Sunteți pe pagina 1din 74

ACADEMIA FORELOR TERESTRE

NICOLAE BLCESCU

LUCRARE DE LICEN

COORDONATOR TIINIFIC:
Col.
AMRICUEI Marcel
AUTOR:
Stud. sg.
ALDA Mircea

- SIBIU, 2012 -

ACADEMIA FORELOR TERESTRE


NICOLAE BLCESCU

LUCRARE DE LICEN
TEMA: Proiectarea ,implementarea ,controlul i
revizuirea politicilor de securitate in cadrul structurilor
din Ministerul Aprrii

COORDONATOR TIINIFIC:
Col.
AMRICUEI Marcel
AUTOR:
Stud. sg.
ALDA Mircea
- SIBIU, 2012 2

Cuprins:
I.Introducere.........................................................................................................................5
2.Proiectarea politicilor de securitate..................................................................................7
2.1.Generaliti................................................................................................................7
2.2.Siguranta nationala:C.S.A.T......................................................................................9
2.3.Managmentul riscului(amenintari,vulnerabilitati si riscuri de securitate)...............13
2.4.Planificarea politicilor de securitate........................................................................19
2.5.Analiza informaiilor...............................................................................................21
2.6.Integrarea produsului analitic n crearea politicilor de securitate............................23
2.7.Identificarea si analizarea riscurilor.........................................................................26
2.8.Evaluarea riscurilor..................................................................................................27
2.9.Selectarea procedurilor............................................................................................28
3.IMPLEMENTAREA SI CONTROLUL PDS.................................................................31
3.1.Planul de tratare a riscurilor.....................................................................................31
3.2.Implementarea planului de tratare a riscurilor.........................................................32
3.3.Procedurile de urmat................................................................................................34
4.REVIZUIREA POLITICILOR DE SECURITATE........................................................39
4.1.Generalitti..............................................................................................................39
5.STUDIU DE CAZ:.........................................................................................................41
Organizarea si structurarea politicilor de securitate in cadrul unei organizatii.................41
5.1.ablon pentru planul de securitate al informatiilor..................................................46
5.2.Vedere generala a evaluarii riscului.........................................................................48
5.3.Mecanisme de management si organizationale.......................................................49
5.4.Clasificarea standard a incidentelor de securitate....................................................51
6.CONCLUZII...................................................................................................................54
7.LEGISLATIE SI DOCUMENTE RELEVANTE...........................................................57
7.1.ANEXA 1 Glosar (dicionar) cu termeni utili.......................................................57
7.2.Lista de abrevieri.....................................................................................................69
8.BIBLIOGRAFIE:...........................................................................................................71
8.1.LEGI, ACTE NORMATIVE:..................................................................................71
8.2.CARTI DE SPECIALITATE:..................................................................................71
8.3.LINK-URI:..............................................................................................................73

I.Introducere

Intrarea lumii n secolul XXI a fost marcat de efectele celui mai


dramatic atentat terorist, de temerile generate de virusul mileniului,
amplitudinea crizei economice, emergena unor crize energetice n Europa i
a unor crize alimentare n lume, ntr-un cuvnt, de multiplicarea
ameninrilor asimetrice i atipice la adresa securitii statelor i cetenilor.
Dezvoltarea societaii omenesti precum si expansiunea acesteia in
timp,spatiu si in complexitate genereaza fara incetare o acuta nevoie de
securitate.
Contextul global actual al securitatii fie ea informationala,fie
militara.fie geopolitica este constituita de o natura fluctuanta intre
securitatea pe plan intern si cea pe plan international.Amprenta tot mai
puternica a cadrului actual al globalizarii si al existentei aliantelor transatalantice face ca securitatea pe plan intern si cea pe plan international sa fie
intr-o stransa interdependenta si interconexiune.
Un alt factor ce constituie schimbari la nivelul politicilor de securitate
este reprezentat de dinamica schimbarilor tehnologice si rapiditatea cu care
acestea apar caracteristica conturata si de oamenii de stiinta acestia
declarand chiar ca Dezvoltarea tehnologica va tinde spre infinit. Se cere
deci n mod automat o nou perspectiv, un unghi n acord cu noile tipuri de
amenri i care s fie structurat pentru a veni n ntimpinarea ameninrilor
la adresa securitii ct i a siguranei naionale.
Domeniul de securitate militara vine intr-un context actual dominat de o
puternica fluctuaie a cadrului international cu un grad foarte mare de
incertitudine si interventia unor factori aleatori care nu pot fi evaluate sau
prognozati cu precizie.
Un alt factor ce poate ajuta sau distruge un domeniu actual este
reprezentat de situatia economica a unui stat sau a celei pe plan
international.Ultimii patru ani sunt reprezentativi pentru intelegerea naturii
fluctuante a cadrului actual astfel ca in 2008, Bucurestiul aloca pentru
aparare 2,6 miliarde de dolari, pentru ca in 2009 suma sa scada la 2,2
miliarde de dolari, in 2010 la 2 miliarde, iar in 2010 la 1,9 miliarde de dolari.
Anul trecut, Romania a inregistrat o crestere fata de 2010, ajungand la 2,1
miliarde de dolari, crestere insa sub nivelul din 2008.Pe de alta parte insa
6

SUA au alocat, in 2011, pentru cheltuieli de aparare mult mai mult decat
tarile UE, China si Rusia la un loc.
O alta problema ce afecteaza cadrul militar romanesc este reprezentata
de cadrul politic subred ce genereaza la randul sau alt fond de incertitudini
legate de guvernarea Ministerului Apararii si alocarea bugetului.
Pe acest fond accentuat de incertitudini cadrul militar romanesc actual
sufera de pe urma a tot mai multor scandaluri.printre care amintim de
afacerea ciorogarla soldata cu destituirea sefului Statului Major al Fortelor
Aeriene (SMFA),a sefului Directiei de Contrainformatii din cadrul SMG, a
sefului
Statului Major al Fortelor Aeriene ,a sefulului Directiei
Contrainformatii si Siguranta Militara de la SMFA,precum si ofiterul de
contrainformatii de la Brigada,,a sefului de Resurse la SMFA, a sefului
Serviciului Politie Militara din Statul Major General, seful sectiei Paza si
Securitate in serviciul Politiei Militare din SMG si seful Directiei
Contrainformatii si Siguranta Militara din cadrul SMG.O alta problema este
reprezentata de scandalurile declansate pentru luare de mita a unor ofiteri
precum si a altor probleme de spionaj , a aparitiei raportului armaghedon in
2001 si a diferitelor afaceri dubioase precum afacerea Puma si afacerea
Motorola.
In acest context cadrul militar romanesc trebuie sa raspunda unui numar
tot mai mare de cerinte si noi provocari intr-un context dinamic, instabil
supus unor tot mai mari fluctuaii.

2.Proiectarea politicilor de securitate

2.1.Generaliti
2.1.1Politica de securitate si strategia militara

Politica de securitate a unui stat si strategia militara a acesteia reprezinta


concepte specifice sistemelor sociale complexe fiind interdependente cu un
puternic accent politic.
Nu poate fi avuta in vedere o politica de securitate fara interventia
decidentului politic sau macar supervizarea acesteia de catre decidentul
politic in cauza.
Interdependeta acestora este clar conturata.Nu putem vorbi de o politica
globala fara a avea si o strategie globala.Strategia militara ajuta decidentul
politic prind instiintarea acestuia cu privire la datele necesare referitoare la
starea sistemului de securitate propriu, datele de ordin cantitativ i calitativ
ce indica potenialii adversari, posibilitile acestora de aciune precum i
capacitatea de a le combate.In acest caz intervine securitatea militara cu
ramurile acesteia, care sunt directia informatiilor militare si directia de
securitate militara reunite in 2005 sub o singura cupola si anume directia
generala de informatii a apararii.
Intr-un comunicat pe site-ul ministerului apararii observam ceea ce am
confirmat deja si anume ca :Directia generala de informatii a apararii
asigura obtinerea, prelucrarea, verificarea, stocarea si valorificarea
informatiilor si datelor referitoare la factorii de risc si amenintarile interne si
externe, militare si nonmilitare, care pot afecta securitatea nationala n
domeniul militar, coordoneaza aplicarea masurilor contrainformative si
cooperarea att cu serviciile/structurile departamentale nationale si de
informatii, ct si cu cele ale statelor membre ale aliantelor, coalitiilor si
organizatiilor internationale la care Romnia este parte si asigura securitatea
informatiilor clasificate nationale, NATO si Uniunea Europeana la nivelul
Ministerului Apararii1.
In acest context politica de aparare a unei tari trebuie adaptata tipologiei
amenintarilor , provocarilor si crizelor specifice mediului de securitate, iar
1

http://www.mapn.ro/structuri/dgia/index.php

principalul furnizor de date privind tipologiile in cauza o reprezinta directia


generala de informatii a armatei.
Cadrul implementarii unei politici de securitate vine pe un fond in care
definirea riscurilor/ameninrilor/incertitudinilor este n primul rnd o
problem de percepie iar in a doua parte o incapacitate de a investiga
performant realitatea sociala in cadrul careia aceasta va actiona.Rolul
serviciilor de informaii devine din ce n ce mai important n analizarea
mediului de securitate, cu implicaii directe n planificarea aprrii.
Politica de securitate reprezinta o componenta de baza a politicii
generaleavand ca ca domeniu de activitate promovarea modalitilor i
asigurarea condiiilor de meninere a securitii sistemului asigurand
pastrarea intereselor vitale ale statului pe fondul careia acesta actioneaza
avand in fata o evolutie permanenta a relaiilor i interdependenelor
proceselor i fenomenelor sociale interne i internaionale.
Politica de securitate precum si strategia de securitate nationala au in
vedere crearea unei bariere de securitate ce are ca scop prevenirea eficienta a
riscurilor,amenitarilor ce pun n pericol valorile i interesele naionale fiind o
componenta integrata intr-un context global.
Cadrul securitatii unui stat este constituit de mai multe domenii de
securitate printre care enumeram:

securitatea militar constnd n interaciunea dubl a


capacitilor ofensive i defensive ale statului precum i percepia cu
privire la inteniile altor state sau a ameninrilor non-statale la
adresa colectivitii respective;

securitatea politic constnd n preocuprile pentru asigurarea


stabilitii organizaionale a sistemului de guvernare i a ideologiilor
care le legitimeaz;

securitatea economic constnd n asigurarea accesului la


resurse, finane i piee de desfacere necesar pentru a menine un
nivel acceptabil de bunstare i de putere a statului;

securitatea social constnd n capacitatea statului de a susine, n


limite de evoluie acceptabile, elementele tradiionale de limb,
cultur, identitate naional, tradiii i religie;

securitatea mediului constnd n programele i aciunile destinate


meninerii biosferei locale, regionale i planetare ca suport esenial
de care depinde ntreaga dezvoltare socio-uman.
Pe plan militar intalnim urmatoarele domenii aplicative si anume

securitatea persoanei constand in protectia personalului militar ,a


identitatii acestuia si alte elemente de securitate fizica
securitatea fizica cadru integrator ce are in componenta atat
securitatera fizica a personalului militar cat si pastrarea,depozitarea
si intretinerea informatiilor
securitatea informatiilor are ca scop protectia informatiei si a
proprietatii intelectuale de la distrugere sau comprimitere de catre
actori umani
securitatea informatiilor si a comunicatiilor protectia sistemelor
IT&C si a datelor stocate in acestea
managmentul riscului cadru integrator ce are in componenta toate
elementele enumerate mai sus

Politica de securitate a Romaniei se ghideaza dupa conceptele


prevenirii ,descurajarii si rezolvarii pe cale pasnica a crizelor si conflictelor
care ar putea degrada interesele ,valorile statului si relatiile internationale ale
acestuia.
Intr-un cadru decident principalul actor al realizarii si imbunatatirii fortei
si puterii militare este constituit de factorul politic din cadrul acelui stat
avand implicatii majore in vederea indeplinirii obiectivelor militare propuse.

2.2.Siguranta nationala:C.S.A.T.
CSAT este autoritatea administrativ autonom investit cu organizarea i
coordonarea unitar a activitilor care privesc aprarea i sigurana
naional.
Atributiile CSAT sunt:
- coordonaz activitatea instituiilor cu responsabiliti n
domeniul aprrii i siguranei naionale
- analizeaz i aprob strategiile, actele normative emise
de Guvern referitoare la acestea, structura i
regulamentele de funcionare, programele de
nzestrare i asigurare logistic, planurile de aciune,
rapoartele de activitate, proiectele de buget
- gestioneaz unele aspecte din domeniul resurselor
umane (numirea sau avizarea numirii unor cadre n
10

funciile de conducere, acordarea gradelor de general


de brigad sau naintarea n gradul urmtor a generalilor),
precum i relaiile externe ale instituiilor de profil.
Activitatiile CSAT:
- Strategia de securitate naional a Romniei
- Strategia pe termen scurt i mediu a SRI
- Strategia de prevenire i combaterea terorismului
- Strategia Serviciului de Informaii Externe
- proiectele Legii siguranei naionale
- Legea de organizare i funcionare a CSAT
- alte acte normative referitoare la sigurana naional
promovate de Guvernul Romniei
2.2.1.DOCTRINA NAIONAL A INFORMAIILOR
PENTRU SECURITATE
Elaborarea doctrinei naionale a informaiilor pentru securitate are
menirea de a stabili i defini conceptele fundamentale specifice domeniului
activitii de informaii pentru aprarea securitii naionale, n conformitate
cu prevederile Constituiei i cu necesitatea realizrii conexiunilor la
cultura organizaional i instituional de securitate euroatlantic.1
Doctrina naional a informaiilor pentru securitate definete cadrul
general al activitii de informaii pentru securitate i se constituie ntr-un
ghid n procesul culegerii, prelucrrii, analizei, interpretrii i utilizrii
informaiilor care privesc securitatea Romniei i a aliailor si.
Ca membru al Organizaiei Tratatului Atlanticului de Nord,
Romnia acioneaz n conformitate cu Doctrina integrat de informaii,
contrainformaii i
securitate a NATO.
Raportul acesteia
cu
Doctrina naional a informaiilor pentru
securitate este urmtorul:doctrina integrat de informaii, contrainformaii i
securitate a NATO ofer baza conceptual a colaborrii sistematice cu
serviciile de securitate naional ale statelor membre pentru a conveni, de
comun acord, asupra informaiilor, valorilor i resurselor care necesit
protecie, precum i a standardelor comune de aprare. Aceasta constituie
suportul teoretic al securitii naionale asigurate n cadrul msurilor
politico-militare comune, realizate prin culegerea i valorificarea
11

informaiilor, respectiv informarea guvernelor asupra naturii ameninrilor i


a mijloacelor de protecie mpotriva acestora.
Doctrina naional a informaiilor pentru securitate furnizeaz elementele
cadrului conceptual al activitii sistemului securitii naionale i vizeaz
integrarea
i coerena politicilor i strategiilor de securitate ale structurilor naionale
de informaii, inclusiv complementaritatea acestora cu esena, principiile i
conceptele fundamentale ale doctrinei Alianei. Aceasta constituie, de
asemenea, parte a ofertei de securitate la patrimoniul strategic al Alianei.
Doctrina naional a informaiilor pentru securitate se adreseaz
factorilor implicai n realizarea securitii naionale din sfera legislativului,
executivului, sistemului naional de securitate, autoritilor i instituiilor
publice, organizaiilor de
1 n elaborarea prezentei doctrine a informaiilor pentru securitate au fost
utilizate:
- Studii i cercetri de securitate i siguran naional din statele
spaiului euroatlantic;
- Documentul AJP-2 - Doctrina integrat de informaii, contrainformaii
i securitate a NATO;
- Culegerea de legi utilizate de comisiile speciale ale Congresului SUA;
- Legislaii ale serviciilor de informaii i securitate din statele membre
ale Uniunii Europene,de drept privat, celor neguvernamentale i altor forme
asociative ale societii civile, constituind baza teoretic a activitilor i
preocuprilor referitoare la domeniul securitii naionale i al serviciilor de
informaii, contrainformaii i securitate.
Doctrina naional a informaiilor pentru securitate vizeaz:
- perceperea i nelegerea corect a activitii de informaii, ca
prelungire a misiunii sociale de autoaprare exercitat de societate n
ansamblul su, fa de
ameninrile i pericolele la adresa ceteanului, naiunii i statului romn
i a aliailor si;
- asigurarea suportului teoretic al politicilor, strategiilor i legislaiei
privind
activitatea de informaii, contrainformaii i de securitate, care s confere
instituiilor abilitate ale statului de drept capacitatea de a desfura,
potrivit competenelor, activiti specifice de cutare, obinere i
prelucrare, prin tehnici i proceduri specifice, precum i de transmitere,
ctre factorii de decizie legal abilitai, a informaiilor cu relevan operativ
pentru statul romn i aliaii si;
12

- statuarea principiilor coordonrii efortului informativ naional n


vederea elaborrii produselor analitice i lurii deciziilor privind
securitatea naional,
instituirea mecanismelor de evaluare
i valorificare integrat a
informaiilor pentru securitate, a regulilor de cooperare, conlucrare,
colaborare ntre structurile de
informaii ale sistemului securitii naionale, precum i cu cele ale
aliailor, pentru cunoaterea, prevenirea i contracararea, potrivit domeniilor
de competen, a ameninrilor specifice i comune;
- instituirea terminologiei unitare care s asigure compatibilitatea
structurilor de informaii naionale cu cele ale aliailor i dezvoltarea unei
culturi de securitate n msur s faciliteze comunicarea la nivelul
sistemului securitii naionale, cu celelalte autoriti i instituii publice,
inclusiv cu societatea civil, precum i cu
structurile de informaii partenere;
- perfecionarea cadrului organizaional-funcional necesar concentrrii
structurilor informative, potrivit domeniilor, problemelor i profilurilor
specifice de
activitate, asupra informaiilor cu relevan n planul de securitii,
sporind eficiena pe linia prevenirii i contracarrii riscurilor i
ameninrilor, precum i n domeniul aprrii i promovrii valorilor i
intereselor naionale i ale aliailor.
- asigurarea, n domeniul securitii i al activitii serviciilor de
informaii pentru securitate, a supremaiei legii, protejarea statului de drept
i a respectului drepturilor i libertilor fundamentale ale omului;
- dezvoltarea i consolidarea participrii la cooperarea internaional
i la schimbul de informaii privind ameninrile la adresa securitii
naionale i a aliailor Romniei.

2.3.Managmentul riscului(amenintari,vulnerabilitati si
riscuri de securitate)
Managmentul riscului reprezinta un proces complex in elaborarea
politicilor de securitate, process ce are in vedere amenintarile
vulnerabilitatile si riscurile de securitate ale unui sistem.
In acest context se au in vedere potentialele evenimente nedorite ce pot
dauna institutiei militare si a valorilor ei.

13

Pasul 1

Includerea criteriilor i
abordarea evalurii
riscului

Pasul 2

Definirea Politicii
SMSI

Document de
Politic

Definirea abordrii
evalurii riscului
Identificarea complet
a valorilor
informaionale

Document de
Scop
Inventarul
valorilor

Pasul 3

Identificare i evaluare
ameninri,
vulnerabiliti, impact

ntreprinderea
evalurii riscului

Raportul
evalurii
riscului

Pasul 4

Identificare i evaluare
opiuni de tratare
Definire niveluri de risc
acceptate

Managementul
riscului,
Revizuirea i
finalizarea Politicii de
securitate a
informaiilor

Tratri propuse

Pasul 5

Alegerea
mecanismelor de
control pentru a fi
implementate

Mecanisme
propuse

Pasul 6

Pregtirea Formulei de
Aplicabilitate

Formula de
Aplicabilitate

Obinerea aprobrii
conducerii pentru
implementare

Planul
Programului

Pasul 7

Acceptarea riscului
rezidual i autorizarea de
aciune

In prima parte vom aborda amenintarile la adresa securitatii.Acestea pot


fi de mai multe tipuri si anume: amenintari de natura politica,militara,transfrontaliera,sociala,economica,ecologica etc.
14

Categoria juridico-operativ de ameninare la adresa siguranei naionale


este utilizat pentru ntia oar n Romnia, odat cu promulgarea Legii
51/1991.
Inca din Art.1 intalnim clar obiectivele propuse si anume: starea de
legalitate, de echilibru si de stabilitate sociala, economica si politica
necesara existentei si dezvoltarii statului national roman, ca stat suveran,
unitar, independent si indivizibil, mentinerii ordinii de drept, precum si
climatului de exercitare neingradita a drepturilor, libertatilor si indatoririlor
fundamentale ale cetatenilor, potrivit principiilor si normelor democratice
statornicite prin Constitutie2.
Tot in legea 51/1991 intalnim la art.3 potentialele amenintari pe care le
vom enumera succinct si anume: planurile si actiunile care vizeaza suprimarea
sau stirbirea suveranitatii, actiunile care au ca scop, direct sau indirect,
provocarea de razboi ,tradarea prin ajutarea inamicului, actiunile armate sau
orice alte actiuni violente care urmaresc slabirea puterii de stat, spionajul,
subminarea, sabotajul ,actiunile prin care se atenteaza la viata, integritatea
fizica sau sanatatea persoanelor care indeplinesc functii importante in stat
;initierea, organizarea, savirsirea sau sprijinirea in orice mod a actiunilor
totalitariste; actele teroriste, precum si initierea sau sprijinirea in orice mod a
oricaror activitati al caror scop il constituie savirsire de asemenea fapte etc.
Articolul de lege este structurat pe cinci capitole si anume:dispozitii
generale;activitatea de informatii; obligatiile si raspunderile organelor de stat,
organizatiilor publice sau private;sanctiuni si dispozitii finale.
A doua parte este reprezentata de vulnerabilitatile unui sistem.
Vulnerabilitatea reprezinta o bresa in proiectarea si implementarea unei
politici de securitate,a securitatii sau a masurilor de securitatea luate ce poate
fi exploatata,accidental sau voit,de catre o amenintare la adresa
structurii.Aceasta adduce in chestiune doua limite general valabile,cunoscute
in prezent la adresa securitatii si anume:limitele tehnice si limitele umane.
Limitele tehnice ale sistemelor de securitate a informaiilor, referitoare
la calitatea soluiei, a implementrii, a nivelului de performan ateptat sau
obinut , astfel ca solutiile adoptate nu raspund in totalitate cerintelor.
Limitele umane sunt de obicei sunt cele datorate pregtirii, nivelului de
nelegere.
Politicile i produsele de securitate pot reduce vulnerabilitile,
respectiv posibilitile i probabilitile ca un atac s penetreze sistemul
informatic i de comunicaii sau, prin arhitectura de securitate adoptat, pot
impune agresorului s investeasc att de mult timp i resurse, nct atacul
s nu mai fie profitabil.
2

legea 51/1991

15

In cea de a treia parte o sa discutam despre riscul de securitate si ce


presupune acesta.Riscul de securitate reprezinta potentialul detinut de un
inamic sau mai multi de a exploata eventualele brese din sistem aducand
prejudicii acestuia si a integritatii sale afectand totodata si institutia in sine.
Aici intalnim o serie de etape ce au un rol esential pentru a previne
eventualele scurgeri de informatii.Aceste etape sunt:analiza,proiectarea
,implementarea,controlul si revizuirea.
Analiza este prima etapa,fiind etapa cheie in dezvoltarea politicilor de
securitate avand un rol esential.O analiza realizata atent poate preveni unele
neplaceri,iar structurile de securitate au obligatia de a efectua o analiza
atenta a eventualelor riscuri de securitate ce pot aparea.
Procesul de analiz a riscului se desfoar conform unei proceduri care
const n parcurgerea urmtoarelor etape, respectiv:
identificarea i evaluarea informaiilor clasificate supuse
riscului;
identificarea ameninrilor;
identificarea vulnerabilitilor, determinarea probabilitii de
producere a unui incident de securitate i impactul acestuia;
analiza msurilor de securitate;
determinarea nivelului de risc;
elaborarea raportului privind analiza riscului.
Odata cu analiza riscului se vor intreprinde si cercetari asupra
probabilitatii de producere, a implicatiilor acestui eveniment asupra
integritatii sistemului si a determinarii nivelului de risc.
Dupa intocmirea tuturor pasilor necesari se intreprind actiuni pentru
diminuarea riscului printr-o serie de proceduri standard si anume:
ierarhizarea aciunilor;
evaluarea msurilor de securitate recomandate;
realizarea unei analize cost beneficiu;
selectarea msurilor de securitate;
atribuirea responsabilitilor;
elaborarea planului de implementare a msurilor de
securitate selectate;
implementarea msurilor de securitate selectate
controlul masurilor de securitate
revizuirea actiunilor in cazul in care acestea nu functioneaza

16

Implementarea msurilor de securitate poate reduce nivelul de risc,


dar nu l poate elimina iar riscul rmas este definit ca risc rezidual.
Msurile generale de realizare a securitii informaiilor clasificate
vor fi dezvoltate i modificate n mod continuu, componentele vor fi
schimbate i actualizate.
n plus, n timp, vor aprea schimbri de personal, precum i n
politicile de securitate ale structurii. Aceste schimbri conduc la apariia
unor noi riscuri, iar riscurile reduse anterior devin din nou o preocupare.

Ameninri

protejeaz
mpotriva

exploateaz

sporesc

Mecanisme de
securitate

Vulnerabiliti

sporesc

expun

Valori

Riscuri de
securitate

regsite n

Cerine de
securitate

indic

sporesc

necesit

Estimarea valorilor
i Impactul
Potenial

2.3.1. Dezvoltarea Criteriilor de Evaluare a Riscului

Pentru a evalua riscurile, impactul, consecinele i alegerea


mecanismelor, vor fi definite criteriile cantitative/calitative care se vor
folosi. Se acord atenie nivelului de risc pe care instituia este dispus s l
accepte. Politica de Securitate a Informaiei creat la pasul 1 este unul dintre
datele iniiale pentru aceast etap.
Dezvoltarea criteriilor detaliate ale riscurilor va fi influenat de o
serie de factori, ca de exemplu:
17

- Politica intern a instituiei, scopurile i obiectivele;


- Ateptrile acionarilor (partenerilor) sau beneficiarilor;
- Cerinele juridice, legale.
Este important ca criteriile corespunztoare s fie determinate de o
evaluare iniial a riscului i s fie continuu revizuite, reanalizate pe ntreaga
durat a procesului evalurii riscului. Criteriile de risc pot fi ulterior
dezvoltate i perfecionate pentru a avea asigurarea acestea corespund
tipurilor de riscuri i modului clar de a exprima nivelul riscului.
Decizia privitoare la acceptabilitatea riscului i tratarea
subsecvent a riscului se poate baza pe criterii operaionale, tehnice,
financiare, juridice sociale sau umane.
Criteriile pentru evaluarea riscurile de securitate sunt n mod
caracteristic (nefiind limitate) consecinele financiare asociate cu:
1)
Percepia
beneficiarilor
i
impacturilor
reglementrilor a breelor de confidenialitate;
2)
Impacturilor operaionale, ale activitii desfurate
determinate de informaii indisponibile;
3)
Impacturile activitii determinate de pierderea
confidenialitii;
4)
Impacturilor operaionale, ale activitii desfurate
ale pierderii integritii informaiilor.
Guvernul are, de asemenea, o serie de politici care trebuie s fie
parte a criteriilor instituiei. Acestea includ:
- Ateptrile privind grija i confidenialitatea de a fi date
informaii oficiale;
- Disponibilitatea informaiilor oficiale pentru informarea public;
- Ateptrile despre strngerea, utilizarea i grija datelor
personale;
- Msurile i procedurile instituiilor trebuie s adopte protecia
resurselor oficiale mpotriva fraudei i deteriorrii, deformrii;
- Ateptrile pentru asigurarea proteciei corespunztoare a
informaiilor clasificate.
Orice instituie trebuie s-i defineasc propriile modaliti i
msurile n ceea ce privete faptul c ce poate fi dezastruos pentru o
instituie de mici dimensiuni poate fi ceva insignifiant sau sczut pentru o
instituie mare.
Un exemplu de criterii pentru determinarea cerinelor de securitate
este artat mai jos. Se face referire la clasificarea informaiilor aa cum este
recomandat n tema Clasificarea informaiilor i marcarea n cadrul
Definirea valorii informaiilor n aceast seciune.
18

Foarte nalt

nalt

Moderat

Sczut

- Confidenialitatea informaiilor trebuie s fie garantat i consimit cu


cerine de strict secret. Informaia este clasificat ca informaie de
securitate naional sau nalt Protejat, pentru informaiile de securitate
non-naionale.
- Informaia trebuie s fie exact tot timpul
- deciziile decisive necesit existena unei actualizri permanente
Regula general este c eecul sistemelor informaionale pot conduce la
un colaps total al instituiei sau la consecine grave ale statului, ale
instituiei, beneficiarilor, partenerilor i/sau societii publice.
Mecanismele iniiale pot s nu fie suficiente, fiind nevoie de
mecanisme suplimentare bazate pe analiza riscului.
- Informaia este clasificat Protejat
- Informaia trebuie s fie corect iar orice eroare trebuie s fie
detectabil sau evitabil
- Procesele n zonele critice trebuie s fie ndeplinite ntr-un cadru de
timp bine definit. Sunt admise scurte perioade de tranziie (ncetinire) a
activitii
Regula general este c n eventualitatea unui avarii (funcionri
defectuoase), zonele critice nu pot funciona o lung perioad de timp,
rezultnd o afectare a statului, instituiei, beneficiarilor, colaboratorilor,
partenerilor i/sau membrilor societii publice. Mecanismele iniiale
pot s nu fie suficiente, fiind necesare alte mecanisme suplimentare a
fi selectate bazate pe analiza riscului.
- Confidenialitatea informaiilor trebuie s fie garantat doar pentru
utilizarea intern n cadrul instituiei. Informaia este clasificat
Confidenial pentru uz intern
- Erorile care pot submina semnificativ ndeplinirea sarcinilor trebuie s
fie detectabile i evitabile
- Activitile specifice pot tolera perioade scurte de tranziie (ncetinire) a
activitii
Regula general este c consecina unei daune la adresa statului,
instituiei, beneficiarilor, partenerilor i/sau membrilor societii publice
este limitat. Mecanismele iniiale pot fi insuficiente.
- Confidenialitatea informaiilor nu este o cerin
- Pot fi tolerate erorile i nu produc probleme n ndeplinirea sarcinilor
- Perioadele de tranziie (ncetinire) au un impact minor asupra instituiei
Regula general este c consecina unei daune este doar de o minor
afectare a statului, instituiei, beneficiarilor, partenerilor, membrilor
societii publice. Mecanismele iniiale pot fi suficiente.

19

2.4.Planificarea politicilor de securitate

In cadrul managmentului riscului si a planificarii masurilor de


securitate viitoare totul se desfasoara dupa un plan de actiune ce are in
vederea reducerilor riscurilor de securitate. Acest plan trebuie secondat de
planul ce cuprinde msurile ce atenueaz manifestarea riscurilor i de planul
de tratare a situaiilor dificile (riscuri materializate).
Odata cu cunoasterea amenintarilor se permite si o ierarhizare a
acestora.Stabilirea unor ierarhii constituie suportul introducerii unei ordini
de prioriti n alocarea resurselor, n majoritatea cazurilor limitate, n urma
unei analize cost-beneficiu sau, mai general, efort-efect. Este esenial ca
organizaia s-i concentreze eforturile spre ceea ce este cu adevrat
important, i nu s-i disperseze resursele n zone irelevante pentru scopurile
sale.
Sistemul de management al securitatii informatiilor are ca rezultanta
directa planificarea politicilor de securitate si este realizata de structura
centralacu responsabilitati in domeniul acesta.
Este nevoie ca securitatea informaiei s se adreseze att activitilor
de planificare, ct i celor de luare a deciziei n perfecionarea i schimbarea
mecanismelor i procedurilor utilizate. Aceasta include dezvoltarea, att a
sistemelor de securitate existente avndu-se n vedere noile activiti, ct i
ridicarea performanelor sistemelor de suport n cazul n care sunt utilizate
SIC.
Procesarea (producerea) informaiilor, dei are un accentuat specific
opera ional, caracterizat prin tratarea rapid a acestora i facilitat de aportul
bazelor de date, al bncilor de informaii, al programelor expert i al
performanei computerelor, cu efecte benefice n planul actului decizional, al
eficienei i economiei costurilor, se constituie, pe fond, n componenta sau
latura analitic a activitilor informative, contrainformative i de securitate.
Procesarea (producerea) informaiilor este procesul analitic
desfurat de ctre structurile analitice specializate pe baza coroborrii,
integrrii, analizrii i evalurii datelor cu semnificaie operativ.
Pentru a deveni utilizabile n procesul decizional, informaiile sunt
supuse unor operaiuni specifice de prelucrare, coroborare, integrare,
20

analiz i evaluare, n vederea stabilirii indicatorilor i a elementelor de


caracterizare a acestora.
1. Prelucrarea (tratarea) este etapa procesului analitic realizat prin
opera- iuni, proceduri i tehnici aplicate datelor pentru a deveni utilizabile,
precum adnotri, referiri, rezumri, indexri, codificri, clasificri tematice,
atribuirea unui format,pregtirea pentru prelucrarea electronic etc. cu
ajutorul unor mijloace materiale i echipamente specifice.
2. Coroborarea este procesul managerial specific de
confirmare/infirmare a coninutului unei informaii, de completare sau
ntregire a acestuia, prin operaiuni analitice de integrare i comparare a
informaiilor n raport de cunotinele existente la momentul respectiv,
despre domeniul sau problema la care se refer, cu scopul de a pune n
eviden conexiunile i tendinele i a desprinde sau formula concluzii.
3. Integrarea const n reunirea datelor disparate, obinute succesiv n
procesul culegerii sau colectrii, reunirea lor dup criterii i reguli
prestabilite, armonizarea i nsumarea elementelor componente ale acestora,
estimarea veridicitii i utilitii lor i ncorporarea ntr-o informaie de sine
stttoare sau ntr-un produs informaional.
4. Analiza semnific tratarea informaiilor prin folosirea metodelor
logice, analogice, sistemice de analiz i ale comunicrii, n scopul stabilirii
adevrului,incertului sau falsului ori identificrii i caracterizrii
disfunciilor, vulnerabilitilor i factorilor de risc ce pot constitui
ameninri.
Analiza este complementar cu sinteza, ambele fiind metode de
cercetare i studiere a faptelor i fenomenelor exprimate de informaii, care
constau, pe de o parte, n descompunerea acestora n elementele
componente, n scopul evidenierii caracteristicilor fenomenelor sau
problemelor cercetate informativ i stabilirii relaiei ntre ntreg i prile
componente, iar pe de alt parte, n reunirea orientat a acelorai
elemente, n funcie de legturile descoperite i cercetate prin analiz.

2.5.Analiza informaiilor

O alta etapa importanta in proiectarea politicilor de securitate este


reprezentata de analiza informatiilor ce parvin in urma culegerii de date.

21

Vom porni de la ncercarea de a explica ntr-o form concis ce


reprezint de fapt analiza informaiilor. Acesta este procesul de divizare a
informaiei n prile sale componente, de extragere, structurare a
semnificaiei acesteia i de reasamblare a explicaiilor acestor sensuri ntr-un
mod ce poate fi perceput i pus n practic de persoana cu putere de decizie
n momentul stabilirii opiunilor. Ca element central, aceast analiz se
refer la utilizarea produsului finit, a informaiilor prelucrate n scopul
sprijinirii prcesului de luare a deciziilor i creare a politicilor publice.
ntr-un sens lrgit, activitatea de intelligence, este un domeniu ce
presupune culegerea i analizarea informaiilor. De asemenea, include
aciunile ntreprinse pentru a contracara activitile informative ale
adversarilor, fie neacordndu-le acces la informaii, fie inducndu-i n eroare
cu privire la unele fapte i semnificaia acestora3.
Bruce Berkowitz i Allan Goodman aduc n prim plan procesul
intelligenceului strategic i definesc analiza informaiilor drept: procesul
evalurii i transformrii datelor brute n rapoarte, explicaii i concluzii
pentru beneficiar4. De asemenea, n literatura de specialitate, tendina este
de a observa c rolul analizei informaiilor este de a-i informa pe cei
responsabili cu crearea politicilor publice pentru a-i ajuta s delibereze n
modul optim. Acurateea, evoluia n timp i relevana nu sunt de ajuns;
intelligence-ul trebuie s ptrund ctre decideni5. Se pune n balan pe
lng importana produsului finit i necesitatea de a transforma
Comunitatea de Intelligence ntr-un spaiu ce se reinventeaz n mod
dinamic, pe msur ce climatul de securitate naional se afl n permanent
schimbare6.
Ajungnd la partea concret, activitatea analizei informaiilor se
divizeaz n trei etape eseniale: 1) organizarea informaiilor, nelegerea
acestora i stabilirea relevanei fiecreia, 2) dezvoltarea n mod obiectiv a
acestor informaii pentru a putea ajunge la nelegerea ntregului, 3)
comunicarea concluziilor i astfel punerea n aplicare a informaiilor
operative.
Tipurile de analiz pe care ne sprijinim n demersul de intelligence
sunt att: Analiza operaional (de caz) const n identificarea la nivel
local, n teren, a incidentelor ce aduc atingere siguranei naionale sau
3

Abram Shulsky, Gary Schmitt, Rzboiul tcut, Editura Polirom, Iai, 2008, p. 25.
Bruce D. Berkowitz, Allan E. Goodman, Strategic Intelligence for American National Security, Princeton
University Press, May 1991.
5
Steven Rieber, Neil Thomason, Creation of a National Institute for Analytic Methods n Studies in
intelligence- Journal of the American Intelligence Professional, Vol. 49, No. 4, 2005, p. 74.
6
Calvin Andrus, Toward a Complex Adaptive Intelligence Community n Studies in intelligence- Journal of
the American Intelligence Professional, Vol. 49, No. 3, 2005, p. 63.
4

22

realizarea statisticilor pentru a stabili modurile eficiente de identificare i


prevenire.
Analiza strategic se refer la modalitile i metodele de exercitare
a puterii (resurse sau mijloace) pe care conducerea unei entiti politice le
are la dispoziie prin exercitarea controlului asupra unor evenimente
caracterizate de un set de circumstane, n vederea atingerii anumitor
obiective7.
Pentru a facilita ns analiza i cercetarea n domeniu, trebuie s
distingem ntre nivelurile analizei strategice.
Componentele cheie n ceea ce privete culegerea informaiilor se
identific n funcie de diversele metode de culegere, astfel c ele se pot
clasifica n: 1) culegerea informaiilor din surse umane (la care se face
referire ca spionaj sau humint), 2)culegerea prin metode tehnice (informaii
tehnice sau techint), 3) culegereainformaiilor din surse deschise8.
Pe lng modalitile de culegere a informaiilor, un rol cheie l joac
ofierii de informaii, ei fiind cei ce vor colecta sau vor i analiza
informaiile obinute. n limbajul actual, se face diferena ntre acoperirea
oficial i cea neoficial.
Acoperirea oficial const n deghizarea unui ofier de informaii n
diplomat pe cnd acoperirea neoficial presupunerea trimiterea unui ofier de
informaii sub un alt pretext, necunoscut de guvernul rii gazd9.
Etapa urmtoare dup culegerea din diferite surse, const n evaluarea
informaiilor ce presupune o evaluare adecvat a exactitii sursei precum i
a coninutului acesteia, fiind esenial pentru dezvoltarea deduciilor.
Convingerea care st la baza unei concluzii depinde n mod automat
de calitatea datelor care au condus ctre ea. Evaluarea trebuie fcut imediat
sau ct mai repede posibil pentru a fi siguri c aceasta a fost realizat n
contextul propriu-zis. Pe lng aceste aspecte, n momentul n care ne
referim la humint, evaluarea necesit n mod separat estimarea credibilitii
sursei i a valabilitii informaiei. Sursa i informaia sunt evaluate
independent una de cealalt

2.6.Integrarea produsului analitic n crearea politicilor


de securitate
7

Daniel Biro, Studiile strategice n Politica de securitate naional: concepte, instituii, procese, Editura
Polirom, Iai, 2007, p. 125
8
Abram Shulsky, Gary Schmitt, op. cit., p. 35.
9

Ibidem, pp. 36-37.


23

O politic public poate fi de asemenea conceput i ca o reea de


decizii i strategii, interconectate, privind alegerea obiectivelor, a
mijloacelor i a resurselor alocate pentru atingerea acelor obiective n situaii
specifice10.
Securitatea naional n ansamblul su, rmne unul dintre bunurile
publice asigurate de ctre stat, printr-o serie de decizii, strategii i procese,
grupate per total sub eticheta de politica de securitate naional. Dei, chiar
i n acest domeniu se discut despre privatizarea securitii, securitatea
naional rmne un bun neexclusivist i ne-rival, de care beneficiaz toi
cetenii. Astfel, politica de securitate naional poate fi considerat o
politic public.11. Totui, procesul de formulare a politicilor publice este
de-a dreptul complex i are implicaii att asupra dimensiunii,
proceselor, mecanismelor i actorilor, ntr-o reea de relaii interconectate.
Analiza politicilor publice este de fapt o disciplin care utilizeaz
multiple metode de cercetare i de argumentare pentru a produce i
transforma informaia relevant pentru politici pentru a rezolva probleme
publice12.
Un alt element la care facem referire este confuzia ce se produce
uneori ntre conceptele de: politica de securitate naional, politica de
aprare i strategia de securitate naional. Pornind de la percepia lui
Clausewitz ce vede un continuum politici strategii tactici, el considera
c victoriile pe cmpul de lupt nu au niciun sens dac nu corespund unor
comandamente politice ale statului13.
Astfel c, distincia principal dintre politica de securitate i strategia
de securitate const n faptul c politica de securitate face referire la
stabilirea obiectivelor majore ale statului, pe cnd strategia aduce n discuie
modalitile prin care aceste obiective pot fi ndeplinite. De asemenea,
politica de aprare are n sine alt sens, fiind vorba de fapt despre scopul final
de aprare n faa unui inamic extern.
n timp ce aprarea naional se bazeaz pe mijloace militare,
securitatea naionalangajeaz toate resursele naionale14.
10

Drago Paul Aligic, Marian Zulean, Deciziile strategice n condiii de incertitudine n Politica
de securitate naional: concepte, instituii, procese, Editura Polirom, Iai, 2007, p. 139.
11
Marian Zulean, Politica de securitate naional ca domeniu al politicilor publice, n Politica de
securitate naional: concepte, instituii, procese, Editura Polirom, Iai, 2007, p. 34.
563
12
William Dunn, Policy Analysis: Perspectives, Concepts, and Methods (Public Policy Studies,
Vol 6), JAI Press, New York, 1986, p. 60.
13
Marian Zulean, op. cit., p. 37.
14

Ibidem, p. 42.

24

Strategia de securitate naional, prin nsi caracterul comprehensiv


naional, reprezint o micro-politic de securitate.
Dei noua strategie pare c restrnge aria de refereni ai securitii, n
realitate aria este mai larg, mai complex, deoarece acum sunt inclui
individul, comunitile, statul ct i instituiile i organizaiile internaionale
din care statul romn face parte.
Aadar, odat cu aderarea Romniei la NATO i UE, aria referenilor
securitii este mai complex, iar strategia de securitate naional are acum i
o referin internaional.
Conform SSN 2006, interesele de securitate sunt integrarea deplin
n Uniunea European i asumarea responsabil a calitii de membru al
Alianei Nord-Atlantice; meninerea integritii, unitii, suveranitii,
independenei i indivizibilitii statului romn.
Elemental central n SSN 2006 intervine sub forma unei echilibrri a
importanei strategice a braelor securitii naionale identificate ca fiind:
statutul de membru NATO i UE, parteneriatul strategic cu SUA, reforma
sistemului military roman pentru a satisface cerinele i standardele
prevzute de NATO i UE. Alturi de alte elemente sunt identificate
principalele ameninri la adresa securitii internaionale: terorismul
internaional, proliferarea armelor de distrugere n mas,
conflictele regionale, criminalitatea transnaional organizat.
Astfel, o dat cu SSN din 2006, se poate constata o abordare mai
complex a problemelor de natur internaional; odat cu aderarea la NATO
i UE, politica de securitate a Romniei trebuie s se sincronizeze cu cele ale
statelor partenere i aliate, ceea ce se ntmpl o dat cu SSN 2006.
Pentru o viziune global asupra noiunii de securitate, este necesar o
analiz att la nivelul celor mai importante aliane n care Romnia este
implicat, ct i o analiz a unor actori de pe arena internaional i a
modului n care se desfoar crearea politicilor publice n acest context.
Din momentul apariiei unei noi probleme pe arena internaional i
anume problema terorismului, strategiile de securitate ale NATO i UE s-au
adaptat noilor cerine internaionale.
Astfel, strategiile de securitate, fcute publice in 2002, dei identific
aceleai pericole i vulnerabiliti ale statelor n raport cu problema
crescnd a terorismului, propun soluii diferite pentru rezolvarea acestei
probleme.
De exemplu, n cazul SUA, acestea adopt o atitudine mai intruziv,
mai ales n alte state, comparative cu UE, care are o abordare pe termen

25

lung; diferenele n abordare sunt ntre unilateralism i multilateralism


(preferat de UE), atitudine preemtiv i preventiv15.
Politica Extern i de Securitate Comun este un sistem de colaborare
ntre statele membre ale Uniunii Europene n domeniul securitii i al
politicii externe.
Obiectivele acestei politici constau n protejarea intereselor
fundamentale ale statelor membre n materie de politic extern i securitate
a UE, precum i ncercarea de realizare a unei politici de aprare comune16.
Conceptul Identitii Europene de Securitate i Aprare s-a dezvoltat
n strns coresponden cu alte dou concepte, dezvoltate ulterior. Este
vorba, n primul rnd, de Politica Extern i de Securitate Comun PESC
(Common Foreign and Security Policy CFSP), ce denumete un capitol
distinct (Titlul V) al Tratatului de la Maastricht i care reprezint unul din
cei trei piloni ai construciei europene.
Observnd att numeroasele aspecte ale securitii n complexitatea sa
ca noiune, ct i ca politic public, putem afirma c ipoteza noastr
general de la care am pornit n cercetare se confirm, demonstrnd c n
momentul n care avem de-a face cu o Comunitate de Intelligence bine
structurat, ale crei produse finite respect rigorile colectrii i evalurii
informaiilor, dar i cu decideni politici capabili, abili, putem afirma c
politicile publice structurate sunt n acord att cu amenirile existente ct i
cu prevederile internaionale n domeniu.
Rolul pe care l joac analiza informaiilor n structurarea politicilor
de securitate este cu adevrat nemijlocit. Activitatea ofierilor de informaii
precum i a celorlalte structuri implicate n procesul de intelligence este
vital n formularea unor statistici i scenarii ce ulterior se vor transforma
att n strategii de securitate precum i n politici de securitate.

2.7.Identificarea si analizarea riscurilor


Etapa primara si de baza este constituita de identificarea si analiza
riscurilor in cadrul procesului de proiectare a politicilor de securitate.In
cadrul identificarii fac parte identificarea,clasificarea si enumerarea
15

Strategia de Securitate Naional a Romniei, 2006, p. 6.


Andrei Miroiu, Simona Soare, Politica de securitate a Romniei (1878 2006 ). O perspectiv
istoric n Politica de securitate naional: concepte, instituii, procese, Editura Polirom, Iai, 2007, pp.
168-169.
16

26

riscurilor ce pot afecta si adduce prejudicii organizatiei militare cat si a


sigurantei nationale.17
Se va incerca sa se ia in calcul toate riscurile posibile chiar daca
acestea pot fi sau nu controlate de institutie folosindu-se un proces
sistematic bine structurat luandu-se in calcul ca acestea sunt intr-o continua
transformare.
In cadrul acestei etape de indentificare se va raspunde la cateva
intrebari simple:
- Ce se poate ntmpla sau ce poate merge incorect?
- Cum se poate ntmpla?
- De ce se poate ntmpla?
- Cine sau ce poate fi afectat?
Aceste intrebari permit o identificare mai usoara a a potentialelor
riscuri. Se examineaz sursa riscului din perspectiva persoanelor interesate
(acionarilor etc.), intern sau extern. Sunt luate n considerare i posibilele
cauze sau scenarii.
Dupa aceasta etapa primara se realizeaza o analiza a riscurilor ce
consta intr-o analiza a consecintelor, a probabilitatii de aparitie a acestora si
a nivelului de producere a pagubelor.Analiza separa riscurile majore de cele
minore si aduce cu sine o stabilire a prioritatilor in vederea implementarii
unor politici de securitate. Cnd riscurile pot fi msurate, poate fi potrivit
metoda cantitativ. Regula general este ca metoda s fie solid i practic
pentru nevoile instituiei. Metodele cantitative se preteaz s fie folosite n
probabilitile bazate pe aprecierea recuperrii investiiei n securitate.
Analiza riscului poate fi calitativ, cantitativ sau semi-cantitativ. n
majoritatea cazurilor este folosit analiza calitativ, caz n care sunt
determinate scale explicite de probabilitate, consecine i nivelurile riscului.
De asemenea, poate fi folosit o metod semi-cantitativ, prin
atribuirea numerelor (de obicei ntre 0 i 1) scalei calitative. Cnd riscurile
pot fi msurate, poate fi potrivit metoda cantitativ. Regula general este ca
metoda s fie solid i practic pentru nevoile instituiei. Metodele
cantitative se preteaz s fie folosite n probabilitile bazate pe aprecierea
recuperrii investiiei n securitate.18

17

STOICESCU Ruxandra, Conceptul de securitate, n Politica de securitate naional: concepte,instituii,


procese, Editura Polirom, Iai, 2007, pp. 92-93.
18

ANDRUS, Calvin, Toward a Complex Adaptive Intelligence Communityin Studies in intelligenceJournal of the American Intelligence Professional,Vol. 49, No. 3, 2005.

27

2.8.Evaluarea riscurilor

In cadrul acestei etape se determina lista de prioritati pentru


urmatoarele actiuni si o reevaluare a riscurilor pentru a asigura c criteriile
care au fost identificate pentru toate riscurile semnificative i c nivelul
riscului este n concordan cu criteriile.
Evaluarea riscurilor adduce cu sine si o excludere a riscurilor minore
ce nu pot fi indepartate din motive tehnice sau economice.Odata cu
evaluarea riscurilor se iau in calcul si urmatoarele modalitati de actiune
pentru prevenirea si solutionarea acestora.
ntrebrile cheie n tratarea riscului sunt:
- Ce procese, mecanisme de protecie i aprare exist sau sunt
necesare pentru reducerea riscului la un nivel acceptabil?
- Procesele, mecanismele de protecie i precauiile sunt, raportat
la cost, cele mai eficace corespund cu valoarea informaiei
sau consecinele adverse care urmeaz, dac riscul se
manifest?
- Ce resurse sunt necesare (personal, fonduri, echipament)?
- Cine are responsabilitatea i rspunderea tratrii i administrrii
riscului?
nainte de a ntreprinde tratarea, ar trebui fcut selectarea
mecanismelor adecvate, avnd n vedere strategia general a instituiei,
obiectivele operaionale, prioritile, cu resursele i fondurilor disponibile.
Este puin probabil ca una din opiunile de tratare a riscurilor menionate mai
sus, de ctre agenie, va furniza o soluie complet pentru un anumit risc.

2.9.Selectarea procedurilor
Selectarea procedurilor si mecanismelor reprezinta forma bruta a
intregului process de proiectare implementare control si revizuire a
politicilor de securitate.Aici se vor relua pasi importanti prezentati mai sus si
se vor lua in discutie mecanismele ce vor fi implementate pe baza unei
analize cost/beneficiu.Ideal pentru un mecanism ar fi ca acesta sa
indeplineasca mai multe functiuni si sa ajute la umplerea mai multor brese
din sistem.
28

Un mecanism eficient ar trebui sa indeplineasca toate cele sase


functiuni si anume:evitarea,protectia,detectia,raspunsul si restaurarea.
Procedurile urmatoare ce vor fi implementate le au in vedere pe cele
initiale si posibilitatea acestora de a interactiona.Aceste mecanisme initiale
au ca scop un minim de protectie impotriva celor mai comune riscuri
posibile fiind aduse la cunostinta intregului personal.In cadrul acestor
mecanisme initiale exista intotdeauna lacune mari ce trebuie completate de
procedurile ce le preced.
Selectarea mecanismelor ar trebui s includ tot timpul o balan
a mecanismelor operaionale (non-tehnice) i tehnice. Mecanismele
operaionale de securitate includ mecanismele fizice, de personal,
administrative sau procedurale. Exemple ale acestor mecanisme includ:
Securitatea fizic
Mecanismele fizice de securitate includ accesul n cldiri i
proiectul, nchiderea uilor cu cifru, sistemele de stingere a incendiilor i
paza.
Securitatea personalului
Securitatea personalului acoper verificrile la angajarea
(recrutarea) personalului, n special pentru poziiile de ncredere,
supravegherea personalului i programele de contientizare a securitii
informaiilor.
Securitatea procedural
Securitatea procedural poate s includ documentaia de
proceduri operaionale, procedurile de admitere i dezvoltare a aplicaiilor
precum i procedurile de gestionare a incidentelor. Poate s includ
procedurile de management al schimbrii. Mai poate s conin procedurile
de continuitate a activitii, inclusiv planul de aciune la evenimentele
neprevzute/strategiile de restaurare dup un dezastru i plan(uri) precum
managementul crizelor.
Securitatea tehnic
Securitatea tehnic conine securitatea hardware (dispozitive
fizice) i software (programe de calculator) precum i mecanismele de
comunicaii. Aceasta include: identificarea i autentificarea, cerinele de
control al accesului logic, controlul traiectoriilor/nevoilor jurnalelor de
29

securitate, securitatea apelurilor inverse, autentificarea mesajului, criptarea


i semnturile digitale, proteciilor de reea, monitorizarea i analiza reelei,
programelor anti-virus.
Sistemele i produsele evaluate
O instituie poate achiziiona produse, sisteme sau pri ale
funciunilor acestora, care au fost evaluate i examinate de un specialist
independent . Evaluarea trebuie s fie pentru un profil corespunztor de
protecie pentru sisteme i produse i ameninrile la adresa acestuia.
Produsele sau sistemele evaluate ofer instituiei convingerea c un set
implementat de funcionaliti este corespunztor cerinelor iar
implementarea funcionalitilor este corect i complet. Testarea practic i
concentrat a securiti poate, de asemenea, fi efectuat pentru confirmarea
nivelului garaniei de securitate asigurat. Sunt de preferat criteriile comune
ca baz a evalurii, oricum, profilul de protecie i, de aici, nivelul de
asigurare a evalurii, trebuie s fie adecvat riscurilor ageniei.
Factorii de luat n considerare pentru selectarea mecanismelor
pentru implementare includ:
- Utilizare uoar a mecanismelor de protecie i paz;
- Transparen pentru utilizatori;
- Proximitatea mecanismului fa de valoarea de protejat;
- Asisten oferit utilizatorilor pentru ndeplinirea activitilor;
- Costul mecanismului;
- Compatibilitatea cu mecanismele existente;
- Puterea relativ a mecanismelor;
- Profilul de protecie i nivelul de asigurare al evalurii;
- Tipuri de funciuni pe care le poate executa protecie, evitare,
detecie, rspuns, restaurare.
Pentru ca mecanismele sa treaca mai departe la implementare acestea
trebuie sa aiba in vedere si constrangerile ce apar in implementarea lor.In
cazul structurilor M.A.P.N. constrangerile cele mai presante sunt de ordin
financiar dar exista si alte constrangeri care trebuie luate in considerare cum
ar fi :constrangerile de timp, de ordin ethnic , sociologice ,de mediu ,juridice
si de calificare de personal.
Calificarea de personal reprezinta o alta problema presanta in cadrul
structurilor datorita unei lipse de cultura a securitatii in cadrul organizatiei
militare.

30

3.IMPLEMENTAREA SI CONTROLUL PDS

3.1.Planul de tratare a riscurilor


Planul de tratare a riscurilor este un plan complex ce stabileste
actiunile ce urmeaza a fi intreprinse.Acestea trebuie sa fie implementate la
timp conform standardelor si sa isi atinga scopurile pentru care sunt
create.Totodata pot aparea doua planuri unul de baza iar celalalt secundar.
31

Planul de baza trebuie sa cuprinda rezultatele analizei de risc, aciunile


care se ntreprind n perioade de timp scurt, mediu i lung pentru atingerea
nivelului de securitate corespunztor, costurile i un program de
implementare.In plus mai trebuie sa cuprinda si:
- Obiectivele de securitate din punctul de vedere al
confidenialitii, integritii, disponibilitii, autenticitii i
certitudinii informaiilor;
- Abordarea analizei de risc;
- Un profil de protecie pentru a permite selectarea produselor
evaluate i ale oricror evaluri de securitate ale sistemului;
- O evaluare a riscurilor reziduale acceptate dup implementarea
mecanismelor identificate;
- O list a mecanismelor selectate pentru a fi implementate i o
list a mecanismelor existente i planificate (n intenie),
inclusiv o determinare a eficacitii i a mbuntirilor
sistemelor de securitate necesare. Aceast list ar trebui s
includ prioritile pentru implementarea mecanismelor
selectate, mbuntirile mecanismelor existente i modul cum
ar trebui s funcioneze aceste mecanisme n practic;
- Estimarea instalrii mecanismelor i costurilor de funcionare;
- Estimarea resurselor de personal pentru implementarea acestor
mecanisme i pentru aciunile urmtoare;
- Un mecanism detaliat pentru implementare, coninnd:
o Prioriti;
o Un plan de implementare relaionat cu prioritile;
o Bugetul necesar;
o Responsabiliti.
- Contientizarea de securitate i procedurile de pregtire pentru
personalul i pentru utilizatorii care au nevoie s asigure
eficacitatea mecanismelor;
- Un plan pentru procesul de aprobare s aib loc unde este
nevoie;
Odata cu acest plan apare si planul de aplicabilitate ce are in vedere
obiectivele de control si revizuire precum si mecanismele pentru fiecare risc
si se iau in calcul toate mecanismele posibile acestea fiind inregistrate si
explicate

32

3.2.Implementarea planului de tratare a riscurilor

Cnd planul de tratare a riscurilor este complet, ar putea fi


necesar aprobarea conducerii pentru toate mecanismele, nainte ca planul s
fie implementat.
Principalele elemente ale Planului de Tratare a Riscurilor sunt:
- Problemele organizaionale i de resurse resursele, inclusiv
prioritile;
- Msurile de realizare a obiectivelor identificate ale
mecanismelor;
- Pregtirea de securitate.
Managementul operaiilor i resurselor SMSI este necesar zi de zi,
cu o anumit atenie pentru incidentele de securitate.19
Mare parte din documentaia planului, mai ales ameninrile,
vulnerabilitile i riscurile, poate fi foarte sensibil i trebuie s fie protejat
mpotriva divulgrii neautorizate.
Obiectivele programului pregtirii pe linia securitii informaiilor
este de a ridica nivelul de contientizare i pe cel al deprinderilor n cadrul
instituiei. Programul ar trebui s garanteze c tot personalul instituiei au
cunotine adecvate despre sistemele informaionale i c neleg necesitatea
mecanismelor de control i tiu s le foloseasc corect.
Datele iniiale ale programului de contientizare n domeniul
securitii informaiilor ar trebui s vin din toate nivelurile i zonele
instituiei. Este necesar de suportul managementului din toate
departamentele pentru pregtirea i contientizarea echipei.
Pentru delimitarea personalului care necesit pregtirea specific
de securitate i contientizare, se pot avea n vedere urmtoarele grupuri:
- Personal cu responsabiliti cheie pentru informaii, incluznd
managementul i operaiile;
- Personal cu responsabiliti n administrarea securitii
informaiilor, de ex. pentru controlul accesului, managementul/evidena

19

MIROIU, Andrei, SOARE, Simona, Politica de securitate a Romniei (1878 2006 ). O perspectiv

istoric in Politica de securitate naional: concepte,instituii, procese, Editura Polirom, Iai, 2007 .

33

registrului de acces (electronic) sau managementul nregistrrilor manuale


ale accesului.
Programul de pregtire de securitate trebuie s accentueze nevoia
echilibrului ntre mecanismele tehnice i non-tehnice de control. Exemplele
de teme referitoare la mecanismele de control sunt:
- Infrastructura de securitate a informaiilor;
- roluri i responsabiliti;
- politica de securitate a informaiilor;
- verificrile periodice de conformitate de securitate;
- manipularea incidentelor de securitate.
- Securitate fizic;
- cldiri;
- zonele de birouri, camerele de echipamente;
- echipament;
- Securitatea personalului;
- Securitatea suporilor de stocare a informaiilor;
- Securitatea echipamentelor i programelor de calculatoare;
- identificare i autorizare;
- controlul logic al accesului;
- auditul de securitate i al conturilor;
- verificarea efectiv a depozitrilor, pstrrii.
- Securitatea comunicaiilor:
- infrastructura de reea;
- puni, aparate de rutare (routere), porile, programele de
protecie mpotriva intruziunilor;
- Internetul i alte conexiuni externe.
- Continuitatea activitii, incluznd planificarea situaiilor
neprevzute/restaurarea dup un dezastru, strategie i plan(uri).

3.3.Procedurile de urmat
3.3.1.Verificarea de conformitate

Verificarea de conformitate se face pentru revizuirea i analizarea


mecanismelor de control implementate. Se folosete pentru a verifica dac
sistemele sau serviciile informaionale sunt armonizate (n concordan) cu
34

cerinele de securitate documentate n politica de securitate a informaiilor i


n planul securitii informaiilor, incluznd documentaia configuraiei
pentru elementele individuale hard i soft. Verificarea de conformitate se
poate folosi pentru a controla conformitatea:
- Noilor sisteme i servicii informaionale dup ce acestea au fost
implementate;
- Existenei sistemelor i serviciilor informaionale, dup trecerea
perioadelor de timp (ex. anual);
- Existenei sistemelor i serviciilor informaionale cnd au fost
fcute modificri ale politicii de securitate ale sistemelor de
securitate, pentru a observa ce ajustri sunt necesare pentru a
menine nivelul de securitate necesar.
Mecanismele de control pentru protecia sistemelor informaionale
pot fi verificate prin:
- conducerea unor inspecii i teste periodice;
- monitorizarea performanei operaionale mpotriva incidentelor
actuale n desfurare;
- conducerea verificrilor prin sondaj pentru a observa starea
nivelelor de securitate i obiectivelor n anumite zone de
sensibilitate sau interes.
Verificarea de securitate ar trebui s fie bazat pe lista de
mecanisme stabilit din rezultatele analizei de risc a politicii de securitate a
sistemelor, precum i procedurile operaionale de securitate care au fost
aprobate de conducere, inclusiv raportarea incidentelor. Obiectivele
verificrilor sunt de a stabili dac mecanismele sunt implementate i utilizate
corect.
3.3.2 .Managementul Configuraiei
Sistemele informaionale i mediul n care acestea opereaz sunt
ntr-o continu schimbare. Schimbrile pot rezulta din noi ameninri sau
vulnerabiliti.
Schimbrile sistemelor informaionale pot include:
- Noi proceduri;
- Noi caracteristici;
- Actualizri;
- Schimbri ale echipamentului;
35

- Noi utilizatori pentru a include grupurile (de utilizatori) externi


sau grupurilor (de utilizatori) anonimi;
- Conectri i interconectri suplimentare.
Cnd are loc sau este planificat o modificare a sistemului
informaional, aceasta trebuie s fie gestionat n cadrul procesului de
management al configuraiei. Este important s se determine ce impact va
avea acea modificare, asupra securitii sistemului. Pentru schimbrile
majore care includ achiziionarea de noi componente hard, soft sau servicii,
este necesar o analiz pentru determinarea noilor cerine de securitate. Pe
de alt parte, modificrile numeroase fcute sistemului sunt minore n esen
i este posibil s nu necesite analize extinse. De asemenea, trebuie luate n
considerare costurile i beneficiile oricrei modificri a sistemului.
3.3.3. Supravegherea

Un element esenial n ndeplinirea obiectivelor de securitate este


de a msura, pe principii de baz, aderena la politica de securitate.
Supravegherea este o parte important a meninerii securitii
informaionale.
Tehnica de management pentru controlul zilnic al supravegherii
este stabilirea i documentarea procedurilor operaionale de securitate pentru
activitile necesare. Acest document trebuie s descrie toate aciunile
necesare pentru a asigura c este meninut nivelul securitii pentru toate
sistemele i serviciile. De exemplu, procedurile administrative trebuie s fie
stabilite astfel nct s asigure c ncercrile i breele reale sunt investigate,
cercetate ntr-o perioad de timp oportun i, cnd este adecvat:
- S fie ntreprinse aciuni corective i disciplinare prompte;
- S fie rectificate condiiile care au condus la crearea breelor.
Unele din aceste bree de securitate pot duce la o reanalizare a
msurilor i procedurilor de securitate. Dac este necesar, aceasta poate duce
la o modificare sau perfecionare a nivelului de securitate.
De exemplu, rapoartele de violare a securitii instituiei pot indica
deficiene n cadrul msurilor de securitate existente, practicilor i
procedurilor. Sau, de exemplu, testarea periodic a Planului de Restaurare a
Activitii, innd seama de arhitectura de securitate, poate demonstra
insuficiene sau ntrzieri n procesul de restaurare i reluare.
36

In orice caz, eficacitatea sistemelor de securitate a informaiilor


trebuie s fie revizuite ntr-o perioad definit, pentru a asigura c obiectivul
de securitate i politicile specifice ale instituiei sunt atinse. Este necesar ca
responsabilitile instituiei, de exemplu, s fie extinse sau modificate,
importana relativ a informaiilor deinute s necesite reevaluare. n plus,
dac instituia este restructurat, este necesar reevaluarea responsabilitii
pentru securitatea informaiilor.
Este important ca proiectul i implementarea msurilor, practicilor
i procedurilor pentru sistemele de securitate a informaiilor, s fie
ntreprinse, ct de extins este posibil, simultan cu implementarea unui noi
sistem informaional. Implementarea retroactiv a securitii, odat ce
sistemul informaional este operaional, nu este numai dificil i scump dar
poate s nu fie eficace.
3.3.4. Gestionarea Incidentelor
Niciun sistem de securitate al informaiilor nu funcioneaz perfect
tot timpul. Uneori exist evenimente pozitive sau negative. Este necesar
documentarea ambelor tipuri de evenimente i ntreprinderea oricror
analize pentru determinarea impactului i a aciunilor de modificare sau
corectare necesare.
Scopul analizei incidentului este de a:
- mbunti revizuirii analizei i managementului riscului;
- Asistena n prevenirea incidentelor;
- Ridicarea nivelului de contientizare a rezultatelor legate de
securitatea informaiilor;
- Furnizarea informaiei de Alert pentru utilizarea asemenea
echipelor de reacie n caz de urgen.
Legat de acestea, alte aspecte principale care pot fi luate n
considerare, includ:
- Utilizarea unui sistem standard pentru clasificarea incidentelor
de securitate vezi Anexa C;
- Stabilirea planurilor de predeterminare pentru gestionarea
Incidentelor Nedorite cnd au loc, dac au fost cauzate de
factori interni sau externi;
- Pregtirea personalului nominalizat (numit) n investigarea
incidentelor, de exemplu pentru alctuirea echipelor de reacie
n caz de urgen.
37

Planurile predeterminate trebuie s cuprind:


- Pregtirea msurile preventive pre-documentate, instruciunile
i procedurile de gestionare a incidentelor, documentaia
necesar i planurile de continuare a activitii;
- Notificarea procedurile, mijloacele i responsabilitile pentru
raportarea incidentelor i cui se raporteaz;
- Evaluarea procedurile i responsabilitile pentru investigarea
incidentelor i determinarea gravitii acestora;
- Gestionarea procedurile i responsabilitile pentru
administrarea acestora, limitarea avariilor provocate de acestea,
eradicarea acestora i notificarea conducerii;
- Restaurarea procedurile i responsabilitile pentru restabilirea
unui serviciu normal;
- Revizuirea procedurile i responsabilitile pentru aciunile
post-incident, incluznd investigaiile implicaiilor juridice i
analizele tendinelor.
Mecanismele implementate pot s funcioneze efectiv dac sunt
verificate, utilizate corect i orice schimbri sau bree sunt detectate i
administrate cu promptitudine.
De-a lungul timpului exist o tendin sau pericol pentru
performana planului de securitate a informaiilor ca acesta s se deterioreze,
dac nu exist aciuni de urmat sau monitorizare.
Managementul securitii informaiilor este un proces n derulare
care continu dup implementarea planului de securitate a informaiilor. Este
nevoie ca toate aspectele acestuia s fie auditate.
Figura 1 arat activitile implicate n acest pas.

ACTIVITI DE URMAT

Verificare
de conformitate

Monitorizare
ntreinere

Managementul configuraiei

Gestionarea
incidentelor

Figura 1: Proceduri de urmat


38

ntreinere
Multe mecanisme vor necesita ntreinere i suport administrativ
pentru a fi siguri c acestea vor continua s funcioneze corect i vor asigura
nevoile de desfurare a activitii. Costul ntreinerii i administrrii
mecanismelor de control trebuie s fie luate n considerate la selectarea
mecanismelor relevante, pentru c aceste costuri pot varia cresctori de la un
mecanism la altul.
ntreinerea activitilor include:
- Verificarea fiierelor de jurnale (nregistrri);
- Modificarea configuraiei i parametrilor pentru a reflecta
schimbrile sau adugrile;
- Reiniializarea valorilor iniiale sau contoarelor de nregistrare;
- Actualizarea cu noile versiuni.
Toate modificrile vor necesita schimbri ale documentaiei, care
trebuie s fie ncadrate n managementul configuraiei oficiale (aprobate).

4.REVIZUIREA POLITICILOR DE SECURITATE


4.1.Generalitti
Politica poate deveni inadecvat din cauza schimbrilor
tehnologice care au loc, legislaiei i reglementrilor, ameninrilor sau
operaiilor. Politica trebuie reanalizat anual pentru a i se asigura
valabilitatea i acceptabilitatea (caracterul adecvat).Cu aceasta ocazie se
asigura un character ciclic al actiunilor dupa cum apare in figura urmatoare:

39

Pri
interesate

Planificare

Aciune
Implementarea i
exploatarea SMSI

Cerinele de
securitate a
informaiei i
ateptri

Pri interesate

Organizarea Sistemului de
Management al Securitii
Informaiei - SMSI

Ciclul de
dezvoltare,
ntreinere i
funcionare a
SMSI

Documentare
ntreinerea i
perfecionarea SMSI
Securitatea
informaiei
administrat

Monitorizarea i
revizuirea SMSI
Control

Participanii trebuie s revizuiasc securitatea sistemelor i


reelelor informaionale i s fac modificrile adecvate la politicile de
securitate, acces, msuri i proceduri.
n contextul n care majoritatea politicilor guvernamentale de
securitate este lsat instituiilor pentru a rezolva n particular fiind
gestionarii informaiilor, nseamn c instituiile sunt cele mai n msur s
aprecieze valoarea, ameninrile, riscurile i msurile adecvate pentru
protecia lor.
Instituiile se gsesc permanent ntr-o provocare cu ameninri la
adresa informaiilor i sistemelor informaionale, cum ar fi atacuri pentru
blocarea serviciilor, virusarea sistemelor i exploatarea vulnerabilitilor.
Aceasta a dus, de asemenea, la o nmulire a produselor de securitatea
informaiilor pe pia la care instituiile sunt expuse, care pretind s combat
riscurile de securitate.
Este unanim acceptat c nu se poate asigura o securitate perfect.
Este nevoie ca riscurile securitii informaiilor s fie gestionate. Produsele
de securitate pot furniza o oarecare protecie dar necesitatea i eficiena
acestor produse va depinde de managementul cuvenit al securitii
informaiilor. La fel de important ca i acoperirea vulnerabilitilor.
Datorit conectivitii sporite a infrastructurii informaionale
(telecomunicaii, bnci i finane, transport i distribuie, energie i utiliti,
servicii de informaii i alte servicii guvernamentale critice cunoscute ca
Infrastructura Informaional Naional), limitele sistemului dispar rapid.
40

Este necesar ca instituiile s-i revizuiasc regimul de securitate existent


pentru a evalua implicaiile acestei interconectri i orice alte modificri ale
ameninrilor sau riscurilor ce decurg din cauza lor.

5.STUDIU DE CAZ:
Organizarea si structurarea politicilor de securitate in
cadrul unei organizatii

Generalizarea utilizrii inovrii ca baz a evoluiei societii,


schimbarea cutumelor de difuzare a informaiei de la canale restrnse,
ierarhice, pentru decizii puternic centralizate, la flexibilizarea i aplatizarea
ierarhiilor, transformarea modurilor tradiionale de producie n ntreprinderi
i corporaii virtuale capabile s reacioneze rapid la dinamica pieei i
includerea efectiv a informaiei printre factorii de producie sunt repere
41

relevante ce modific substanial perspectiva evoluiilor economico-sociale


contemporane.
n egal msur, creterea dependenei societii de tehnologie, n
general, i de infrastructura i sistemele informatice i de comunicaii, n
particular, sporete vulnerabilitatea utilizatorilor n faa oricror ameninri
la adresa acestora. Atenia nu trebuie concentrat doar asupra noilor
ameninri, ci i asupra modului n care acestea influeneaz riscurile i
ameninrile tradiionale
Acest exemplu de formul de Politic de Securitate a Informaiilor
este furnizat pentru a ndruma instituiile pentru dezvoltarea i revizuirea
politicilor proprii. n esen este general i n niciun caz definitiv. Fiecare
instituie trebuie s evalueze dac coninutul acestuia este relevant pentru
propriul mediu i pentru cerinele activitilor specifice. Urmeaz, mai jos,
exemplul formulei de politic de securitate
(NUMELE INSTITUIEI)
POLITICA DE SECURITATE A INFORMAIILOR
Introducere
Informaiile sunt baza pe care (numele instituiei) i conduce
activitatea. Ca i gestionar al unui mare volum de informaii care sunt
personale, comerciale sau senzitive politice, (numele instituiei) are o
responsabilitate fundamental n protecia informaiilor mpotriva
modificrii accidentale sau neautorizate, pierderii, transmiterii sau
impactului asupra securitii i bunstrii persoanelor. Mai mult, informaiile
veridice trebuie s fie disponibile pentru ntreprinderea activitilor zilnice
ale (numele instituiei).
Caracteristic, informaiile joac un rol vital n susinerea
proceselor activitii i serviciilor pentru beneficiari, n sensul contribuiei la
deciziile activitilor strategice i operaionale i n consens cu cerinele
legale i statutare. n consecin, informaiile trebuie s fie protejate la un
nivel echivalent cu valoarea lor n cadrul instituiei.
Rol
Rolul securitii informaiilor este de a proteja (numele instituiei)
mpotriva impactului nefavorabil asupra reputaiei i operaiilor care pot
rezulta din cauza pierderii:
- Confidenialitii n contextul accesului sau divulgrii
informaiilor fr competen;
42

- Integritii n contextul caracterului complet, acurateei i


rezistenei la modificrile neautorizate sau distrugerii,
deteriorrii;
- Disponibilitii n contextul continuitii, proceselor activitii
i pentru capacitatea de restaurare n eventualitatea unei
distrugeri;
Obiective
Obiectivele acestei politici sunt de a:
- Asigurarea continuitii (numele instituiei) i serviciilor acesteia
pentru beneficiari i parteneri;
- Minimizarea posibilitii unei ameninri la adresa securitii
informaiei, cauznd daune sau prejudicierea (numele
instituiei), Statului, beneficiarilor sau partenerilor de activiti;
- Minimizarea extinderii daunei sau prejudiciului din cauza unei
bree de securitate sau unei expuneri;
- Asigurarea c sunt aplicate resurse adecvate pentru
implementarea unui program eficient de securitatea
informaiilor;
- Informarea ntregului personal din (numele instituiei), altor
instituii guvernamentale, beneficiarilor sau partenerilor care au
acces
la
informaiile
(numele
instituiei),
despre
responsabilitile i obligaiile pe care le au pentru respectarea
securitii;
- Asigurarea c principiile securitii informaiilor sunt complete
i aplicate n mod eficace pe timpul planificrii i derulrii
activitilor (numele instituiei).
Scop
Aceast politic se aplic pentru:
- Toi utilizatorii informaiilor (numele instituiei), inclusiv
furnizorilor de servicii;
- Toate valorilor informaionale inclusiv faciliti, instalaii, date,
programe (soft), documentelor tiprite i personalului.
Facilitile includ toate echipamentele, precum i infrastructura
fizic i de mediu, astfel:
- Procesoarele calculatoarelor de orice capacitate, generale sau
pentru activiti speciale, inclusiv calculatoarelor personale;
- Echipamentului periferic, staiilor de lucru i echipamentului
terminal;
43

- Cablajelor i echipamentelor de telecomunicaii i comunicaii


de date;
- Echipamentului de reea local sau global;
- Sistemelor de control al mediului, inclusiv sistemelor de aer
condiionat i alte echipamente de rcire;
- Echipamentului de alarmare i protecie;
- Serviciilor de utilitate necesare, inclusiv electricitate, gaz i ap;
- Cldirilor i construciilor pentru cazarea personalului i
funcionarea echipamentelor
Datele includ att datele brute i cele prelucrate:
- Fiierele de date electronice, indiferent de mediul de stocare pe
care acestea sunt nmagazinate, inclusiv datele n format hrtie
i datele aflate n tranzit;
- Informaiile derivate din datele prelucrate, indiferent de mediul
de stocare sau de prezentare al acestora;
Programele (soft) includ programele dezvoltate (create) local i
cele din surse externe:
- Programele ca sisteme de operare, utilitile acestora i
programele suport;
- Programele de validare (sprijin) ale aplicaiilor, inclusiv
managementul bazelor de date, telecomunicaii i programele
de reea;
- Aplicaiile de calculator.
Documentele tiprite includ sistemele de documentaii, manualele
de ntrebuinare, planurile de continuitate, contractele, instruciunile i
procedurile.
Personalul include angajaii, contractorii, consultanii, furnizorii
de servicii, reprezentanii beneficiarilor i colaboratorilor, alte persoane care
acceseaz datele i informaiile instituiile.
Abordare
(Numele instituiei) adopt o abordare pro-activ a
managementului securitii informaiilor i utilizeaz urmtoarele standarde
de management al securitii informaiilor (enumerarea acestor standarde),
standarde de management al riscului (enumerarea acestor standarde) ca i
cadru de lucru.
Aplicarea tehnicilor de management al riscului, valorile
informaionale vor fi evaluate n scopul determinrii valorii lor individuale
pentru (numele instituiei) i pentru alegerea msurilor de protecie adecvate.
44

Aceast evaluare va lua n considerare relevana juridic i statutar a


cerinelor de conformitate.
Obligaii
Regula de urmat este c mecanismele instalate vor fi eficace
conform standardelor de securitate i cerinelor de conformitate care au
anumit relevan pentru (numele instituiei). Aceste mecanisme vor fi
concentrate pe cerinele subliniate aici.
Autentificarea
Utilizatorii informaiilor vor fi identificai cnd acceseaz
informaiile.
Integritatea
Pentru asigurarea caracterului complet i acurateea pe timpul
extragerii, stocrii, procesrii i vizualizrii informaiilor, vor exista
mecanisme de control/protecie adecvate.
Confidenialitatea
Pentru a se asigura diseminarea informaiilor numai utilizatorilor
autorizai, vor exista mecanisme de control/protecie adecvate.
Disponibilitatea
Pentru a se asigura c informaiile vor fi diseminate, pentru
derularea activitilor (numele instituiei), cnd este necesar, vor exista
mecanisme de control/protecie adecvate.
Certitudinea
Pentru a se asigura c informaiile disponibile sunt complete i
corecte, vor exista mecanisme de control/protecie adecvate.
Responsabilitatea
Pentru a se asigura responsabilitatea pentru informaiile produse
de furnizori sau utilizatori, vor exista mecanisme de control/protecie
adecvate.
Conduit
Valorile informaionale deinute, nchiriate sau date spre nchiriere
de (numele instituiei), vor fi numai pentru conducerea activitii instituiei;
nu va fi permis utilizarea informaiilor n scopuri personale sau orice alte
scopuri.
Educaia i pregtirea
(Numele instituiei) recunoate importana educaiei de securitate
i nevoia de pregtire i continuare a programelor de educaie pentru tot
personalul (numele instituiei), beneficiarilor, colaboratorilor i partenerilor.
45

Responsabiliti
Managerul responsabil pentru Securitatea Informaiilor
(numit CIO-Chief Information Officer) va coordona dezvoltarea
instruciunilor i procedurilor pentru implementarea acestei Politici i va fi
responsabil pentru revizuirea nentrerupt a eficacitii. Managerul trebuie s
asigure informarea ntregului personal cu obligaiile i responsabilitile lor
pentru respectarea instruciunilor i procedurilor.
ntreg personalul, angajai, contractori, consultani sau vizitatori,
trebuie s se supun instruciunilor de securitatea informaiei, procedurilor i
mecanismelor i s joace un rol activ n protecia valorilor informaionale ale
instituiei. Ei nu trebuie s acceseze sau opereze n aceste informaii fr a
avea autoritatea necesar i trebuie s raporteze breele de securitate sau
expunerile, managerului responsabil pentru Securitatea Informaiilor.
Managerii au responsabilitatea de gestionari ai datelor i altor
valori informaionale care susin activitile instituiei, sub supravegherea de
asigurare c acele informaii valori sunt protejate corespunztor. De
asemenea, managerii trebuie s asigure c instruciunile, procedurile i
mecanismele sunt observate pe timpul derulrii acelor activiti.
Administratorul de securitate a informaiilor este responsabil
pentru administrarea zilnic a procedurilor i practicilor de securitate a
informaiilor. Aceast persoan raporteaz direct Managerului responsabil
pentru Securitatea Informaiilor ndeplinirea procedurilor i practicilor de
securitate a informaiilor.
Supravegherea i Revizuirea
Conformitatea Politicii va fi supravegheat dup o regul de baz.
Pentru supravegherea activitilor utilizatorilor pe timpul folosirii valorilor
informaionale, se vor produce jurnale de securitate i audit.
Aceast politic, mpreun cu procedurile i instruciunile suport,
va fi revizuit cel puin o dat anual pentru a se asigura caracterul complet,
eficacitatea i utilitatea.
Sanciuni
Breele deliberate de sustragere de la principiile acestei Politici,
instruciuni i proceduri pe care aceasta le implementeaz, va duce la
sanciunea disciplinar corespunztoare.
(Semntura)
46

Manager pentru Securitatea Informaiilor


(Data)

5.1.ablon pentru planul de securitate al informaiilor


Acest exemplu de ablon are scopul de a fi un ghid. Ca regul
general, nivelul detalierii n cadrul acestui plan trebuie s fie compatibil cu
valoarea i importana informaiilor n cadrul obiectivelor instituiei. Planul
de securitate trebuie s identifice complet i s descrie mecanismele instalate
care funcioneaz sau sunt planificate a fi instalate.
(NUMELE INSTITUIEI)
PLANUL SECURITII INFORMAIILOR
IDENTIFICAREA VALORILOR INFORMAIONALE
Data:
Denumirea valorii (bunului)/Titlul
- Identificator unic i Numele dat valorii informaionale
Organizaia responsabil
- Lista organizaiilor
informaional

responsabile

pentru

valoarea

Informaii de contact(e)
47

- Numele persoanei (persoanelor) care cunosc informate despre


aceast informaie sau gestionarul valorii informaionale
- nume
- titlu
- adres
- numr de telefon
Asimilarea responsabilitii pentru securitate
- Numele persoanei responsabile pentru securitatea informaiei
- nume
- titlu
- adres
- numr de telefon
VEDERE
INFORMAIONALE

GENERAL

ASUPRA

VALORII

Descrierea general / Scop


- Prezentarea rolului sau scopului valorii informaionale;
- Prezentarea fluxului procesului informaiei, de la introducere
pn la rezultat;
- Lista organizaiilor care o folosesc (interne i externe), tipul de
date i prelucrarea prevzut;
- Dup caz, descrierea configuraiei hard/soft necesar pentru
valoarea informaional;
- Dup caz, descrierea inter-relaionarea acestei valori
informaionale cu altele.
Cerine de securitate a informaiei
- Descrierea, n termeni generali, a cerinelor de securitate pentru
informaie, n sensul celor trei cerine de protecie de baz
(confidenialitate, integritate i disponibilitate. Pentru fiecare
din aceste trei categorii, se indic dac cerinele sunt: foarte
nalte, nalte, moderate sau sczute;
- Lista cu orice legi sau reglementri care, n mod specific,
afecteaz confidenialitatea, integritatea, disponibilitatea,
responsabilitatea, autenticitatea i certitudinea valorii
informaionale.

48

5.2.VEDERE GENERAL A EVALURII RISCULUI


Metodologia Evalurii Riscului
- Descrie metodologia evalurii riscului folosit la identificarea
ameninrilor i vulnerabilitilor sistemului. Include data cnd a fost
derulat revizuirea. Dac nu exist nicio evaluare a riscului sistemului,
include o dat de referin (luna i anul) pentru ncheierea evalurii.
Revizuirea Mecanismelor de Securitate
- Specific orice revizuire independent a securitii derulat pe
valoarea informaional n ultimii trei ani.
Ameninri i Vulnerabiliti
- Centralizeaz ameninrile i vulnerabilitile identificate i
consecinele care izvorsc din ele.
Valoarea Bunurilor
- Scurt centralizare a valorii bunului sau componentelor acestuia,
dup caz, i baza evalurii.
Nivelul de Protecie Necesar
- Scurt situaie a nivelului de protecie necesar, inclusiv un Profil
de Protecie dac este necesar o evaluare a produselor sau
sistemelor de securitate;
- Include o formulare a riscului estimat i magnitudinii daunei
rezultat din pierderea, ntrebuinrii greite sau accesului
neautorizat ori modificrii informaiei n sistem.
Nivelul Acceptat al Riscului
- Scurt situaie a evalurii riscului rezidual acceptat dup
implementarea mecanismelor identificate.
TRATAREA RISCULUI
- Furnizeaz o matrice de nivel nalt a mecanismelor planificate
pentru ameninrile identificate;
- Descrie mecanismele implementate sau planificate pentru
valorile informaionale, acoperind urmtoarele sectoare

49

5.3.MECANISME DE MANAGEMENT I
ORGANIZAIONALE
Politica de Securitate a Informaiilor
Infrastructura de Securitate a Informaiilor
Procesul de Autorizare pentru Facilitile de Procesare a
Informaiilor
Securitatea Accesului Terilor
Externalizarea
Procesarea pe calculatoare mobile
Lucru la distan
Controlul i clasificarea valorilor
Practica personalului
Contientizarea i pregtirea personalului
Concordana cu reglementrile legale i regulamentare
Concordana cu politicile i standardele de securitate
Gestionarea incidentelor
Procesul disciplinar
Managementul continuitii activitii
Auditul sistemului
MECANISMELE FIZICE I DE MEDIU
Zonele de securitate
Securitatea echipamentului
Politica biroului i monitorului curat
Securizarea hard (fizic) a utilizatorilor nedorii (neagreai)
Suprimarea autorizat a proprietii
MECANISME OPERAIONALE
Procedurile documentate de operare
Managementul de reea
Managementul configuraiei i schimbrii
Managementul incidentului
Separarea mediului de dezvoltare de cel operaional
Planificarea capacitii
Admiterea sistemului
Protecia mpotriva codurilor periculoase
50

Restaurarea informaiilor
Jurnalul evenimentelor i defeciunilor
Schimbul (substituirea) informaiilor i programelor
Securitatea comerului electronic
Securitatea potei electronice
Securitatea sistemelor electronice de birou
Securitatea informaiilor publicate electronic
Gestionarea i securitatea mijloacelor media
MECANISME TEHNICE
Autentificarea i identificarea utilizatorului
Politica controlului accesului
Managementul accesului utilizatorului
Revizuirea drepturilor de acces
Controlul accesului n reea
Controlul accesului n sistemul de operare
Controlul accesului la aplicaii
Utilizarea i supravegherea sistemului de acces
DEZVOLTAREA SISTEMULUI I NTREINEREA
MECANISMELOR
Specificaiile cerinelor de securitate
Controlul aplicaiei
Criptografia
Restriciile pentru modificrile pachetelor de programe

5.4.Clasificarea standard a incidentelor de securitate


Incidentele de securitate sunt clasificate n concordan cu:
- Tipul incidentului (sunt 8 tipuri);
- Situaia incidentului atunci cnd este raportat;
- Cauzele incidentului.
TIPURI DE INCIDENTE DE SECURITATE
1) Accesul la date sau a unui sistem fr autorizare
Asemenea tentativ poate include:
- utilizarea neautorizat a unu cont (privilegii sau altele);
- accesul neautorizat al directoarelor, fiierelor i media;
51

- plasarea de dispozitive soft sau hard pentru captur pe un


segment de reea pentru capturarea datelor care se propag prin
acel segment;
- abuzul de relaii de ncredere (ex. ncrederea celor din acelai
domeniu).
2) Modificarea datelor fr autorizare
Asemenea tentativ poate include:
- plasarea de fiiere:
o date noi;
o coduri de virui sau troiani;
- tergerea de date;
- modificri de date:
o modificarea permisiunii fiierelor
accesare);
o deteriorarea paginii de internet (web);
o modificarea coninutului fiierului.

(drepturile

de

3) Blocarea serviciilor sau subminarea activitii sistemului


Asemenea incidente includ:
- atac de blocare distribuit a serviciilor (DDoS) determinnd
pierderea legturii externe cu reeaua prin inundarea cu pachete
de date;
- exploatarea vulnerabilitilor determinnd ntreruperea reelei;
- determinarea distrugerii sistemului;
- determinarea pierderii conectivitii sistemului;
- determinarea cderii pariale sau totale a sistemului;
- pierderi (daune) fizice sau deteriorarea sistemului.
4) Modificarea programului/programului integrat al
sistemului sau mediului fr autorizare
Asemenea incidente includ:
- instalarea de coduri ascunse fr autorizare (incluznd violarea
de dezvoltatorii de sistem);
- modificarea codului sistemului fr autorizare;
- modificri ale cablajelor (conectri suplimentare, conectri de
rack-uri);
- adugarea de programe/sisteme fizice cu intenie ostil (ex.
jurnalizarea de tastatur sau pentru accesarea ascuns);
- nlturarea neautorizat, adugarea sau nlocuirea de
echipamente.
52

5) Utilizarea sistemelor pentru procesarea sau depozitarea de


date fr autorizare
Asemenea incidente includ:
- utilizarea sistemelor pentru efectuarea unor lucrri neautorizate;
- utilizarea sistemelor pentru comiterea unor atacuri asupra terilor
(ex. blocarea serviciilor);
- utilizarea sistemelor pentru stocarea neautorizat a datelor (ex.
fiiere personale, fiiere audio i video, copii ilegale sau
programe).
6) Sondare
Tentative pentru obinerea informaiilor care pot fi folosite pentru
comiterea unui atac, incluznd:
- scanri automate;
- trimitere de impulsuri/scanri ale porturilor;
- scanri ale traseelor;
- scanri direcionate pe toat plaja de IP sau numai pe o ramur;
- ingineria social;
- informarea
neautorizat
despre
capabilitile
reelei/vulnerabilitilor;
- schimbrile neautorizate ale parolelor.
7) Pierderea sau deteriorarea fizic
Transmiterea sistemelor sau datelor indisponibile pe timpul:
- furtului;
- vandalismului;
- incendiului;
- inundaiei;
- deteriorrii.
8) Violarea unei politici de securitate explicite sau exprimate
Identificate de instituie n legtur cu propriile politici sau
proceduri de securitate.
SITUAIA INCIDENTULUI
Incidentele pot fi clasificate astfel:
- n desfurare/care continu n timp real, n prezent;
- bnuite;
- euate;
- reuite.
Dup aceea, acestea se identific astfel:
- accidentale;
53

- deliberate.
CAUZELE INCIDENTELOR
Incidentele pot fi cauzate de:
- angajai:
o permaneni;
o ocazionali, temporari, contractori.
- Entitate extern;
- Dezastre naturale.

6.CONCLUZII

Era informaional a indus schimbri profunde n


evoluia riscurilor i n modul n care instituiile statului
trebuie s rspund provocrilor i oportunitilor create de
revoluia tehnologic. Sistemele de securitate trebuie s se
adapteze acestor transformri ale mediului de securitate i
s
foloseasc
n
avantajul
lor
noile
instrumente
informaionale de aciune pentru prevenirea i combaterea
att a riscurilor tradiionale de securitate, ct i a noilor
ameninri cibernetice.
Accesul la informaie este marcat de accentuarea
competiiei, n vreme ce utilizarea informaiei nu se poate
realiza dect ntr-un mediu colaborativ, prin aplicarea
54

principiului need to share ca fundament al accesului la


cunoatere. Succesele n era informaional vor fi potenate
de modul n care aceast cunoatere va fi construit i
bazat pe cele mai relevante evoluii ale tehnologiilor
avansate.
Creterea performanei va consolida rolul structurilor de
securitate n domeniile de responsabilitate, oferind
oportunitatea poziionrii sale ca principal furnizor de
cunoatere strategic n cadrul securitii naionale.
Tendinele de evoluie ale securitii naionale i
internaionale pot fi reprezentate pe ase dimensiuni
relevante.
O prim dimensiune a securitii se manifest n zona
suveranitii naionale i capacitii de guvernare a statului
n
contextul
evoluiilor
tehnologice
specifice
erei
informaionale. Anvergura fenomenului de globalizare,
consolidarea influenelor actorilor non-statali i evoluiile
accelerate ale inovrii tehnologice, pe fondul accesului tot
mai facil al tuturor categoriilor de utilizatori - state, entiti
non-statale sau indivizi - la produsele tehnologiei de vrf,
constituie principalele repere ale dinamicii contextului de
securitate actual. Diminuarea controlului statului asupra
pieelor comerciale i ale muncii i competiia pentru acces
la materii prime i resurse energetice se vor accentua n
urmtorii ani. De aceea, va crete relevana dimensiunii
economice a securitii pe fondul globalizrii i al efectelor
pe termen mediu i lung ale crizei financiare. Conflictele vor
fi preponderent asimetrice i se vor desfura nu numai n
teatrele clasice de operaiuni, ci i n spaii noi precum
spaiul cosmic i mediul cibernetic. n aceast dimensiune,
preocuparea pentru acces la tehnologii duale a actorilor
statali i non-statali va cunoate o continu amplificare.
O alt dimensiune a securitii va fi cea demografic,
marcat de disparitile dintre explozia demografic n
statele srace sau n curs de dezvoltare i fenomenul de
mbtrnire a populaiei din statele dezvoltate, cu efecte
asupra fenomenelor migratorii i exportului de insecuritate
din diferite zone ale globului. Riscurile ecologice reprezint o
dimensiune din ce n ce mai prezent pe agenda de
55

securitate a statelor. Creterea consumului i dezechilibrele


n accesul la resurse, catastrofele naturale i schimbrile
climaterice genereaz consecine majore asupra vieii
cetenilor i funcionrii societilor. Dimensiunea tiinific
i tehnologic a securitii este marcat de evoluii diverse,
de la dezvoltarea nanotehnologiei i biotehnologiei, la
robotica avansat sau energiile regenerabile. Viteza acestor
evoluii reprezint deopotriv sursa i fora motrice a
oportunitilor de dezvoltare a societii informaionale
bazate pe cunoatere, dar i a unor provocri, riscuri i
ameninri la adresa securitii.
Accesul facil la aproape orice fel de date, volumul i
viteza de propagare a informaiei, dar i rata ridicat de
perisabilitate a acesteia au devenit realiti ale lumii n care
trim. Odat cu liberalizarea fluxurilor de informaii i
comunicare, cunoaterea nu mai este generat de posesia
informaiei, ci de utilizarea, diseminarea i mprtirea
acesteia, de configurarea unor canale de comunicare
adecvate, de exploatarea interconectrii la nivel de reele n
susinerea intereselor proprii.
Generalizarea utilizrii inovrii ca baz a evoluiei
societii, schimbarea cutumelor de difuzare a informaiei de
la canale restrnse, ierarhice, pentru decizii puternic
centralizate, la flexibilizarea i aplatizarea ierarhiilor,
transformarea modurilor tradiionale de producie n
ntreprinderi i corporaii virtuale capabile s reacioneze
rapid la dinamica pieei i includerea efectiv a informaiei
printre factorii de producie sunt repere relevante ce
modific substanial perspectiva evoluiilor economicosociale contemporane.
n egal msur, creterea dependenei societii de
tehnologie, n general, i de infrastructura i sistemele
informatice i de comunicaii, n particular, sporete
vulnerabilitatea utilizatorilor n faa oricror ameninri la
adresa acestora. Atenia nu trebuie concentrat doar asupra
noilor ameninri, ci i asupra modului n care acestea
influeneaz riscurile i ameninrile tradiionale (terorismul,
spionajul, criminalitatea organizat, extremismul etc.) la
adresa valorilor i intereselor de securitate ale Romniei.
56

Odata cu noile provocari structurile de securitate


trebuie sa raspunda unui numar tot mai mare de cerinte
avand in permanenta un caracter flexibil si dinamic.

7.LEGISLATIE SI DOCUMENTE RELEVANTE


7.1.ANEXA 1 Glosar (dicionar) cu termeni utili

57

Controlul
accesului

Prevenirea utilizrii neautorizate a unei resurse,


incluznd prevenirea utilizrii unei resurse n mod
neautorizat

Lista controlului
accesului

List cu entiti, mpreun cu drepturile de acces care


sunt autorizai s aib acces la o resurs

Responsabilitate

Proprietatea care asigur c aciunile unei entiti pot fi


indicate n mod unic acelei entiti

Asigurare

Convingerea c o entitate ntrunete obiectivele de


securitate

Metoda de
autentificare
asimetric

O metod de autentificare n cadrul creia nu toate


informaia de autentificare este mprit de ambele
instituii

Tehnica
criptografic
asimetric

O tehnic criptografic care utilizeaz dou


transformri asociate, o transformare public (definit
de cheia public) i o transformare privat (definit de
cheia privat). Cele dou transformri au proprietatea
c, furniznd transformarea public, este imposibil de
calculat transformarea privat

Pereche de chei
asimetrice

O pereche de chei asociate unde cheia privat definete


transformarea privat iar cheia public definete
transformarea public

Asincronic

O form de transmisie electronic n care caracterele


consecutive pot fi separate de intervale de timp
variabile

Atacator

O persoan care ncearc s penetreze mecanismele de


securitate ale unui sistem computerizat

Audit

Auditul este definit ca o revizuire independent i


examinarea nregistrrilor de sistem i activitilor
pentru a evalua caracterul adecvat i eficacitatea
mecanismelor sistemului, pentru asigurarea
compatibilitii cu politicile stabilite i procedurile
operaionale i s fac recomandrile modificrilor
58

mecanismelor, politicilor i procedurilor


Eveniment de
audit

O aciune, detectat intern de sistem care poate genera o


nregistrare de audit. Dac un eveniment produce
generarea unei nregistrri de audit (pentru
nregistrarea n urmrirea de audit), este un eveniment
nregistrat, altfel, este un eveniment nenregistrat.
Sistemul decide, odat ce un eveniment este detectat,
dac trebuie s genereze o nregistrare de audit cu
algoritmul pre-selectat de audit. Setul de evenimente de
audit este bazat pe politica de securitate a sistemului.

Urmrirea de
audit

Urmrirea de audit este definit ca o nregistrare


cronologic a activitilor sistemului pentru a permite
reconstrucia i examinarea secvenelor evenimentelor
i/sau modificarea unui eveniment.

Identitate
autentificat

Un identificator care se distinge ca principal care a fost


asigurat pe timpul autentificrii

Autentificare

Msurile destinate s asigure mpotriva transmiterilor


frauduloase sau nelrii imitative a comunicaiilor prin
stabilirea validitii transmisiei, mesajului staiei sau
persoanei

Certificat de
autentificare

Un certificat de securitate care este produs de o


autoritate de certificare i care este folosit pentru a
ntri identitatea (ex. nume i rol unic) a unei entiti cu
o cheie de autentificare public i un set de atribute (ex.
scopul pentru care cheia intenioneaz s fie folosit)

Date de
autentificare

Informaia folosit pentru a verifica identitatea susinut


de un subiect

Autenticitate

Proprietatea care asigur c identitatea subiectului sau


resursei este cea susinut. Autenticitatea se aplic
entitilor ca utilizatori, procese, sisteme i informaii

Autorizare

Recunoaterea drepturilor care include recunoaterea


accesului pe baza drepturilor de acces
59

Disponibilitate

Proprietatea informaiei s fie accesibil i utilizabil pe


baza necesitii unei entiti sau proces autorizat

Mecanisme de
referin

Un set minim de dispozitive de securitate stabilite


pentru un sistem sau o organizaie

Operaie
comercial

Orice eveniment, condiie, aciune sau angajament, al


crei rezultat este achiziia, dispoziia sau utilizarea
unor valori sau resurse; creterea sau descreterea
datoriei; recepia sau plata de fonduri; furnizarea de
servicii pentru care un client este nsrcinat. De
asemenea, operaiile comerciale pot include
confirmarea formal sau autorizrile prin corespondena

Autoritate de
certificare

O autoritate de ncredere a unuia sau mai multor


utilizatori pentru a crea i atribui certificate. Opional,
autoritatea de certificare poate crea cheile utilizatorilor

Audit de
conformitate

O revizuire sau examinare independent a


nregistrrilor sistemului i activitilor pentru a testa
caracterul adecvat al mecanismelor de control, pentru a
asigura conformitatea cu politica stabilit i cu
procedurile operaionale, pentru a detecta breele de
securitate i de a recomanda orice modificri indicate
pentru control, politic i proceduri

Confidenialitate

Proprietatea potrivit creia informaia nu este fcut


disponibil sau dezvluit persoanelor, entitilor sau
proceselor neautorizate

Eveniment
neprevzut

Un eveniment care este posibil dar are o probabilitate


incert

Drept de autor

Protecie legal mpotriva copierii unei proprieti


intelectuale de ctre o alt parte n forma n care este
fcut disponibil pentru utilizare

Cheie
criptografic

Un parametru folosit n legtur cu un algoritm pentru


scopul validrii, autentificrii, codificrii sau codificrii

60

metode pentru transformarea datelor cu scopul de a


ascunde coninutul informaiei, de a preveni
modificarea nedetectat i/sau utilizarea neautorizat
Standard de
Un algoritm de criptare utilizat pentru protecia
criptare a datelor criptografic a informaiei n format electronic. A fost
publicat de Biroul Naional al Standardelor n ianuarie
1977
Integritatea
datelor

Calitatea sau condiia datelor de a fi exacte, complete i


valide, nealterate sau distruse ntr-un mod neautorizat

Baz de date

O colecie de elemente de informaii electronice i


fiiere stocate ntr-un mod structurat care suport
diferite reprezentri pentru diferite scopuri

Sistem de
gestiune al bazei
de date (SGBD)

Un sistem de programe care faciliteaz crearea,


regsirea i manipularea datelor dintr-o baz de date cu
ajutorul programelor de calculator create n acest scop

SGBD

Se refer la Sistemul de gestiune al bazei de date

Decriptare

Transformarea datelor electronice n criptologie, de la o


form neinteligibil la o form clar

Blocare servicii

Restricionarea accesului autorizat la resurse sau


ntrzierea operaiilor restricionate n timp

SCD

Se refer la Standardele de Criptare a Datelor

Dial-up, Dial-in,
Dial-out
(Legtur
telefonic
electronic)

O modalitate de conectare a unor sisteme computerizate


pe baza reelei telefonice

Semntur
digital

Datele ataate sau transformarea criptografic (vezi


criptografie) a unei uniti de date care accept un
destinatar criptografic. Element de date care accept un
destinatar al elementului de date pentru a autentifica
sursa i integritatea unitii de date i protecia
61

mpotriva falsificrii, de exemplu, de ctre destinatar


Domeniu

Un grup de entiti din aceeai politic de securitate i


sub jurisdicia unei autoriti de domeniu care este
responsabil pentru impunerea acelei politici

Autentificare
electronic

Procesul prin care o autorizaie electronic este


verificat pentru a asigura, nainte de prelucrarea
ulterioar, c autorizatul este identificat sigur, c
integritatea datelor autorizate au fost pstrate i c
datele sunt originale

Autorizare
electronic

Procesul prin care o semntur electronic este legat


de o tranzacie financiar sau de alt natur, pentru a
semnifica c entitatea, avnd autoritatea de autorizare a
tranzaciei, a fcut-o ntocmai

Comer
electronic

Comerul electronic conine schimburile de documente


ale activitii ntre dou calculatoare ntr-un format
standardizat, schimbul de date formatate libere pentru
schimbare, cum ar fi faxuri sau pot electronic i, de
asemenea, aplicaiile pentru transmiterea electronic a
scrisorilor de credit sau transferurilor electronice de
fonduri

Schimbul
Transmiterea de documente sau alt coresponden ntre
electronic de date un sistem computerizat al unei altei organizaii, cu
(SED)
ajutorul reelei de comunicaii, n mod normal pentru
schimbul de tranzacii de afaceri
Transfer
electronic de
fonduri

Serviciul tranzaciilor financiare cu folosirea unui


sistem computerizat i facilitile de comunicaii de
date

Cheie electronic

Cheie n format electronic digital cu privire la


transportul i/sau mediul de stocare

Managementul
cheilor
electronice
(MCE)

Mecanism criptografic folosit n tehnologia informaiei


pentru a proteja datele mpotriva divulgrii sau
manipulrii neautorizate. Securitatea i certitudinea sunt
direct dependente de protecia oferit unui parametru de
62

securitate numit cheie. Rolul managementul cheilor


este de a furniza proceduri pentru mnuirea materialelor
criptografice manipulate. Managementul cheilor
electronice este asigurarea acestei capabiliti n cadrul
mijloacelor electronice
Criptare

Procesul prin care datele tip text scris sunt transformate


pentru a ascunde nelesul acestora. Criptarea este un
proces reversibil efectuat cu ajutorul unui algoritm
criptografic i o cheie

Cap la cap
(nentrerupt)

Deinerea proprietii de a continua pe timpul ntregii


ci de comunicaii ntre dou entiti angajate n unele
tranzacii (de ex. securitatea nentrerupt ntr-un mediu
de mesagerie va presupune msurile pentru securitatea
mesageriei, care nu sunt ntrerupte n reea dar persist
ntre cel care trimite i cel care primete)

Evaluare

Apreciere a unui sistem ITC sau produs pe baza unor


criterii definite cu scopul de a furniza msuri de
confidenialitate sau produsul atinge cerinele de
securitate

Autoritate de
evaluare

O baz care implementeaz criteriile pentru o


comunitate specific prin mijloace a unei scheme de
evaluare astfel stabilete standarde i monitorizeaz
calitatea evalurilor conduse de baze fr acea
comunitate

Schem de
evaluare

Cadrul administrativ i reglementator n cadrul cruia


sunt aplicate criteriile, de ctre o autoritate de evaluare,
n cadrul unei anumite comuniti

Dovad (prob)

Informaia care este folosit ea nsi sau n conjuncie


cu alte informaii, pentru stabilirea dovezii unui
eveniment sau aciune.
NOT: Dovada nu dovedete neaprat adevrul sau
existena a ceva (vezi prob) dar contribuie la
stabilirea probei.
63

gestioneaz o colecie de fiiere care sunt accesate de


alte componente ale reelei
Hacker

Se refer la Atacator

Dispozitiv de
autentificare la
purttor

Un dispozitiv token fizic cu o configuraie unic n


posesia unei persoane care cere conexiune (acces) la un
sistem computerizat care poate fi folosit pentru procesul
de autentificare pentru a ajuta la confirmarea identitii
utilizatorului

Identitate

O metod de identificare a unui utilizator. Aceast


identitate poate fi numele adevrat al utilizatorului sau
un pseudonim

Politica de
securitate bazat
pe identitate

O politic de securitate bazat pe identitile i/sau


atributele utilizatorilor, ale unui grup de utilizator sau
entiti, acionnd n numele utilizatorilor i
resurselor/obiectelor care au fost accesate

Impact

Rezultatul unui incident nedorit

Tehnologia
Aplicarea tehnologiilor actuale procesului informatic
Comunicaiilor i pentru computere, telecomunicaii i microelectronic
Informaticii
(ITC)
Securitatea
Tehnologiei
Informaiei

Protecia rezultat dintr-un set integrat de protecie


desemnat s asigure confidenialitatea,
responsabilitatea, autenticitatea i certitudinea
informaiei n format electronic stocate, procesate sau
transmise; integritatea respectivelor informaii i
procese; disponibilitatea sistemelor i serviciilor

Integritate

Integritatea se refer la corectitudinea informaiei, a


originatorului informaiei i a funcionrii sistemelor
care o proceseaz

Interoperabilitate Interoperabilitatea implic c echipamentul i


procedurile n folosin de dou sau mai multe entiti
sunt compatibile i prin urmare, este posibil s fie
64

ntreprinse aciuni comune i asociate


ISDN (Reea
Digital de
Servicii
Integrate)

O tehnologie de telecomunicaii care permite unui


singur canal de comunicaii s transporte simultan
diferite servicii, incluznd dar nu limitat, date, voce,
video i fax

ITSEC (Criterii
de Evaluare a
Securitii
Tehnologiei
Informaiei)

Criterii dezvoltate de un consoriu de ri europene


pentru evaluarea securitii componentelor i sistemelor
de computere

Cheie

O secven de simboluri care controleaz operaia de


transformare criptografic (ex. codificarea,
decodificarea, calculul funciunii de verificare
criptografic, generarea de semntur sau verificarea
semnturii)

Generarea cheii

Generarea cheii este un proces prin care este generat


cheia. Este funciunea de generare a variabilelor
necesare pentru ndeplinirea atributelor cheii particulare
(private)

Managementul
cheii

Administrarea i folosirea generrii, nregistrrii,


certificrii, de-nregistrrii, distribuirii, instalrii,
stocrii, arhivrii, revocrii, derivaiei i distrugerii
materialului cheilor, conform cu politica de securitate

Facilitatea
pentru
managementul
cheilor

O anex protejat (ex. cheia echipamentului) i


coninutul ei unde sunt stocate cheile

Pereche de chei

Cheile sunt un criptosistem asimetric avnd proprietatea


c una din pereche va decripta ceea ce cealalt cripteaz

Vedere logic

ntr-un Sistem de Gestionare al Bazelor de Date


(SGBD), reprezentarea structurii baze de date care este
fcut disponibil pentru procesarea ntr-un program
pentru simplificarea accesului la informaiile n format
65

electronic i pentru a furniza o msur de securitate


Mascare

O ncercare de a ctiga accesul ntr-un sistem


computerizat prin postura unui alt utilizator

Cod de
autentificare a
mesajului

Un element de date derivat dintr-un mesaj folosind


tehnici criptografice simetrice i o cheie secret. Este
folosit pentru a verifica integritatea i originea
mesajului de orice entitate care are cheia secret

Mesagerie

Procesul de expediere a informaiei ntre dou pri prin


mijloace electronice i ntr-un loc de depozitare i cu o
manier de retrimitere ex. expeditorul i destinatarul nu
sunt angajai intr-o comunicare interactiv, n timp real.
Mesageria, de altfel, cuprinde de la sistemul de pot
electronic simpl pn la sistemele de mesagerie
militar formatat

Non-repudiere

Generarea, verificarea i nregistrarea evidenei i


restabilirii subsecvenilor i reverificarea acestei
evidenei pentru rezolvarea disputelor

Notificare

n criptografie, o asigurare adiional n ceea ce privete


identitatea prilor n comunicare, pe calea unui ter
independent i de ncredere

Criptarea pe o
singur cale

O tehnic de criptare n care informaia n format


electronic criptat nu poate fi decriptat napoi n forma
unui text clar. Aceast tehnic permite detectarea
modificrilor informaiei electronice, precum i
compararea valorilor furnizate i cele stocate. Este
adesea utilizat pentru stocarea parolelor

Sistem de
operare

Un set de programe de calculator care comunic cu


componentele fizice ale calculatorului i furnizeaz
serviciile pentru utilizatorii sistemului

Parol

O proprietate logic secret a unei persoane care cere


conectarea la un calculator sau accesul la resurse
protejate care poate fi folosit pentru confirmarea
autenticitii cerinei utilizatorului
66

Numr de
Identificare
Personal (PIN)

O form de parol utilizat n conjuncie cu o posesie


fizic sau un dispozitiv pentru a confirma identitatea
unei persoane pentru accesul unui sistem computerizat

Securitate fizic

Msurile folosite pentru furnizarea proteciei fizice a


resurselor mpotriva ameninrilor accidentale sau
deliberate

Stabilirea cheii
punct la punct

O stabilire direct a cheilor ntre entiti, fr


implicarea unei a treia pri

Privat

Drepturile indivizilor de a controla sau influena ce


informaii asociate lor pot fi colectate i stocate i cui
pot fi dezvluite
NOT: Deoarece acest termen se refer la drepturile
indivizilor, nu poate fi foarte precis i folosirea lui
poate fi ocolit cu excepia cazului de pretindere a
securitii

Criptografie cu
cheie privat

O form de criptografie care se bazeaz pe secretul


cheilor criptografice la ambele capete, att la criptare
ct i la decriptare

Criptografie cu
cheie public

O form asimetric de criptografie care utilizeaz o


cheie public de criptare la captul unde se cripteaz i
o cheie secret de criptare la punctul de decriptare

Restaurare

Restaurarea este procesul de rspuns la o prbuire sau


la un compromis

Repudiere

Dezminirea uneia dintre entiti implicate n


comunicarea de a fi participat n toate sau n unele pri
ale comunicaiei

Date reziduale

Imaginile de date rmase pe un dispozitiv de stocare


dup ce acesta a fost ters n mod logic. (O metod
comun de tergere a unui fiier sau a unei imagini de
date este prin simpla suprimare a accesul la aceste date
prin tergerea lor de pe disc sau din indexul de volum al
dispozitivului. Aceast metod nu terge efectiv
67

informaia, ci nghea spaiul pentru reutilizare de


ctre sistem. Exist utilitare care restaureaz date fr
ajutorul indexului volumului.)
RSA (RivesShamirAdelman)

Un algoritm de cheie criptografic public important


denumit aa dup numele celor care au conceput-o

Obiective de
securitate

O formulare a inteniei de a contoriza ameninrile


identificate i/sau satisface politicile de securitate
identificate ale organizaiei i supoziiilor

Senzitivitate

Caracteristica resurselor care implic valorile sau


importana i pot include vulnerabilitatea lor

Card inteligent

O form de dispozitiv fizic tip token capabil s


efectueze cteva grade de procesare, cum ar fi
calcularea i prezentarea unei parole variabile pentru
utilizarea pe timpul procesului de autentificare

Metoda
autentificrii
simetrice

O metod de autentificare n care ambele entiti mpart


n comun informaiile de autentificare

Tehnica
criptografic
simetric

O tehnic criptografic care utilizeaz aceeai cheie


secret att pentru transformarea de la originator ct i
pentru cea de la destinatar. Fr cunoaterea acestei
chei, este imposibil de procesat pe calculator
transformarea, nici la originator nici la destinatar

Sincronic

O form de transmisie electronic de informaii n care


fiecare bit este transmis n concordan cu o secven de
timp definit. Expeditorul i destinatarul trebuie s
menin exact sincronizarea timpului pe timpul
perioadei de transmisie

Integritatea
sistemului

Proprietatea ca un sistem s execute funciunile


proiectate ntr-o manier corect, fr operarea
(intervenia) autorizat sau neautorizat a sistemului

68

Rezistena la atac Proprietatea unui dispozitiv care asigur distrugerea


oricrei informaii secrete stocate n interiorul lui dac
acesta este atacat fizic
Criteriile de
Evaluare a
Sistemelor de
ncredere

Criterii dezvoltate de Centrul Naional de Securitatea


Calculatoarelor al Departamentului Aprrii din SUA
pentru evaluarea securitii componentelor i sistemelor
calculatoarelor

Dovada
TEMPEST

Proprietatea unui dispozitiv de a preveni emisia


radiaiilor electromagnetice nedorite a cror
interceptare poate constitui o bre de confidenialitate

Terminal

Un dispozitiv, de obicei care ncorporeaz o tastatur i


unitate central care poate fi folosit de o persoan
pentru a interaciona cu un sistem pentru scopul
stabilirii unei conexiuni ori a unei sesiuni cu acesta.
Acest dispozitiv poate avea suficiente capaciti locale
de procesare, cum ar fi un calculator personal sau o
staie de lucru, sau poate avea puine sau inexistente
capaciti locale

Amprenta de
timp

Pentru adugarea sau ataarea la un mesaj, ca minimal,


o notificare de semntur digital care indic data i
ora. Se poate aduga i identitatea persoane

Token

O proprietate care poate fi folosit pentru a ajuta la


autentificarea identitii utilizatorului unui computer.
Poate fi un element fizic folosit n punctul conectrii la
un sistem de calculatoare sau un element logic utilizat
pentru identificarea utilizatorului pentru procesarea
altor sisteme n cadrul mediului computerizat

Topologie

O relaionare fizic ntre componentele unei reele

Managementul
Calitii Totale

Aplicarea principiilor i procedurilor n vederea


asigurrii continuitii mbuntirii calitii sub toate
aspectele n cadrul unei entiti, n concordan cu
standardele internaionale de calitate

Transparen

Transparena implic faptul c o caracteristic sau


69

serviciu este furnizat fr impactul remarcabil al


utilizatorului
ncredere

Proprietatea unui sistem computerizat sau a unei


componente ale crui mecanisme de securitate, n
special cele de autentificare, au fost verificate fiind
suficient de nalt standardizate pentru satisfacerea
cerinelor evaluatorului

Ter de ncredere

O autoritate de securitate sau un agent al acesteia, care


este de ncredere pentru alte entiti sub aspectul
respectrii activitilor de securitate asociate

Autentificare
unilateral

Entitate de autentificare care furnizeaz o entitate cu


garania altei identiti dar nu i invers

Utilizator

O persoan care ntrebuineaz o sistem computerizat


i facilitilor acestuia pentru rezolvarea unei sarcini
sau s asiste derularea unor sarcini

Validare

Procesul de verificare a integritii unui mesaj sau a


anumitor pri dintr-un mesaj

Virus

O component a unui program de calculator introdus n


interiorul unui alt program pentru scopuri premeditate
i cu rea intenie

7.2.Lista de abrevieri
NATO PfP

UE

ORNISS

Organizaia Tratatului Atlanticului de Nord


Parteneriatul pentru Pace
Uniunea Europeana
Oficiul Registrului National al Informatiilor Secrete de

Stat
ADS
ANS
MApN
MAI

Autoritatea Desemnata de Securitate


Autoritatea Nationala de securitate
Ministerul Apararii Nationale
Ministerul Administratiei si Internelor
70

SPP
STS
SRI
SNR
CSNR
NOS
NCS
NAC
GSC
GSCSO
Consiliului
OGPIC
Clasificate
CISR
DIS
AISE
AISI

Serviciul de Protectie si Paza


Serviciul de Telecomunicatii Speciale
Serviciul Roman de Informatii
Sistemul National de Registre
Componenta a Sistemului National de Registre
Nato Office for Security
NATO Security Committee
North Atlantic Council
Secretariatul General al Consiliului
Oficiul de Securitate al Secretariatului General al

- Oficiul Guvernamental pentru Protecia Informaiilor


-

Comitetul Interministerial al Securitii Republicii


Departamentul de Informaii al Securitii
Agenia de informaii i securitate extern
Agenia de informaii i securitate intern

8.BIBLIOGRAFIE:

71

8.1.LEGI, ACTE NORMATIVE:


Legea

nr.

182/2002

privind

protecia

informaiilor

clasificate;

Hotrrea de Guvern nr. 353/2002 pentru aprobarea


Normelor privind protecia informaiilor clasificate ale Organizaiei
Tratatului Atlanticului de Nord n Romnia;
Hotrrea de Guvern nr. 585/2002 pentru aprobarea
Standardelor naionale de protecie a informaiilor clasificate n Romnia;
Hotrrea de Guvern nr. 781/2002 privind protecia
informaiilor secrete de serviciu;
C-M (2002)49 din 2002, Securitatea n cadrul Organizaiei
Tratatului Atlanticului de Nord;
Ordinul ministrului aprrii naionale nr. M.-159/2002
pentru aprobarea P.I.C.-1, Norme privind protecia informaiilor clasificate
n Armata Romniei;
Ordinul directorului general al Oficiului Registrului
Naional al Informaiilor Secrete de Stat nr. 490/2005 pentru stabilirea
condiiilor de acces la informaii UE clasificate.
Constituia Romniei, Articolele 1-5.
Strategia de Securitate Naional a Romniei, 2006
Legea 51/1991

8.2.CARTI DE SPECIALITATE:
ALIGIC, Drago, ZULEAN, Marian, Deciziile
strategice n condiii de incertitudine in Politica de securitate
naional: concepte, instituii, procese,Editura Polirom, Iai,
2007.
ANDRUS, Calvin, Toward a Complex Adaptive
Intelligence Communityin Studies in intelligence- Journal of the
American Intelligence Professional,Vol. 49, No. 3, 2005.
BERKOWITZ, Bruce D., GOODMAN, Allan E.,
Strategic Intelligence forAmerican National Security, Princeton
University Press, May 1991.
72


STOICESCU Ruxandra, Conceptul de securitate, n
Politica de securitate naional: concepte,instituii, procese,
Editura Polirom, Iai, 2007, pp. 92-93.
BIRO, Daniel, Studiile strategice in Politica de
securitate naional:concepte, instituii, procese, Editura Polirom,
Iai, 2007.
BUZAN, Barry, Security: A New Framework for
Analysis, Lynne Rienner Pub, September, 1997.
CHELCEA, Septimiu, Metodologia cercetrii
sociologice, Editura Economic, Bucureti, 2004.
DCAF, Backgrounder: Security Sector Governance and
Reform, National Security Policy, Geneva Centre for the
Democratic Control of Armed Forces,Geneva, 2005.
DUNN, William, Policy Analysis: Perspectives,
Concepts, and Methods(Public Policy Studies, Vol 6), JAI Press,
New York, 1986.
DURKHEIM, Emile, Regulile metodei sociologice,
Editura tiinific,Bucureti, 1974.
GHICA, Luciana, ZULEAN, Marian, Politica de
securitate naional:concepte, instituii, procese, Editura Polirom,
Iai, 2007.
LOWENTHAL, Mark M., Foreword, in Critical
thinking and Intelligence Analysis, National Defense Intelligence
College, Washington DC, March 2007.
MRGINEAN, Ioan Proiectarea cercetrii sociologice,
Editura Polirom,Iai, 2000.
MIROIU, Andrei, Introducere n analiza politicilor
publice, Editura Punct,Bucureti, 2001.
MIROIU, Andrei, SOARE, Simona, Politica de
securitate a Romniei (1878 2006 ). O perspectiv istoric in
Politica de securitate naional: concepte,instituii, procese,
Editura Polirom, Iai, 2007.
MOORE, David T., Critical thinking and Intelligence
Analysis, National Defense Intelligence College, Washington
DC, March 2007.
RIEBER, Steven, THOMASON, Neil, Creation of a
National Institute for Analytic Methods in Studies in
73

intelligence- Journal of the American Intelligence Professional,


Vol. 49, No. 4, 2005.
SGRCITU, Bogdan, Impactul globalizrii asupra
securitii naionale,Ministerul Educaiei i Cercetrii, 2006.
SHULSKY, Abram, SCHMITT, Gary, Rzboiul tcut,
Editura Polirom, Iai,2008.
SMOKE, Richard, National Security and Nuclear
Dillema, Ed a II-a,Random House, New York.
STAHL, Henri, Teoria i practica investigaiilor sociale,
vol. 1, Editura tiinific, Bucureti, 1974.
STOICESCU, Ruxandra, Conceptul de securitate, n
Politica de securitate naional: concepte, instituii, procese,
Editura Polirom, Iai, 2007.
ZULEAN, Marian, Politica de securitate naional ca
domeniu al politicilor publice, n Politica de securitate
naional: concepte, instituii, procese,Editura Polirom, Iai,
2007.
WEBER, Max, Economy

8.3.LINK-URI:
http://ec.europa.eu/external_relations/cfsp/index_en.htm,
consultat la data de 16.11.2009.

74