multilaterale privind securitatea informaţiilor, la care România este parte. În compunerea ORNISS, cele trei agenţii specializate sunt prezentate după cum urmează: • Agenţia de Acreditare de Securitate – AAS - este agenţia responsabilă de acreditarea de securitate a sistemelor informatice şi de comunicaţii; • Agenţia de Securitate pentru Informatică şi Comunicaţii – ASIC este agenţia responsabilă de conceperea şi implementarea mijloacelor şi metodelor de protecţie a informaţiilor clasificate vehiculate în cadrul sistemelor informatice şi de comunicaţii; • Agenţia pentru Distribuirea Materialului Criptografic – ADMC este agenţia responsabilă de managementul materialelor şi echipamentelor criptografice. Responsabilităţile ORNISS, în domeniul INFOSEC, pot fi sintetizate după cum urmează: • elaborarea de reglementări privind: o acreditarea sistemelor de securitate a informaţiilor în format electronic; o acreditarea structurilor care susţin procesul de acreditare de securitate a acestor sisteme; o acreditarea producătorilor de produse de securitate din domeniul tehnologiei informaţiei şi comunicaţiilor; o cerinţele tehnice minime de securitate în domeniul tehnologiei informaţiei şi comunicaţiilor. • acordarea acreditării pentru: o sisteme de protecţie a informaţiilor clasificate vehiculate în format electronic; o producători de produse de securitate din domeniul tehnologiei informaţiei şi comunicaţiilor; o structuri care sprijină procesul de acreditare de securitate a SIC. • acordarea certificării pentru: o produse de securitate din domeniul tehnologiei informaţiei şi comunicaţiilor; o nivelul de încredere în securitatea sistemelor informatice şi de comunicaţii. • analizarea bazelor de date, cuprinzând: o incidentele de securitate în domeniul INFOSEC;
o ameninţările şi vulnerabilităţile cunoscute la adresa sistemelor informatice şi de comunicaţii, precum şi la adresa produselor hardware şi software, în vederea estimării riscurilor de securitate. Măsuri de securitate INFOSEC reprezintă un ansamblu echilibrat de măsuri de securitate. Rezolvarea acestui puzzle, prezentat în figura următoare, conduce la asigurarea obiectivelor securităţii informaţiilor clasificate.
Principalele componente ale INFOSEC sunt: • COMPUSEC (securitatea calculatoarelor); • COMSEC (securitatea comunicaţiilor); o CRYPTO (securitatea criptografică); o TRANSEC (securitatea transmisiilor); o TEMPEST (securitatea fizică a materialului criptografic). COMPUSEC Securitatea calculatoarelor (COMPUSEC) reprezintă aplicarea la nivelul fiecărui calculator a facilităţilor de securitate hardware, software şi firmware, pentru a preveni divulgarea, manevrarea, modificarea sau ştergerea neautorizată a informaţiilor clasificate ori invalidarea neautorizată a unor funcţii; COMSEC Securitatea comunicaţiilor (COMSEC): reprezintă ansamblul de măsuri aplicate în vederea prevenirii accesului persoanelor neautorizate la
informaţii transmise prin intermediul sistemelor de comunicaţii şi a asigurării autenticităţii acestor informaţii. Securitatea comunicaţiilor include securitatea criptografică, securitatea transmisiilor, securitatea emisiilor, precum şi securitatea fizică a materialului criptografic. Securitatea criptografică (CRIPTO) Criptarea (cifrarea) este un mecanism puternic de asigurare a confidenţialităţii. Ea asigură confidenţialitatea datelor atunci când mecanismele de împiedicare a accesului la date au eşuat. Este un lucru înţelept să folosim şi criptarea, deoarece sistemele informatice sunt foarte complexe (atât din punct de vedere al hardului, cât şi din punct de vedere al softului), aşa că pot apărea breşe în sistemele de restricţionare a accesului (după cum se cunoaşte probabilitatea ca o ameninţare să exploateze o vulnerabilitate a sistemului nu poate fi niciodată egală cu zero). Daca mecanismul de criptare a datelor este puternic şi aplicat în mod corespunzător, atacatorul va avea în faţă nişte date pe care nu va putea să le folosească. În cadrul criptografiei, criptarea se defineşte ca fiind procesul de aducere a informaţiei din forma ei iniţială, inteligibilă, într-o formă neinteligibilă, astfel încât să fie imposibil de citit de deţinători neautorizaţi, posesori ai unor cunoştinţe secrete sau privilegii speciale. Textul iniţial, care se doreşte a fi protejat, se numeşte text în clar, iar rezultatul criptării se numeşte text cifrat sau criptogramă. Decriptarea (descifrarea) este procesul invers, de recuperare a textului în clar din textul cifrat. Există două mari categorii de cifruri: cu cheie simetrică, respectiv cu cheie asimetrică8. Criptografia cu cheie simetrică • Cifrurile cu cheie simetrică folosesc aceeaşi cheie pentru criptare şi decriptare (sau cheia pentru decriptare este relativ uşor de calculat din cheia pentru criptare). Mai este numită şi criptografie cu cheie privată. Dezavantajul major al acestei metode constă în asigurarea confidenţialităţii cheii pe timpul transmiterii către beneficiatul autorizat. • Cifrurile cu cheie simetrică pot fi clasificate în cifruri bloc şi cifruri secvenţiale. Cifrurile secvenţiale criptează informaţia bit cu bit, spre deosebire de cifrurile bloc, care criptează succesiv din mesaj blocuri de biţi de o anumită lungime. Între cele două categorii există o dualitate, în sensul că pot fi făcute să opereze într-o manieră asemănătoare categoriei opuse. 8
Conform disertaţiei întocmite la încheierea cursului postuniversitar „Managementul informaţiei” de dl. ing. Marian Nidelea, director în cadrul ORNISS, Universitatea Valahia Târgovişte, 2007
Există de asemenea unele sisteme criptografice primitive care pot fi abilitate ca fiind criptografie cu cheie simetrică. Un exemplu îl constituie funcţiile hash criptografice, care produc un rezumat (hash) al mesajului. În timp ce sunt foarte uşor de calculat, ele sunt foarte greu de inversat (one-way). Astfel, cineva trimite un mesaj şi îi calculează hash-ul, apoi trimite mesajul împreună cu hash-ul către receptor. Receptorul primeşte mesajul şi calculează la rândul lui hash-ul. Dacă cele două valori diferă, înseamnă că mesajul a fost modificat. Este practic imposibil ca un intrus care interceptează mesajul să-l modifice astfel încât aplicarea funcţiei de hash să dea aceeaşi valoare cu valoarea iniţială. Criptografia cu cheie asimetrică Criptarea cu cheie simetrică are un deficit care provoacă probleme serioase pentru că două persoane care doresc să schimbe între ei mesaje confidenţiale trebuie să partajeze o cheie secretă. Cheia trebuie transmisă într-un mod sigur şi nu prin mijloacele prin care ar comunica în mod normal. Acest lucru de obicei nu este convenabil şi criptografia asimetrică (cu cheie publică) asigură o alternativă. În criptografia cu cheie publică se folosesc două chei, o cheie publică şi o cheie privată. Cheia publică este folosită pentru criptare, iar cea privată pentru decriptare printr-un algoritm puternic. Aceasta înseamnă că o persoană poate trimite fără nici o problemă cheia publică printr-un canal de comunicaţii nesigur şi totuşi să fie sigură că doar ea va putea decripta mesajele. Algoritmii cu cheie publică se bazează de obicei pe formule matematice dificil de rezolvat. Mai este folosită şi criptografia bazată pe curbe eliptice, care poate fi mai eficientă. Securitatea transmisiilor - TRANSEC reprezintă componenta securităţii comunicaţiilor care abordează securitatea transmisiilor de informaţii împotriva interceptării şi exploatării, prin aplicarea de măsuri de securitate, altele decât cele criptografice. Obiectivele TRANSEC sunt următoarele: o minimizarea probabilităţii de interceptare; o minimizarea probabilităţii de detecţie; o asigurarea protecţiei împotriva semnalelor de bruiaj. TEMPEST reprezintă un nume de cod atribuit de Guvernul SUA pentru desemnarea unui set de standarde referitoare la măsuri de limitare a radiaţiilor electrice sau electromagnetice emise de echipamentele electronice. În timp, mai în glumă mai în serios, a fost definit în multiple moduri, fiecare definiţie conţinând un sâmbure de adevăr: - Terribly Expensive Method of Protecting Equipment or Systems and Testing;
- Terrible Electro-Magnetic Pulses Emitting Secret Things - Transient ElectroMagnetic PulsE Surveillance Technology - Telecommunications Electronics Material Protected from Emanating Spurious Transmissions Pe scurt, TEMPEST reprezintă radiaţia neintenţionată a semnalelor electromagnetice, ce pot conţine informaţii compromiţătoare (sensibile), din cadrul echipamentelor electronice. În continuare, prezentăm două exemple de propagare a emisiilor compromiţătoare prin conducţia pe linie de alimentare şi radiaţiile electromagnetice, aşa cum se poate vedea din cele două imagini.
Pentru soluţionare, acţionează EMSEC (ELECTROMAGNETIC SECURITY) care se ocupă de studierea şi implementarea tehnologiilor, în vederea prevenirii exploatării fenomenului electromagnetic. Acest sistem intervine pentru atenuarea vulnerabilităţilor sistemelor de calcul şi a
echipamentelor electronice sau pentru reducerea efectelor atacurilor intenţionate. Mecanismele INFOSEC utilizate în vederea realizării securităţii sistemelor informatice şi de comunicaţii, vizează: o evaluarea, prin examinarea detaliată, din punct de vedere al securităţii, a produselor sau structurilor INFOSEC; o certificarea, emiterea unui document oficial, bazat pe o analiză independentă a unei evaluări şi a rezultatelor acestei evaluări, conform căruia produsul sau structura evaluat(ă) satisface un set de criterii predefinit; o acreditarea, autorizarea acordată unui SIC de a prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu. De asemenea, acreditarea poate reprezenta autorizarea unei entităţi pentru a desfăşura anumite activităţi în sprijinul procesului de evaluare, certificare sau acreditare de securitate a SIC, după caz, şi activităţi de producţie şi evaluare de securitate pentru produse de securitate IT. În vederea realizării unui sistem informatic şi de comunicaţii şi asigurarea securităţii corespunzătoare nivelului informaţiilor clasificate vehiculate în cadrul acestuia, încă din etapa de proiectare se vor lua în considerare riscurile la adresa sistemului. Riscul de securitate reprezintă probabilitatea ca o ameninţare la adresa unui sistem (la modul general) să exploateze o vulnerabilitate a sistemului de securitate al acestuia. Managementul riscului de securitate pentru sistemele care vehiculează informaţii clasificate este un proces continuu şi complex care se desfăşoară pe toată durata ciclului de viaţă al unui sistem (CVS), începând cu faza de proiectare şi până la dezafectarea acestuia. Managementul riscului cuprinde două etape: • etapa de analiză a riscului de securitate: prin care se determină în ce măsură o ameninţare posibilă se extinde asupra sistemului informatic şi de comunicaţii, precum şi care este riscul asociat acestei ameninţări; • etapa de reducere a riscului de securitate: constă în ierarhizarea, evaluarea şi implementarea măsurilor de securitate, recomandate în cadrul etapei de analiză a riscului, pentru reducerea riscurilor. Măsurile de securitate necesare reducerii riscurilor se implementează într-un complex echilibrat, proporţional cu mărimea riscului la adresa sistemului după o analiză profundă a raportului cost/beneficiu. Mai pe scurt,
riscurile nu pot fi eliminate în totalitate dar se vor lua acele măsuri de securitate care pot fi susţinute din punct de vedere financiar şi care micşorează riscul la un nivel rezidual, care poate fi acceptat de autoritatea de acreditare. Am precizat faptul că managementul riscului reprezintă un proces continuu şi complex care se realizează pe toată durată ciclului de viaţă al unui sistem. În esenţă, ciclul de viaţă al oricărui sistem informatic cuprinde următoarele etape: o iniţializare; o dezvoltare/achiziţie; o implementare; o operare/întreţinere; o dezafectare. În cadrul fiecărei etape sunt mai multe activităţi necesar a fi efectuate: În cadrul etapei de iniţializare se evaluează sensibilitatea informaţiilor care urmează a fi vehiculate în sistem de către un colectiv format din reprezentanţii managementului şi experţi care cunosc la nivel de detaliu fluxul informaţiilor în cadrul autorităţii persoanei juridice de drept public sau privat (autoritate a administraţiei publice centrale sau locale, instituţii ale statului, companii private, etc). Etapa de dezvoltare/achiziţie va include stabilirea cerinţelor de securitate pe care sistemul informatic şi de comunicaţii trebuie să le îndeplinească. Cerinţele de securitate sunt stabilite şi în funcţie de nivelul de sensibilitate al informaţiilor vehiculate şi de rezultatele analizei riscului. În funcţie de cerinţele de securitate necesare a fi îndeplinite se stabilesc specificaţiile configuraţiei hardware şi software a sistemului informatic şi de comunicaţii. Ulterior achiziţiei sistemului pot fi necesare confirmări (certificări) ale existenţei şi funcţionalităţii cerinţelor de securitate determinate anterior. Etapa de implementare include instalarea / pornirea controalelor de securitate necesare in vederea satisfacerii cerinţelor de securitate stabilite anterior. În cadrul ciclului de viaţă al unui sistem informatic şi de comunicaţii instruirea de securitate a personalului este un pas necesar dar deseori neglijat. Pentru personalul cu atribuţii în domeniul securităţii sistemului este recomandat ca instituţia sau compania privată să planifice fonduri necesare participării la cursuri de specialitate cu teme specifice securităţii IT, în mod regulat, activităţi finalizate cu certificări profesionale. Acreditarea de securitate a unui sistem informatic şi de comunicaţii (SIC), aşa cum s-a menţionat anterior, reprezintă autorizarea acordată acestuia de a
prelucra informaţii clasificate, în spaţiul/mediul operaţional propriu. Este obligatoriu ca toate SIC să fie acreditate înainte de a stoca, procesa sau transmite informaţii clasificate. Procesul de acreditare de securitate are la bază: o managementul riscului; o elaborarea, analiza, evaluarea şi avizarea documentaţiei de securitate; o verificarea mediilor de securitate, precum si a modului de implementare şi respectare a măsurilor de securitate în concordanţă cu cerinţele de securitate, atât prin activităţi de evaluare si testare a securităţii, cât şi prin activităţi de certificare de securitate. Etapa de operare / întreţinere din cadrul ciclului de viaţă al unui sistem informatic cuprinde următoarele: o operarea şi administrarea de securitate – reprezintă funcţionarea în condiţii de securitate a SIC acreditat. De respectarea şi menţinerea măsurilor de securitate aprobate sunt responsabili atât utilizatorii sistemului cât şi personalul cu atribuţii în domeniul securităţii; o siguranţa operării (monitorizare, audit) – presupune respectarea procedurilor manuale sau automate implementate în vederea furnizării detaliilor despre anumite evenimente relevante privind utilizarea în condiţii de securitate a SIC şi a procedurilor de reacţie la evenimente specifice. o administrarea schimbărilor – în vederea asigurării faptului că orice modificări aduse sistemului nu influenţează facilităţile de securitate ale acestuia. o reacreditarea periodică – este un proces prin care se asigură faptul că măsurile de securitate aprobate sunt implementate şi respectate Pe scurt, procesul de securitate IT al unui SIC se desfăşoară în mod continuu, începând cu: o etapa de planificare - în cadrul căreia se stabileşte politica de securitate IT a sistemului şi construirea unui concept de securitate IT; o etapa de implementare – a măsurilor de securitate necesare, instruirea şi conştientizarea utilizatorilor sistemului; o etapa de întreţinere – în care un rol important îl joacă auditul de securitate al sistemului. În societatea modernă, atât în domeniul public cât şi în cel privat, din ce în ce mai multe activităţi sunt realizate prin intermediul facilităţilor oferite de dezvoltarea tehnologiei IT. Această dezvoltare a condus la o expansiune a reţelelor informatice, creşterea volumului şi importanţei datelor
•
stocate şi la proliferarea mijloacelor informatice. De aceea, multe organizaţii din domeniul public şi privat sunt în totalitate dependente de buna funcţionare a sistemelor informatice proprii sau a celor cu care sunt interconectate. O organizaţie îşi poate atinge obiectivele doar dacă reuşeşte să îşi utilizeze resursele informatice într-un mod adecvat şi sigur. În concluzie, este necesară acordarea unei atenţii deosebite securităţii informatice, în prezent şi în perspectivă, deoarece cheltuielile pentru măsurile de securitate IT sunt ca şi vitaminele pentru organismul uman: nu vei şti niciodată de ce suferă decât după ce renunţi la utilizarea lor. Un prim pas în dimensionarea măsurilor de securitate este, aşa cum am precizat anterior, managementul riscului. Etapa de analiză a riscului din cadrul acestui proces cuprinde şi determinarea vulnerabilităţilor specifice sistemului informatic analizat. Practica a evidenţiat că vulnerabilităţile au la bază unele elemente specifice sistemelor informatice şi de comunicaţii, cum ar fi: existenţa unor componente numeroase şi fragile; • capacitatea mijloacelor de stocare a informaţiilor; • dificultatea de a controla şi dirija accesibilitatea la informaţiile conţinute de sistem; • sistemele informatice permit relaţionarea şi analizarea datelor care, luate în mod individual, sunt inofensive; • complexitatea sistemelor şi a programelor folosite fac fiecare componentă esenţială pentru buna funcţionare a sistemului; • informaţia este disponibilă la distanţă, poate fi copiată rapid, modificată sau distrusă; • sistemele emit radiaţii (unele compromiţătoare - efectul TEMPEST) care pot fi captate şi valorificate informativ; • funcţionarea sistemelor este total dependentă de furnizarea energiei electrice; • funcţionarea unei reţele complexe presupune circulaţia unui număr important de persoane. Măsurile de securitate necesar a fi implementate pentru asigurarea protecţiei informaţiilor, atât clasificate cât şi neclasificate, în funcţie de gradul lor de sensibilitate, sunt de regulă, împărţite în mai multe domenii ale securităţii: securitatea fizică, securitatea personalului, securitatea informaţiilor şi INFOSEC cu componentele prezentate anterior: COMPUSEC (securitatea hardware şi software, protecţie antivirus, managementul şi auditul automat al securităţii, etc.), CRIPTO (securitatea
criptografică), TEMPEST continuarea activităţii.
(securitatea
emisiilor),
măsurile
pentru
Securitatea fizică. Este obligatoriu ca locaţiile (zonele) în care sunt gestionate informaţii sensibile să fie protejate prin măsuri de securitate fizică. Măsurile de securitate fizică sunt necesare pentru prevenirea accesului neautorizat la suportul informaţiilor, efectuarea de operaţiuni neautorizate, blocarea resurselor şi serviciilor SIC, precum şi pentru a proteja echipamentul valoros şi sensibil al SIC. Cu aplicabilitate la securitatea informaţiilor în format electronic se defineşte „ZONA SIC” ca fiind o zonă în care se găsesc şi operează calculatoare, unităţi periferice locale şi de stocare, mijloace de control şi echipament specific de reţea şi de comunicaţii. Această zonă trebuie delimitată şi protejată în conformitate cu procedurile de asigurare a securităţii fizice. „Zona SIC” - nu include zona staţiilor de lucru aflate la distanţă, chiar dacă aceste echipamente sunt conectate la echipamentul central de calcul din zona SIC. Pentru staţiile de lucru aflate la distanţă se stabilesc proceduri specifice de asigurare a securităţii fizice. Mediile de securitate care trebuie avute în vedere la proiectarea unui sistem de securitate a informaţiilor în care sunt vehiculate şi informaţii clasificate în format electronic sunt: • mediul de securitate global; • mediul de securitate local; • mediul de securitate electronic. Mediul de Securitate Global (MSG) reprezintă mediul de securitate general în care se află SIC. El cuprinde tot ceea ce poate avea impact asupra securităţii SIC şi este în afara controlului fizic direct al Autorităţii Operaţionale a SIC (AOSIC), şi prin urmare, este considerat ca fiind de competenţa funcţionarului de securitate al obiectivului. Ca cerinţă minimă, MSG trebuie considerat ca acoperind mediul fizic general al SIC (de exemplu, o clădire sau o locaţie sigură). Mediul de Securitate Local (MSL) reprezintă mediul de securitate din domeniul de responsabilitate al AOSIC. În anumite cazuri, MSL poate fi limitat de un perimetru fizic sigur care înconjoară întregul SIC. În alte cazuri, pur şi simplu printr-o linie conceptuală de demarcaţie a responsabilităţilor privind măsurile de securitate între AOSIC şi funcţionarul de securitate al obiectivului. Specificaţia privind MSL trebuie să ia în considerare orice zonă internă unde se aplică standarde diferite de securitate (de exemplu, zone Clasa I, zone Clasa II şi zone administrative).
Mediul de Securitate Electronic (MSE) defineşte sistemul informatic şi de comunicaţii în sine în termeni de securitate, identificând limitele semnificative de securitate ale SIC într-un context electronic sau de procesare. MSE cuprinde diverse controale electronice din cadrul SIC, printre acestea putând a fi enumerate elementele de identificare şi autentificare (conturi, parole, etc.), permisiunile de acces la informaţii, precum şi limitele MSE. Dintre limitele Mediului de securitate electronic, fără a fi o prezentare exhaustivă, pot fi enumerate următoarele: • interfeţe om-maşină – interfaţa pentru mediul neelectronic; • interfeţe interne – interfeţe în interiorul şi între părţi ale SIC care reprezintă clase de securitate diferite, de exemplu, zonele de securitate din interiorul SIC; • interfeţele pentru SIC care funcţionează conform unor diferite cerinţe de securitate; • interfeţe externe – pentru reţelele externe de comunicaţii. O exemplificare grafică sugestivă a zonelor de securitate este prezentată în figura următoare. Sunt reprezentate zonele de securitate cu drepturi de acces diferenţiate în funcţie de necesitatea de a cunoaşte şi certificatele de securitate deţinute. Pe baza acestora se realizează o strategie de control al accesului între diferitele zone de securitate ale organizaţiei. De asemenea trebuie stabilite proceduri de acces în zonele de securitate în timpul şi în afara orelor de program. MSG MSL MSE
Securitatea personalului. Pentru utilizatorii sistemelor informatice şi de comunicaţii care vehiculează informaţii clasificate se impune obligativitatea deţinerii unui certificat de securitate. Accesul la informaţii clasificate se face pe baza principiului nevoii de a cunoaşte (need-to-know)
şi în funcţie de nivelul de clasificare al informaţiilor, corelat cu nivelul certificatului de securitate. De asemenea, este obligatoriu ca personalul implicat în activităţi de instalare, întreţinere, administrare a SIC să fie autorizat din punct de vedere al securităţii. Contractele de întreţinere a SIC care vehiculează informaţii clasificate trebuie să specifice şi cerinţele privind accesul contractantului în zona de operare a SIC (cazurile în care este permis accesul, supravegherea de către personal autorizat, intervale orare în care sunt permise intervenţiile, etc.). SIC care vehiculează informaţii clasificate sunt acreditate să opereze pe anumite perioade şi în diverse moduri de operare. Modul de operare al unui sistem informatic se determină în funcţie de două criterii: nivelul certificatelor de securitate ale personalului şi necesitatea de a cunoaşte. Modurile de operare ale unui sistem informatic şi de comunicaţii sunt: • DEDICAT; • NIVEL ÎNALT; • MULTINIVEL. În modul de operare "DEDICAT" toate persoanele cu drept de acces la SIC au certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise în cadrul SIC. Necesitatea de cunoaştere pentru aceste persoane se referă la toate informaţiile stocate, procesate sau transmise în cadrul SIC. 1. În acest mod de operare principiul nevoii de a cunoaşte (need-to-know) nu impune o cerinţă expresă de separare a informaţiilor, ca mijloc de securitate a SIC. 2. Celelalte domenii ale securităţii (de exemplu: securitatea fizică, securitatea personalului) vor satisface cerinţele impuse de cel mai înalt nivel de clasificare şi de toate categoriile de informaţii cu destinaţie specială stocate, procesate sau transmise în cadrul SIC. În modul de operare "NIVEL ÎNALT" toate persoanele cu drept de acces la SIC au certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise în cadrul SIC, dar accesul la informaţii se face diferenţiat, conform principiului nevoii de a cunoaşte. 1. Faptul că în acest mod accesul la informaţii se face diferenţiat, conform principiului nevoii de a cunoaşte, înseamnă că trebuie să existe în compensaţie facilităţi de securitate care să asigure un mod de acces selectiv la informaţiile din cadrul SIC.
2. Celelalte domenii ale securităţii (de exemplu: securitatea fizică, securitatea personalului) vor satisface cerinţele de securitate pentru cel mai înalt nivel de clasificare şi pentru toate categoriile de informaţii cu destinaţie specială stocate, procesate, transmise în cadrul SIC. În modul de operare "MULTINIVEL" nu toate persoanele cu drept de acces la SIC au certificat de securitate pentru acces la informaţii de cel mai înalt nivel de clasificare, care sunt stocate, procesate sau transmise prin SIC. De asemenea, nu toate persoanele cu acces la SIC au acces la toate informaţiile stocate, procesate, transmise în cadrul său, accesul la informaţii făcându-se diferenţiat, conform principiului nevoii de a cunoaşte, ţinând cont că modul de operare protejat permite stocarea, procesarea sau transmiterea informaţiilor cu diferite niveluri de clasificare şi de diverse destinaţii şi că nu toate persoanele sunt autorizate pentru cel mai înalt nivel de clasificare. Combinat cu faptul că accesul la informaţii se face diferenţiat, conform principiului nevoii de a cunoaşte, înseamnă că trebuie să existe în compensaţie facilităţi de securitate care să asigure un mod selectiv de acces la informaţiile din cadrul SIC. Securitatea informaţiilor. În funcţie de nivelul maxim de clasificare al informaţiilor vehiculate în SIC, nivelul certificatelor de securitate deţinute de personal şi diferenţierea în funcţie de necesitatea de a cunoaşte, administratorul de securitate va stabili: o modul de operare de securitate; o politica de parole, respectiv numărul de caractere, complexitatea acesteia; o politica de acordare a drepturilor de acces ale utilizatorilor. Administratorul de securitate al SIC poate repartiza utilizatorii în mai multe grupuri stabilind totodată şi fişierele sau/şi aplicaţiile care sunt comune şi pot fi accesate numai de către utilizatorii grupului respectiv, precum şi fişierele şi aplicaţiile care pot fi accesate individual şi cu anumite drepturi de către fiecare utilizator. Utilizatorii pot fi membri ai mai multor grupuri, dacă este necesar. Drepturile de acces referitoare la fişiere şi aplicaţii sunt: dreptul de vizualizare, dreptul de scriere şi dreptul de lansare în execuţie. O altă componentă a securităţii informaţiilor se referă la securitatea mediilor de stocare (hard-disk, CD, DVD, floppy-disk, memorii flash). Aici trebuie precizat că toate mediile de stocare a informaţiilor clasificate trebuie să fie marcate corespunzător nivelului de clasificare al informaţiilor pe care le conţin.
Marcarea reprezintă un mijloc de identificare (număr de înregistrare şi marcajul nivelului de clasificare) pentru fiecare mediu de stocare şi informaţie, în mod separat. Marcarea informaţiilor clasificate are drept scop atenţionarea persoanelor care le gestionează sau le accesează că sunt în posesia unor informaţii în legătură cu care trebuie aplicate măsuri specifice de acces şi protecţie, în conformitate cu legea. În acest sens trebuie să existe o evidenţă clară a tuturor mediilor de stocare, din care să rezulte toate operaţiunile care au fost efectuate cu acestea până la declasificarea / distrugerea lor. Evidenţa automată sau manuală a accesului la informaţiile clasificate se ţine în registrele de acces. Perioada de păstrare a registrelor de acces la informaţii clasificate este de 10 ani pentru nivelul de clasificare strict secret de importanţă deosebită (SSID) / NATO COSMIC TOP SECRET(CTS)/TRÉS SECRET UE şi minim 3 ani pentru nivelul de clasificare strict secret / NATO SECRET/SECRET UE. Pentru mediile de stocare de nivel SSID / NATO CTS sau din Categoria Specială se aplică următoarele reguli: • evidenţa şi mediile de stocare - în cadrul Sistemului Naţional de Registre; • mediile de stocare - inventariate anual; • periodic verificate punctual – existenţa fizică şi conţinutul. Pentru mediile de stocare de nivel strict secret / NATO SECRET, SECRET / NATO CONFIDENTIAL / CONFIDENTIEL UE şi NATO RESTRICTED / RESTREINT UE: o evidenţa şi mediile de stocare - în cadrul Sistemului Naţional de Registre; o periodic verificate punctual – existenţa fizică şi conţinutul. Ştergerea, declasificarea şi reutilizarea mediilor de stocare se realizează astfel: • informaţiile clasificate înregistrate pe medii de stocare refolosibile se şterg numai conform procedurilor stabilite în PrOpSec, aprobate de autoritatea de acreditare; • mediul de stocare poate fi declasificat, numai după ştergerea completă, cu tehnici de suprascriere certificate în funcţie de nivelul de clasificare al informaţiei; • dacă mediul de stocare nu mai poate fi şters şi declasificat, trebuie distrus printr-o procedură aprobată. COMPUSEC (securitatea calculatoarelor), ca parte a domeniului securităţii INFOSEC, reprezintă aplicarea la nivelul fiecărui calculator a
facilităţilor de securitate hardware, software şi firmware, pentru a preveni divulgarea, manevrarea, modificarea sau ştergerea neautorizată a informaţiilor clasificate ori invalidarea neautorizată a unor funcţii. În vederea asigurării măsurilor de securitate hardware, componente ale COMPUSEC sunt stabilite proceduri şi instrucţiuni referitoare la: o pornirea/oprirea echipamentelor; o conectarea / deconectarea echipamentelor în reţea; o sigilarea echipamentelor (verificări regulate ale sigiliilor de pe echipamente); o securizarea configuraţiei echipamentelor în regim de întreţinere / reparaţii. o întreţinere periodică; o reconectarea terminalelor / staţiilor de lucru aflate la distanţă deconectate din motive de siguranţă. Procedurile în vederea asigurării măsurilor de securitate trebuie să includă: • nivelul de autorizare necesar pentru modificarea configuraţiei echipamentului, introducerea de hardware şi software nou sau schimbarea oricărei componente hardware, inclusiv placa de bază care poate stoca, procesa sau transmite informaţii clasificate; • orice restricţii impuse referitoare la realizarea sau nu a întreţinerilor periodice; • detalii referitoare la procedurile de diagnosticare; • specificaţii referitoare la programele de întreţinere periodică, inclusiv instrucţiuni pentru identificarea rapoartelor de diagnosticare care pot conţine informaţii clasificate; • detalii de securitate referitoare la identificarea, păstrarea şi controlul pieselor de schimb şi accesoriilor Măsurile de securitate software sunt stabilite prin proceduri şi instrucţiuni referitoare la: o stabilirea conturilor de utilizator - proceduri de stabilire a conturilor utilizatorilor, a grupurilor de utilizatori şi de alocare a identificatorilor utilizatorilor, proceduri de ştergere a conturilor utilizatorilor în cazul plecării personalului de la post sau atunci când a fost detectată o compromitere a contului respectiv; o metode şi mecanisme de autentificare - include proceduri referitoare la protecţia informaţiilor de autentificare (de exemplu, parole sau metode biometrice), procedurile de control şi schimbare, autoritatea
emitentă, ţinerea înregistrărilor de control şi de către cine, frecvenţa schimbării şi procedurile utilizate pentru mecanismul de autentificare; o controlul accesului include proceduri de implementare a controlului accesului liber şi/sau obligatoriu la informaţii/servicii/dispozitive, proceduri pentru stabilirea drepturilor utilizatorilor şi permisiuni pentru utilizarea serviciilor şi resurselor SIC, detalii despre autorităţile responsabile şi tinerea evidenţelor privind controlul; o utilizarea software-ului de arhivare/back-up – include proceduri referitoare la modalităţile de efectuare a back-up-ului, de către cine, când, pe ce medii de stocare. o controlul copiilor - controlul asupra facilităţilor de copiere sau de modificare ale sistemului de operare, cu detalii despre autoritatea şi documentaţia necesară; o utilizarea software-ului de audit şi a procedurilor de validare - ce, de către cine, cu ce frecvenţă şi ce înregistrări se păstrează Protecţia anti-virus include: • proceduri de verificare a sistemelor de operare instalate, a pachetelor software şi a programelor utilitare, privind prezenţa viruşilor sau a altui software maliţios, incluzând proceduri pentru ştergerea acestora în cazul detectării lor; • proceduri pentru verificarea conţinutului mediilor de stocare (informaţii şi software) primite din surse externe, incluzând proceduri pentru dezinfectarea lor; • proceduri pentru raportarea incidentelor cauzate de viruşi. Măsurile de protecţie împotriva radiaţiilor electromagnetice compromiţătoare se iau în funcţie de nivelul acestora şi de nivelul de clasificare al informaţiilor vehiculate în sistem. În vederea stabilirii nivelului optim de protecţie este necesară efectuarea de măsurători ale nivelului radiaţiilor electromagnetice, de către organisme autorizate. Pentru exemplificare, în figurile următoare sunt prezentate două cazuri de poziţionare a echipamentelor: 1. Dacă staţia de lucru se află în interiorul clădirii, iar curtea din jurul clădirii (spaţiul controlabil) asigură o distanţă minimă de protecţie până la zona publică. Nivelul radiaţiilor electromagnetice este diminuat şi nu sunt necesare măsuri suplimentare de securitate TEMPEST. În vederea diminuării conducţiei pe liniile de alimentare se aplică un filtru de frecvenţă. Dacă în interiorul MSE există emiţătoare radio (telefoane mobile, staţii de emisie recepţie, etc.) este necesară luarea unor măsuri de protecţie
TEMPEST a echipamentelor sau a locaţiei în care se află acestea, în funcţie de considerentele financiare.
Zonă inspectabilă (spatiu controlat)
Zonă publică
Emiţător radio Filtru Cablu electric
2. Dacă nu există spaţiu inspectabil sau acesta este foarte redus şi în funcţie de rezultatele măsurătorilor efectuate de organismele specializate se vor implementa măsuri de protecţie TEMPEST pentru echipamente sau pentru locaţie.
Filtru
Reţea
Securitatea transmisiilor. Atunci când un emiţător doreşte să transmită o informaţie cu un anumit nivel de sensibilitate prin medii de comunicaţii publice, apare pericolul interceptării. În transmiterea informaţiilor clasificate prin intermediul mediilor de comunicaţii este obligatorie utilizarea
criptoarelor. Prin utilizarea acestora, prin mediul public de comunicaţii circulă informaţie criptată, neinteligibilă pentru un eventual interpus. TRANSEC este acea componentă a INFOSEC ce rezultă din măsurile proiectate pentru securitatea transmisiilor împotriva interceptării şi exploatării prin diferite mijloace, altele decât criptanaliza. Unele metode utilizate frecvent pentru protecţia transmisiilor împotriva interceptării sunt: o saltul de frecvenţă - într-un sistem cu salt de frecvenţă, emiţătorul şi receptorul operează simultan pe o anumită frecvenţă pentru o perioadă foarte scurtă (de obicei mai puţin de o secundă) înainte de a face saltul la o altă frecvenţă. o inundarea fluxului - ocuparea în permanenţă a circuitului de comunicaţii şi stabilirea unei ferestre de timp în care sunt transmise informaţii cu un anumit nivel de sensibilitate. o spectrul dispers - o tehnică de comunicaţii în care informaţia modulată este transmisă pe o bandă de frecvenţă considerabil mai mare decât lărgimea de bandă ce conţine informaţia iniţială. Sistemele informatice şi de comunicaţii (SIC) sunt, în prezent, elemente vitale pentru îndeplinirea responsabilităţilor şi atribuţiilor instituţiilor ce drept public şi privat. Din această cauză este obligatoriu ca serviciile şi resursele unui SIC să fie efectiv operaţionale, fără întreruperi de lungă durată. Elaborarea „Planului pentru continuarea activităţii în situaţii de urgenţă” (PCA) este obligatorie pentru toate SIC care vehiculează informaţii clasificate. Planul pentru Continuarea Activităţii trebuie să cuprindă: • detalii despre metodele de realizare / păstrarea / utilizare a copiilor de back-up; • frecvenţa realizării salvărilor de siguranţă; • proceduri de distrugere / recuperare a informaţiilor în caz de urgenţă; • proceduri de exersare a măsurilor de urgenţă; Cazuri în care este necesară implementarea măsurilor cuprinse în PCA: • defecţiuni hardware; • atac cu software nociv; • căderea legăturilor de comunicaţii; • variaţii ale tensiunii de alimentare sau căderea acesteia; • aspecte privind mediul ambiant;
• acţiuni subversive, sabotaj, terorism, ameninţări cu bombă. În concluzie, securitatea sistemelor informatice şi de comunicaţii şi a altor sisteme electronice, reprezintă o activitate complexă care necesită cunoştinţe din mai multe discipline, se desfăşoară pe toată durata ciclului de viaţă al sistemului, iar personalul implicat în acest proces se regăseşte atât la nivelul conducerii organizaţiei cât şi nivelul utilizatorilor cu drepturi restrânse. 9 Evenimentele din 11 Septembrie 2001 au arătat că pregătirea reacţiei în cazul apariţiei unui incident poate face diferenţa între întreruperea activităţii urmată de restabilire şi catastrofă. În timp ce unele companii cum ar fi Morgan Stanley, American Express au reuşit să îşi reia activitatea normală în decurs de câteva zile de la eveniment, alte companii au suferit pierderi iremediabile ale resurselor organizaţionale, multe dintre acestea intrând în faliment. Se apreciază că 150 dintre cele 350 de companii afectate direct de eveniment nu au reuşit să îşi continue activitatea. În baza atribuţiilor de reglementare exercitate de ORNISS, în aprilie 2005, a fost emisă, prin ordin al Directorului General al ORNISS „Metodologia privind elaborarea planului pentru continuarea activităţii în situaţii de urgenţă pentru sisteme informatice şi de comunicaţii care vehiculează informaţii clasificate-DS 7”. Toate persoanele juridice publice şi private care deţin sisteme informatice şi de comunicaţii care vehiculează informaţii clasificate au obligaţia de a implementa un Plan pentru Continuarea Activităţii, elaborarea, conformitatea şi periodicitatea testării lui fiind verificate în cursul procesului de acreditare de securitate a sistemului informatic şi de comunicaţii. Elaborarea acestui plan este o etapă ulterioară desfăşurării procesului de analiză a riscului şi se bazează pe analiza impactului asupra misiunii, identificarea măsurilor preventive de securitate, elaborarea strategiei de restabilire. Strategia de restabilire a resurselor şi serviciilor sistemului informatic şi de comunicaţii cuprinde o combinaţie de metode şi măsuri de securitate care să acopere, pe cât posibil, o gamă cât mai largă de situaţii de urgenţă. Între măsurile specifice se poate aminti politica de backup a datelor critice şi stabilirea locaţiei de rezervă. Experienţa a demonstrat că păstrarea copiilor într-o locaţie din afara Mediului Local de Securitate al sistemului informatic şi de comunicaţii, dar care să corespundă cerinţelor de securitate impuse de 9
PLANUL PENTRU CONTINUAREA ACTIVITĂŢII în situaţii de urgenţă pentru sisteme informatice şi de comunicaţii care vehiculează informaţii clasificate – DS 7 (Monitorul Oficial al României, partea I-a, nr. 383 din 06.05.2005)
nivelul de clasificare a informaţiilor salvate pe aceste copii de siguranţă, reprezintă cea mai bună practică recomandată. Planul pentru continuarea activităţii trebuie să cuprindă şi activităţi de înştiinţare a echipelor de intervenţie, cu precizarea lanţului ierarhic, a responsabililor şi înlocuitorilor acestora. 8.2 Managementul incidentelor de securitate 8.2.1. Incidentul de securitate-delimitări conceptuale Noţiunea de incident de securitate este abordată şi chiar definită, în mod nuanţat în legislaţia de specialitate a României, în Politica de securitate a NATO [Documentul C-M 49(2002)] şi în Regulamentul de securitate al Consiliului Uniunii Europene. În Normele de securitate a informaţiilor NATO clasificate (HG 353/2002), incidentul de securitate nu este definit în mod explicit. În schimb, Standardele naţionale definesc incidentul de securitate ca fiind orice acţiune sau inacţiune contrară reglementărilor de securitate a cărei consecinţă a determinat sau este de natură să determine compromiterea informaţiilor clasificate. În documentul Politica de securitate a NATO, încălcarea reglementărilor de securitate este tratată nuanţat, în funcţie de compromiterea sau necompromiterea informaţiilor NATO clasificate. Astfel, incidentul de securitate (Breach of security) este definit ca fiind: o faptă sau omisiune, deliberată sau accidentală, contrară Politicii de securitate a NATO şi directivelor sale de implementare, care provoacă o reală sau posibilă compromitere a informaţiilor NATO clasificate. Dacă nu are loc o compromitere a informaţiilor NATO clasificate, Politica de securitate a NATO consideră că: o faptă sau o omisiune, deliberată sau accidentală, contrară Politicii de securitate NATO şi a directivelor sale de implementare, este Security Infraction, sintagmă pe care am tradus-o prin abatere de la reglementările de securitate, pentru că, mot-amot, infracţiune de securitate sună mai grav decât incident de securitate. Pentru exemplificare, nu sunt considerate ca fiind compromiteri: o lăsarea informaţiilor NATO clasificate neprotejate în interiorul unui obiectiv industrial sigur în care toate persoanele sunt verificate corespunzător; o absenţa unei duble împachetări de protecţie a informaţiilor clasificate.
În Regulamentul de securitate al Consiliului Uniunii Europene, incidentul de securitate este definit ca fiind: un act sau o omisiune contrară unei reguli de securitate a Consiliului sau a unuia dintre statele membre UE şi susceptibilă de a pune în pericol sau compromite informaţii UE clasificate. Potrivit art. 57 din „Normele cadru privind securitatea informaţiilor UE clasificate”, incidentul de securitate reprezintă orice acţiune sau inacţiune, contrară reglementărilor de securitate, ale cărei consecinţe au determinat sau sunt de natură să determine compromiterea informaţiilor clasificate. Informaţia UE clasificată se consideră compromisă atunci când îşi pierde integritatea, confidenţialitatea sau disponibilitatea. Abaterea de la reglementările de securitate reprezintă o încălcare a reglementărilor de securitate care nu conduce la o compromitere a informaţiei clasificate. Implicaţiile unei abateri de la reglementările de securitate sunt analizate, investigate şi soluţionate de către structura/funcţionarul de securitate din cadrul instituţiei în care aceasta a avut loc.
După cum reiese din figura de mai sus, în toate definiţiile incidentul de securitate este legat de compromiterea informaţiilor clasificate, noţiune care, la rândul ei, este definită nuanţat. 8.2.2 Compromiterea informaţiilor clasificate Potrivit Standardelor naţionale, informaţia clasificată este compromisă atunci când: • şi-a pierdut integritatea;
• •
a fost rătăcită ori pierdută; a fost accesată, total sau parţial, de persoane neautorizate. În conformitate cu Politica de securitate a NATO şi a UE, compromiterea este situaţia în care informaţii NATO/UE clasificate şi-au pierdut: • confidenţialitatea, caracteristica informaţiei de a nu fi disponibilă sau dezvăluită persoanelor sau entităţilor neautorizate; • integritatea, proprietatea prin care informaţia (inclusiv data, dar şi textul cifrat) nu a fost alterată sau distrusă printr-o modalitate neautorizată; • disponibilitatea, proprietatea informaţiilor şi a materialelor de a fi accesibile şi folosite la cerere de o persoană sau entitate autorizată . În accepţiunea documentului C-M 49, sunt considerate ca fiind compromise: o informaţiile clasificate pierdute în timpul transportului; o informaţiile clasificate lăsate într-o zonă neprotejată unde persoane fără certificat au acces fără însoţitor; o documentele înregistrate care nu pot fi găsite; o informaţiile clasificate care au fost supuse unor modificări neautorizate; o distrugerea într-o manieră neautorizată a documentelor ce conţin informaţii clasificate. Informaţiile NATO clasificate se consideră compromise chiar atunci când au fost supuse riscului unei cunoaşteri neautorizate. Astfel, informaţiile NATO clasificate pierdute, chiar şi temporar, în afara unei zone de securitate sunt considerate a fi compromise. De asemenea, documentele care nu au putut fi găsite la inventarierea periodică vor fi considerate compromise până când investigaţia de securitate va dovedi contrariul. Potrivit Regulamentului de securitate al Consiliului Uniunii Europene, compromiterea unei informaţii UE clasificate are loc atunci când aceasta cade, total sau parţial, în mâna unei persoane neautorizate, adică a unei persoane care fie nu deţine certificat de securitate fie nu are need-to-know, sau când există suspiciuni că o astfel de compromitere a avut deja loc. Compromiterea unei informaţii UE clasificate poate surveni din cauza unei neatenţii, neglijenţe sau indiscreţii, ca urmare a activităţii serviciilor speciale interesate să intre în posesia de informaţii UE clasificate sau din partea organizaţiilor subversive. În concluzie, incidentul de securitate survine în urma unei compromiteri.
8.2.3 Raportarea incidentelor de securitate Incidentul de securitate reprezintă orice acţiune sau inacţiune, contrară reglementărilor de securitate, ale cărei consecinţe au determinat sau sunt de natură să determine compromiterea informaţiilor sensibile. Informaţia NATO/UE sensibilă clasificată se consideră compromisă atunci când îşi pierde integritatea, confidenţialitatea sau disponibilitatea. Cercetarea incidentelor de securitate pentru informaţiile NATO / UE se realizează sub coordonarea ORNISS. Abaterea de la reglementările de securitate reprezintă o încălcare a acestor reglementări, care nu conduce la o compromitere a informaţiei clasificate. Implicaţiile unei abateri de la reglementările de securitate sunt analizate, investigate şi soluţionate de către structura/funcţionarul de securitate din cadrul instituţiei în care aceasta a avut loc. Orice incident de securitate care implică informaţii NATO/UE clasificate, indiferent de nivelul de clasificare al acestora, se raportează la ORNISS de către structura/funcţionarul de securitate din instituţia în care s-a produs compromiterea informaţiilor. Raportarea incidentului de securitate trebuie să cuprindă: • descrierea informaţiilor NATO/UE clasificate compromise, inclusiv nivelul de clasificare şi alte marcaje suplimentare, numărul de înregistrare atribuit de emitent, numărul de înregistrare atribuit de CSNR, numărul de exemplar/copie, data emiterii, emitentul, subiectul la care se referă, persoana sau compartimentul care le-a gestionat, scopul pentru care a fost primit documentul; • o scurtă prezentare a împrejurărilor în care a avut loc compromiterea, inclusiv data constatării, perioada în care informaţiile au fost expuse compromiterii, persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute; • precizări cu privire la eventuala informare a emitentului. Fiecare incident de securitate raportat la ORNISS este cercetat de o comisie formată din persoane cu experienţă în investigaţii şi, dacă este cazul, în contraspionaj; între membrii comisiei şi persoanele susceptibile de provocarea incidentului de securitate nu trebuie să existe relaţii care să afecteze derularea cercetării. Comisia de cercetare a incidentului de securitate se stabileşte de instituţiile abilitate prin lege, la solicitarea ORNISS. Cercetarea incidentelor de securitate se realizează sub coordonarea ORNISS în calitate de principal punct de legătură cu Oficiul de securitate al NATO (NOS).
Comisia de cercetare a incidentului de securitate trebuie să întreprindă următoarele: • să stabilească dacă informaţiile NATO/UE clasificate au fost compromise; • să stabilească circumstanţele exacte în care s-a petrecut incidentul; • să identifice toate persoanele neautorizate care au avut sau ar fi putut avea acces la informaţiile NATO/UE compromise; • să verifice dacă persoanele respective prezintă suficientă încredere şi loialitate astfel încât rezultatul compromiterii să nu creeze prejudicii; • să evalueze gravitatea prejudiciului produs în urma compromiterii informaţiilor NATO/UE clasificate; • să dispună măsuri pentru diminuarea cât mai mult posibil a consecinţelor compromiterii; • să dispună măsuri de prevenire a repetării incidentului. Comisia va transmite la ORNISS raportul cu rezultatele cercetării în termen de 80 de zile de la declanşarea investigaţiilor. În cazul compromiterii unei informaţii sensibile, ORNISS înştiinţează Oficiul de Securitate al Secretariatului General al Consiliului UE (GSCSO) sau Direcţia de Securitate a Comisiei Europene (ECSD), după caz, în situaţia compromiterii unei informaţii UE sensibile, iar în cazul unei informaţii NATO sensibile, Oficiul de Securitate al NATO (NOS) . Înştiinţarea GSCSO/ECSD/NOS cu privire la compromiterea informaţiilor NATO RESTRICTED/RESTREINT UE se impune doar atunci când incidentul prezintă aspecte ieşite din comun şi/sau când se apreciază că în urma acestuia a rezultat un prejudiciu real pentru Uniunea Europeană ori pentru unul sau mai multe dintre statele membre ale acesteia (acţiuni de spionaj, dezvăluiri în mass-media etc.). Dacă este posibil, ORNISS informează simultan şi emitentul informaţiei. Înştiinţarea va conţine următoarele elemente: • descrierea informaţiilor compromise, indicându-se nivelul de clasificare şi alte marcaje suplimentare, numărul de înregistrare atribuit de emitent, numărul de exemplar/copie, data emiterii, emitentul, subiectul la care se referă şi scopul pentru care a fost primit documentul; • o descriere succintă a circumstanţelor în care s-a produs compromiterea, care va cuprinde: data constatării, perioada în care informaţia a fost supusă compromiterii şi, dacă sunt cunoscute,
numărul şi/sau categoria persoanelor neautorizate care au sau ar fi putut avea acces la informaţiile NATO/UE compromise; • concluziile rezultate din evaluarea gravităţii prejudiciului creat de compromiterea informaţiilor NATO/UE respective; • precizări în legătură cu informarea emitentului. În decurs de 90 de zile de la data înştiinţării, ORNISS va prezenta la GSCSO/ECSD/NOS, după caz, un raport final cu concluziile rezultate în urma cercetării efectuate şi măsurile întreprinse pentru ca incidentul să nu se repete. În situaţia în care primeşte de la GSCSO/ECSD/NOS o înştiinţare privind compromiterea unei informaţii naţionale clasificate, ORNISS va întreprinde următoarele măsuri: • informarea imediată a Consiliului Suprem de Apărare al Ţării în cazul compromiterii unei informaţii de nivel STRICT SECRET DE IMPORTANŢĂ DEOSEBITĂ sau STRICT SECRET; • înştiinţarea emitentului informaţiei naţionale clasificate despre compromiterea acesteia; • înştiinţarea instituţiilor abilitate prin lege despre producerea incidentului astfel încât acestea să poată acţiona în conformitate cu prevederile reglementărilor naţionale referitoare la incidentele de securitate. 8.2.4 Responsabilităţi privind soluţionarea incidentelor de securitate Responsabilitatea principală în ceea ce priveşte prevenirea şi soluţionarea incidentelor de securitate revine conducătorului unităţii care gestionează informaţii clasificate şi structurii de securitate, care răspunde solidar cu acesta pentru toate problemele referitoare la securitatea documentelor clasificate. Pentru prevenirea apariţiei incidentelor de securitate, structura de securitate verifică periodic eficienţa măsurilor de securitate fizică din cadrul zonelor în care sunt vehiculate informaţii clasificate şi, cu aprobarea conducerii unităţii, efectuează controale privind modul de aplicare a normelor de protecţie a informaţiilor clasificate. Controlul are drept scop: - identificarea vulnerabilităţilor existente; - constatarea cazurilor de încălcare a reglementărilor de securitate. În urma controalelor efectuate, structura de securitate informează conducerea unităţii despre vulnerabilităţile, riscurile şi încălcările reglementărilor de securitate existente în sistemul de protecţie a informaţiilor clasificate şi propune măsuri pentru înlăturarea acestora.
Conducătorii unităţilor şi persoanele care gestionează informaţii NATO/UE clasificate au obligaţia de a aduce la cunoştinţa ORNISS şi a instituţiilor cu atribuţii de coordonare şi control în domeniu orice indicii din care pot rezulta premise de insecuritate pentru astfel de informaţii. Tot pentru prevenirea incidentelor de securitate, ORNISS şi Serviciul Român de Informaţii, prin unitatea sa specializată, sunt împuternicite cu atribuţii de exercitare a controlului asupra modului de aplicare a măsurilor de protecţie de către instituţiile publice şi unităţile deţinătoare de informaţii clasificate. Activitatea de control vizează: structura de securitate, personalul care are acces la informaţii clasificate şi, după caz, Componenta Sistemului Naţional de Registre sau compartimentul special. Printre altele, controlul efectuat de ORNISS şi/sau SRI are ca scop: • verificarea modului în care sunt aplicate şi respectate reglementările privind protecţia informaţiilor clasificate; • identificarea vulnerabilităţilor existente în sistemul de protecţie a informaţiilor clasificate, care ar putea duce la compromiterea acestor informaţii, în vederea luării măsurilor de prevenire necesare; • constatarea cazurilor de nerespectare a normelor de protecţie a informaţiilor clasificate; • aplicarea sancţiunilor contravenţionale sau, după caz, sesizarea organelor de urmărire penală, în situaţia în care fapta constituie infracţiune. 8.2.5 Soluţionarea incidentelor de securitate în care sunt implicate informaţii naţionale clasificate Incidentele de securitate pot fi constatate cu ocazia inventarierii anuale, în urma unor controale efectuate de către persoane abilitate sau pot fi semnalate de către persoane fizice ori juridice. De asemenea, ele pot fi stabilite de către autorităţile abilitate de securitate în baza activităţilor specifice pe care le desfăşoară. În situaţia apariţiei unui astfel de incident, conducătorul instituţiei are obligaţia de a înştiinţa, în scris şi prin cel mai operativ sistem de comunicare, instituţiile prevăzute la art. 25 din Legea nr.182/200210, despre compromiterea informaţiilor secret de stat. 10
ART. 25 (1) Coordonarea generală a activităţii şi controlul măsurilor privitoare la protecţia informaţiilor secrete de stat se realizează de către unitatea specializată din cadrul Serviciului Român de Informaţii. (2) Ministerul Apărării, Ministerul Internelor şi Reformei Administrative, Serviciul Român de Informaţii, Serviciul de Informaţii Externe, Serviciul de Protecţie şi Pază şi Serviciul de Telecomunicatii Speciale stabilesc, pentru domeniile lor de activitate şi responsabilitate, structuri şi măsuri proprii privind coordonarea şi controlul activităţilor referitoare la protecţia informaţiilor secrete de stat, potrivit legii.
Înştiinţarea trebuie să conţină unele elemente obligatorii. a. Descrierea informaţiilor compromise, respectiv: - nivelul de clasificare; - marcarea documentului; - numărul de înregistrare şi de exemplare; - data emiterii; - emitentul; - subiectul la care se referă; - persoana sau compartimentul care le-a gestionat; - scopul pentru care a fost primit documentul. b. Scurta prezentare a împrejurărilor în care a avut loc compromiterea, cuprinzând: - data constatării; - perioada în care informaţiile au fost expuse compromiterii; persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, daca sunt cunoscute. c. Precizări cu privire la eventuala informare a emitentului. Înştiinţarea se face în scopul obţinerii sprijinului necesar pentru recuperarea informaţiilor, evaluarea prejudiciilor, diminuarea şi înlăturarea consecinţelor. Orice încălcare a reglementărilor de securitate va fi cercetată pentru a se stabili: a) dacă informaţiile respective au fost compromise; b) dacă persoanele neautorizate care au avut sau ar fi putut avea acces la informaţii secrete de stat prezintă suficientă încredere şi loialitate, astfel încât rezultatul compromiterii să nu creeze prejudicii; c) măsurile de remediere - corective, disciplinare sau juridice - care sunt recomandate.
(3) Coordonarea activităţii şi controlul măsurilor privitoare la protecţia informaţiilor secrete de stat pentru Oficiul Central de Stat pentru Probleme Speciale şi Administraţia Naţională a Rezervelor de Stat se realizează de structura specializată a Ministerului Internelor şi Reformei Administrative. (4) Parlamentul, Administratia Prezidenţială, Guvernul şi Consiliul Suprem de Apărare a Ţării stabilesc măsuri proprii privind protecţia informaţiilor secrete de stat, potrivit legii. Serviciul Român de Informaţii asigură acestor instituţii asistenţă de specialitate. (5) Protecţia informaţiilor nedestinate publicităţii, transmise României de alte state sau de organizaţii internaţionale, precum şi accesul la informaţiile acestora se realizează în condiţiile stabilite prin tratatele internaţionale sau înţelegerile la care România este parte.
În situaţia în care informaţiile clasificate au fost accesate de persoane neautorizate, acestea vor fi instruite pentru a preveni producerea de eventuale prejudicii. 8.2.6 Soluţionarea incidentelor de securitate în care sunt implicate informaţii NATO/UE clasificate Potrivit Politicii de securitate a NATO, toate cazurile în care există suspiciuni vizând incidente de securitate vor fi imediat raportate Autorităţii Naţionale de Securitate. Rapoartele privind aceste cazuri vor fi analizate de către persoane competente pentru a evalua daunele produse la adresa NATO şi pentru a stabili măsurile corespunzătoare ce se impun. Deci, orice compromitere a informaţiilor NATO/UE clasificate, indiferent de nivelul de clasificare, se aduce la cunoştinţa ORNISS. Scopul principal al comunicării incidentului de securitate este de a da posibilitatea recuperării informaţiilor, evaluării prejudiciilor aduse Alianţei Nord-Atlantice, respectiv Uniunii Europene şi întreprinderii acţiunilor necesare pentru minimalizarea consecinţelor. Prima obligaţie care îi revine structurii de securitate în momentul în care constată un incident de securitate este aceea de a informa conducerea unităţii. După analizarea şi evaluarea situaţiei, cu acordul conducătorului unităţii, structura de securitate raportează la ORNISS producerea incidentului. Raportarea incidentului de securitate trebuie să cuprindă: a) descrierea informaţiilor clasificate compromise, inclusiv nivelul de clasificare şi alte marcaje suplimentare, numărul de înregistrare atribuit de emitent, numărul de înregistrare atribuit de CSNR, numărul de exemplar/copie, data emiterii, emitentul, subiectul la care se referă, persoana sau compartimentul care le-a gestionat, scopul pentru care a fost primit documentul; b) scurtă prezentare a împrejurărilor în care a avut loc compromiterea, inclusiv data constatării, perioada în care informaţiile au fost expuse compromiterii, persoanele neautorizate care au avut sau ar fi putut avea acces la acestea, dacă sunt cunoscute; c) precizări cu privire la eventuala informare a emitentului. Termenul de raportare a incidentului de securitate depinde de sensibilitatea informaţiilor şi de împrejurările în care a avut loc compromiterea. Din acest motiv trebuie avut în vedere faptul că ORNISS înaintează imediat la Oficiul de securitate al NATO (NOS) rapoarte de primă sesizare în cazul când: - este implicată o informaţie de nivel CTS sau NS;
- există indicii sau suspiciuni de spionaj; - s-au produs dezvăluiri neautorizate în mass-media. În cazul în care se impune informarea NOS cu privire la compromiterea unei informaţii NATO clasificate, ORNISS trebuie să alerteze şi emitentul informaţiei. Atunci când nu este posibil acest lucru, ORNISS poate solicita sprijinul NOS pentru identificarea emitentului şi informarea acestuia. Acelaşi lucru este valabil şi în cazul informaţiilor UE clasificate. După primirea raportului, ORNISS are obligaţia: - de a evalua implicaţiile incidentului de securitate; - concomitent, în colaborare cu instituţiile abilitate de resort, întreprinde măsurilor necesare de contracarare/diminuare a efectelor incidentului; - declanşează investigaţia de securitate. În principiu, investigaţia de securitate va trebui să certifice compromiterea informaţiilor NATO clasificate, să identifice persoanele implicate şi să stabilească măsurile de remediere ce se impun. ORNISS va stabili modul în care va fi investigat incidentul de către persoane cu experienţă în problematica securităţii, în investigaţii şi, dacă este cazul, în contraspionaj. Persoanele implicate în investigarea incidentului de securitate trebuie să fie independente de cele susceptibile de provocarea acestuia. În acest scop, ORNISS poate apela la experţi provenind din instituţii abilitate. ORNISS raportează la NOS, respectiv la Biroul de securitate al Consiliului Uniunii Europene, aspecte ulterioare referitoare la compromitere (rezultatul investigaţiilor de securitate efectuate de instituţiile abilitate de resort, măsurile de recuperare a informaţiilor compromise şi de reducere a prejudiciului. 8.3 Educaţia de securitate Pregătirea de securitate este forma de bază a educaţiei de securitate, obligatorie pentru toate persoanele care lucrează, prin natura funcţiei, cu informaţii clasificate sau le gestionează. Paralel cu pregătirea/instruirea de securitate, sunt necesare activităţi pe linia conştientizării necesităţii şi importanţei securităţii informaţiilor clasificate de către persoanele care, într-un fel sau altul, vin în contact cu astfel de informaţii, indiferent de nivelul de clasificare al informaţiilor/documentelor respective.
Conştientizarea, în general, este sentimentul responsabilităţii morale faţă de ceva dinainte stabilit. Ţinta care se va urmări prin conştientizarea de securitate este securitatea informaţiilor clasificate accesate. Aceasta se poate realiza de către posesorii de certificate de securitate, prin cunoaşterea şi respectarea întocmai a normelor în domeniu şi pe deplin convinşi fiind de importanţa acţiunilor sau inacţiunilor proprii, de consecinţele economice, sociale sau de altă natură ale faptelor lor. Un program de conştientizare de securitate are următoarele scopuri: • să asigure faptul că persoanele, în momentul preluării postului, conştientizează importanţa securităţii în instituţie, precum şi valoarea informaţiilor pe care le vor gestiona; • să asigure că persoanele, pe perioada ocupării postului respectiv, continuă să conştientizeze şi să respecte cerinţele de securitate ale instituţiei; • să asigure că, la plecarea lor din posturile respective, persoanele conştientizează în continuare responsabilităţile referitoare la securitate. • să fie instruite toate persoanele asupra procedurilor şi obligaţiilor lor de securitate, precum şi cu privire la: o riscurile de securitate ce ar putea reieşi din discuţiile indiscrete cu persoane care nu au „principiul nevoii de a cunoaşte”; o relaţia acestora (a persoanelor angajate) cu presa; o ameninţarea prezentată de „persoane indiscrete/curioase” (spioni sau trădători) în ce priveşte informaţiile şi activităţile desfăşurate în ţările NATO, UE şi ţările membre, societăţile comerciale deţinătoare de astfel de informaţii; • să transmită tuturor persoanelor care nu mai îndeplinesc atribuţii ce presupun accesul la informaţii clasificate, fie că au fost mutate pe funcţii care nu necesită acces, fie au plecat din instituţie, în orice mod, responsabilităţile pentru securitatea continuă a informaţiilor clasificate; • să sensibilizeze personalul asupra obligaţiei de a raporta fără întârziere autorităţilor de securitate orice abordare care dă naştere la suspiciuni privind activitatea de spionaj sau orice fel de împrejurări neobişnuite legate de serviciile de securitate, incidente de securitate; • instruirea se face diferenţiat, pe niveluri de secretizare; • după fiecare instruire, persoana va semna de luare la cunoştinţă.
Obiectivele educaţiei şi conştientizării de securitate - trebuie clar definite atunci când se desfăşoară un program de educaţie şi conştientizare de securitate. În primul rând, se va asigura de faptul că personalul este conştient de riscuri de orice natură, chiar ameninţări teroriste, de spionaj, subversive sau de spionaj din partea serviciilor secrete sau a firmelor concurente, apoi se va realiza: • instruirea personalului asupra nevoii de securitate urmărind înţelegerea şi însuşirea corectă a legislaţiei naţionale şi NATO/UE, a normelor interne şi standardelor privind securitatea informaţiilor clasificate; • asigurarea implementării eficiente a măsurilor de securitate a informaţiilor clasificate; • prevenirea, contracararea şi eliminarea riscurilor şi ameninţărilor la adresa securităţii informaţiilor clasificate; • conştientizarea personalului cu privire la responsabilităţile ce îi revin, la ameninţările potenţiale la adresa securităţii informaţii clasificate; • prevenirea producerii oricăror incidente de securitate care s-ar datora unor cauze umane; La reciclările de securitate se aduc lămuriri asupra importanţei securităţii referitoare la cerinţele zilnice ale mediului de la birou. Membrilor personalului li se aminteşte despre practicile corecte de securitate chiar în afara orelor de serviciu. Când se realizează instruirea: o la încadrarea pe funcţie care necesită acces; o la retragerea certificatului de securitate; o la plecarea din instituţie; o în cazul călătoriilor private executate de o persoană care are acces la informaţii clasificate; o ori de câte ori este cazul. Când se produc INCIDENTE DE SECURITATE, acestea pot indica necesitatea unei acţiuni de corectare sau completare a instrucţiunilor de securitate existente, o educaţie de securitate suplimentară nu numai măsuri disciplinare. Trebuie profitat de fiecare ocazie pentru a folosi incidentele de securitate ca mijloc de a oferi o educaţie de securitate persoanelor care au acces, şi nu numai.
Persoanele nou angajate, în vederea integrării într-o funcţie care necesită acces, vor beneficia de instruire privind câteva aspecte generale de securitate: • securitatea fizică – informaţii despre sistemul de control acces, structura de securitate, depozitarea informaţiilor clasificate, utilizarea echipamentului de multiplicare; • securitate informaţiilor – nivelurile de clasificare, controlul şi gestionarea informaţiilor; • incidente de securitate – să includă informaţii despre ce este de făcut dacă a fost identificat sau se presupune că există condiţii favorizante pentru apariţia unui incident de securitate; • INFOSEC – să cuprindă informaţii despre sistemele de comunicare şi informaţii ale instituţiei, gestionarea mediilor electronice de stocare, parolare, gestionarea incidentelor în cazul virusării calculatoarelor. Persoana nou angajată trebuie să primească o copie sau să aibă acces la instrucţiunile de securitate internă/normele metodologice în vigoare, iar după citirea acestora să semneze o fişă de luare la cunoştinţă. Planul de pregătire, documentul pe baza căruia se realizează îmbunătăţirea competenţei personalului, va cuprinde: • Un capitol de pregătire generală – include obiectivele, sarcinile şi responsabilităţile care revin fiecărei structuri, în vederea aplicării măsurilor de protecţie a informaţii clasificate. La acest nivel sunt prezentate principiile generale de protecţie a informaţiilor clasificate, modalităţi de implementare a normelor, formele şi metodele de armonizare a acestora cu cerinţele în domeniu; • Un capitol de pregătire specifică – realizat în baza principiului „necesităţii de a cunoaşte” (need to know), a domeniului de activitate specific, în funcţie de nivelul certificatului de securitate deţinut şi de atribuţiile personalului; • Un capitol de pregătire individuală – se realizează în mod obligatoriu de întregul personal care gestionează informaţiile clasificate, conform atribuţiilor specifice. Educaţia şi conştientizarea de securitate permanentă – se realizează prin reinstruiri periodice despre problemele de securitate care prezintă
interes, cum sunt cele referitoare la incidentele şi încălcările de securitate care au avut loc în cadrul instituţiei. Pe lângă reinstruirile periodice, structura/funcţionarul de securitate trebuie să se asigure că persoanele care au încălcat instrucţiunile de securitate sunt reinstruite cu privire la securitatea informaţiilor în cadrul instituţiei. Dacă o persoană încalcă în mod repetat aceste reguli, atunci structura de securitate poate extinde procesul şi poate implica, de asemenea, conducerea instituţiei pentru a consilia persoana asupra obligaţiilor de securitate, sau pot fi luate măsuri disciplinare până la deferirea în justiţie, în funcţie de gravitatea abaterii.
o o o o
Metode ale educaţiei şi conştientizării de securitate • Organizarea de cursuri de management al informaţiilor–în două module: o Informaţii despre ameninţările teroriste, de spionaj, din partea serviciilor de informaţii, subversive sau de sabotaj. Aceste informaţii ar trebui furnizate de profesionişti cu experienţă în domeniu şi care pot completa informaţiile cu exemple şi studii de caz o Informaţii despre măsuri de securitate. Aceste instruiri se fac de către funcţionarii de securitate şi/sau persoanele cu responsabilităţi specifice de securitate (ex. din INFOSEC). Informaţiile oferite ar trebui să se refere la instrucţiunile specifice de securitate pe care ar trebui să le aplice membrii personalului şi să încurajeze întrebările şi discuţiile pentru a clarifica orice neînţelegere care poate exista în legătură cu instrucţiunile de securitate, privind îndeplinirea cerinţelor administrative şi operaţionale, precum şi pentru a evidenţia pedepsele în cazul infracţiunilor de securitate. • instruiri individuale – în următoarele situaţii: atunci când unei persoane i se încredinţează pentru prima dată sarcini ce implică accesul la informaţii clasificate sau sarcini în cadrul cărora sunt în vigoare măsuri speciale de securitate; când o persoană răspunde sau a fost implicată într-un incident de securitate real sau posibil; când există indicii că atitudinea unei persoane faţă de problemele de securitate nu corespunde cerinţelor organizaţiei sau nu îndeplineşte standardele NATO; când persoana se pregăteşte pentru o anumită activitate care necesită o instruire specială (ex. o călătorie în ţări cu riscuri de securitate sau în calitate de curier ce transportă informaţii/materiale clasificate). mijloace folosite:
o audio-video – electronice sau clasice pentru demonstrarea unui anumit punct dintr-un curs sau o discuţie (CD, DVD, filme) o filme, postere, avertizări de securitate, promovarea unor materiale ce atrag atenţia asupra riscului pierderii şi compromiterii informaţiilor clasificate. o broşuri o note de avertizare – care pot fi puse la locuri cu bună vizibilitate, ex.: - pe telefon (nesiguranţa convorbirilor telefonice); pe uşile/pereţii birourilor – pentru a reaminti salariaţilor că toate documentele clasificate sunt asigurate; pe containerele de securitate – că acesta este încuiat, codat; pe computere. Funcţionarii responsabili de educaţia de securitate În general, funcţionarul de securitate este cel responsabil cu educaţia de securitate. Participarea la activităţile de instruire a conducerii profesionale a instituţiei sporeşte importanţa securităţii informaţiilor clasificate şi subliniază în plus responsabilitatea cu care trebuie tratată problema. Funcţionarul de securitate este cel care întocmeşte planul de pregătire, păstrează certificatele de securitate, păstrează fişele de pregătire personală, realizează pregătirea persoanelor care au acces la informaţii clasificate. Sunt însă cazuri când nu poate acoperi chiar toate domeniile de securitate şi de aceea, el trebuie să poată numi oricând pe cineva din cadrul instituţiei care să poată veni cu răspunsuri specifice. Cel puţin din acest motiv, este important ca funcţionarul de securitate să menţină o bună relaţie de lucru cu specialiştii din domeniu din cadrul instituţiei. Funcţionarul de securitate trebuie să motiveze membrii personalului în ce priveşte securitatea. Personalul trebuie să fie convins şi să înţeleagă că prevederile de securitate sunt sensibile şi importante pentru ei şi pentru instituţie. Pregătirea şefilor structurilor/funcţionarilor de securitate - se face prin cursuri organizate de către Oficiul Registrului Naţional al Informaţiilor Secrete de Stat şi prin studiu individual. În concluzie,
Managementul informaţiilor este o problemă de importanţă capitală pentru performanţă. Când este vorba de informaţii clasificate, interesul şi atenţia sunt într-o creştere exponenţială. Concepţia despre managementul informaţiilor s-a îmbunătăţit mult în ultimul timp, încercându-se implementarea, sub diverse forme, a principiilor unei adevărate educaţii de securitate. Nu putem să nu legăm saltul concepţional înregistrat de intrarea României în NATO şi de admiterea în Uniunea Europeană, de crearea unor instituţii menite să pună în operă, să aplice la specificul românesc, concepte ajunse la nivel de reguli în structuri şi ţări cu tradiţii democratice şi cu performanţe notabile în domenii care folosesc cu pricepere informaţia. S-a creat Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, ca autoritate naţională de securitate, s-au delimitat atribuţii specifice în interiorul autorităţilor abilitate de securitate şi, ceea ce ni se pare cel mai important, s-au creat în ministere, instituţii, firme care se respectă, structuri speciale de management al informaţiilor clasificate. Înregistrăm chiar o schimbare de atitudine, în sensul creşterii răspunderii factorilor de conducere faţă de obţinerea, păstrarea, diseminarea controlată, transportul şi utilizarea informaţiilor clasificate. Nici nu se putea altfel, deoarece nici NATO, nici UE, nici ţările cu care am încheiat acorduri, nu admit jumătăţi de măsură când este vorba de securitatea informaţiilor clasificate. Au rezultat, şi noi le-am subliniat pe măsură, unele paliere în care este loc de mai bine. Noi, autorii acestei cărţi, ne declarăm mulţumiţi dacă, dincolo de mesajul cunoaşterii şi aprofundării domeniului, vom reuşi să promovăm în noile acte normative ce vor fi elaborate în viitorul apropiat, 3-4 idei forţă şi propuneri dezbătute aici, în paginile puse de acum la dispoziţia dumneavoastră. Avem în vedere alinierea totală la documentaţia europeană în domeniu, renunţând la invenţii de sintagme: autorizaţii de acces, autorităţi desemnate, certificate ORNISS etc., cu accent pe simplificarea proceselor şi pe vocabular direct, eficient. Suntem interesaţi de soluţii pentru adâncirea managementului incidentelor de securitate, de schimbarea atitudinală privind securitatea informaţiilor în format electronic, de îmbunătăţirea traseului documentelor şi stabilirea drumului critic al acestora. Dezvoltarea societăţii actuale către societatea informaţională şi, în viitor, către societatea bazată pe cunoştinţe, impune un adevărat război pentru informaţii, pentru putere, pentru a fi cel mai bun. Complexitatea, importanţa şi consecinţele utilizării informaţiilor în procesul decizional fac necesară corespondenţa acestora cu toate cerinţele managementului modern, deoarece, numai în acest mod, informaţiile îşi
păstrează calitatea de operaţionalitate strategică. Dacă n-ar fi aşa, s-ar accentua incertitudinea în luarea deciziilor şi ar putea conduce la fundamentarea eronată a acestora, cu consecinţe greu de prevăzut. În aceste condiţii generarea, controlul, diseminarea şi utilizarea informaţiilor, precum şi, în mod deosebit, securitatea acestora nu mai reprezintă doar un vector de cunoaştere şi anticipare, ci o armă considerată deosebit de eficace, ceea ce face ca informaţia şi sistemele informaţionale să devină o miză politică, militară şi economică, atât în prezent cât, mai ales, în viitor, prin deschiderea şi dezvoltarea celei mai cumplite bătălii, bătălia pentru informaţii, comunicare, blocare sau ducere în eroare. Se deschide astfel un adevărat război de intelligence11 în afara căruia nu poate rămâne şi nu poate acţiona nici o organizaţie. Ca în toate celelalte domenii, informaţia a devenit şi în mediul afacerilor un factor dominant, dar şi un important element de concurenţă valorică – o adevărată bază de afacere. În competiţia economică se afirmă tot mai mult şi mai clar că cine nu deţine informaţii nu rezistă pe piaţă şi nici nu poate concura cu ceilalţi competitori, fiind sortit eşecului din start. Acest lucru se concretizează în capabilitatea organizaţiei ca, suficient de repede, să obţină, prelucreze şi valorifice informaţiile necesare, atât prin decizii fundamentale, cât şi ca obiect de tranzacţie comercială. În aprecierea valorii unei informaţii trebuie ţinut seama de mai mulţi factori, a căror congruenţă poate urca sau coborî semnificativ valoarea unei informaţii: • relevanţa decizională şi concurenţială a informaţiei; • costul obţinerii şi procesării; • nivelul de confidenţialitate şi de disimulare; • potenţialitatea de utilizare şi de reutilizare; • raportul dintre necesitatea disimulării informaţiei şi obligativitatea protecţiei acesteia. Fiind în acelaşi timp şi obiectiv şi armă, informaţia reprezintă o ţintă continuă pentru organizaţiile economice în vederea desfăşurării activităţii în mediul de afaceri, dar şi un factor de mare eficacitate în folosul celor care o deţin. Cei ce deţin informaţii deţin şi puterea şi, evident, capabilitatea de a influenţa, în avantaj propriu, cursul evenimentelor. În acelaşi timp însă, 11
Oricât am vrut să ne delimităm de acţiunile specifice serviciilor de informaţii, n-am putut. Aşa de mult seamănă războiul pentru informaţii dus de firme, de exemplu, pentru întâietate în afaceri, cu cele de intelligence, că ne duce gândul la profesioniştii în culegerea şi utilizarea informaţiilor. Uneori persoanele care conduc diverse organizaţii, firme, provin din zona serviciilor şi se dovedesc de succes, tocmai pentru că ştiu să aprecieze valoarea informaţiei şi să o folosească.
posesorul informaţiilor poate bloca sau interzice accesul competitorilor la acestea şi îi poate duce în eroare în procesul elaborării deciziilor. El poate altera, în esenţa sa, procesul de colectare, procesare, stocare sau diseminare a informaţiilor. Prin toate aceste mijloace, deţinătorul informaţiei îşi asigură supremaţia, adică sporul de operaţionalitate în acţiune. El va realiza astfel o surprindere cu atât mai eficientă, cu cât conştientizarea atacului de către obiectiv este mai redusă. În consecinţă, pentru a deveni deţinător de informaţii şi a preîntâmpina atacurile informaţionale, efectul direct al armei informaţionale, sunt necesare elemente fundamentale de organizare, acţiune şi comportament, astfel: • organizarea presupune măsuri pentru culegerea, procesarea, stocarea şi diseminarea informaţiilor necesare activităţii, pe de o parte, şi de securitate a informaţiilor şi de contracarare a atacurilor informaţionale, pe de altă parte; • acţiunea vizează monitorizarea unor indicatori, ameninţări sau acţiuni, precum şi contracararea atacurilor susţinute asupra propriilor informaţii şi a propriei imagini; • comportamentul organizaţiilor trebuie să fie preponderent proactiv şi atât cât este necesar şi reactiv; comportamentul proactiv se referă, la rândul său, atât la acţiunea defensivă, cât şi la cea ofensivă / de atac, în limita permisă de etica şi legalitatea afacerilor. În domeniul informaţiilor, confruntarea se desfăşoară cu aceeaşi intensitate ca şi starea de război, de aceea sintagma de război al informaţiilor în domeniul economic nu mai surprinde pe nimeni. Competiţia pleacă de la informaţii, se desfăşoară în jurul informaţiilor, dar presupune o procesare de cunoştinţe, cunoaştere, decizie, conducere, acţiune şi rezultat. Noile cuceriri ştiinţifice şi tehnice au produs o mutaţie în gândire prin revenirea, pare paradoxal, la conceptul filosofic al lui Aristotel, exprimat cu mai mult de 300 de ani înainte de Hristos, în cursurile sale de logică, filozofie, ştiinţele naturii, meteorologie, astronomie, despre materie şi mişcare. Ceea ce cunoaştem în univers este materie şi formă, iar materia este constituită din lumatie (materie suport, pusă în mişcare de informaţie) şi informaterie, ultima fiind, după afirmaţia filozofului grec, „o materie informaţională în care informaţia se manifestă în primul rând fenomenologic..’’. Dacă informaţia este atât de importantă, aşa cum ni se dezvăluie în a doua jumătate a sec. XX, este de aşteptat ca această noţiune să influenţeze nu numai viziunea noastră ştiinţifică, dar şi cea filosofică asupra
lumii”12. Cu tot efortul materialist al demonstraţiei, a nu se uita că volumul a apărut în 1989, Mihai Drăgănescu a emis noua concepţie în care o entitate, numită informaterie, structurează prin intermediul informaţiei lumatia şi dă naştere materiei. Nu este exclus ca schimbările ideologice şi politice al căror rezultat a fost implozia socialismului să fi fost influenţate de aceste noi teorii filozofice. În zilele noastre informaţia a devenit deja cea mai apreciată comoară a omenirii. Obţinerea, deţinerea şi utilizarea de informaţii au necesitat totodată şi limitarea (restrângerea) libertăţilor şi drepturilor cetăţenilor prin anumite tipuri de măsuri, un exemplu constituindu-l măsurile speciale privind accesul la informaţiile clasificate. Informaţia se constituie sub formă de date şi cunoştinţe necesare decidentului pentru a acţiona în mod util şi în cunoştinţă de cauză, care să îi permită acestuia (fie că este vorba despre un manager, comandant militar, factor politic de decizie) să ia o hotărâre. Astfel, putem vorbi de informaţii politice, economice, ştiinţifice, militare sau geografice, strategice sau operative, interne sau externe, nesecrete sau secrete etc. Schimbările evidente intervenite în ultimele decenii pe plan mondial, atât în domeniul politic, social, dar şi tehnologic, prin explozia informaţională cu efecte asupra întregii societăţi umane, când circulaţia datelor şi informaţiilor se realizează aproape instantaneu, accelerează procesul de globalizare pe care omenirea îl traversează. Informaţia a devenit resursa esenţială a tuturor schimbărilor economice, sociale sau politice ale unei lumi moderne şi totodată mijlocul principal de producţie, şi anume resursa-cheie a economiei informaţionale digitale, dar şi produsul principal al societăţii actuale, întrucât societatea informaţională se bazează în principal pe cunoaştere, pe generarea şi confruntarea de idei. Cunoaşterea unei situaţii rezultă din concluziile care se pot trage dintr-o informaţie ce se referă la situaţia respectivă. Există de multe ori tendinţa de a pune semnul egalităţii între transmiterea informaţiilor şi transmiterea cunoştinţelor. O informaţie se poate transmite ca fiind o succesiune de date, sau, pur şi simplu, ca un mesaj, ştire, enunţ limitat la a defini un eveniment, obiect etc. Transmiţătorul şi receptorul unei informaţii nu trebuie neapărat să fie compatibili din punct de vedere al nivelului de educaţie şi instruire, pe când transmiterea de cunoştinţe presupune în primul rând compatibilitate între comunicatori, 12
Mihai Corneliu Drăgănescu, informatician important al României, creatorul şcolii româneşti de dispozitive electronice, cu preocupări filozofice, Inelul lumii materiale, Editura Ştiinţifică şi Enciclopedică, 1989.
înseamnă personalitate şi experienţă adăugate, înseamnă chiar intervenţia cognitivului asupra evenimentelor. Înlăturarea insecurităţii economice şi sociale, efect nedorit al globalizării, este o necesitate cu acoperire amplă în ofensiva actuală conjugată a comunităţii internaţionale şi a statelor. Buna guvernare va avea un rol esenţial în combaterea insecurităţii economice şi sociale, demers ce presupune o mai mare responsabilitate şi solidaritate socială la toate nivelurile, norme de drept, instituţii eficiente, transparenţă în gestionarea afacerilor publice, respectarea drepturilor omului şi participarea tuturor cetăţenilor la luarea deciziilor care le afectează viaţa. Totul depinde de oameni, de modul şi de scopul în care gestionează informaţiile. Rămâne însă de văzut dacă informaţiile privind diverse potenţiale dezechilibre, din varii domenii, aflate la dispoziţia decidenţilor, vor oferi mai multă protecţie în viitor, suficientă libertate cetăţenilor şi o mai solidă securitate zonală şi globală. Din punct de vedere al socialului, într-o lume dinamică şi complexă, în continuă transformare socială şi politică, reperul definitoriu al politicii îl reprezintă puterea. Alwin Toffler, unul dintre cei mai renumiţi politologi pe plan mondial, afirma în a doua jumătate a secolului al XX-lea că, între instrumentele puterii, cele mai importante sunt: forţa, banii sau puterea financiară şi informaţia. Majoritatea celorlalte resurse ale puterii derivă din acestea. Informaţia este elementul esenţial şi cel mai versatil instrument, având în vedere că poate duce la evitarea unor situaţii care necesită utilizarea forţei sau a banilor, putând fi folosită în a-i convinge pe ceilalţi să acţioneze conform motivaţiilor celui care deţine informaţia, indiferent de interesul conştient al celorlalţi. Informaţia înseamnă - după părerea lui Corneliu Pivariu13 - putere de cea mai înaltă calitate . Cele trei puteri, recunoscute constituţional ale unei democraţii, puterea legislativă, puterea executivă şi puterea judecătorească, dar mai ales cea de a patra putere, presa, au ca obiect principal al activităţii informaţia, şi mai ales informaţia ca element de putere. În acelaşi timp, statul, ca entitate distinctă, priveşte şi consideră informaţia ca dimensiune centrală în organizarea arhitecturii sistemului naţional de apărare, ceea ce nu este altceva decât recunoaşterea informaţiei ca factor esenţial în realizarea puterii politice.
13
Corneliu Pivariu, Lumea secretelor, Ed. Pastel Braşov, 2005.
BIBLIOGRAFIE SELECTIVĂ Constituţia României, MO nr. 767 din 2003; Strategia pentru securitatea naţională a României, Preşedintele României, 2007;
Doctrina naţională a informaţiilor de securitate, CSAT, 2004.
• Manual NATO, Office of information and Press, 2006; • Strategia Europeană de Securitate, elaborată de Comisia Europeană, 12.12.2003; • Reglementările de securitate ale Consiliului Uniunii Europene; • Rec (2002)2 a Comitetului Miniştrilor către statele membre privind accesul la documentele publice - adoptată de comitet la 21.02.2002; • NATO Document C-M(2002)49, „Security within the North Atlantic Treaty Organisation”, 2002; • AC/35 – D/2002 referitor la securitatea informaţiilor NATO clasificate, 2002; • AC/35- D/2003-REV2 - Directiva privind securitatea industrială, 2003; • Canadian and International Industrial Security Directorate, Industrial Security Manual, versiune revizuită 2006;
•
Act No. 148/11.06.1998 on protection of classified information in Czech
Republic; Convenţie privind interzicerea dezvoltării, producerii şi folosirii armelor chimice şi distrugerea acestora. Monitorul Oficial al României, Partea I, nr. 356 şi 356 bis din 22 decembrie 1994; Atelier Liberul Acces la Informaţiile de Interes Public, Asociaţia Pentru Apărarea Drepturilor Omului în România, Comitetul Helsinki, Bucureşti, 23.01.2006; Worldwatch Institute, State of the World: Redefining Global Security, 2005;
Glosarul NATO;
Dicţionarul explicativ al limbii române, Ed. 2002;
Legislaţie:
•
Legea nr. 182/2002: „Lege privind protecţia informaţiilor clasificate”, Monitorul Oficial al României nr. 248 din 12.04.2002;
•
Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, Monitorul Oficial al României nr. 663 din 23.10.2001;
•
Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor;
•
Legea nr. 677/2001 privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
• • •
Legea nr. 52/2003 privind transparenţa decizională; Legea nr. 14/1992 privind Serviciul Român de Informaţii, SRI; Legea nr.7/1997 privind Serviciul de Informaţii Externe, SIE.
- Ordonanţa de urgenţă a Guvernului nr.153/2002 privind organizarea şi funcţionarea Oficiului Registrului Naţional al Informaţiilor Secrete de Stat (ORNISS), aprobată prin Legea nr. 101/2003, modificată şi completată pentru problemele specifice Uniunii Europene prin Legea 343/2005, publicată în MO 1086 din 02.12.2005; - Hotărârea de Guvern nr.585/2002 pentru aprobarea standardelor naţionale de protecţie a informaţiilor clasificate în România; - Hotărârea de Guvern nr. 353/2002 pentru aprobarea Normelor privind protecţia informaţiilor clasificate ale Organizaţiei Tratatului Atlanticului de Nord în România, Monitorul Oficial al României nr. 315 din 13.05.2002; - Hotărârea de Guvern nr. 354/2002 privind înfiinţarea, organizarea şi funcţionarea Agenţiei de Acreditare de Securitate, Agenţiei de Securitate pentru Informatică şi Comunicaţii şi Agenţiei pentru Distribuirea Materialului Criptografic; - Hotărârea de Guvern nr. 781/2002 privind protecţia informaţiilor secrete de serviciu; - Ordinul nr. 490/2005 al directorului general al ORNISS pentru stabilirea condiţiilor de acces la informaţii UE clasificate, publicat în MO 1173 din 23.12.2005; - Ordinul nr. 491/2005 al directorului general al ORNISS privind cerinţele minime pentru protecţia informaţiilor UE clasificate care fac obiectul activităţilor contractuale, publicat în MO 20 din 10.01.2006; - Ordinul nr. 13/2006 al directorului general al ORNISS referitor la aprobarea normelor cadru privind securitatea fizică a informaţiilor UE clasificate, publicat în MO 138 din 14.02.2006, Partea I; - Ordinul nr.160/2006 al directorului general al ORNISS referitor la aprobarea normelor cadru privind securitatea informaţiilor UE clasificate, publicat în MO 175 din 23.02.2006, Partea I; - Marius Petrescu, prof. univ. dr., interviu „Securitatea informaţiilor clasificate” Gândirea Militară Românească nr. 3/2003; - Marius Petrescu, prof. univ. dr., Constantin Romanoschi, prof. univ. dr., "Contribuţia Oficiului Registrului Naţional al Informaţiilor Secrete de Stat la consolidarea rolului României ca furnizor de securitate", A XI-a sesiune de comunicări ştiinţifice, ANI, vol I, 08 04 2005; - Neculae Năbârjoiu, gl. bg.(r), dr., Anca Gabriela Petrescu, "Comunicarea şi protecţia informaţiilor clasificate", A XI-a sesiune de comunicări ştiinţifice, ANI, vol II, 08 04 2005;
- Prof. univ. dr. Constantin Romanoschi, Cristina Oprea, „Unele consideraţii privind dreptul de proprietate asupra informaţiilor clasificate”, Academia Naţională de Informaţii, A XII-a Sesiune de Comunicări Ştiinţifice, Editura A.N.I., Bucureşti, 2006; - Marius Petrescu, Ştefan Mihai Dogaru, Vladimir Boboc, Horia Dogaru, Anca Gabriela Petrescu, Armele chimice şi statutul acestora în dreptul internaţional, Editura Centrului Editorial al Armatei, Bucureşti, 2005; - Marius Petrescu, Ştefan Mihai Dogaru, Neculae Năbârjoiu, Vladimir Boboc, Horia Dogaru, Anca Gabriela Petrescu - Convenţia privind interzicerea armelor chimice şi managementul informaţiilor în sistemul acesteia, Editura Academiei Naţionale de Informaţii, Bucureşti, 2007; - Mihai Drăgănescu, „Informaţia materiei”, Editura Academiei Române, 1990; - Corneliu Pivariu, Lumea secretelor, Ed. Pastel Braşov, 2005; - Stan Petrescu, Arta şi puterea informaţiilor, Ed. Militară, 2003; - Marian Rizea, Informaţiile, libertatea şi securitatea cetăţenilor, Editura ANI, 2005; - Marius Petrescu, Neculae Năbârjoiu, Managementul informaţiei, vol.I, Informaţii şi securitate, Editura Bibliotheca, Târgovişte, 2006; - Marius Petrescu, Neculae Năbârjoiu, Mioara Braboveanu, Managementul informaţiei, vol.II, Informaţii clasificate, Editura Bibliotheca, Târgovişte, 2008; - Cornelia Prioteasa, Operaţiunile informaţionale ca agresiune mediatică, Master, Politici sociale europene, 2006; - Nasty Vlădoiu, „Protecţia informaţiilor”, Editura Tritonic, Bucureşti, 2005; - Simon Duke, U.E. şi managementul crizelor. Evoluţii şi perspective, Editura Economică, Bucureşti, 2002; - Şerban Filip Cioculescu, Strategia Europeană de Securitate: către un plus de coerenţă în politica externă şi de securitate comună a Uniunii Europene, în Revista Română de Studii Internaţionale nr.1/2004; - Dumitru Matei, Strategia de securitate europeană-răspunsul la noile riscuri şi provocări din mediul internaţional, Gândirea Militară Românească, nr. 2/2005; - Şerban Filip Cioculescu, Politica Uniunii Europene de Combatere a terorismului după 11 septembrie 2001, în a XI-a Sesiune de comunicări ştiinţifice a Academiei Naţionale de Informaţii, 2005; - General dr. Mircea Mureşan, general de brigadă (r) dr. Gheorghe Văduva, Războiul viitorului, viitorul războiului, Editura Universităţii Naţionale de Apărare, Bucureşti, 2004; - Petre Anghel, Institutii europene si tehnici de negociere în procesul integrării, Editura Universităţii din Bucuresti, 2003; -Marius PETRESCU, prof. univ. dr., Neculae NĂBÂRJOIU, conf. univ. dr., „Optimizarea managementului informaţiilor clasificate” A XII-a sesiune de comunicări ştiinţifice, ANI, vol. IV, 2006; - Neculae Năbârjoiu, Managementul crizelor şi conflictelor, Editura University, Târgovişte, 2006; - Neculae Năbârjoiu, gl. bg.(r), conf. univ. dr., Mioara Braboveanu, col. drd., „Managementul informaţiilor clasificate - factor esenţial al securităţii şi apărării”, Sesiunea de comunicări ştiinţifice, Universitatea Naţională de Apărare, Centrul de Studii Strategice de Apărare şi Securitate, Bucureşti, aprilie 2006; - E. Bădălan, T. Frunzeti – „Forţe şi tendinţe în mediul de securitate european”, Editura Academiei Forţelor Terestre „Nicolae Bălcescu”, Sibiu 2003; - Alexandru Boldur, Cu privire la istoria Transnistriei, Editura „Semne“, Bucureşti, 1996; - Ion Ataman, Separatiştii colonizează intens Transnistria, în publicaţia saptamânală „Capitala“ (Republica Moldova), nr. 53 din 3-9 iulie 2004; - Simona Haiduc, Spălătorie şi fabrică de pâine pe Insula Şerpilor! Cotidianul ,,Curentul” (Bucureşti), nr.3, din 6 ianuarie 2005; - Z. Bauman –„Globalizarea şi efectele ei sociale”, Editura Antet Bucureşti, 2003;
- François-Bemard Huyghe, „Quatrierne guerre mondiale ou guerre de quatrieme generation”, Paris, 2004; - Daniel Bell, sociolog american, The coming of post-industrial society (1973) şi Societatea postindustrială în perspectivă istorică (1989); - B. Guillochon – „Globalizarea – o singură planetă, proiecte divergente” Ed. Enciclopedia RAO, Bucureşti, 2003; - M.C. Dupuis-Danon – „Finance criminelle” Ed. Presses Universitaires de France, 2004; - Walter Laqueur, A World of Secrets, The Uses and Limits of Intelligence, New York, 1985; - Mark M. Lowenthal, Intelligence from Secrets to Policy, Washington D.C., Ed. 2000; - Abram N. Shulsky şi Gary J. Schmith, The World of Intelligence, Washington D.C.; - Bjorn Moller, Privatisation of Conflict, Security and War, în Danish Institute for International Studies Working Paper, 2005; - François Gere, „La double mort de Clausewitz repenser la guerre en Europe au XX/e siecle”, în Strategique nr. 78-79, 2003; - Drăgănescu, M., „Informaţia materiei”, Editura Academiei Române, 1990; - I.Gâdiuţă, D. Sava, Decizia militară, Editura militară, 1998; -"O incursiune în securitatea informaţiilor cu Philip Zimmerman" - www.securizare.ro.